Plötzlich läuft ein Vertrag, den man nie abgeschlossen hat. Oder jemand anderes nutzt die eigene Handynummer. Wegen Datenschutz-Problemen musste Vodafone nun zahlen.
Wegen Datenschutzverstößen hat Vodafone zwei Geldbußen im Umfang von insgesamt 45 Millionen Euro zahlen müssen. Das teilte die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Louisa Specht-Riemenschneider, in Bonn mit. Es sei die höchste Geldbuße, die ihre Behörde je verhängt habe. Seit 2018 kann die Datenschutzbeauftragte solche Sanktionen beschließen.
Falsche Verträge und Zugriff auf Mobilfunk-Profile
Grund sind unlautere Geschäftspraktiken bei Mitarbeitern von Partneragenturen, die im Auftrag von Vodafone Verträge an Kunden vermittelten, wie die Behörde mitteilte. Diese hätten unter anderem falsche Verträge aufgesetzt, die die Betroffenen gar nicht abgeschlossen hatten. Vodafone muss 15 Millionen Euro zahlen, weil es seine Partner nicht ausreichend überwachte. Wegen Schwachstellen in bestimmten Vertriebssystemen hat die Datenschutzbeauftragte das Unternehmen zudem verwarnt.
Eine weitere Geldbuße von 30 Millionen Euro wurde fällig wegen Sicherheitsmängeln bei der kombinierten Nutzung des Onlineportals „MeinVodafone“ und der Hotline des Unternehmens. Durch Schwachstellen bei der Authentifizierung konnten Unbefugte auf elektronische SIM-Profile zugreifen und damit die Mobilfunk-Profile Betroffener übernehmen. Da die Handynummer für viele Dienste im Internet zur Verifizierung genutzt wird, öffnete dies ein Einfallstor für weiterreichende Betrügereien.
Vodafone vermutet Phishing und Hacking
Bei Vodafone vermutet man, dass Kunden-Passwörter ursprünglich über Phishing-Attacken in die falschen Hände gerieten, bei denen sich Kriminelle als Vodafone ausgaben und Passwörter abfragten – oder auch durch Hacking.
Ermittlungen bei Partnerunternehmen von Vodafone, unter anderem wegen fingierter Verträge, haben die Datenschützer nach eigenen Angaben schon 2021 aufgenommen. Mit den Problemen rund um elektronische SIM-Karten befassen sie sich seit 2022 und 2023.
Vodafone kooperierte mit Datenschutz-Behörde
Das Unternehmen hat die Geldbußen nach Angaben der Datenschutzbeauftragten akzeptiert und bereits komplett bezahlt. „Ich möchte hervorheben, dass Vodafone während der Dauer des gesamten Verfahrens ununterbrochen und uneingeschränkt mit mir kooperiert und auch Umstände offengelegt hat, durch die sich das Unternehmen selbst belastet hat“, sagte Specht-Riemenschneider.
Vodafone habe seine Prozesse und Systeme verbessert oder ersetzt, die Regeln für die Zusammenarbeit mit Partneragenturen überarbeitet und sich von Partnern getrennt, bei denen es Betrugsfälle gab. Die Behörde will die Wirksamkeit der Maßnahmen noch überprüfen.
Vodafone: Inzwischen höhere Sicherheitsstandards
Das Unternehmen selbst teilte mit, man bedaure, dass Kundinnen und Kunden in Mitleidenschaft gezogen wurden. Es habe grundlegende Änderungen gegeben. „Dazu zählen strengere Vorgaben, mehr Überwachungsmöglichkeiten für Partner und höhere Sicherheitsstandards, wie bei der Authentifizierung von Kundinnen und Kunden und im allgemeinen Umgang mit sensiblen Kundendaten.“
Vodafone spendete nach Angaben der Bundesbeauftragten zusätzlich mehrere Millionen Euro unter anderem an Organisationen, die sich für die Förderung des Datenschutzes einsetzen.
