45 Millionen Euro: BfDI verhängt massive Geldbußen gegen Vodafone
Die BfDI hat gegen Vodafone eine Rekordstrafe in Höhe von insgesamt 45 Millionen Euro verhängt, da diese es als erwiesen ansieht, dass es durch für Partneragenturen tätige und im Auftrag des Unternehmens handelnde Mitarbeiter zu Betrugsfällen durch fingierte Verträge oder Vertragsänderungen zulasten von Kunden gekommen ist.
Zwei hohe Strafen und eine Verwarnung
Die durch die seit September des vergangenen Jahres das Amt der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) bekleidende Prof. Dr. Louisa Specht-Riemenschneider ausgesprochene Strafe setzt sich aus zwei separaten Verstößen zusammen: So habe die Vodafone GmbH die für sie tätigen Partneragenturen nicht in ausreichendem Maß datenschutzrechtlich überprüft und kontrolliert, wodurch diese unautorisierte Änderungen an Verträgen durchführen konnten. Dies stellt laut der BfDI einen Verstoß gegen Art. 28 Abs. 1 S. 1 der DSGVO dar, wofür nun eine Geldbuße in Höhe von 15 Millionen Euro verhängt wurde. Zudem soll das Unternehmen gegen Art. 32 Abs. 1 verstoßen haben, woraufhin es wegen identifizierter Schwachstellen in bestimmten Vertriebssystemen zusätzlich verwarnt wurde.
Die deutlich höhere Summe von 30 Millionen Euro resultiert aus festgestellten Sicherheitsmängeln beim Authentifizierungsverfahren bei gleichzeitiger Nutzung des Onlineportals „MeinVodafone“ und der Vodafone-Hotline. Durch die aufgedeckten Schwachstellen war es unter anderem möglich, dass unbefugte Dritte eSIM-Profile abrufen konnten.
Vodafone zeigte sich kooperativ
Laut der nun veröffentlichten Pressemitteilung der BfDI habe sich Vodafone während des gesamten Verfahrens durchgehend und uneingeschränkt kooperativ gezeigt. Das Unternehmen soll dabei auch Umstände offenbart haben, durch die es sich nach Ansicht der BfDI selbst belastet habe. Zukünftige Folgekontrollen sollen nun sicherstellen, dass die getroffenen Maßnahmen auch in der Praxis Wirkung entfalten.
Die BfDI weist zudem darauf hin, dass in vielen Branchen nach wie vor Investitionsstaus bei der Konsolidierung und Modernisierung von IT-Systemen bestehen und in puncto Sicherheit zu häufig gespart würde. Auch werde der Einsatz von Auftragsverarbeitern in der Praxis nicht immer angemessen überwacht. Vodafone habe in dem vorliegenden Fall jedoch eigene Projekte zur IT-Konsolidierung und -Modernisierung priorisiert und dadurch den Datenschutz gestärkt.
Verfahren abgeschlossen
Vodafone hat die bisher höchsten seit Inkrafttreten der Datenschutzgrundverordnung durch die BfDI verhängte Geldbußen akzeptiert und bereits vollständig an die Bundeskasse gezahlt, womit keine weiteren Rechtsmittel eingelegt werden. Das Unternehmen hat zudem seine internen Prozesse und Systeme verbessert und zum Teil vollständig ersetzt, um vergleichbare Vorfälle künftig ausschließen zu können. Auch im Hinblick auf Partneragenturen wurde gehandelt: Nach eigenen Angaben habe sich Vodafone von jenen getrennt, bei denen Betrugsfälle festgestellt worden seien. Zusätzlich habe das Unternehmen mehrere Millionen Euro an Organisationen gespendet, die sich unter anderem dem Datenschutz, der Förderung von Medienkompetenz sowie der Bekämpfung von Cybermobbing widmen.