Das höchste, bisher verhängte Bußgeld in Deutschland für Verstöße gegen die DSGVO betrug 35,3 Mio. Euro. Seit dem 03.06.2025 steht der Titel „höchstes Bußgeld“ der Vodafone GmbH (Vodafone) zu. Das Bußgeld in Höhe von 45 Mio. Euro, verhängt von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), setzt sich aus zwei Einzelbußgeldern zusammen. Diese wurden von Vodafone akzeptiert und bereits vollständig gezahlt (vgl. Pressemitteilung der BfDI).
Bußgeld Nr. 1: Überwachung von Auftragsverarbeitern
Die nicht ausreichende Überprüfung und Überwachung von Partneragenturen, die als Auftragsverarbeiter tätig wurden, wurde mit einem Bußgeld von 15 Mio. Euro geahndet.
Nach Art. 28 Abs. 1 S. 1 DSGVO muss vor und während der Einbindung von Auftragsverarbeitern durch den Verantwortlichen geprüft werden, dass die Auftragsverarbeiter „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen [der DSGVO] erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet [ist].“
In dem hierzu zu schließenden Vertrag zur Auftragsverarbeitung muss dementsprechend vereinbart (und während der Vertragslaufzeit umgesetzt) werden, „dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.“ (Art. 28 Abs. 3 S. 2 lit. h DSGVO)
Was ist zu tun?
Neben der Prüfung zu Vertragsbeginn sollte regelmäßig eine Überprüfung des Auftragsverarbeiters erfolgen. Wie und in welchen Abständen die Prüfung erfolgen soll, kann weder Art. 28 DSGVO noch § 62 BDSG entnommen werden. In der Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (DVO-KDG) findet sich in § 15 Abs. 5 zumindest eine Aussage, zu einem maximal zweijährigen Prüfungsrhythmus.
Inhaltlich kann auf Nachweise über die Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO) oder eines genehmigten Zertifizierungsverfahrens (Art. 42 DSGVO) verwiesen werden.
Liegen solche nicht vor, sollten als Mindeststandard die aktuellen technischen und organisatorischen Maßnahmen, ggf. aktuell eingebundene Unterauftragnehmer, Datenübermittlungen in Drittstaaten, die Kontaktdaten des benannten Datenschutzbeauftragten und zurückliegende Datenpannen bzw. Verfahren mit den datenschutzrechtlichen Aufsichtsbehörden abgefragt werden. Je nach konkreter Datenverarbeitung sind zusätzliche Informationen einzuholen und zu bewerten.
Bußgeld Nr. 2: Sicherheitsmängel beim Authentifizierungsprozess
Die weitere Geldbuße in Höhe von 30 Mio. Euro betraft Sicherheitsmängel beim Authentifizierungsprozess bei der kombinierten Nutzung des Onlineportals „MeinVodafone“ mit der Vodafone Hotline.
Die BfDI, Prof. Dr. Specht-Riemenschneider, hob hervor, „dass Vodafone während der Dauer des gesamten Verfahrens ununterbrochen und uneingeschränkt […] kooperiert und auch Umstände offengelegt hat, durch die sich das Unternehmen selbst belastet hat“ (siehe o. g. Pressemitteilung).
Fazit
Das Bußgeldverfahren macht deutlich, dass es nicht genügt, einen Vertrag zur Auftragsverarbeitung abzuschließen und es damit auf sich beruhen zu lassen. Vielmehr muss von den Verantwortlichen ein Prozess etabliert werden, damit die Auftragsverarbeiter und die Umsetzung der Dienstleistung regelmäßig auf den Prüfstand gestellt werden. Auftragsverarbeiter sollten über eine Zertifizierung ihrer Dienstleistung nachdenken, um auf eine Vielzahl an unterschiedlichen Prüfungsanfragen der verschiedenen Auftraggeber vorbereitet zu sein.