Warum die Kontrolle von Dienstleistern zur Chefsache wird
Im Juni 2025 verhängte die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zwei Bußgelder über insgesamt 45 Millionen Euro gegen die Vodafone GmbH. Wie Dr. Datenschutz berichtet, ist es das höchste Bußgeld, das die BfDI seit Geltung der DSGVO verhängt hat. Der Fall liefert klare Lehren für alle Unternehmen, die Daten verarbeiten lassen.
Was ist passiert?
Wie Dr. Datenschutz berichtet, verhängte die BfDI unter Leitung von Prof. Dr. Louisa Specht-Riemenschneider zwei getrennte Bußgelder. Vodafone akzeptierte beide Bescheide und zahlte. Die Gesamtsumme von 45 Millionen Euro setzt sich aus zwei unterschiedlichen Verstößen zusammen, die jeweils einen zentralen Bereich der DSGVO betreffen.
Die beiden Verstöße im Detail
15 Millionen Euro – mangelhafte Kontrolle von Auftragsverarbeitern. Bei Partneragenturen war es zu Betrugsfällen gekommen, bei denen Verträge gefälscht beziehungsweise nachträglich geändert wurden. Vodafone hatte diese Auftragsverarbeiter nicht ausreichend kontrolliert. Damit ist die Pflicht aus Art. 28 DSGVO berührt, die das verantwortliche Unternehmen für seine Dienstleister in die Verantwortung nimmt.
30 Millionen Euro – Sicherheitsmängel bei der Authentifizierung. Im Kundenportal „MeinVodafone“ und an der Hotline bestanden Schwachstellen im Authentifizierungsverfahren. Durch sie konnten Unbefugte auf eSIM-Profile zugreifen und Rufnummern übernehmen. Eine übernommene Rufnummer ist besonders gefährlich, weil sie etwa zum Abfangen von Bestätigungscodes missbraucht werden kann. Dieser Verstoß betrifft die Pflicht zur Sicherheit der Verarbeitung nach Art. 32 DSGVO.
Einordnung im europäischen Kontext
Das Vodafone-Bußgeld steht nicht für sich allein. Wie Dr. Datenschutz berichtet, verhängte die irische Datenschutzbehörde am 2. Mai 2025 ein Bußgeld von 530 Millionen Euro gegen TikTok wegen unrechtmäßiger Datenübermittlung nach China. Beide Fälle zeigen, dass die Aufsichtsbehörden in Europa bei Datenschutzverstößen zunehmend hohe Sanktionen aussprechen.
Welche Lehren ziehen Unternehmen daraus?
Wie eine Analyse von Heuking herausarbeitet, lassen sich aus dem Fall konkrete Konsequenzen für EU-Unternehmen ableiten. Im Kern geht es um zwei Pflichten, die jedes datenverarbeitende Unternehmen treffen:
- Auftragsverarbeiter aktiv kontrollieren (Art. 28 DSGVO): Verträge mit Dienstleistern und Partneragenturen müssen klare Vorgaben enthalten, und ihre Einhaltung sollte regelmäßig überprüft werden. Die Verantwortung verbleibt beim auftraggebenden Unternehmen.
- Sicherheit der Verarbeitung gewährleisten (Art. 32 DSGVO): Authentifizierungsverfahren in Portalen und an Hotlines müssen so gestaltet sein, dass Unbefugte keinen Zugriff auf Kundenkonten oder Profile erhalten.
- Prozesse gegen Identitäts- und Vertragsbetrug: Mechanismen zur Erkennung gefälschter oder manipulierter Verträge senken das Risiko von Betrugsfällen.
- Sichere Verfahren für sensible Vorgänge: Gerade bei Vorgängen wie der Übertragung von Rufnummern oder eSIM-Profilen ist eine starke, mehrstufige Identitätsprüfung geboten.
Verwandte Meldungen
- NIS2-Umsetzungsgesetz in Kraft – ein weiterer Baustein der wachsenden regulatorischen Anforderungen.
- Samsung-Deutschland-Datenleck: 270.000 Kundentickets im Darknet – wie ein kompromittierter Dienstleister Kundendaten gefährdet.
- iDmerit-Datenleck: 60 Millionen deutsche Datensätze – die Folgen unzureichend gesicherter Datenverarbeitung.
Fazit
Das Rekordbußgeld gegen Vodafone macht deutlich, dass die Kontrolle von Auftragsverarbeitern und die Sicherheit der Verarbeitung keine Formalien sind, sondern zentrale Pflichten mit erheblichen finanziellen Folgen bei Verstößen. Für Unternehmen lohnt es sich, beide Bereiche regelmäßig zu prüfen – bevor eine Aufsichtsbehörde es tut.