Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) har utfärdat en sanktionsavgift på 45 miljoner euro mot Vodafone GmbH för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att BfDI inlett undersökningar avseende Vodafones partnerbyråer och företagets online-serviceportal efter att ha fått extern information utan några klagomål.
Vodafone är en leverantör av telekommunikationstjänster som verkar på den tyska marknaden. Företaget använder olika distributionskanaler, bland annat lokala butiker, varav vissa drivs av partneragenturer. De agerar under varumärket Vodafone och är bundna av företagets instruktioner. Agenturernas it-system är baserade på hård- och mjukvara som tillhandahålls av Vodafone och tecknade personuppgiftsbiträdesavtal reglerar behandlingen av kunddata.
Under utredningen upptäckte BfDI integritetsrelaterade svagheter i processerna för att övervaka och granska personuppgiftsbiträdena samt svagheter i it-systemen som ledde till risk för att kunddata missbrukades för bedrägerier. Vodafone erbjuder dessutom en online-serviceportal för sina kunder. När den användes i kombination med företagets hotline, fann BfDI svagheter i autentiseringsprocessen för kundkonton som kunde leda till missbruk av eSIMs.
Sanktionsavgiften uppgick till 15 miljoner euro för otillräckliga övervaknings- och revisionsförfaranden avseende partnerbyråerna och tilldelade en reprimand för bristerna i it-systemen. BfDI gav även Vodafone en sanktionsavgift på 30 miljoner euro för otillräckliga säkerhetsåtgärder avseende portalen för onlinetjänster. Enligt BfDI hade Vodafone brutit mot artiklarna 28.1 och 32.1 GDPR.