45 Millionen Euro Bußgeld gegen Vodafone – Rekordstrafe

Ein Lehrstück über strukturelle Verantwortung im Datenschutz

Am 4. Juni 2025 veröffentlichte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) die Verhängung eines Bußgeldes in Höhe von insgesamt 45 Millionen Euro gegen die Vodafone GmbH. Es handelt sich um das höchste DSGVO-Bußgeld, das bisher von der deutschen Bundesbehörde ausgesprochen wurde – mit erheblicher Signalwirkung.

Die Sanktion ist nicht das Resultat eines einmaligen Vorfalls, sondern Ausdruck eines organisatorisch-systemischen Versagens, das über Jahre hinweg bestehen blieb. Dabei geht es nicht nur um technische Lücken oder unterlassene Dokumentation, sondern um eine grundlegende Missachtung der Kontrollpflichten aus Art. 28 und 32 DSGVO.

📎 Offizielle Quelle: BfDI-Pressemitteilung vom 04.06.2025

2. Sachverhalt – Was ist passiert?

2.1. Verstöße in der Auftragsverarbeitung

Vodafone nutzte zahlreiche externe Partneragenturen im Vertrieb und Kundenservice. In diesem Rahmen kam es laut BfDI zu:

  • Vertragsabschlüssen ohne Einwilligung der betroffenen Personen

  • Manipulationen von Tarifoptionen

  • Weitergabe personenbezogener Daten an Dritte ohne Rechtsgrundlage

Dabei fehlten effektive Kontrollmechanismen, um die rechtmäßige Datenverarbeitung durch die Partneragenturen sicherzustellen.

2.2. Sicherheitslücken im eSIM-Prozess

Neben organisatorischen Mängeln stellten sich technische Defizite heraus:
Insbesondere im eSIM-Bestellprozess über das „MeinVodafone“-Portal und die Hotline konnten unberechtigte Dritte auf Kundendaten zugreifen, da Authentifizierungsprozesse nicht ausreichend gegen Missbrauch abgesichert waren.

3. Verstöße

3.1. Art. 28 DSGVO – Pflicht zur Kontrolle von Auftragsverarbeitern

Der Verantwortliche ist nach Art. 28 Abs. 1 DSGVO verpflichtet, nur mit Auftragsverarbeitern zusammenzuarbeiten, die „hinreichende Garantien“ bieten. 

Diese Pflicht umfasst:

  • Vertragliche Bindung (AV-Vertrag)

  • Einweisung in datenschutzkonformes Handeln

  • Laufende Kontrolle & Evaluierung

Vodafone hatte zwar Verträge abgeschlossen, unterließ aber eine kontinuierliche Überprüfung, Auditierung und Risikobewertung der Agenturen – ein klarer Verstoß gegen die Norm.

3.2. Art. 32 DSGVO – Sicherheit der Verarbeitung

Im Hinblick auf die technischen Schwächen wurde ein Verstoß gegen Art. 32 festgestellt. Die Sicherheitsmaßnahmen waren nicht dem Risiko angemessen, insbesondere für hochsensible Telekommunikationsdaten. Es fehlten u. a.:

  • Mehrfaktor-Authentifizierung

  • konsistente Prozesse zwischen Hotline und Onlineportal

  • Schutz gegen Social Engineering

Diese Versäumnisse stellten ein erhebliches Risiko für die Rechte und Freiheiten der betroffenen Personen dar.

4. Bemessung des Bußgelds

Die BfDI nutzte den Ermessensrahmen aus Art. 83 DSGVO konsequent aus:

  • 15 Mio € für unzureichende Auftragsverarbeitungskontrolle

  • 30 Mio € für gravierende Sicherheitsmängel

5. Bedeutung für die Praxis

Dieser Fall ist kein Einzelfall – er ist ein Präzedenzfall. Er zeigt auf, dass Unternehmen heute mehr denn je gezwungen sind, den Datenschutz integriert, dokumentiert und wirksam kontrolliert umzusetzen.

6. Vier zentrale Learnings für Unternehmen

 1. Auftragsverarbeitung ist Chefsache
Verträge allein genügen nicht. Unternehmen müssen Auswahl, Steuerung und Kontrolle von Auftragsverarbeitern professionell aufsetzen: Prüfprozesse, Audits, Schulungen und Weisungsstrukturen gehören dazu.

2. IT-Sicherheit = Datenschutz
Schwachstellen in Authentifizierungsprozessen oder Systemarchitektur stellen klare Verstöße gegen Art. 32 DSGVO dar. Technische Maßnahmen müssen risikobasiert ausgewählt, regelmäßig überprüft und dokumentiert werden.

 3. Datenschutz als Reputationsfaktor
Datenschutzverstöße sind nicht nur Compliance-Vorfälle – sie schaden Markenwert und Kundenbindung. Wer personenbezogene Daten nicht schützt, verliert Vertrauen – intern wie extern.

 4. DSGVO ist ein kontinuierlicher Prozess
Datenschutz ist kein einmaliges Projekt mit Start- und Enddatum. Es ist ein strukturelles Element moderner Unternehmensführung, das regelmäßig überprüft und angepasst werden muss.

7. Fazit – Datenschutz als Führungsaufgabe

Der Fall Vodafone verdeutlicht: Datenschutz ist kein Randthema, sondern eine Pflicht der Unternehmensleitung im Sinne von Governance, Risk & Compliance (GRC). Er zeigt, wie wichtig es ist, datenschutzrechtliche Pflichten nicht nur zu kennen, sondern auch wirksam und nachweisbar umzusetzen.

Und er unterstreicht: Die DSGVO hat Zähne – und sie wird sie zeigen, wo systemische Versäumnisse bestehe

Autorin des Beitrags

Anahita Lotfi
▪️Juristin
▪️Externe Datenschutzbeauftragte
▪️Fachexpertin auf dem Gebiet der Cyberkriminalität und KI
▪️Unternehmensberaterin für StartUp & KMU
▪️Gründerin von LEXAL LAW \ CONSULTINGS

Lesen Sie auch