Update - Geldbuße gegen IKEA wegen Videoüberwachung - nicht rechtskräftiger Bescheid der DSB wurde veröffentlicht

Behörde: Österreichische Datenschutzbehörde (DSB)
Datum der Entscheidung: 16. August 2024 (nicht rechtskräftig)
Geschäftszahl: 2023-0.680.196 (Verfahrenszahl: DSB-D550.761)

Rechtssatz (kurz): Überschießende Videoüberwachung ohne gelinderes Mittel verletzt Art. 5 und Art. 6 DSGVO; Geldbuße nach Art. 83 DSGVO iHv 1.500.000 € gerechtfertigt.

 

BVwG-Entscheidung (nachfolgend)bestätigt die Geldstrafe: 
Erkenntnis vom 25.7.2025, GZ: W258 2299744-1/28E

 

nächste Instanz - VwGH - Die Revision ist gemäß Art 133 Abs 4 B-VG zulässig.

 

 

 

---

Sachverhalt

Eine österreichische Möbelhaus-Filiale betrieb im Zeitraum 25.03.2022 bis zumindest 23.05.2022 ein Videoüberwachungssystem mit neun Innen- und Außenkameras.

Erfasst wurden u.a. der Kassenbereich (inkl. Eingabetastatur am Zahlungsterminal) sowie weite Teile des Außenbereichs, darunter öffentliche Flächen, Nachbarliegenschaften, Haltestellen-/Zugangsbereiche und Zugänge zu benachbarten Objekten.

 

Speicherdauer: 72 Stunden.

 

Nach einer anonymen Anzeige leitete die DSB zunächst eine Datenschutzüberprüfung ein; die Verantwortliche entfernte später mehrere Kameras bzw. aktivierte/erweiterte Privatzonenmaskierungen.

 

Die DSB qualifizierte die Verarbeitung als unrechtmäßig: fehlende einschlägige Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO und Verstoß gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO). Es wurde eine Geldbuße von 1.500.000 € verhängt; zusätzlich verwies die DSB auf ihre Zuständigkeit nach § 22 DSG.

 

---

Rechtliche Begründung

1) Rechtsgrundlage & Grundsätze

Die Verantwortliche stützte sich ausschließlich auf berechtigte Interessen, Art. 6 Abs. 1 lit. f DSGVO. Zwar können Eigentums-/Sicherheitsinteressen grundsätzlich berechtigt sein, doch muss jede Verarbeitung zugleich die Grundsätze des Art. 5 DSGVO erfüllen, insbesondere Erforderlichkeit/Datenminimierung. Die DSB hielt fest, dass gelindere Mittel (z.B. präziserer Bildausschnitt, physische Blenden, konsequente Privatzonenmaskierung) verfügbar gewesen wären. Mangels Erforderlichkeit scheiterte die Rechtmäßigkeit bereits vor einer weitergehenden Interessenabwägung.

 

2) Innenkameras (SB-Kassen): PIN-Pad im Bild

Im Kassenbereich wurden PIN-Tastaturen erfasst; die verpflichtende Privatzonenmaskierung war deaktiviert. Trotz späterer Nachbesserung (Verpixelung ab 23.05.2022) bejahte die DSB für den Tatzeitraum den Verstoß gegen Datenminimierung und Rechtmäßigkeit. Besonders gewichtet wurde, dass die Verantwortliche selbst Branchenstandards (PCI DSS) kannte, aber die Maskierung erst verspätet aktivierte.

 

3) Außenkameras 4–7: öffentlicher Raum & Nachbarflächen

Die Kameras erfassten überwiegend öffentlichen Raum (u.a. Haltestellen-/Zugangsbereiche) und Teile fremder Liegenschaften. Die Berufung auf „Verkehrssicherungspflichten“ (Winterdienst, bauliche Erhaltung) trug nicht: Diese Pflichten bestehen zeitlich/örtlich begrenzt und lassen sich durch organisatorische Maßnahmen/Dokumentation (Arbeits-/Einsatzscheine etc.) nachweisen – eine permanente Weitwinkel-Überwachung war nicht das gelindeste Mittel.

 

4) Kameras 8–9 (Fluchtausgänge): falscher Zuschnitt

Bei Kamera 8 fokussierte der Aufnahmebereich primär auf den Zugang einer benachbarten Liegenschaft, nicht auf den eigenen Fluchtausgang; bei Kamera 9 wurde ein gegenüberliegender Bereich miterfasst. Erst nachträglich wurden Drehung bzw. Masken gesetzt – ein Beleg, dass ein engerer, zweckadäquater Zuschnitt möglich war.

 

5) Subjektive Tatseite (Verschulden)

Die DSB bejahte Fahrlässigkeit (teilweise grobe Fahrlässigkeit im Kassenbereich): Die Verantwortliche hätte die Rechtswidrigkeit erkennen und umgehend Abhilfe schaffen müssen (Rechenschaftspflicht Art. 5 Abs. 2 DSGVO). Ein Vorsatz wurde nicht angenommen.

 

6) Unternehmensbegriff & Umsatzbasis

Für die Bemessung nach Art. 83 DSGVO legte die DSB den unionsrechtlichen Unternehmensbegriff (Art. 101/102 AEUV) zugrunde und stellte auf den weltweiten Konzernumsatz ab.
Das führt – trotz lokalem Vorfall – zu einem hohen variablen Strafrahmen (bis 4 % des Vorjahresumsatzes), wobei der Konzernumsatz bei 44,3 Mrd. € lag.

 

7) Strafzumessung

Ausgangspunkt war ein mittleres Schwere-Level; zugunsten der Verantwortlichen wertete die DSB u.a. Mitwirkung, Einsicht und nachträgliche Korrekturen.

Unter Verhältnismäßigkeitsgesichtspunkten reduzierte die DSB deutlich – Ergebnis: 1.500.000 € (ca. 0,0034 % des verfügbaren Rahmens bei einem Umsatz von 44,3 Mrd. €).

Ziel ist vor allem Generalprävention gegen „überschießende“ Videoüberwachung.

 

---

Fazit

Die Entscheidung ist ein deutlicher Hinweis: „Zweck-Kamera-Zuschnitt“ first.

 

Wer Videoüberwachung einsetzt, muss Aufnahmebereiche millimetergenau planen, systematisch maskieren und öffentliche bzw. fremde Flächen nur im unbedingt erforderlichen, eng eingegrenzten Umfang erfassen – im Zweifel gar nicht. Ein „wir löschen eh nach 72 Stunden“ heilt keinen übersetzten Erfassungsbereich.

 

Schlussfolgerungen für Verantwortliche
(Praxis-Checkliste)

 

• Zweck-Mapping & DPIA-Denke: Jeden Zweck präzise beschreiben; engste Kamerapositionen wählen; Alternativen (Baumaßnahmen, Personal, Dokumentation) prüfen und dokumentieren. Denken Sie in Fragen, die sie auch bei einer Datenschutzfolgenabschätzung beantworten würden.
  
  

• Datenminimierung by Design: Hardwareseitige Blenden, konsequente Privatzonenmaskierung, keine PIN-Pads, keine Nachbarflächen/öffentliche Hotspots im Bild.
  
  

• Zeitliche/örtliche Beschränkung: Betrieb nur, wenn erforderlich (z.B. Schließzeiten, neuralgische Bereiche), nicht 24/7 aus Routine.
  
  

• Transparenz & Rechenschaft: Saubere Informationsschilder, Verarbeitungsverzeichnis, regelmäßige Audit-Screenshots der Live-Ausschnitte, Änderungsprotokolle.
  
  

• Rechtsgrundlage sauber begründen: Bei Art. 6 Abs. 1 lit. f DSGVO eine echte Erforderlichkeitsprüfung + Interessenabwägung, kein pauschales „Sicherheitsinteresse“.