Zurück zur Übersicht
12.06.2025 Fachbeitrag

EUR 45 Mio. DSGVO-Bußgeld gegen Vodafone – Was sind die Schlussfolgerungen für EU-Unternehmen?

Update Datenschutz Nr. 212

Am 3. Juni 2025 veröffentlichte die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine Entscheidung über zwei Geldbußen in Höhe von insgesamt 45 Millionen Euro gegen die Vodafone GmbH. Anlass waren Verstöße gegen zentrale Bestimmungen der Datenschutz-Grundverordnung (DSGVO), insbesondere im Zusammenhang mit der Einbindung externer Vertriebspartner sowie sicherheitsrelevanter Prozesse im digitalen Kundenkontakt.

Die Fälle zeigen, dass sich Datenschutzverstöße nicht auf interne Abläufe beschränken, sondern auch ausgelagerte Strukturen und technische Schnittstellen betreffen können. Selbst große und etablierte Unternehmen sind nicht vor erheblichen Mängeln bei der praktischen Umsetzung datenschutzrechtlicher Vorgaben gefeit – mit weitreichenden Folgen.

Für alle datenverarbeitenden Unternehmen stellt die Entscheidung der BfDI eine Mahnung dar, die bestehenden Datenschutzstrukturen auf den Prüfstand zu stellen. Dieser Beitrag ordnet die bekannten Sachverhalte rechtlich ein, beleuchtet die relevanten Normen und zeigt auf, welche Maßnahmen erforderlich sind, um ähnliche Risiken im eigenen Unternehmen frühzeitig zu erkennen und zu vermeiden.

I. Unzureichende Kontrolle der Partneragenturen (15 Mio. Euro)

Der erste Bußgeldbescheid über 15 Millionen Euro betrifft den Einsatz sogenannter Partneragenturen, die im Auftrag der Vodafone GmbH Verträge mit Kunden vermitteln. Laut BfDI wurde dabei über Jahre hinweg gegen datenschutzrechtliche Pflichten zur Kontrolle und Steuerung von Auftragsverarbeitern verstoßen. Konkret geht es um Verstöße gegen Art. 28 Abs. 1 Satz 1 DSGVO, wonach der Verantwortliche sicherstellen muss, dass von ihm beauftragte Dienstleister hinreichende Garantien für eine DSGVO-konforme Verarbeitung bieten.

In mehreren Fällen hatten Mitarbeitende solcher Vertriebspartner Kundendaten missbräuchlich verwendet, um etwa Verträge ohne Einwilligung zu ändern oder neu abzuschließen. Teilweise geschah dies zulasten der Kunden selbst, etwa durch zusätzliche oder teurere Vertragsbestandteile, teils auch durch fingierte Vertragsabschlüsse zum eigenen Vorteil – etwa zur Erzielung unberechtigter Provisionszahlungen. Die BfDI wertete das Verhalten der Partneragenturen als Folge unzureichender Überwachung durch Vodafone.

Insbesondere wurde kritisiert, dass es keine wirksamen Prozesse zur Auswahl, Auditierung und laufenden Kontrolle der Partner gegeben habe, obwohl diese Zugang zu umfangreichen personenbezogenen Daten hatten – darunter auch sensible Vertragsdaten und Kontoinformationen. Die BfDI stellte fest, dass Vodafone seinen Pflichten aus Art. 28 DSGVO in diesem Zusammenhang nicht ausreichend nachgekommen sei.

Vodafone hat die Vorwürfe nicht bestritten, die Geldbuße akzeptiert und nach eigener Angabe umfassende strukturelle Konsequenzen gezogen: Unter anderem wurden Partnerverträge beendet, Prozesse zur Anbindung externer Stellen überarbeitet und interne Kontrollmechanismen gestärkt.

II. Sicherheitsmängel beim Authentifizierungsprozess (30 Mio. Euro)

Ein weiteres Bußgeld in Höhe von 30 Millionen Euro wurde von der BfDI wegen erheblicher Sicherheitsmängel im Rahmen der Authentifizierungsprozesse bei der Nutzung des Onlineportals „MeinVodafone“ in Verbindung mit der telefonischen Kundenbetreuung verhängt. Über einen technischen Kombinationsangriff auf beide Systeme war es Dritten möglich, sich unter Ausnutzung schwacher oder fehlerhafter Authentifizierungsverfahren unrechtmäßig Zugriff auf Nutzerkonten zu verschaffen – insbesondere auf eSIM-Profile, die für den Zugriff auf Mobilfunkdienste erforderlich sind.

Die aufgedeckten Schwachstellen ermöglichten es, Mobilfunknummern zu übernehmen und diese möglicherweise für weitere digitale Dienste zu missbrauchen – etwa im Rahmen von Zwei-Faktor-Authentifizierungen oder der Nutzung von Mobilnummern als Identitätsmerkmal im Zahlungsverkehr.

Die BfDI machte in ihrer Pressemitteilung keine konkrete Angabe zu der datenschutzrechtlichen Norm, auf deren Grundlage dieses Bußgeld bemessen wurde. Sie verwies jedoch ausdrücklich auf die schwerwiegenden praktischen Risiken für die Rechte der betroffenen Personen, insbesondere im Zusammenhang mit der digitalen Identitätsnutzung.

Ergänzend hierzu sprach die BfDI eine Verwarnung gemäß Art. 58 Abs. 2 lit. b) DSGVO aus. Diese betraf nach ihren Angaben weitere Schwachstellen in den Vertriebssystemen von Vodafone, die gegen die Vorschiften des Art. 32 Abs. 1 DSGVO verstoßen und unabhängig vom Authentifizierungsverfahren festgestellt worden waren. Art. 32 DSGVO verpflichtet Verantwortliche dazu, ein dem Risiko angemessenes Schutzniveau zu gewährleisten und beispielsweise Maßnahmen zur Pseudonymisierung, Verschlüsselung und zur Sicherstellung der Integrität, Verfügbarkeit und Belastbarkeit von Systemen und Diensten zu ergreifen.

Die Verwarnung stellt dabei – wie von der LfD Niedersachsen im 26. Tätigkeitsbericht 2020 erläutert – keine bloße Ermahnung dar, sondern eine förmliche Feststellung eines abgeschlossenen Datenschutzverstoßes mit rechtlicher Außenwirkung. Sie dokumentiert ein aktenkundiges Fehlverhalten und kann bei einem Wiederholungsfall strafschärfend – also bußgelderhöhend – berücksichtigt werden. Auch ohne unmittelbar vollstreckbare Anordnung entfaltet sie daher eine nicht zu unterschätzende aufsichtsrechtliche Wirkung.

Vodafone hat auf die Kritik der Aufsichtsbehörde reagiert und mitgeteilt, seine technischen Systeme inzwischen überarbeitet und teilweise vollständig ersetzt zu haben. Auch der Bereich der Auswahl und Steuerung von Dienstleistern sei neu strukturiert worden. Die BfDI kündigte an, die praktische Umsetzung und Wirksamkeit dieser Maßnahmen im Rahmen einer Folgekontrolle zu überprüfen.

III. Relevanz für Unternehmen – typische Schwachstellen und konkrete Handlungspflichten

Die Bußgelder gegen die Vodafone GmbH betreffen zwei Bereiche, die für datenverarbeitende Unternehmen von zentraler Bedeutung sind: Die Einbindung externer Dienstleister und die Sicherung digitaler Zugangssysteme. Beide Themenbereiche sind in der Unternehmenspraxis häufig von organisatorischen Brüchen und einem zu geringen Risikobewusstsein geprägt. Die Entscheidungen der BfDI zeigen eindrücklich, dass die regulatorischen Erwartungen weit über bloße Vertragspflichten hinausgehen und auf eine strukturierte, risikoorientierte Steuerung von Datenschutzprozessen abzielen.

1. Auftragsverarbeitung

Im Fall der Partneragenturen lag der datenschutzrechtliche Verstoß in der unzureichenden Kontrolle beauftragter Stellen. Nach Art. 28 Abs. 1 Satz 1 DSGVO ist ein Unternehmen, das einen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt, verpflichtet, diesen nicht nur vertraglich einzubinden, sondern auch sicherzustellen, dass dieser tatsächlich über geeignete technische und organisatorische Maßnahmen verfügt, um die Verarbeitung im Einklang mit der Verordnung durchzuführen. Diese Verpflichtung ist nicht formaler, sondern materieller Natur: Die Auswahl des Dienstleisters muss auf einer nachvollziehbaren Prüfung beruhen. Zudem sind Unternehmen verpflichtet, die Umsetzung der datenschutzrechtlichen Anforderungen während der Vertragslaufzeit laufend zu überprüfen.

In der Praxis zeigt sich jedoch häufig, dass eine solche Prüfung entweder nicht oder nur oberflächlich erfolgt. Verträge mit Auftragsverarbeitern werden zwar abgeschlossen, konkrete Kontrollen oder Audits bleiben jedoch aus. Vor allem in vertriebsnahen oder filialbasierten Unternehmensbereichen wird das Thema Datenschutz oft an die Schnittstellen verlagert, ohne zentrale Koordination. Die BfDI hat im Fall Vodafone ausdrücklich beanstandet, dass es an wirksamen Prozessen zur Auswahl, Auditierung und Kontrolle der Partneragenturen fehlte – obwohl diese Zugriff auf personenbezogene Daten in erheblichem Umfang hatten. Das Bußgeld macht deutlich, dass ein Verstoß gegen diese Sorgfaltspflichten konkrete finanzielle und rechtliche Folgen nach sich ziehen kann.

2. Technische und organisatorische Maßnahmen

Neben der organisatorischen Steuerung externer Partner betrifft der zweite Teil der Entscheidung ein weiteres Risiko, das viele Unternehmen betrifft: Die Absicherung digitaler Kunden- und Benutzerzugänge. Die DSGVO verlangt in Art. 32 Abs. 1, dass personenbezogene Daten durch technische und organisatorische Maßnahmen gegen unbefugten Zugriff, unrechtmäßige Verarbeitung und unbeabsichtigten Verlust geschützt werden. Dabei ist ein dem Risiko angemessenes Schutzniveau zu gewährleisten – unter Berücksichtigung der Eintrittswahrscheinlichkeit eines Angriffs, der betroffenen Datenkategorien und der möglichen Auswirkungen für die betroffenen Personen.

In ihrem Tätigkeitsbericht 2023 hat die BfDI unter dem Titel „Authentifizierung im Bereich Telekommunikation“ dargelegt, welche Risiken mit unzureichender Identitätsprüfung im digitalen Umfeld verbunden sind. Die BfDI verweist insbesondere auf das Missbrauchspotenzial, das etwa mit dem Ersatz von SIM-Karten oder dem Zugriff auf Kommunikationsdaten verbunden ist. Dabei sei stets eine Risikoanalyse erforderlich, die sich an der Art des Kundenkontakts orientiert: Online-Zugang, Callcenter oder physischer Shop unterscheiden sich im Authentifizierungsrisiko erheblich. Eine Passwortabfrage allein reiche nicht aus, insbesondere bei Zugriffen auf sensible Vertrags- oder Kommunikationsdaten. Vielmehr seien Mehrfaktor-Authentifizierung und verschlüsselte Kommunikation in den meisten Fällen geboten, gerade bei digitalen Selbstbedienungssystemen.

Ein typisches Risiko besteht laut BfDI darin, dass Mobilfunknummern oder E-Mail-Adressen als Sicherheitsanker für andere Dienste verwendet werden. Ein unbefugter Zugriff auf diese Daten kann dadurch weitreichende Folgen haben, bis hin zu Identitätsdiebstahl, finanziellen Verlusten oder der Kompromittierung weiterer Konten. Auch wenn solche Folgen teilweise außerhalb des Einflussbereichs des Telekommunikationsanbieters liegen, so sind sie dennoch in dessen Risikobetrachtung einzubeziehen.

Zur Absicherung dieser Risiken sind aus Sicht der Aufsichtsbehörde insbesondere bei der Ausstellung von Ersatz-SIM-Karten oder ähnlich sensiblen Vorgängen besondere Sicherheitsmechanismen erforderlich. Diese müssen geeignet sein, den Zugriff unbefugter Dritter wirksam zu verhindern und den Grundsatz der Integrität und Vertraulichkeit personenbezogener Daten umzusetzen. Aber auch für Unternehmen aus anderen Branchen bedeutet dies: Technische und organisatorische Maßnahmen sind immer in Abhängigkeit von dem eigenen Risikoprofil auszuwählen,

3. Interne Governance und Datenschutzmanagementsysteme

Was beide Themenbereiche verbindet, ist die Notwendigkeit eines strukturierten Datenschutzmanagements. Die DSGVO verpflichtet Unternehmen nicht nur zur Einhaltung einzelner Vorschriften, sondern verlangt den Aufbau eines nachweisbaren Gesamtsystems zur Einhaltung datenschutzrechtlicher Vorgaben. Diese Rechenschaftspflicht, auch als „Accountability“ bezeichnet, ist in Art. 5 Abs. 2 DSGVO ausdrücklich normiert. Unternehmen müssen in der Lage sein, auf Anfrage der Aufsichtsbehörde nachzuweisen, dass sie alle notwendigen technischen, organisatorischen und rechtlichen Maßnahmen zur Einhaltung der Datenschutz-Grundverordnung ergriffen haben.

Dies umfasst neben der Dokumentation von Verarbeitungsprozessen auch die Einführung von systematischen Prüfprozessen, eine klare Aufgabenverteilung in der Datenschutzorganisation sowie regelmäßige Schulungen der Mitarbeitenden. Vor allem in unternehmensnahen Bereichen mit Kundenkontakt oder Vertriebsstrukturen sollte Datenschutz nicht als Nebensache betrachtet, sondern aktiv gesteuert werden. Dazu gehört auch die Etablierung von Frühwarnsystemen – etwa durch interne Hinweisgebersysteme oder regelmäßige Kontrollen risikobehafteter Prozesse.

Die Berliner Datenschutzbehörde hat in ihrem Tätigkeitsbericht 2024 darauf hingewiesen, dass ein wirksames Datenschutzmanagementsystem unter anderem auch ein verbindliches Löschkonzept umfassen muss. Regelmäßig ist zu überprüfen, welche personenbezogenen Daten weiterhin erforderlich sind und ob sie noch der Zweckbindung unterliegen. Grundlage solcher Systeme ist die Härtung von Serversystemen, ein starker logischer Zugangsschutz – in der Regel über Mehrfaktor- oder Schlüsselauthentifizierung – sowie die Vermeidung unnötiger Datenhaltung. Je mehr personenbezogene Daten gespeichert werden, desto höher ist das Risiko unbefugter Zugriffe und Datenabflüsse. Unternehmen sind daher gut beraten, durch klare Verantwortlichkeiten, technische Schutzvorkehrungen und eine belastbare Dokumentation den Anforderungen an Datenschutzkonformität strukturell zu begegnen.

IV. Fazit

Die gegen Vodafone verhängten Maßnahmen unterstreichen eindrücklich, dass Datenschutzverantwortung umfassend zu denken ist – sie endet nicht an der Unternehmensgrenze und auch nicht bei abgeschlossenen Verträgen mit Dritten. Aufsichtsbehörden prüfen zunehmend strukturell: Wer personenbezogene Daten verarbeitet, muss dokumentieren, kontrollieren und technisch absichern – dauerhaft und risikoorientiert.

Unternehmen, die externe Dienstleister einbinden oder digitale Kundenzugänge bereitstellen, müssen ihre Prozesse an den geltenden gesetzlichen Maßstäben ausrichten. Dabei ist entscheidend, dass nicht nur formale Anforderungen erfüllt werden, sondern auch eine funktionierende Kontroll- und Nachweisstruktur etabliert ist.

Die Entscheidung der BfDI zeigt, dass wer strukturelle Defizite nicht frühzeitig erkennt und beseitigt, nicht nur Bußgelder, sondern auch Reputationsschäden und langfristigen Vertrauensverlust riskiert. Datenschutz muss daher als Teil des unternehmerischen Risikomanagements begriffen werden – nicht als isolierte Rechtsfrage, sondern als dauerhafte Managementaufgabe.

Dieser Beitrag wurde in Zusammenarbeit mit unserer stud. Mitarbeiterin Emily Bernklau erstellt.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Weitere Artikel

18.07.2025
AI-Act: Neue regulatorische Leitlinie für KI mit allgemeinem Verwendungszweck der EU-Kommission in der Diskussion
16.07.2025
BGH bestätigt Anwendbarkeit des Fernunterrichtsschutzgesetzes (FernUSG) auch auf Online-Coaching und Mentoring – Keine Beschränkung auf Verbraucher
16.07.2025
Neue Pläne der EU-Kommission: Der Digital Networks Act
09.07.2025
Digitale Barrierefreiheit: Was Unternehmen seit dem 28. Juni 2025 beachten müssen
08.07.2025
E-Evidence-Verordnung: Neue Verpflichtungen für Diensteanbieter ab 2026
01.07.2025
Neue Orientierungshilfe der Datenschutzkonferenz zur rechtskonformen Nutzung und Entwicklung von KI-Systemen
25.06.2025
Brüsseler Berufungsgericht bestätigt EuGH-Linie bzgl. IAB TCF 2.0: TC-Strings sind personenbezogen, IAB teilweise gemeinsam Verantwortlicher
23.06.2025
EuGH: Versicherer und Vergleichsportal/Vermittler für Versicherungen sind keine Mitbewerber
11.06.2025
Mindestvertragslaufzeiten von Endkundenverträgen – Entscheidungen EuGH und des OLG Hamburg mit Konsequenzen für die Praxis
03.06.2025
Neues rund um die Ermittlung des Verfassers negativer Bewertungen auf Bewertungsplattformen
27.05.2025
Gewährleistung von Sicherheit und Compliance in der Raumfahrtindustrie – Wichtige Erkenntnisse und To-Do‘s
27.05.2025
Meta sperrt Facebook Account eines Vereins – OLG Düsseldorf sieht darin einen kartellrechtlichen Verstoß

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.