[datensicherheit.de, 03.06.2025] Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat am 3. Juni 2025 gemeldet, dass sie Geldbußen gegen Vodafone verhängt hat: Demnach hat die BfDI, Prof. Dr. Louisa Specht-Riemenschneider, der Vodafone GmbH zwei Geldbußen in einer Gesamthöhe von 45 Millionen Euro auferlegt. Durch böswillig handelnde Mitarbeiter in Partneragenturen, die im Auftrag von Vodafone Verträge an Kunden vermittelten, sei es unter anderem zu Betrugsfällen durch fingierte Verträge oder Vertragsänderungen zulasten von Kunden gekommen.

Vodafone-Partneragenturen nicht im ausreichenden Umfang datenschutzrechtlich überprüft …

Eine Geldbuße in Höhe von 15 Millionen Euro sei ergangen, „weil die Vodafone GmbH für sie tätige Partneragenturen nicht im ausreichenden Umfang datenschutzrechtlich überprüft und überwacht hatte (Art. 28 Abs. 1 S. 1 DSGVO)“. Darüber hinaus hat die BfDI Vodafone aufgrund eines Verstoßes gegen Art. 32 Abs. 1 DSGVO wegen „festgestellter Schwachstellen in bestimmten Vertriebssystemen“ verwarnt.

Eine weitere Geldbuße in Höhe von 30 Millionen Euro sei wegen Sicherheitsmängeln beim Authentifizierungsprozess bei der kombinierten Nutzung des Onlineportals „MeinVodafone“ mit der Vodafone-Hotline verhängt worden. Die aufgedeckten Schwachstellen der Authentifizierung hätten unter anderem den Abruf von eSIM-Profilen durch unbefugte Dritte ermöglicht.

Vodafone hat Geldbußen akzeptiert und vollständig an Bundeskasse gezahlt

Die Vodafone GmbH habe ihre Prozesse und Systeme inzwischen verbessert und teilweise sogar vollständig ersetzt, um solche Gefahren künftig auszuschließen. Außerdem habe sie die Prozesse zur Auswahl und Auditierung von Partneragenturen überarbeitet – „und sich von Partnern getrennt, bei denen Betrugsfälle festgestellt wurden“. Die BfDI werde die praktische Wirksamkeit der von Vodafone ergriffenen Maßnahmen in einer Folgekontrolle überprüfen.

„Ich möchte hervorheben, dass Vodafone während der Dauer des gesamten Verfahrens ununterbrochen und uneingeschränkt mit mir kooperiert und auch Umstände offengelegt hat, durch die sich das Unternehmen selbst belastet hat“, unterstreicht Specht-Riemenschneider. Die Geldbußen seien akzeptiert und schon vollständig an die Bundeskasse gezahlt worden.

In vielen Branchen Investitionsstau bei Modernisierung und Konsolidierung der IT

Die Erfahrungen der Datenschutzbehörden zeigten, dass bei Unternehmen in vielen Branchen ein Investitionsstau bei der Modernisierung und Konsolidierung von IT-Systemen bestehe. Bei der Sicherheit werde daher teilweise gespart. Auch der Einsatz von Auftragsverarbeitern werde in der Praxis häufig nicht ausreichend kontrolliert. Neue technische Möglichkeiten und komplexere Bedrohungsszenarien führten zu erhöhten Risiken für Kunden, denen durch fehlenden Datenschutz Schäden entstehen könnten.

Datenschutz werde häufig fälschlicherweise als Hindernis für IT-Investitionen angesehen. Dabei sei das Gegenteil der Fall: Ohne IT-Investitionen drohten Sicherheitsvorfälle und auch Sanktionen der Datenschutzaufsicht. „Daher mein Aufruf: Investieren statt Riskieren!“

Vodafone hat sich zu starkem Datenschutz und digitalen Grundrechten bekannt

Im Falle der Vodafone GmbH habe das Unternehmen umgesteuert und Projekte der IT-Konsolidierung sowie -Modernisierung priorisiert, die Bereiche „Compliance“ und Datenschutz seien gestärkt worden. „So hat sich Vodafone zu einem starken Datenschutz und digitalen Grundrechten bekannt und sieht sie als Grundlage für das Vertrauen der Kunden.“

Als Bekenntnis zur Bedeutung des Datenschutzes habe die Vodafone GmbH zudem eine Gesamtsumme in Höhe von mehreren Millionen Euro an unterschiedliche Organisationen gespendet, „die sich für die Förderung des Datenschutzes, der Medienkompetenz und ,Digital Literacy’ sowie die Bekämpfung von Cybermobbing einsetzen“.

Specht-Riemenschneider möchte Datenschutzverstöße verhindern helfen

Specht-Riemenschneider abschließend: „Wo Datenschutzverstöße stattfinden, muss sanktioniert werden! Ich möchte mit meiner Arbeit aber auch erreichen, dass es gar nicht erst zu Datenschutzverstößen kommt.“

Unternehmen, die das Datenschutzrecht einhalten wollen, müssten dazu befähigt werden. Datenschutz sei Vertrauensfaktor für Nutzer digitaler Angebote und könne daher zum Wettbewerbsvorteil werden. „Das verstehen auch mehr und mehr Unternehmen.“

Weitere Informationen zum Thema:

verbraucherzentrale Hamburg, 26.08.2024
Probleme mit Festnetz, Handy oder Internet / Immer wieder untergeschobene Verträge von Vodafone

datensicherheit.de, 18.05.2025
BfDI erläutert ihre Position zum Datenschutz in der Digitalen Ära / Prof. Dr. Louisa Specht-Riemenschneider hat am 13. Mai 2025 beim „26. Datenschutzkongress“ in Berlin eine Keynote gehalten

datensicherheit.de, 10.04.2025
BfDI-Stellungnahme zum Koalitionsvertrag: Bereitschaft zur Bündelung der datenschutzrechtlichen Aufsicht / CDU/CSU und SPD streben laut Entwurf ihres Koalitionsvertrages an, die datenschutzrechtliche Aufsicht über die private Wirtschaft bei der BfDI zu bündeln

[datensicherheit.de, 24.09.2021] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) meldet, dass die Vattenfall Europe Sales GmbH zwischen August 2018 und Dezember 2019 bei Vertragsanfragen für Sonderverträge, welche mit besonderen Bonuszahlungen verbunden gewesen seien, routinemäßig überprüft habe, ob die Kunden ein „wechselauffälliges Verhalten“ gezeigt hätten. Diese Überprüfung habe verhindern sollen, dass die Kunden solche Bonus-Verträge nicht so regelmäßig abschließen, „dass sich dieses Angebot zur Neukundenwerbung für das Unternehmen nicht mehr rentiert“. Um dies zu überprüfen, habe Vattenfall Rechnungen aus früheren Vertragsbeziehungen mit diesen Kunden genutzt, welche nach steuer- und handelsrechtlichen Vorgaben ohnehin für bis zu zehn Jahre aufbewahrt werden müssten. Für die Kunden sei nicht erkennbar gewesen, dass ein solcher Datenabgleich stattgefunden habe.

Vattenfall verstieß lt. HmbBfDI gegen datenschutzrechtliche Transparenzpflichten

Der HmbBfDI kam nach einer Prüfung des Vorgangs nach eigenen Angaben „zu dem Ergebnis, dass Vattenfall durch dieses Vorgehen gegen die datenschutzrechtlichen Transparenzpflichten (Art. 12, 13 DSGVO) verstieß, da die Kundinnen und Kunden über den Datenabgleich nicht ausreichend informiert wurden“.
Betroffen gewesen seien insgesamt rund 500.000 Personen. Der HmbBfDI habe daraufhin gegen Vattenfall ein Bußgeld von 901.388,84 Euro verhängt. Die festgestellte Rechtswidrigkeit beziehe sich nicht auf den Datenabgleich an sich, sondern sei auf die nicht ausreichend erfüllten Transparenzpflichten beschränkt. „Der Bescheid ist rechtskräftig.“

HmbBfDI hat mit Vattenfall neues Verfahren abgestimmt

Das verhängte Bußgeld berühre nicht die weitergehende Frage, ob ein solcher Abgleich überhaupt zulässig ist. Dies sei in der DSGVO nicht ausdrücklich geregelt; es existierten insoweit keine eindeutigen rechtlichen Vorgaben. Der HmbBfDI habe mit Vattenfall ein Verfahren abgestimmt, welches nach seiner Auffassung sowohl die Datenschutzrechte der Kunden als auch die wirtschaftlichen Belange des Unternehmens berücksichtige.
Sowohl erstmalig an einem Vertragsschluss mit Vattenfall Interessierte als auch Bestandskunden würden transparent und verständlich über den Datenabgleich und dessen Zweck informiert. Verbraucher könnten künftig informiert entscheiden, ob sie einen rabattierten Bonusvertrag abschließen möchten, „der die interne Überprüfung ihres Status als Neukunde beinhaltet oder einen nicht rabattierten Vertrag ohne einen solchen Abgleich“.

Rund 500.000 Fälle betroffen – Bußgeld gegen Vattenfall angezeigt

„Wir halten das nun praktizierte Verfahren für einen angemessenen Ausgleich aller betroffenen Interessen. Die in der Vergangenheit erfolgten Abgleiche wurden sanktioniert, weil Transparenzpflichten verletzt wurden, indem die Kundinnen und Kunden unter Missachtung der Vorgaben von Art. 12, 13 DSGVO über den praktizierten Datenabgleich im Unklaren gelassen wurden“, erläutert Ulrich Kühn, der amtierende HmbBfDI. Da dies rund 500.000 Fälle betroffen habe, sei die Verhängung eines Bußgelds angezeigt gewesen.
Vattenfall habe in diesem Verfahren umfassend mit dem HmbBfDI kooperiert und den intransparenten Datenabgleich unmittelbar nach dem ersten Tätigwerden des HmbBfDI gestoppt. Deswegen sei das Bußgeld deutlich zu reduzieren gewesen. Die dennoch verhängte Höhe sollte allen Unternehmen demnach eine Warnung sein, die gesetzlichen Transparenzpflichten zu vernachlässigen. Kühn betont: „Insbesondere bei einer Vielzahl von Betroffenen sind wie in dem vorliegenden Fall hohe Bußgelder klar angezeigt.“

[datensicherheit.de, 08.06.2012] Das Hasso-Plattner-Institut (HPI) in Potsdam hat mitgeteilt, daß der mit der SCHUFA Holding AG bestehenden Vertrag über eine Zusammenarbeit bei der Grundlagenforschung rund um technische Verarbeitung öffentlicher Web-Daten heute gekündigt wurde. Angesichts mancher Missverständnisse in der Öffentlichkeit über den vereinbarten Forschungsansatz und darauf aufbauender Reaktionen könne ein solches wissenschaftliches Projekt nicht unbelastet und mit der nötigen Ruhe durchgeführt werden, erklärte HPI-Direktor Christoph Meinel.
Das Hasso-Plattner-Institut für Softwaresystemtechnik GmbH in Potsdam ist Deutschlands universitäres Exzellenz-Zentrum für IT-Systems Engineering. Es betreibt unter Anderem auch eine Research School mit Forschungsaußenstellen in Kapstadt, Haifa und Nanjing. Im Mittelpunkt der HPI-Lehre und -Forschung stehen die Grundlagen und Anwendungen großer, hoch komplexer und vernetzter IT-Systeme, wie z.B. das World Wide Web. Einer der Forschungsschwerpunkte dort ist die semantische Erschließung und die sichere Verarbeitung von Daten. Das HPI kommt bei den CHE-Hochschulrankings stets auf Spitzenplätze