Geldbußen / Geldstrafen  ·  08. Oktober 2025

BVwG bestätigt Geldstrafe von EUR 1.500.000 bei Videoüberwachung als abschreckend und verhältnismäßig

Behörde: Bundesverwaltungsgericht (BVwG)

Datum: 25.07.2025
Geschäftszahl: W258 2299744-1/28E

 

Rechtssatz (kurz): PIN-Eingaben und weite Außenbereiche mit ÖV-Zugängen zu filmen, verletzt Datenminimierung und Rechtmäßigkeit; Teil-Einstellung für zwei Innenkameras, Geldbuße von 1,5 Mio EUR bleibt im Ergebnis wirksam.

Sachverhalt

Nach einer anonymen Anzeige (März 2022) prüfte die DSB eine großflächige Videoanlage (innen/außen, rund 133 Kameras) einer Handelsfiliale in Wien. Strittig waren u.a.

  • Innenbereich Kassen (Kamera 2): Erfassung von PIN-Eingaben an einer Selbstbedienungskasse; Kameras 1 und 3 erfassten keine PINs.

  • Außenbereich (Kameras 4–9): Erfasst wurden u.a. Gehsteig-/Straßenbereiche, Straßenbahn-Wartebereich, U-Bahn-Zugang und Zugang zu einem Bahnhof; Speicherung jeweils 72h.

Die DSB verhängte am 16.08.2024 eine Geldbuße von EUR 1.500.000; das BVwG gab der Beschwerde teilweise Folge (Einstellung zu Kameras 1 und 3) und bestätigte im Übrigen die Verstöße und insbes. auch die Höhe der Strafe; die Revision wurde zugelassen.

 

Rechtliche Begründung (kompakt)

1) Anwendbarkeit DSGVO / Unanwendbarkeit §§ 12 f DSG
Bildverarbeitungsregeln der §§ 12 f DSG sind mangels Öffnungsklausel nicht anzuwenden; ausschließlich die DSGVO ist maßgeblich (Art. 2 DSGVO).
(Verweis: § 12 DSG / § 13 DSG)

2) Datenminimierung & Rechtmäßigkeit

  • Kamera 2 (innen): Das Filmen von PIN-Eingaben ist nicht erforderlich iSd Art. 5 Abs. 1 lit. c DSGVO und findet keine Rechtsgrundlage in Art. 6 Abs. 1 DSGVO. Der Zweck „Eigentumsschutz/Beweisführung“ kann ohne PIN-Erfassung (etwa über Kassen-Bildschirmstatus) erreicht werden. → Verstoß.

  • Kameras 4–9 (außen): Die weiträumige Erfassung öffentlicher Bereiche (Gehsteige, ÖV-Zugänge, Bahnhofszugang) ging über das notwendige Maß hinaus; die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO fällt zulasten der Verantwortlichen aus. Teilbereiche (z.B. Gitter/Schaufenstervorraum/Fahrradabstellanlage) können zweckangemessen sein, die breite Abdeckung war es nicht. → Verstoß nach Art. 5 Abs. 1 lit. a und c iVm Art. 6 DSGVO.

3) Teil-Einstellung für zwei Innenkameras
Zu Kamera 1 und 3 stellte das BVwG fest: keine PIN-Erfassung → insoweit Einstellung des Strafverfahrens.

4) Verschulden / Organisation
Das Gericht wertete das Vorgehen als grob fahrlässig: Betrieb der Anlage vor Prüfung/Umsetzung von Privatzonenmaskierungen, keine zeitnahen Sofortmaßnahmen nach Hinweis.

5) Systematik für die Geldstrafe

  • Verbundene Verarbeitungsvorgänge → Gesamtstrafe nach Art. 83 Abs. 3 DSGVO.

  • Bemessung orientiert sich an der wirtschaftlichen Einheit (Konzern); maßgeblich der Konzernumsatz des vorangehenden Geschäftsjahres; Buße von 1,5 Mio EUR ist wirksam, verhältnismäßig und abschreckend (viele Betroffene, sehr vertrauliche Kontexte wie ÖV-Zugänge - Konzernumsatz: 44,3 Mrd €, Konzerngewinn: 1,5 Mrd. € - ein Einfluss des Konzerns auf die Verarbeitung bzw. DSGVO-Verletzung ist nicht erforderlich.

Fazit

Das BVwG zieht klare Linien für Videoüberwachung im Retail-Umfeld: PIN-Pads sind tabu, öffentliche Bereiche (Gehsteige/ÖV-Zugänge) dürfen allenfalls eng begrenzt und zweckgenau erfasst werden.

 

Organisatorische Sorgfalt (Masken vor Inbetriebnahme, Abnahme/Protokolle, Sofortmaßnahmen) ist Pflicht.

 

Die Bemessung der Geldstrafe folgt der Konzern-Logik – lokale Einzelfallargumente helfen wenig, und auch wenn die Konzernzentrale keinen Einfluss auf die Verarbeitung der den Verstoß hat, ist der Konzernumsatz für die Bemessung maßgebend.

Schlussfolgerungen für Verantwortliche

To-do-Liste für zulässige Videoüberwachung:

  1. Zwecke konkretisieren, Bereiche minimal halten (Art. 5 Abs. 1 lit. c).

  2. Rechtsgrundlage prüfen & dokumentieren (Art. 6 Abs. 1); bei berechtigtem Interesse Abwägung sauber durchführen.

  3. Privatzonenmaskierung vor Live-Betrieb einrichten; Abnahmeprotokoll + Konfig-Berichte archivieren (Art. 5 Abs. 2 – Rechenschaftspflicht).

  4. PIN-Eingaben & Tastaturen stets ausmaskieren (Innenkassen, SB-Terminal).

  5. Öffentliche Flächen (Haltestellen, Bahnhofs-/U-Bahn-Zugänge) nur insoweit erfassen, wie es absolut zwecknotwendig ist – sonst alternative Maßnahmen (Beleuchtung, Patrouillen).

  6. Sofortmaßnahmen bei Vorfällen: Kameras deaktivieren/abkleben, Masken remote einspielen, Maßnahmen protokollieren.

  7. Speicherfristen kurz halten (hier: 72h) und Zugriffe strikt beschränken.

  8. Konzernweite Governance: zentrale Policies, Schulungen, DPIA-Check bei größeren Anlagen; Bußgeldrisiko bemisst sich am Konzern (Art. 83).

 

Kommentar schreiben

Kommentare: 0