Skip to content

BfDI:Geldbußen in Höhe von insgesamt 45 Millionen EURO gegen Vodafone - Verstöße gegen Art. 28 und Art. 32 DGSVO

Die BfDI hat Geldbußen in Höhe von insgesamt 45 Millionen EURO gegen Vodafone verhängt. Es ging um Verstöße gegen Art. 28 und Art. 32 DGSVO.

Die Pressemitteilung der BfDI:
BfDI verhängt Geldbußen gegen Vodafone

Die BfDI, Prof. Dr. Louisa Specht-Riemenschneider, hat der Vodafone GmbH zwei Geldbußen in einer Gesamthöhe von 45 Millionen Euro auferlegt. Durch böswillig handelnde Mitarbeitende in Partneragenturen, die im Auftrag von Vodafone Verträge an Kunden vermitteln, war es unter anderem zu Betrugsfällen durch fingierte Verträge oder Vertragsänderungen zulasten von Kunden gekommen.

Eine Geldbuße in Höhe von 15 Millionen Euro erging, weil die Vodafone GmbH für sie tätige Partneragenturen nicht im ausreichenden Umfang datenschutzrechtlich überprüft und überwacht hatte (Art. 28 Abs. 1 S. 1 DSGVO).

Darüber hinaus hat die BfDI Vodafone aufgrund eines Verstoßes gegen Art. 32 Abs. 1 DSGVO wegen festgestellter Schwachstellen in bestimmten Vertriebssystemen verwarnt.

Eine weitere Geldbuße in Höhe von 30 Millionen Euro wurde wegen Sicherheitsmängeln beim Authentifizierungsprozess bei der kombinierten Nutzung des Onlineportals „MeinVodafone“ mit der Vodafone Hotline verhangen. Die aufgedeckten Schwachstellen der Authentifizierung ermöglichten unter anderem den Abruf von eSIM-Profilen durch unbefugte Dritte.

Die Vodafone GmbH hat ihre Prozesse und Systeme inzwischen verbessert und teilweise sogar vollständig ersetzt, um solche Gefahren künftig auszuschließen. Außerdem hat sie die Prozesse zur Auswahl und Auditierung von Partneragenturen überarbeitet und sich von Partnern getrennt, bei denen Betrugsfälle festgestellt wurden. Die BfDI wird die praktische Wirksamkeit der von Vodafone ergriffenen Maßnahmen in einer Folgekontrolle überprüfen.

Ich möchte hervorherben, dass Vodafone während der Dauer des gesamten Verfahrens ununterbrochen und uneingeschränkt mit mir kooperiert und auch Umstände offengelegt hat, durch die sich das Unternehmen selbst belastet hat, betont Specht-Riemenschneider. Die Geldbußen wurden akzeptiert und schon vollständig an die Bundeskasse gezahlt.

Die Erfahrungen der Datenschutzbehörden zeigen, dass bei Unternehmen in vielen Branchen ein Investitionsstau bei der Modernisierung und Konsolidierung von IT-Systemen besteht. Bei der Sicherheit wird daher teilweise gespart. Auch der Einsatz von Auftragsverarbeitern wird in der Praxis häufig nicht ausreichend kontrolliert. Neue technische Möglichkeiten und komplexere Bedrohungsszenarien führen zu erhöhten Risiken für Kunden, denen durch fehlenden Datenschutz Schäden entstehen können.

Im Falle der Vodafone GmbH hat das Unternehmen umgesteuert und Projekte der IT-Konsolidierung sowie -Modernisierung priorisiert, die Bereiche Compliance und Datenschutz wurden gestärkt. So hat sich Vodafone zu einem starken Datenschutz und digitalen Grundrechten bekannt und sieht sie als Grundlage für das Vertrauen der Kunden. Als Bekenntnis zur Bedeutung des Datenschutzes hat die Vodafone GmbH zudem eine Gesamtsumme in Höhe von mehreren Millionen Euro an unterschiedliche Organisationen gespendet, die sich für die Förderung des Datenschutzes, der Medienkompetenz und Digital Literacy sowie die Bekämpfung von Cybermobbing einsetzen.

Specht-Riemenschneider abschließend: Wo Datenschutzverstöße stattfinden, muss sanktioniert werden. Ich möchte mit meiner Arbeit aber auch erreichen, dass es gar nicht erst zu Datenschutzverstößen kommt. Unternehmen, die das Datenschutzrecht einhalten wollen, müssen dazu befähigt werden. Datenschutz ist Vertrauensfaktor für Nutzerinnen und Nutzer digitaler Angebote und kann daher zum Wettbewerbsvorteil werden. Das verstehen auch mehr und mehr Unternehmen.

AG Bochum: Schadensersatz wegen Verstoßes gegen Art. 32 DSGVO durch Versendung unverschlüsselter E-Mail nur wenn tatsächlich Schaden entstanden ist und schlüssig dargelegt wird

AG Bochum
Beschluss vom 11.03.2019
65 C 485/18


Das AG Bochum hat im Rahmen eines Prozesskostenhilfeverfahrens entschieden, dass ein Anspruch auf Schadensersatz wegen eines Verstoßes gegen Art. 32 DSGVO durch Versendung unverschlüsselter E-Mails nur dann im Betracht kommt, wenn ein konkreter Schaden entstanden ist und dieser schlüssig dargelegt wird.

Aus den Entscheidungsgründen:

Prozesskostenhilfe konnte nicht bewilligt werden, da die beabsichtigte Rechtsverfolgung keine hinreichende Aussicht auf Erfolg bietet.

Die Antragsgegnerin ist mit Beschluss des Amtsgerichts Recklinghausen vom 16.05.2018 als Berufsbetreuerin zur Betreuerin des Antragstellers bestellt worden. Die Aufgabenkreise umfassten Vermögensangelegenheiten, Wohnungsangelegenheiten und Vertretung gegenüber Behörden und Sozialversicherungsträgern. Die Betreuerin vertrat den Betreuten im Rahmen ihres Aufgabenkreises gerichtlich und außergerichtlich. Die Bestellungsurkunde diente als Ausweis. Seit Juni 2018 ist die Betreuung aufgehoben.

Nach dem Vortrag des Antragstellers soll die Antragsgegnerin Daten und Informationen bezüglich des Antragstellers an dessen Vermieter und an weitere Stellen herausgegeben haben. Weder welche konkreten Daten und Informationen wann genau herausgegeben worden sein sollen noch an welche weiteren Stellen die Herausgabe erfolgte, ist von dem Antragsteller substantiiert dargelegt. Da die Betreuung auch den Aufgabenkreis der Wohnungsangelegenheiten umfasste, gehört die Offenlegung der Betreuung unter Vorlage der Bestellungsurkunde wie auch die Erörterung der Einkommens- und Vermögensverhältnisse bezogen auf die mietvertraglichen Pflichten zur Erfüllung der rechtlichen Verpflichtungen des Antragsgegnerin aus der Betreuung und ist damit auch ohne Einwilligung des Antragstellers nach Art. 6 DSGVO rechtmäßig. Dies gilt naturgemäß auch für die Mitteilung der Beendigung der Betreuung, wenn die Antragsgegnerin noch seitens des Vermieters in mietrechtlichen Angelegenheiten angesprochen wird. Eine darüber hinausgehende Übermittlung personenbezogener Daten durch die Antragsgegnerin ist nicht dargelegt. Ein Verstoß gegen Datenschutzregeln oder die Schweigepflicht ergibt sich aus dem Vorbringen des Antragstellers nicht.

Die Übersendung der Bestellungsurkunde an den jetzigen Prozessbevollmächtigten des Antragstellers am 30.05.2018 an sich ist aus den dargelegten Gründen ebenfalls rechtmäßig. Die Versendung als unverschlüsselte Email mag gegen Art. 32 DSGVO verstoßen. Dass aufgrund der Wahl eines ungesicherten Übertragungsweges persönliche Daten und Informationen bez. des Antragstellers unbefugten Dritten tatsächlich bekannt geworden sind, ist weder dargelegt noch ersichtlich. Damit ergibt sich aber auch nicht, dass dem Antragsteller wegen eines eventuell gegebenen Verstoßes ein irgendwie gearteter materieller oder immaterieller Schaden entstanden ist.

Ein Anspruch aus Art. 82 DSGVO ist im Ergebnis nicht schlüssig dargelegt und die Rechtsverfolgung bietet keine hinreichende Aussicht auf Erfolg.



Den Volltext der Entscheidung finden Sie hier: