Veröffentlicht am von dmhuebsch-2018

350.000 EUR Bußgeld: Auftragsverarbeiter nicht geprüft

Meine Kunden kennen das schon. Wenn es um Arbeiten wie die Aktualisierung von Verarbeitungsverzeichnissen oder um die Prüfung der Auftragsverarbeitungsverträge geht, kann ich eine kleine Nervensäge sein. Anlass genug für mich, einmal ein recht aktuelles Bußgeldverfahren aus der Tasche zu ziehen und hier zu präsentieren: Die griechische Datenschutzaufsichtsbehörde Hellenic Data Protection Authority (HDPA) hat im Juni 2025 gegen Vodafone Griechenland ein Bußgeld in Höhe von 350.000 EUR verhängt. Der Telekommunikationsriese hatte nämlich seinen Auftragsverarbeiter nicht ausreichend geprüft und überwacht.

Der Fall im kurzen Überblick

Eine Vodafone-Kundin stellte fest, dass auf ihren Namen 15 Prepaid-SIM-Karten aktiviert wurden. Das geschah ohne ihr Wissen, mit gefälschten Unterschriften und missbräuchlich genutzten Ausweisdaten. Verantwortlich für diese Vorgänge war die DS-Phone, ein Vodafone-Franchise-Partner, der als Auftragsverarbeiter tätig war.

Die Kundin selber geriet durch diese Aktion mehrfach ins Visier der Strafverfolgungsbehörden. So musste sie als Verdächtige aussagen, weil die illegal aktivierten SIM-Karten für Betrugsversuche verwendet wurden.

Vodafone meldete den Vorfall zwar als Datenschutzrechtsverletzung nach Art. 33 DSGVO, konnte sich damit jedoch nicht von der eigenen Verantwortung entbinden.

Deutliche Kritik der Behörde

Die HDPA stellte fest:

    • Keine ausreichende Kontrolle des Auftragsverarbeiters durch Vodafone
    • Fehlerhafte Identifizierung bei der SIM-Karten-Aktivierung
    • Unzureichende technische und organisatorische Maßnahmen (Art. 24, 32 DSGVO)
    • Fehlende oder verspätete vertragliche Absicherung mittels Auftragsverarbeitungsvertrag AVV (Art. 28 DSGVO)

Kurz: Vodafone hat sich zu sehr auf seinen Partner verlassen und bekam nun die Quittung dafür.

Warum das für Ihr Unternehmen wichtig ist

Ein AVV allein reicht nicht. Verantwortliche müssen nachweisen können, dass sie ihren Auftragsverarbeiter sorgfältig ausgewählt, vertraglich gebunden und regelmäßig kontrolliert haben.

Leider beobachte ich in meiner Praxis als Datenschutzbeauftragte immer wieder –

    • AVV werden erst nachträglich unterschrieben, manchmal Jahre nach Beginn der Zusammenarbeit.
    • In den Verträgen tauchen Verarbeitungen mit Zugriffsrechten auf, die wenig bis gar nichts mit der eigentlich beauftragten Dienstleistung zu tun haben.
    • Nachfragen zum Verzeichnis der Verarbeitungstätigkeiten des Auftragsverarbeiters führen nicht selten zu Ausflüchten oder langen Erklärungsversuchen. In einem Fall wollte sich der angesprochene Auftragsverarbeiter seinen zusätzlichen Aufwand sogar vergüten lassen.

Checkliste zur Auftragsverarbeiter Prüfung

Damit es nicht zum Risiko wird, sollten Sie sich an diese Punkte halten:

    1. AVV vor Beginn der Verarbeitung abschließen
    2. Leistungsbeschreibung im AVV prüfen. Passt sie wirklich zur beauftragten Dienstleistung?
    3. Verzeichnis der Verarbeitungstätigkeiten des AV vorlegen lassen und abgleichen
    4. Technische und organisatorische Maßnahmen (TOMs) prüfen und dokumentieren
    5. Regelmäßige Kontrollen (z. B. Audits, Nachweise, aktuell gültige Zertifikate) durchführen
    6. Dokumentation aller Prüfungen im Datenschutz-Managementsystem

Weckruf aus dem Land der Olympier

Die Entscheidung aus Griechenland ist ein Weckruf. Wer mit Auftragsverarbeitern arbeitet, muss seine Hausaufgaben von Anfang an machen!

Insgesamt wurden gegen Vodafone Griechenland 700.000 EUR Bußgeld verhängt. 200.000 EUR wegen Verstoßes gegen Art 5 Abs.1 lit. d DSGVO, 150.000 EUR Verwaltungsstrafe (Verstoß gegen das griechische Telekommunikationsgesetz und 350.000 EUR wegen Verstoß gegen Art. 28 Abs. 1 und 3 DSGVO (fehlende Prüfung des AVV)

International betrachtet mag die Strafe für den griechischen Vodafone-Ableger noch moderat wirken. Zum Vergleich: Der BfDI verhängte im Juni 2025 gegen Vodafone Deutschland 45 Mio. EUR. Davon allein 15 Mio. EUR wegen mangelhafter Überprüfung von Partneragenturen als Auftragsverarbeiter.

Das alles ist ein deutliches Signal dafür, dass die Aufsichtsbehörden bei diesem Thema keine Ausreden mehr gelten lassen.

Daher mein Tipp: Auftragsverarbeiter und die Verträge prüfen!

Autor: Daniela Maria Hübsch