Der Mobilfunkanbieter Vodafone hat wegen Datenschutzverstößen zwei Geldbußen im Umfang von insgesamt 45 Millionen Euro zahlen müssen. Es sei die höchste Geldbuße, die ihre Behörde je verhängt habe, teilte die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Louisa Specht-Riemenschneider, in Bonn mit. Seit 2018 kann die Datenschutzbeauftragte solche Sanktionen beschließen.
Hintergrund sind unlautere Geschäftspraktiken bei Mitarbeitern von Partneragenturen, die im Auftrag von Vodafone Verträge an Kunden vermittelten, wie die Behörde mitteilte. Diese hätten böswillig gehandelt und unter anderem falsche Verträge aufgesetzt, die die Betroffenen gar nicht abgeschlossen hatten. Vodafone muss 15 Millionen Euro zahlen, weil es seine betrügerischen Partner nicht ausreichend überwachte. Wegen Schwachstellen in bestimmten Vertriebssystemen hat die Datenschutzbeauftragte das Unternehmen zudem verwarnt.
Bei Vodafone vermutet man, dass Kundenpasswörter ursprünglich über Phishingattacken in die falschen Hände gerieten, bei denen sich Kriminelle als Vodafone ausgaben und Passwörter abfragten – oder auch durch Hacking.
Das Unternehmen hat die Geldbußen nach Angaben der Datenschutzbeauftragten akzeptiert und bereits komplett bezahlt. »Ich möchte hervorheben, dass Vodafone während der Dauer des gesamten Verfahrens ununterbrochen und uneingeschränkt mit mir kooperiert und auch Umstände offengelegt hat, durch die sich das Unternehmen selbst belastet hat«, sagte Specht-Riemenschneider. Zugleich kritisierte sie: »Datenschutz wird häufig fälschlicherweise als Hindernis für IT-Investitionen angesehen. Dabei ist das Gegenteil der Fall: Ohne IT-Investitionen drohen Sicherheitsvorfälle und auch Sanktionen der Datenschutzaufsicht.«
Vodafone habe seine Prozesse und Systeme verbessert oder ersetzt, die Regeln für die Zusammenarbeit mit Partneragenturen überarbeitet und sich von Partnern getrennt, bei denen es Betrugsfälle gab. Die Behörde will die Wirksamkeit der Maßnahmen noch überprüfen.
Das Unternehmen selbst erklärte, man bedaure, dass Kundinnen und Kunden in Mitleidenschaft gezogen wurden. Es habe grundlegende Änderungen gegeben. »Dazu zählen strengere Vorgaben, mehr Überwachungsmöglichkeiten für Partner und höhere Sicherheitsstandards, wie bei der Authentifizierung von Kundinnen und Kunden und im allgemeinen Umgang mit sensiblen Kundendaten.«
