Auf unserem Blog haben wir kürzlich im aktuellen Fall in Argentinien darüber informiert, wie schnell es gehen kann, dass unsere Daten im Darknet landen oder anderenorts zum Verkauf angeboten werden. Dafür muss es tatsächlich nicht einmal ein größeres Ereignis wie z.B. einen Hackerangriff geben. In vielen Apps und Anwendungen erlauben wir den Anbietern durch eigene Hektik oder Unachtsamkeit die Weitergabe unserer Daten an Dritte, wie z.B. Werbepartner. Welchen Weg die Daten von dort aus nehmen und ob sie früher oder später ebenfalls gehandelt und verkauft werden, ist für uns nicht nachvollziehbar.
Auch den Telekommunikationsanbieter Vodafone hat das Thema Identitätsbetrug im Oktober 2021 stark betroffen. Das Unternehmen ist in datenschutzrelevanten Themen ohnehin schon lange kein unbeschriebenes Blatt mehr und taucht regelmäßig in den Auflistungen der Bußgeld-Informationsportale auf. Erst im April 2021 hatte die spanische Datenschutz-Aufsichtsbehörde AEPD (Agencia española protección datos) den Wiederholungstäter Vodafone mit einem Bußgeld in Höhe von 8.150.000 € sanktioniert. Doch scheinbar hat Vodafone auch daraus nicht viel gelernt, da nun wieder vier Fälle vorliegen, in denen sich Betroffene darüber beschweren, dass ihre personenbezogenen Daten missbraucht wurden, weil Vodafone die Identität nicht ausreichend geprüft hatte. Ob dies Einzelfälle sind oder ob sich noch weitere Betroffene melden werden bleibt abzuwarten.
Oktober 2021: Vier Bußgelder in Höhe von dreimal jeweils 40.000 € und einmal 64.000 € wurden von der AEPD gegen Vodafone verhängt. Die ursprünglichen Summen in den Mitteilungen der Datenschutzbehörde waren sogar pro Bußgeld nochmal um 20% höher, wurden allerdings verringert, da Vodafone sich einsichtig zeigte und unmittelbar bezahlte. In den aktuellen Fällen haben sich verschiedene Personen unabhängig voneinander bei der Behörde beschwert, weil unter ihrer Identität Leistungen in Anspruch genommen wurden.
Bei einem Betroffenen kam es zur Durchführung eines Tarifwechsels, der nicht von ihm beauftragt wurde. Der Betroffene wurde per E-Mail über die Änderung seines Vertrags inklusive der Rechnungsstellung informiert und wurde daraufhin stutzig. Bei einem weiteren Betroffenen wurden Leistungen in Rechnung gestellt, die von ihm nicht gebucht worden waren. Der Betroffene erhielt Benachrichtigungen über angeblich ausstehende Zahlungen. Die benannten Telefonanschlüsse waren dem Betroffenen allerdings nicht bekannt.
Auch in einem dritten Fall wurden einem weiteren Betroffenen Leistungen in Rechnung gestellt, die er nicht gebucht hatte. Dieser Betroffene entdeckte auf seinem Kundenprofil vier unbeglichene Rechnungen, auf die er trotz entsprechender Zahlungserinnerung nicht zugreifen konnte. Nach Kontaktaufnahme mit dem Vodafone-Support stellte sich heraus, dass es bei Vodafone ein zweites Konto gab, dessen Angaben in Teilen denen des Betroffenen entsprachen. Auch wurde über dieses zweite Konto online ein Mobiltelefon gekauft. In den Rechnungen dazu waren ebenfalls Angaben des Betroffenen zu finden.
Im vierten derzeit gemeldeten Fall hatte eine Betroffene wiederholt Benachrichtigungen über noch offene Rechnungen erhalten – auch hier bezüglich eines Dienstleistungsvertrags, den sie nicht abgeschlossen hatte. Darüber hinaus wurde sie wiederholt von einem Inkassounternehmen angerufen, das sie zur Begleichung Ihrer Schulden aufgefordert hatte.
In allen bisher bekannten Fällen hatte die nachträgliche Untersuchung der Behörde ergeben, dass jeweils eine unbefugte Person unter den Daten des bzw. der jeweiligen Betroffenen die Aktionen durchgeführt hatte. Vodafone hatte die Identität dabei nicht ausreichend geprüft und somit gegen Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung) verstoßen. Dies sanktionierte die AEPD in allen vier Fällen mit fünfstelligen Bußgeldern.
Wir sind gespannt, wie viele Personen sich noch in ähnlichen Sachverhalten bei der spanischen Datenschutzbehörde melden werden und ob Vodafone aus diesem Fall etwas für die Zukunft lernen wird.
Quellenangaben:
- DSGVO Portal, abgerufen am 01.11.2021 unter https://www.dsgvo-portal.de/