Wer morgens sein Smartphone entsperrt und feststellt, dass die SIM-Karte kein Netz mehr hat, ahnt zunächst einen Funkmastausfall. Was hinter solchen Ausfällen stecken kann, ist weit bedrohlicher: Ein Angreifer hat die eigene Mobilfunkidentität übernommen, empfängt nun alle SMS – einschließlich der TANs für das Onlinebanking. Genau dieses Szenario stand im Mittelpunkt des größten DSGVO-Bußgeldbescheids, den eine deutsche Datenschutzbehörde je erlassen hat.
Die Bundesbeauftragte für den Datenschutz verhängte am 3. Juni 2025 zwei Bußgelder gegen die Vodafone GmbH in Höhe von zusammen 45 Millionen Euro. Die Bescheide sind bestandskräftig; Vodafone hat beide akzeptiert und den Betrag bereits vollständig an die Bundeskasse gezahlt. Das vorherige Rekordbußgeld einer deutschen Aufsichtsbehörde hatte bei 35,3 Millionen Euro gelegen.
Zwei Verstöße, zwei Bescheide
Die BfDI trennte in ihrer Entscheidung sauber zwischen zwei rechtlich eigenständigen Vorwürfen, die jeweils unterschiedliche Normen der DSGVO betreffen.
Der erste Bescheid über 15 Millionen Euro betrifft das Verhältnis von Vodafone zu seinen externen Vertriebsagenturen. Diese Agenturen vermittelten im Auftrag von Vodafone Mobilfunkverträge an Endkunden – und handelten damit als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Die BfDI stellte fest, dass es durch böswillig handelnde Mitarbeitende in diesen Partneragenturen zu fingierten Vertragsabschlüssen und unautorisierten Vertragsänderungen zulasten von Kunden gekommen war. Der eigentliche Verstoß lag jedoch nicht im Fehlverhalten der Agenturen selbst, sondern darin, dass Vodafone als Verantwortlicher seiner Pflicht nach Art. 28 Abs. 1 S. 1 DSGVO nicht nachgekommen war: ausreichende datenschutzrechtliche Überprüfung und laufende Überwachung der Dienstleister. Zusätzlich sprach die BfDI eine förmliche Verwarnung wegen Schwachstellen in bestimmten Vertriebssystemen aus, die ebenfalls Art. 32 Abs. 1 DSGVO verletzten.
Der zweite und schwerere Bescheid über 30 Millionen Euro richtet sich gegen Sicherheitsmängel im Authentifizierungsverfahren. Konkret ermöglichte das Zusammenspiel des Onlineportals „MeinVodafone“ mit der Vodafone-Hotline unbefugten Dritten, eSIM-Profile regulärer Kunden zu übernehmen. Angreifer konnten dabei – vermutlich nach vorangegangenem Phishing oder Passwortdiebstahl – mit einem Hotline-Anruf eine Rufnummernmitnahme auf eine eigene eSIM erwirken und so die vollständige Mobilfunkidentität des Opfers kapern.
Der eSIM-Angriff und seine Konsequenzen
Ein eSIM-Profil ist keine physische SIM-Karte mehr, sondern ein im Gerät fest verbauter Chip, der per Fernprovisionierung aktiviert wird. Wer dieses Profil übernimmt, kontrolliert die dazugehörige Telefonnummer vollständig – und damit jeden Dienst, der SMS-basierte Zwei-Faktor-Authentifizierung nutzt. Onlinebanking, E-Mail-Konten, soziale Netzwerke: Sie alle sind potentiell exponiert, sobald ein Angreifer die Nummer kontrolliert.
Das Tückische an der Vodafone-Schwachstelle war die Kombination zweier Kanäle: Das Onlineportal erlaubte nach erfolgter Anmeldung weitgehende Kontooperationen, die Hotline führte Identifikationsschritte mit vergleichsweise geringen Anforderungen durch. Wer über gestohlene Zugangsdaten ins Portal eingestiegen war oder die Hotline-Mitarbeiter zu täuschen wusste, konnte eSIM-Profile neu provisionieren lassen – ohne dass ein Sicherheitsmechanismus dies zuverlässig verhindert hätte. Die BfDI qualifizierte dies als Verstoß gegen Art. 32 Abs. 1 DSGVO, der von Verantwortlichen verlangt, unter Berücksichtigung des Stands der Technik und des Risikopotenzials geeignete technische und organisatorische Maßnahmen (TOMs) zu treffen, um Vertraulichkeit und Integrität personenbezogener Daten zu gewährleisten.
Was Art. 28 DSGVO tatsächlich verlangt
Die juristische Kernfrage des ersten Bescheids ist, was „ausreichende Überprüfung und Überwachung“ im Sinne des Art. 28 Abs. 1 DSGVO konkret bedeutet. In der Praxis wird diese Norm häufig auf das Abschließen eines Auftragsverarbeitungsvertrags reduziert – und dann zu den Akten gelegt. Das ist rechtlich unzureichend. Neben der sorgfältigen Auswahl des Dienstleisters besteht eine fortlaufende Kontrollpflicht, die nicht mit Vertragsabschluss endet. Art. 28 Abs. 3 lit. h DSGVO setzt voraus, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Compliance bereitstellt und Überprüfungen und Inspektionen duldet und unterstützt.
Für Vodafone bedeutete dies, dass der bloße Abschluss von Partneragenturverträgen ohne echte Auditierung und Monitoring der konkreten Vertriebsprozesse nicht genügte. Dass die betrügerischen Handlungen über einen längeren Zeitraum unentdeckt blieben, ist das präzise Indiz für das Kontrolldefizit, das die BfDI sanktioniert hat. Rechtsprechung und Aufsichtspraxis haben in den vergangenen Jahren konsequent klargestellt, dass der Verantwortliche für seinen Auftragsverarbeiter nicht nur vertraglich haftet, sondern auch im Hinblick auf Art. 82 DSGVO zum Schadensersatz verpflichtet sein kann, wenn er die Überwachungspflicht verletzt.
Kooperation als Strafmilderungsgrund
Was das Vodafone-Verfahren in der Bußgeldpraxis bemerkenswert macht, ist die explizite Würdigung der Kooperationsbereitschaft durch die BfDI. Specht-Riemenschneider hob ausdrücklich hervor, dass Vodafone während des gesamten Verfahrens „ununterbrochen und uneingeschränkt“ mit der Behörde kooperiert und sogar selbstbelastende Umstände offengelegt habe. In der DSGVO-Bußgelddogmatik ist dies ein anerkannter Milderungsgrund nach Art. 83 Abs. 2 lit. f DSGVO. Dass dieser Umstand explizit benannt wird, ist ein deutliches Signal, das auch die Höhe der Bescheide beeinflusst haben dürfte – der theoretische Bußgeldrahmen für Verstöße nach Art. 83 Abs. 4 und 5 DSGVO ist bei einem Unternehmen der Vodafone-Größe erheblich höher.
Vodafone hat seinerseits unmittelbar nach Abschluss des Verfahrens reagiert: Vertriebssysteme wurden modernisiert oder vollständig ersetzt, die Auswahl- und Auditierungsprozesse für Partneragenturen verschärft, Compliance- und Datenschutzbereiche gestärkt. Das Unternehmen spendete darüber hinaus mehrere Millionen Euro an Organisationen, die sich für Datenschutz, Medienkompetenz und die Bekämpfung von Cybermobbing einsetzen – ein Schritt, der sicherlich auch kommunikationsstrategische Gründe hatte, den die BfDI aber als Bekenntnis zur Datenschutzbedeutung wertete.
Die Botschaft hinter dem DSGVO-Rekordbussgeld
Für die Bußgeldpraxis ist dieses Verfahren aus mehreren Gründen bedeutsam. Erstens zeigt es, dass die BfDI als Bundesbehörde bereit ist, auch gegenüber Konzernen der Telekommunikationsbranche substanzielle Sanktionen zu verhängen – und dies unmissverständlich als Warnsignal formuliert: „Investieren statt Riskieren“, so das wörtliche Zitat der Behördenleiterin. Zweitens verdeutlicht der Fall strukturell, wie eng Auftragsverarbeitungskontrolle und technische Sicherheitsmaßnahmen zusammenhängen: Beide Defizite entstanden nicht aus Bösartigkeit, sondern aus Investitionsstau und fehlender Governance. Drittens – und das ist für jedes Unternehmen mit externen Dienstleistern relevant – zeigt Art. 28 DSGVO nun einmal mehr seine Bissschärfe. Wer Dritte in seine Datenverarbeitung einbindet und die tatsächliche Compliance nicht fortlaufend kontrolliert, trägt das Risiko.
Wer als Verantwortlicher externe Auftragsverarbeiter einsetzt oder Kundenportale mit Hotline-Authentifizierung betreibt, sollte beides zum Anlass nehmen, bestehende Kontrollprozesse und Authentifizierungskonzepte kritisch zu überprüfen — bevor die Aufsichtsbehörde dies anstelle der eigenen Compliance-Abteilung übernimmt.
Im IT-Recht berät er mit Spezialisierung auf Softwarerecht samt KI, IT-Vertragsrecht, IT-Arbeitsrecht und Cybersicherheit, regelmäßig unter Einbeziehung urheberrechtlicher Fragestellungen. Seine besondere Stärke liegt in der Verbindung juristischer und technischer Expertise als praktizierender Softwareentwickler.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter sowohl für Wirtschaftsstrafrecht als auch IT-Compliance und doziet speziell zu KI-Kompetenz und strategischem Denken an der FH Aachen; er ist fortgebildet in Kommunikationspsychologie und publiziert regelmäßig in Fachaufsätzen zu straf- und IT-rechtlichen Themen sowie im Rahmen strafprozessualer Kommentierung in Ferner/BeckOK StPO (zum IT-Strafprozessrecht und digitalen Beweismitteln).
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.