Die Bundesbeauftragte für Datenschutz und die Informationsfreiheit (BfDI) hat Vodafone Deutschland ein Bußgeld in Höhe von 45 Millionen Euro auferlegt. Grund dafür sind erhebliche Datenschutzverletzungen durch Franchisepartner des Unternehmens. Diese hatten über Jahre hinweg unautorisiert auf Kundendaten zugegriffen und in einigen Fällen Verträge ohne Wissen oder Zustimmung der betroffenen Personen abgeschlossen. Dabei wurden nicht nur personenbezogene Daten wie Namen und Adressen, sondern auch hochsensible Informationen wie Bankverbindungen und Passwörter verarbeitet.
Die Verstöße beruhten auf einer eklatanten Schwachstelle in der IT-Infrastruktur von Vodafone: Ein internes System, das zur Kundenbetreuung diente, erlaubte bis zum Jahr 2020 eine Anmeldung ohne Zwei-Faktor-Authentifizierung – in manchen Fällen sogar gänzlich ohne Passwort. Diese technische Lücke ermöglichte es Mitarbeitenden in Partnerfilialen, Kundenkonten zu manipulieren, Verträge zu fälschen und sensible Informationen einzusehen – alles ohne ausreichende Sicherheitskontrollen oder Nachverfolgbarkeit. Vodafone selbst räumte ein, dass mindestens 200 unzulässige Vertragsabschlüsse auf diese Weise erfolgt seien.
Der BfDI bewertete den Fall als systemisches Versagen im Datenschutzmanagement. Insbesondere die mangelnde Kontrolle über die Franchisepartner, das Fehlen wirksamer technischer Schutzmaßnahmen und die unterlassene Risikoanalyse wurden scharf kritisiert. Auch wenn Vodafone inzwischen Konsequenzen gezogen und sich von zahlreichen Partneragenturen getrennt hat, wertet der BfDI die Verstöße als schwerwiegend genug, um das hohe Bußgeld zu verhängen – nicht zuletzt, weil das Vertrauen der Betroffenen in den Schutz ihrer Daten in erheblichem Maße beschädigt wurde.
Datenschutzrechtliche Bewertung
Die Entscheidung zeigt, wie wichtig es ist, datenschutzrechtliche Verantwortung nicht auszulagern, sondern auch in dezentralen Strukturen durchgehend sicherzustellen. Vodafone verstieß insbesondere gegen:
- Art. 5 Abs. 1 DSGVO – Grundsätze wie Rechtmäßigkeit, Integrität und Vertraulichkeit wurden verletzt.
- Art. 25 und 32 DSGVO – Es fehlten angemessene technische und organisatorische Maßnahmen (TOMs).
- Art. 28 DSGVO – Die Kontrolle über die Auftragsverarbeitung durch Franchisepartner war unzureichend.
- Art. 24 DSGVO – Vodafone kam seiner Rechenschaftspflicht als Verantwortlicher nicht nach.
Handlungsempfehlungen für Unternehmen
- Technische Schutzmaßnahmen konsequent umsetzen
Unternehmen sollten ihre Systeme so gestalten, dass der Zugriff auf personenbezogene Daten immer durch eine starke Authentifizierung geschützt ist. Eine einfache Benutzername-Passwort-Kombination reicht heute nicht mehr aus – Zwei-Faktor-Authentifizierung ist Standard. Zugangskontrollen müssen regelmäßig überprüft und dokumentiert werden.
- Externe Partner aktiv steuern
Wer mit Franchisepartnern, Vertriebspartnern oder Auftragsverarbeitern zusammenarbeitet, trägt weiterhin die volle datenschutzrechtliche Verantwortung. Es braucht nicht nur klare vertragliche Regelungen gemäß Art. 28 DSGVO, sondern auch regelmäßige Prüfungen, Schulungen und Audits der externen Stellen. Ohne effektive Kontrolle bleibt die Rechenschaftspflicht beim Auftraggeber.
- Datenschutz als Teil der Unternehmenskultur verankern
Fehlverhalten von Mitarbeitenden und Partnern lässt sich nur durch eine gelebte Datenschutzkultur verhindern. Dazu gehören regelmäßige Schulungen, ein aktives Meldesystem für Verstöße sowie Sanktionen bei Missachtung interner Vorgaben. Unternehmen sollten auch Anreizsysteme überprüfen, die falsches Verhalten wie das „Erzeugen“ von Abschlüssen fördern könnten.
- Frühzeitig Datenschutz-Folgenabschätzungen (DSFA) durchführen
Besonders bei Systemen mit hohem Risiko – etwa durch Zugriff auf große Mengen personenbezogener Daten – ist eine DSFA nach Art. 35 DSGVO nicht nur gesetzlich vorgeschrieben, sondern auch praktisch notwendig. Sie hilft, Risiken frühzeitig zu erkennen und geeignete Schutzmaßnahmen abzuleiten.
Fazit
Verantwortliche sollten ihre internen Prozesse, Partnerbeziehungen und technischen Schutzmaßnahmen regelmäßig überprüfen und anpassen. Mit den richtigen Tools und einer klaren Datenschutzstrategie lassen sich Risiken minimieren und die Compliance stärken.