Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat ein Bußgeld in Höhe von insgesamt 45 Mio. Euro gegen die Vodafone GmbH verhängt.
Eine Geldbuße in Höhe von 15 Mio. Euro erging, weil die Vodafone GmbH für sie tätige Partneragenturen nicht im ausreichenden Umfang datenschutzrechtlich überprüft und überwacht hatte (Art. 28 Abs. 1 S. 1 DSGVO – Auftragsverarbeiter). Zudem hat die BfDI Vodafone wegen festgestellter Schwachstellen in bestimmten Vertriebssysteme verwarnt (Art. 32 Abs. 1 DSGVO – Sicherheit der Verarbeitung)
Eine weitere Geldbuße in Höhe von 30 Millionen Euro wurde wegen Sicherheitsmängeln beim Authentifizierungsprozess bei der kombinierten Nutzung des Onlineportals „MeinVodafone“ mit der Vodafone Hotline verhängt. Die aufgedeckten Schwachstellen der Authentifizierung ermöglichten unter anderem den Abruf von eSIM-Profilen durch unbefugte Dritte.
Die Vodafone GmbH habe in der Zwischenzeit ihre Prozesse und Systeme verbessert und teilweise sogar vollständig ersetzt, um solche Gefahren künftig auszuschließen. Außerdem habe sie die Prozesse zur Auswahl und Auditierung von Partneragenturen überarbeitet und sich von Partner getrennt, bei denen Betrugsfälle festgestellt wurden. Die BfDI wird die praktische Wirksamkeit der von Vodafone ergriffenen Maßnahmen in einer Folgekontrolle überprüfen.
Quelle: Pressemitteilung des BfDI 6/2025