Thought Leadership
Der Mobilfunkriese Vodafone Deutschland muss eine saftige Strafe von 45 Millionen Euro zahlen. Die Bundesdatenschutzbeauftragte (BfDI) verhängte die Geldbuße aufgrund schwerwiegender Verstöße gegen die Datenschutz-Grundverordnung (DSGVO).
Die Gesamtstrafe setzt sich aus zwei separaten Bußgeldern zusammen, die unterschiedliche Sicherheitslücken im Vodafone-System betrafen. Der erste Fall kostete das Unternehmen 15 Millionen Euro, der zweite sogar 30 Millionen Euro.
Partner-Überwachung mangelhaft
Im ersten Verfahren stellte die BfDI fest, dass Vodafone seine Vertriebspartner unzureichend kontrollierte. Mitarbeiter von Partneragenturen nutzten diese Schwachstelle aus und täuschten Kunden mit fiktiven Verträgen oder nachteiligen Vertragsänderungen. Die fehlende Überwachung der Partner verstieß gegen die DSGVO-Vorgaben zur Kontrolle von Auftragsverarbeitern.
Schwachstelle im MeinVodafone-Portal
Der zweite, größere Verstoß betraf das MeinVodafone-Kundenportal. Sicherheitslücken im Authentifizierungsverfahren ermöglichten es Dritten, unberechtigt auf eSIM-Profile von Kunden zuzugreifen. Die Schwachstelle stand im Zusammenhang mit der Vodafone-Hotline und betraf damit einen zentralen Kundenservice-Bereich.
BfDI-Chefin lobt Kooperation
“Wo Datenschutzverstöße stattfinden, muss sanktioniert werden. Ich möchte mit meiner Arbeit aber auch erreichen, dass es gar nicht erst zu Datenschutzverstößen kommt. Unternehmen, die das Datenschutzrecht einhalten wollen, müssen dazu befähigt werden. Datenschutz ist Vertrauensfaktor für Nutzerinnen und Nutzer digitaler Angebote und kann daher zum Wettbewerbsvorteil werden. Das verstehen auch mehr und mehr Unternehmen”, kommentierte BfDI-Leiterin Louisa Specht-Riemenschneider die Entscheidung.
Gleichzeitig lobte sie Vodafones Kooperation während der Untersuchung: “Ich möchte hervorheben, dass Vodafone während der Dauer des gesamten Verfahrens ununterbrochen und uneingeschränkt mit mir kooperiert und auch Umstände offengelegt hat, durch die sich das Unternehmen selbst belastet hat. Die Geldbußen wurden akzeptiert und schon vollständig an die Bundeskasse gezahlt.
Vodafones Reaktion
Auf Anfrage bestätigte Vodafone Deutschland gegenüber SecurityWeek die Verstöße und verwies auf umfassende Verbesserungsmaßnahmen.
“Im ersten Fall führten unzureichende Datenschutzprüfungen seitens Vodafone zu Betrug durch böswillige Mitarbeiter von Partneragenturen. Ein Teil dieses Betrugs ging zu Lasten von Vodafone, ein Teil zu Lasten der Kunden”, erklärte ein Vodafone-Sprecher.
Zum zweiten Fall äußerte sich das Unternehmen so: “Die BfDI wies auf Authentifizierungsschwächen hin, die eSIM-Profile preisgaben. Zusätzlich kritisierte die Behörde die Sicherheit unserer IT-Systeme und die Zugriffsmöglichkeiten für Partner.”
Umfassende Systemüberholung eingeleitet
Vodafone versicherte, aus den Fehlern gelernt zu haben. “Vodafone hat seine Systeme und Prozesse analysiert und grundlegend überarbeitet. Dies umfasst strengere Richtlinien, mehr Überwachungsmöglichkeiten für Partner und höhere Sicherheitsstandards, etwa für die Kundenauthentifizierung und den generellen Umgang mit sensiblen Kundendaten”, so der Unternehmenssprecher.
Die hohe Strafe gegen Vodafone Deutschland sendet ein klares Signal an die Telekommunikationsbranche. Mit der konsequenten Durchsetzung der DSGVO-Bestimmungen zeigt die BfDI, dass auch Branchenriesen bei Datenschutzverstößen mit empfindlichen Strafen rechnen müssen.
