Vodafone muss wegen Datenschutz-Verstößen ein Bußgeld in Höhe von 45 Millionen Euro zahlen. Es ist das höchste Bußgeld, das je von einer deutschen Aufsichtsbehörde verhängt worden ist.
Der Inhalt im Überblick
1. Verstoß: Betrug in Handyshops
Verschiedene „Partneragenturen“, die für Vodafone auf Provisionsbasis Kunden gewinnen, haben deren Daten höchst rechtswidrig verarbeitet. Insbesondere manipulierten Handyshop-Mitarbeiter die Tarife. Die Kunden waren nach der Beratung davon ausgegangen, einen günstigeren Tarif abgeschlossen zu haben als der, der ihnen in Rechnung gestellt wurde.
15 Millionen Euro wurden dafür festgesetzt, dass Vodafone die erforderlichen Dienstleisterkontrollen unterlassen hatte. Zum Reputationsschaden von Vodafone kommen noch Schadensersatzforderungen von Kunden.
2. Verstoß: Schwachstellen bei der Authentifizierung
Vodafone vermutet, dass Kundenpasswörter durch Hacking erbeutet wurden, oder durch Phishing, etwa indem sich Kriminelle als Vodafone-Mitarbeiter ausgaben. Danach konnten sie mit einem Anruf bei der Hotline des Portals „MeinVodafone“ die eSIM Profile anderer Kunden übernehmen. Die Angreifer haben so die Kunden-Accounts gekapert und hätten so auch im Namen der betroffenen Kunden SMS empfangen können.
Das eröffnet die Möglichkeit für schwere Straftaten, denn die Angreifer hätten z.B. beim Online-Banking sich die Transaktionsnummer (TAN) per SMS zustellen lassen können, um Geld vom Konto der Betroffenen abzuheben. Konkrete Fälle sind allerdings nicht bekannt.
Dieser Verstoß und andere Mängel in der IT-Sicherheitsarchitektur wurden mit 30 Millionen Euro geahndet.
Bußgeld ist schon überwiesen
Wegen Sicherheitsmängeln bei der Authentifizierung hatte schon der Wettbewerber 1&1 Telecom GmbH vor gut 5 Jahren ein Bußgeld von 9,55 Millionen Euro kassiert. Das Unternehmen klagte, woraufhin das LG Bonn die Geldbuße deutlich reduzierte.
Vodafone hat einen anderen Weg gewählt, nämlich die Bescheide akzeptiert und bereits bezahlt. Außerdem spendete das Unternehmen einen unbekannten Millionenbetrag unter anderem an Organisationen, die sich für Förderung des Datenschutzes, der Medienkompetenz sowie die Bekämpfung von Cybermobbing einsetzen.
Datenschutzrecht zahnlos?
Die zuständige Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI), Frau Specht-Riemenschneider, sagte zu dem Verfahren:
„Das Datenschutzrecht ist also nicht zahnlos, wie es manchmal kritisiert wird. Da treten wir gern den Gegenbeweis an.“
Die Aufsichtsbehörden in Luxemburg, den Niederlanden und Frankreich zögern nicht, Bußgelder im dreistelligen Millionenbereich anzuordnen. Auf Grundlage eines Beschlusses des Europäischen Datenschutzausschusses wurden sogar 1,2 Milliarden Euro gegen Meta Platforms Ireland Limited (Facebook) festgesetzt.
Angesichts dieser Bußgelder und der schwerwiegenden Verstöße von Vodafone könnte man sich fragen, ob der Datenschutz ausgerechnet in Deutschland zahnlos ist. Bei der Bemessung des Bußgelds hat die Bundesbeauftragte aber berücksichtigt,
„dass Vodafone während der Dauer des gesamten Verfahrens ununterbrochen und uneingeschränkt mit mir kooperiert und auch Umstände offengelegt hat, durch die sich das Unternehmen selbst belastet hat.“
Ihre Behörde hatte wegen der Verstöße schon seit 2021 gegen das Telekommunikationsunternehmen eine Untersuchung geführt.
