Vodafone: Bundesdatenschutzbeauftragte verhängt Rekordbußgelder
Die Bundesdatenschutzbeauftragte hat gegen den Telekommunikationskonzern Vodafone wegen Verstößen gegen die Datenschutzgrundverordnung Rekordbußgelder verhängt.
(Bild: Filmbildfabrik/Shutterstock.com)
Wegen zwei unterschiedlicher Sachverhalte hat die Bundesbeauftragte für den Datenschutz und Informationsfreiheit (BfDI) Louisa Specht-Riemenschneider gegen Vodafone zwei Bußgelder in Höhe von 15 beziehungsweise 30 Millionen Euro verhängt. Damit handelt es sich um das bislang höchste seit Inkrafttreten der Datenschutzgrundverordnung durch die BfDI ausgesprochene Bußgeld. Das Unternehmen hat die Bescheide akzeptiert und bereits bezahlt.
Über Jahre hatte die Aufsichtsbehörde mit Sitz in Bonn gegen das Telekommunikationsunternehmen eine Untersuchung geführt. 2021 war den Mitarbeitern der für die Telekommunikation zuständigen Bundesdatenschutzaufsicht erstmals bekannt geworden, dass Kundendaten durch sogenannte Partneragenturen, also Vermittler, die für Vodafone Kunden gewinnen sollen und üblicherweise provisionsbasiert arbeiten, unzulässig genutzt wurden.
So sollen Kunden unter anderem durch unautorisierte Änderungen an Verträgen Schäden entstanden sein. Der Verstoß gegen die Regelungen der Datenschutzgrundverordnung wurde nun mit 15 Millionen Euro geahndet und ist unabhängig von anderen Verfahren durch Geschädigte, etwa wegen Betrugs.
Videos by heise
Das zweite Bußgeld basiert auf einem noch krasseren Fall: Vodafone hatte ein Self-Service-Portal betrieben, in dem eine Registrierung auch ohne Kundenbeziehung möglich war. Nach einer Registrierung dort konnten Betrüger mit einem leicht erratbaren Passwort beim Kundendienst unrechtmäßig eSIM-Karten regulärer Nutzer auf diese Konten registrieren, ohne sich als diese identifizieren zu müssen. Dieses Vorgehen ist insbesondere unter dem Aspekt der Nutzung von Mobilfunknummern für Drittdienste, etwa für Transaktionsbestätigungs-SMS, problematisch. Bis heute wird die SMS bei vielen Anbietern als Authentifizierungsmerkmal für eine legitime Transaktion genutzt.
"Datenschutzrecht ist nicht zahnlos"
Für die Bundesdatenschutzbeauftragte ist es das erste abgeschlossene Bußgeldverfahren. "Das Datenschutzrecht ist nicht zahnlos und wir treten heute hier den Gegenbeweis an", sagte Specht-Riemenschneider zu dem Bußgeldverfahren. "Bei Datenschutzrechtsverletzungen greifen wir durch – und zwar mit allen uns zur Verfügung stehenden Mitteln." Die Behörde sei jederzeit für Beratung bereit, und wenn ein Unternehmen bei der Aufklärung möglicher Datenschutzverstöße aktiv mitwirke, sei das zu begrüßen, so die vor einem Jahr vom Bundestag gewählte Bundesdatenschutzbeauftragte. Bislang ist ihre Behörde für Bundesbehörden und die Bereiche Post und Telekommunikation zuständig, derzeit wird von der schwarz-roten Koalition überlegt, der BfDI weitere Zuständigkeiten im Bereich der Aufsicht über die Wirtschaft zuzuweisen.
Im Fall von Vodafone kooperierte das Unternehmen laut Specht-Riemenschneider umfänglich – was auch bei der Bußgeldhöhe entsprechend der Vereinbarungen unter den europäischen Datenschutzaufsichtsbehörden für Bußgelder bemessen worden sei. Sie appellierte an die Unternehmen, den Datenschutz ernst zu nehmen. Sie wolle erreichen, dass es gar nicht erst zu einem Bußgeldbescheid kommen müsse.
Für den Telekommunikationsanbieter dürfte der wirtschaftliche Schaden, der dem Unternehmen entstanden ist, sowie mögliche noch kommende Schadenersatzforderungen von Kunden nach DSGVO das Bußgeld der BfDI potenziell übersteigen.
(mack)
