Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider hat gegen Vodafone Deutschland ein Rekordbußgeld von insgesamt 45 Millionen Euro verhängt. Das teilte ihre Behörde am Dienstag mit. Es handelt sich um die mit Abstand höchste Summe, mit der eine deutsche Aufsichtsbehörde bislang Datenschutzverstöße sanktionierte. Deutlich höhere Bußgelder hat vor allem die irische Datenschutzkommission (DPC) verhängt, zuletzt ein Bußgeld von mehr als einer halben Milliarde Euro gegen die Internetplattform Tiktok . „Das Datenschutzrecht ist nicht zahnlos“, sagte Specht-Riemenschneider. „Und Verstöße sind kein Kavaliersdelikt.“ Bußgelder seien ein „Anreiz“ für Unternehmen, der Beratung und Sensibilisierung zu datenschutzrechtlichen Fragen zu folgen.
Vodafone wurden von der Bundesdatenschutzbeauftragten zwei Geldbußen auferlegt: eine in Höhe von 30 Millionen Euro und eine in Höhe von 15 Millionen Euro. Mit der 30-Millionen-Buße werden Sicherheitsmängel in Authentifizierungsprozessen von Vodafone geahndet. Die Schwachstellen bei der kombinierten Nutzung des Onlineportals „Mein Vodafone“ mit der Vodafone-Hotline bargen unter anderem das Risiko, dass Unbefugte Handynummern von Vodafone-Kunden übernahmen.
Die zweite Geldbuße von 15 Millionen Euro erging deshalb, weil der Düsseldorfer Telekommunikationsanbieter Partneragenturen, die im Auftrag von Vodafone Verträge an Kunden vermittelt hatten, nicht ausreichend datenschutzrechtlich kontrollierte. Dadurch war es unter anderem zu Betrugsfällen durch fingierte Verträge oder Vertragsänderungen zulasten von Vodafone-Kunden gekommen.
Von betrügerischen Partnern getrennt
Das Unternehmen habe aber mittlerweile umfangreiche Maßnahmen ergriffen, um den Datenschutz zu stärken, teilte die Datenschutzbehörde mit. Vodafone habe sich von betrügerischen Partnern getrennt und die Auswahl und Auditierung von Partneragenturen überarbeitet. Außerdem seien Projekte der IT-Konsolidierung und IT-Modernisierung priorisiert worden, lobte die Behörde. „Ich möchte hervorheben, dass Vodafone während der Dauer des gesamten Verfahrens ununterbrochen und uneingeschränkt mit mir kooperiert und auch Umstände offengelegt hat, durch die sich das Unternehmen selbst belastet hat“, hob Specht-Riemenschneider hervor. Das Unternehmen habe die Geldbußen akzeptiert und bereits vollständig an die Bundeskasse gezahlt.
Vodafone bedauerte in einer Stellungnahme, dass Kunden in Mitleidenschaft gezogen worden seien. Unter dem neuem Management habe Datenschutz nun im gesamten Unternehmen höchste Priorität, versicherte ein Sprecher. Vodafone habe seine Systeme und Prozesse grundlegend überarbeitet. Es gebe strengere Vorgaben, mehr Überwachungsmöglichkeiten von Partnern und höhere Sicherheitsstandards zum Schutz von Daten.
„Investieren statt riskieren!“
Specht-Riemenschneider nahm die Verhängung des Bußgeldes zum Anlass, Unternehmen eindringlich zu mehr Anstrengungen im Umgang mit Daten zu ermahnen. Die Erfahrungen der Datenschutzbehörden zeigten, dass in Unternehmen in vielen Branchen ein Investitionsstau mit Blick auf die Modernisierung und Konsolidierung von IT-Systemen bestehe. „Bei der Sicherheit wird daher teilweise gespart“, rügte die Bundesdatenschutzbeauftragte.
Auch der Einsatz von Auftragsverarbeitern werde in der Praxis häufig nicht ausreichend kontrolliert. Neue technische Möglichkeiten und komplexere Bedrohungsszenarien erhöhten das Risiko, dass Kunden durch fehlenden Datenschutz geschädigt werden könnten. Datenschutz werde oft als Hindernis für IT-Investitionen angesehen, bedauerte Specht-Riemenschneider. Dabei sei das Gegenteil der Fall: „Ohne IT-Investitionen drohen Sicherheitsvorfälle und auch Sanktionen der Datenschutzaufsicht“, mahnte sie. Deswegen laute ihr Appell an die Unternehmen: „Investieren statt riskieren!“
Medienberichte über Schwachstellen und mangelhafte Kontrollen von Vodafone im Umgang mit sensiblen Kundendaten durch Partneragenturen hatte es schon im Jahr 2021 gegeben. Unter anderem seien Passwörter, Kunden- und Kontonummern nicht ausreichend gegen unberechtigten Zugang gesichert worden, hatte unter anderem das Medienunternehmen Correctiv berichtet. Die Bundesdatenschutzbehörde machte am Dienstag keine Angaben dazu, wie viele Vodafone-Kunden geschädigt worden seien. Das Unternehmen hat nach eigener Aussage hierzulande 30 Millionen Mobilfunkkunden.
Bei der Bemessung von Bußgeldern für Datenschutzverstöße ist EU-Recht zu beachten. Die Datenschutz-Grundverordnung sieht Bußgelder von bis zu 20 Millionen Euro oder von bis zu vier Prozent des globalen Jahresumsatzes vor. Mit den beiden Geldbußen von insgesamt 45 Millionen Euro für Vodafone Deutschland orientierte sich die Behörde der Bundesdatenschutzbeauftragten am Umsatz der Muttergesellschaft Vodafone Group. Nach Angaben des britischen Telekommunikationskonzerns vom Mai belief sich der Umsatz des Konzerns zuletzt auf 37,45 Milliarden Euro. Neben der Wirtschaftskraft spielen für die Bemessung des Bußgeldes auch die entstandenen Risiken für Dateninhaber sowie die Kooperationsbereitschaft des Unternehmens eine Rolle.
