Spruch
W137 2263970-1/17E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch den Richter Mag. Peter HAMMER als Vorsitzender und die fachkundigen Laienrichterinnen Mag. Ursula ILLIBAUER sowie Mag. Martina CHLESTIL als Beisitzerinnen über die Beschwerde der XXXX , gegen den Bescheid der Datenschutzbehörde vom 19.10.2022, GZ. D124.2941 2022-0.360.359, zu Recht erkannt:
A)
Die Beschwerde wird hinsichtlich Spruchpunkt 3 des bekämpften Bescheides stattgegeben und dieser ersatzlos behoben. Darüber hinaus wird die Beschwerde gemäß § 28 Abs. 2 VwGVG iVm § 24 Abs. 1 und Abs. 5 DSG idgF als unbegründet abgewiesen.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgang:
1. Mit verfahrenseinleitender Eingabe vom 31.08.2020, ergänzt am 13.10.2020 und 13.11.2020, erhob XXXX (= mitbeteiligte Partei vor dem Bundesverwaltungsgericht und Antragsteller vor der Datenschutzbehörde) eine Datenschutzbeschwerde gegen XXXX (= Beschwerdeführerin vor dem Bundesverwaltungsgericht und Beschwerdegegnerin vor der Datenschutzbehörde) wegen Verletzung im Recht auf Geheimhaltung durch die Verarbeitung seiner Bilddaten und biometrischen Daten sowie im Recht auf Information gemäß Art. 13 DSGVO. Er begründete seine Datenschutzbeschwerde folgendermaßen:
Er sei vom 11.03.2019 bis zum 04.02.2020 bei der Beschwerdegegnerin beschäftigt gewesen und habe ein biometrisches System zur Erfassung der Arbeitszeit im Betrieb der Beschwerdegegnerin genutzt. Einmal im Monat habe er im Büro der Beschwerdegegnerin die erfassten Arbeitszeiten mit einem Handvenenscan bestätigt bzw. entsprechende Korrekturen durchgeführt. Ein zuvor erfasstes Unterschriftenkürzel werde daraufhin automatisch in die Arbeitszeitaufzeichnung eingefügt. Die Datenverarbeitung erfolge mit der Zustimmung der Arbeitnehmer, die Einwilligung erfülle jedoch nicht die Bedingungen gemäß Art. 7 DSGVO, da diese nicht freiwillig sei. Der Abschluss des Dienstvertrages hänge von der Zustimmung zur biometrischen Erfassung der Daten ab und hindere das Machtungleichgewicht der kontrahierenden Parteien eine freie Entscheidung. Auch fehle in der Datenschutzerklärung im Zusammenhang mit der Einwilligung, insbesondere der Hinweis darauf, dass die Zustimmung zur Erfassung der biometrischen Daten jederzeit widerrufen werden könne, der Betroffene Anspruch auf Auskunft habe, ein Beschwerderecht bei einer Aufsichtsbehörde bestehe und weitere Informationspflichten gemäß Art. 13 DSGVO.
Im Betrieb der Beschwerdegegnerin befinde sich eine Videoüberwachungsanlage, welche Arbeitnehmer permanent aufzeichne. Es bestünden keinerlei berechtigte Interessen des Verantwortlichen oder eines Dritten, die Arbeiter und/oder Besucher des Restaurants zu überwachen und erfolge eine Speicherung der Aufnahmen länger als 72h Stunden.
Der Beschwerde war der zwischen den Verfahrensparteien abgeschlossene Arbeitsvertrag beigelegt.
2. Mit Stellungnahme vom 15.12.2020 führte die Beschwerdegegnerin zur Videoüberwachung und dem Handvenenscanner, soweit verfahrensrelevant, aus:
In den Gastbereichen sowie im Untergeschoß sei eine Videoüberwachungsanlage installiert. Nicht überwacht würden höchstpersönliche Bereiche wie z.B. Sanitär-Räumlichkeiten oder Garderoben von Mitarbeitern. Die Videoüberwachung sei mit Bescheid der Datenschutzkommission im Jahr 2012 und im Jahr 2017, nach einem Umbau der Anlage, genehmigt bzw. registriert worden. Seit diesem Zeitpunkt sei keine Änderung der Anlage erfolgt. Zweck der Videoüberwachung sei der vorbeugende Schutz der Mitarbeiter und Gäste der Beschwerdegegnerin, der Beschwerdegegnerin selbst bzw. der im Restaurant vorhandenen Wertgegenstände gegen Straftaten und andere potenzielle Gefährdungen sowie – im Anlassfall – die Auswertung der Aufzeichnungen zu Beweiszwecken zur Verteidigung gegen oder Geltendmachung von Rechtsansprüchen. Die Videoaufzeichnungen würden, sofern kein konkreter Anlassfall zur Aufbewahrung besteht, automatisch nach 72 Stunden gelöscht. An der Eingangstür des Lokals und im Dienstvertrag der Arbeitnehmer werde auf die Videoüberwachung hingewiesen.
Im Personalbüro der Beschwerdegegnerin befinde sich ein System, welches unter anderem auch einen Handvenenscanner verwende. Das System habe die Zwecke einerseits die Möglichkeit zu schaffen, dass Mitarbeiter jederzeit (ohne Zutun der Beschwerdegegnerin) ihre arbeitsvertraglichen Dokumente einsehen können und andererseits die monatliche Kontrolle der Arbeitszeitaufzeichnung durch die Mitarbeiter selbst. Aufgrund der hohen Fluktuation von Mitarbeitern kenne die Beschwerdegegnerin ihr Personal kaum persönlich bzw. hätten früher Arbeitskollegen untereinander die Zeitaufzeichnungen, als Freundschaftsdienst, mitabgezeichnet und Fehler produziert. Die Beschwerdegegnerin sei aus diesen Gründen auf das System angewiesen.
Es werde bei Registrierung einige Tage nach Abschluss des Arbeitsvertrages sowohl durch das Personalbüro, als auch durch das System selbst auf die Freiwilligkeit hingewiesen. Ebenso auf die Möglichkeit jederzeit eine erteilte Einwilligung direkt am Eingabeterminal zu widerrufen. Es bestehe daher keine Drucksituation. Eine analoge Abwicklung stehe immer zur Wahl.
Der Handvenenscan werde in einen „Hash-Wert“ umgewandelt. Der Arbeitnehmer leiste eine Musterunterschrift, welche gespeichert und dem Hash-Wert zugeordnet werde. Mit dieser Unterschrift dokumentiere der Mitarbeiter die Zustimmung zur Verwendung des Systems. Im Rahmen einer „Zwei-Faktor-Authentifizierung“ müsse ein (zuvor zugesendeter) Sicherheitscode eingegeben werden und erfolge erneut die Aufklärung, dass damit der Nutzung des Hand-Venen-Scanners zugestimmt werde, welche jederzeit widerrufen werden könne. Ebenso werde auf eine umfangreiche Datenschutzinformation verwiesen und enthalte ein zugesendetes E-Mail oder SMS ebenso die Hinweise zu Freiwilligkeit und Widerruf.
Es liege daher im gegenständlichen Fall eine ausdrückliche Einwilligung iSd Art. 9 Abs. 2 lit. a DSGVO vor und sei der Hash-Wert derart verschlüsselt, dass es sich nicht (mehr) um personenbezogene Daten handle.
Der Stellungnahme war ein Schreiben der Beschwerdegegnerin an den Beschwerdeführer vom 15.12.2020, mit welchem dem Beschwerdeführer die Unterlagen „Allgemeine Datenschutzinformation für MitarbeiterInnen der XXXX “ und „Datenschutzinformation für die Verwendung des PalmSecure Hand-Venen-Scanners“ übermittelt wurden, beigelegt.
3. Mit Schreiben vom 25.01.2021 monierte der BF, dass er die Dokumente „Allgemeine Datenschutzinformation für MitarbeiterInnen der XXXX “ und „Vertiefte Datenschutzinformation für die Verwendung des PalmSecure Hand-Venen-Scanners“ nie erhalten habe.
4. Mit Eingabe vom 12.02.2021 übermittelte die Beschwerdegegnerin Screenshots der von den Überwachungskameras überwachten Bereiche und Fotos, auf denen die Position der einzelnen Kameras von außen erkennbar ist, sowie Pläne der Geschäftsräumlichkeit, in denen die Positionen der einzelnen Kameras eingezeichnet sind. Ergänzend und soweit wesentlich führte sie aus, dass seit Februar 2020 keine personenbezogenen Daten des BF mehr verarbeitet würden, da dieser aus dem Unternehmen ausgeschieden sei. Die Kameras seien bewusst so ausgerichtet, dass sie Arbeitnehmer so wenig wie möglich erfasst würden.
Die Arbeitszeitenerfassung erfolge manuell und erfolge nur die monatliche Bestätigung über den beschriebenen Handvenenscanner (77% der AN) oder nach Wunsch nach Vorzeigen eines Ausweises händisch per Unterschrift am ausgedruckten Zeitplan (23 % der AN).
5. Mit Stellungnahme vom 04.05.2022 führte die Beschwerdegegnerin auf Nachfrage und soweit verfahrensrelevant aus, dass es keinen Betriebsrat gebe, eine Zustimmung nach § 10 AVRAG hinsichtlich der biometrischen Daten sei mit der Zustimmungserklärung am Terminal eingeholt worden. Für die gegenständliche Videoüberwachung sei eine solche nicht erforderlich.
6. Mit weiterem Schreiben vom 16.05.2022 führte der BF zusammengefasst aus, dass entgegen der ergänzenden Stellungnahme der Beschwerdegegnerin eine Zustimmung des Beschwerdeführers zum Handvenenscanner weder arbeitsrechtlich noch datenschutzrechtlich erteilt worden und eine Zustimmung im Sinne des § 10 AVRAG auch für die gegenständliche Videoüberwachung erforderlich sei.
7. Mit Bescheid vom 19.10.2022, gab die Datenschutzbehörde (idF belangte Behörde) der Datenschutzbeschwerde vom 31.08.2020 wegen der Verletzung im Recht auf Geheimhaltung bezüglich des Handvenenscanners (Spruchpunkt 1a) und der Videokameras Nummer 10 und 23 (Spruchpunkt 1b) statt, untersagte der Beschwerdegegnerin bei sonstiger Exekution den Betrieb der genannten Kameras (Spruchpunkt 2), trug der Beschwerdegegnerin auf die Videoüberwachungsanlage geeignet zu kennzeichnen (Spruchpunkt 3) und wies das Mehrbegehren als unbegründet ab (Spruchpunkt 4).
Die Datenschutzbehörde folgerte in rechtlicher Hinsicht im Wesentlichen:
Bei der Verarbeitung von biometrischen Daten handle es sich um besondere Kategorien von Daten im Sinne des Art. 9 DSGVO und erfordere diese eine datenschutzrechtliche Einwilligung der betroffenen Person. Kern einer Einwilligung im Sinne der DSGVO sei das Kriterium der Freiwilligkeit (echte Wahl) und könne dies gegenständlich nicht der Fall sein, da ein offenkundiges Machtungleichgewicht vorliege und der BF in seinem Arbeitsvertrag bereits die Verwendung des Systems zugesichert habe. Bei einer entsprechenden Weigerung hätte er arbeitsrechtliche Konsequenzen zu fürchten.
Die Videoüberwachung sei nicht derart ausgestaltet, dass sie die Menschenwürde berühre und eine Zustimmung im Sinne des § 10 AVRAG daher nicht notwendig. Es handle sich auch um berechtigte Interessen der Beschwerdegegnerin strafrechtlich relevante Sachverhalte aufzudecken bzw. zu dokumentieren und ihre Gäste und Mitarbeiter zu schützen. Jedoch scheitere hinsichtlich der Kameras Nummer 10 und 23 eine solche Überwachung an der Voraussetzung der Erforderlichkeit.
Die sofortige Untersagung des Betriebs der genannten Kameras sei aufgrund des erheblichen Eingriffs in die Privatsphäre der Arbeitnehmer und in Ermangelung eines berechtigten Interesses bezüglich dieser Bereiche notwendig.
Die vorgelegte Kennzeichnung der Videoüberwachungskamera entspreche nicht den Informationspflichten des Art. 13 DSGVO und sei es lebensfremd, dass Gäste vor Betreten des Lokals die im Internet aufrufbare Datenschutzerklärung der Beschwerdegegnerin lesen würden.
Die Abweisungen des Mehrbegehrens erfolge, da der BF jedenfalls im Lauf des Verfahren alle Informationen hinsichtlich der Verarbeitung seiner personenbezogenen Daten erhalten habe.
8. In der vom 16.11.2022 gegen die Spruchpunkte 1a, 1b, 2 und 3 des Bescheides fristgerecht erhobenen Beschwerde brachte die nunmehrige Beschwerdeführerin (ehemals Beschwerdegegnerin) im Wesentlichen vor:
Hinsichtlich der Verarbeitung von sensiblen Daten (Handvenenscanner) bestehe kein Machtungleichgewicht, da der Arbeitsvertrag bereits zuvor abgeschlossen worden sei, an mehreren Stellen des Registrierungsprozesses bzw. in der Datenschutzerklärung und durch die BF auf die Freiwilligkeit hingewiesen worden sei, der Einsatz ausschließlich Vorteile für die mitbeteiligte Partei habe, die Klausel im Arbeitsvertrag nur die Zustimmung im Sinne des § 10 AVRAG verkörpere und keinesfalls eine Verpflichtung zur Nutzung des Systems beinhalte.
Die beiden Kameras Nummer 10 und 23 seien jedenfalls erforderlich, um die Lagerräume bzw. die Fluchtwege zu überwachen, ein Arbeitnehmer wäre auf den Aufnahmen nur mit seinem Rücken zu sehen, da Arbeitsflächen datenschutzfreundlich ausgerichtet seien, eine vollständige Untersagung sei überschießend und nicht das gelindeste Mittel und Aufnahmen aus versicherungsrechtlichen Gründen für Schäden im Rahmen von Anlieferungen essenziell. Darüber hinaus sei der Leistungsauftrag unbestimmt.
Weiters verletzte die belangte Behörde den verfassungsgesetzlich gewährleisteten Gleichheitsgrundsatz, wenn sie ihre Spruchpraxis ohne Begründung ändere, da trotz Inkrafttreten der DSGVO der § 1 DSG unverändert blieb und die Anlage in einer dahingehenden Überprüfung durch die DSB bereits genehmigt worden sei. Die BF habe auf die erteilte Genehmigung der DSB vertrauen dürfen.
Auch sei der Leistungsauftrag hinsichtlich einer „geeigneten“ Kennzeichnung der Videoüberwachungsanlage zu unbestimmt; diese sei in der bisherigen Form allerdings jedenfalls ausreichend aber mittlerweile auch noch ergänzt worden.
Abschließend sehe die BF die Verletzung von Verfahrensvorschriften darin, dass ihr nie mitgeteilt worden sei, dass die Kennzeichnung unzureichend wäre. Ein Parteiengehör zur neuen Kennzeichnung habe nicht stattgefunden und sei dies nicht Beschwerdegegenstand.
9. Mit Stellungnahme der Datenschutzbehörde vom 02.12.2022 war die Beschwerde samt Verwaltungsakt an das Bundesverwaltungsgericht übermittelt worden. Dabei beantragte die belangte Behörde die Abweisung der Beschwerde, verwies vollinhaltlich auf den angefochtenen Bescheid und führte insbesondere aus, dass im Zusammenhang mit Arbeitsverhältnissen die Freiwilligkeit einer Einwilligung restriktiv zu beurteilen sei und es sich bei der Behauptung, dass die Klausel im Arbeitsvertrag ausschließlich § 10 AVRAG diene, um eine Schutzbehauptung handle. Fluchtrouten und Gesichter von Kriminellen könne die BF auch ohne eine lückenlose Überwachung der Betriebsräumlichkeiten erlangen. Doch selbst wenn dies nicht möglich wäre, würden die Interessen der betroffenen Arbeitnehmer überwiegen. Eine Verletzung des Gleichheitsgrundsatzes könne nicht vorliegen, da dieser voraussetze, dass das Vorbringen der BF durch diesen geschützt sei und es sei auch keiner der erteilten Leistungsaufträge unbestimmt. Einer „Untersagung“ könne durch „Abdrehen“ und deiner „geeigneten“ Kennzeichnung mit den Informationen gemäß Art. 13 DSGVO entsprochen werden.
10. Mit Stellungnahme vom 24.02.2023 führte die BF, replizierend, ihr bereits in der Beschwerde erstattetes Vorbringen erneut aus und ergänzte dieses dahingehend, dass die Ausführungen der belangten Behörde einem Technologieverbot gleichkommen würden. Eine Gegenüberstellung der Vertragsklausel mit § 10 AVRAG widerlege eine Schutzbehauptung, zumal schon mehrfach Einbrüche und Diebstähle stattgefunden hätten und Willkür ein Schutzgegenstand des Gleichheitsgrundsatzes sei. Die Aufforderung die Kennzeichnung der Anlage darzulegen, habe sich nur auf den beschwerderelevanten Zeitraum bezogen und sei etwas anderes keinesfalls Beschwerdegegenstand gewesen. Der Leistungsauftrag sei aufzuheben. Der Stellungnahme war ein Lichtbild der neuen Kennzeichnung angeschlossen.
11. Mit Stellungnahme vom 31.03.2023 unterstützte die mitbeteiligte Parte im Wesentlichen die Ausführungen der belangten Behörde und beantragte die Abweisung der Beschwerde.
12. Das Bundesverwaltungsgericht führte am 18.10.2023 im Beisein eines Vertreters der belangten Behörde, des Rechtsvertreters der BF sowie des Rechtsvertreters der mitbeteiligten Partei eine öffentliche mündliche Verhandlung durch. Im Zuge der Verhandlung wurde den Parteien die Möglichkeit gegeben, ihren Standpunkt darzulegen und die sich ergebenden Rechtsfragen zu erörtern.
Vorgelegt wurden zusätzliche Beweismittel, insbesondere Musteraufnahmen der 2017 eingereichten Aufnahmewinkel beziehungsweise Erfassungsbereiche der hier relevanten Überwachungskameras.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
1.1. Die mitbeteiligte Partei war vom 11.03.2019 bis zum 04.02.2020 als „Jungkoch“ im „ XXXX “ bei der BF beschäftigt.
1.2. Für den Standort „ XXXX “ ist bei der Beschwerdegegnerin kein Betriebsrat eingerichtet.
1.3. Die BF verwendet am Standort „ XXXX “ einen Handvenenscanner. Dieser misst mittels Infrarotlicht das Handvenenmuster der vor den Scanner gehaltenen Hand und zeichnet das Handvenenmuster auf. Der Scanner ermittelt daraus einen sog. Hashwert. Bei späteren Messungen werden die Hashwerte dieser Messungen mit dem Hashwert der ursprünglichen Messung verglichen. Sind diese ident, wurde dieselbe Handfläche gescannt.
Der Handvenenscanner wird verwendet, damit die Mitarbeiter der BF in ihre arbeitsvertraglichen Dokumente Einsicht nehmen und ihre monatlichen Arbeitszeitaufzeichnungen, welche manuell erfolgen, kontrollieren bzw. abzeichnen können.
Diese Bestätigung kann auf Wunsch auch nach Vorzeigen eines Ausweises händisch per Unterschrift am ausgedruckten Zeitplan erfolgen. Im Jahr 2019 zeichneten 23% der Mitarbeiterinnen und Mitarbeiter der Beschwerdegegnerin die Dokumente händisch in ausgedruckter Form ab.
1.4. In dem zwischen der mitbeteiligten Partei und der BF abgeschlossenen Arbeitsvertrag (vom Geschäftsführer der BF am 27.02.2019, von der mitbeteiligten Partei am 04.03.2019 unterschrieben) finden sich u.a. folgende Bestimmungen:
„4. Probezeit
Die Probezeit während der das Arbeitsverhältnis von beiden Seiten ohne Fristeneinhaltung gelöst werden kann, wird mit 14 Kalendertagen vereinbart.
27. Biometrische Erfassung
Der Arbeitnehmer erklärt hiermit die für die gesamte Zeit des bestehenden Arbeitsverhältnisses ausdrückliche gegebene Zustimmung zur Einführung und Verwendung eines auf biometrischem Handflächenscanning beruhenden Systems für die Unterschriftsleistung für betriebliche Dokumente im Unternehmen. Nach Ende des Arbeitsverhältnisses werden diese biometrischen Daten innerhalb von 14 Tagen automatisch gelöscht.“
1.5. Die mitbeteiligte Partei hat am 15.04.2019 in den Räumlichkeiten der Personalabteilung der BF das eigene Handvenenmuster am Handvenenscanner registriert und am Bildschirm eine Unterschrift geleistet. Diese Unterschrift ist durch das System gespeichert und der mitbeteiligten Partei bzw. dem Hash-Wert der Handvenen zugeordnet worden.
In einem weiteren Schritt ist auf dem Bildschirm ein Feld erschienen, in welches die mitbeteiligte Partei den in der Zwischenzeit erhaltenen Sicherheitscode eingegeben hat, um die Registrierung abzuschließen. Unmittelbar oberhalb dieses Feldes ist ein Text erschienen, aus welchem ersichtlich war, dass er durch Eingabe dieses Sicherheitscodes der Verwendung des Handvenenscanners zustimmt und dass diese Zustimmung für die Zukunft jederzeit widerrufen werden kann.
Nach diesem Registrierungsprozess hatte die mitbeteiligte Partei jederzeit die Möglichkeit, sich beim Terminal der BF durch Auflegen der Handfläche auf den Scanner zu identifizieren und in die arbeitsvertraglichen Unterlagen Einblick nehmen können.
Die Zustimmungserklärung kann am Terminal widerrufen werden.
1.6. Die BF betreibt 29 Videokameras am Standort „ XXXX “. Die mitbeteiligte Partei wurde jedenfalls von den Kameras Nummer 10 und 23 über längere Zeiträume erfasst, welche die Bezeichnung „Vorbereitungsküche“ und „Zulieferungs-/Entsorgungsweg“ tragen. Als Zweck der Überwachung dieser Bereiche gibt die BF „Überwachung der Anlieferungs-/Entsorgungswege zur Aufklärung von etwaigen Diebstählen und Beschädigungen bei Anlieferung/Entsorgung“ an.
Die Position der angeführten Kameras wurde im Vergleich zu den Lichtbildern der vorgelegten Meldung gemäß DSG 2000 vom 24.10.2016 dahingehend verändert, dass ein größerer Ausschnitt der Räumlichkeiten ersichtlich ist, der insbesondere nunmehr Arbeitsbereiche (Vorbereitungsküche) einschließt.
1.7. Die Videoüberwachungsanlage wurde von der Beschwerdegegnerin nicht zum Zwecke der Kontrolle der Mitarbeiter installiert.
1.8. Die Aufzeichnungen werden für 72 Stunden aufbewahrt und dann automatisch und ungesehen gelöscht, sofern kein besonderer Anlassfall zur Aufbewahrung (z.B. Einbruch, Diebstahl, konkrete, ungeklärte Beschädigung, polizeiliche Anforderung) besteht.
1.9. An der Eingangstür zum Lokal ist ein Hinweis auf die Videoüberwachung im Lokal angebracht. Dieser beinhaltet die Angaben über den Verantwortlichen, Zweck der Verarbeitung, Rechtsgrundlagen, Speicherdauer und Rechte der Betroffenen, ein Piktogramm und einen QR-Code, welcher auf die vollwertige Datenschutzerklärung der BF verweist.
1.10. Die belangte Behörde erteilte folgenden Leistungsauftrag:
„Der Beschwerdegegnerin wird die Datenverarbeitung mittels der von ihr als Kamera 10 und Kamera 23 bezeichneten Videoüberwachungskameras in der den Sachverhaltsfeststellungen zugrundeliegenden Form mit sofortiger Wirkung bei sonstiger Exekution untersagt.“
1.11. Die BF konnte in der Verhandlung keine konkreten Vorfälle nennen, in denen die Kameras 10 und 23 zur Verfolgung ihrer berechtigten Interessen eingesetzt wurden. Im Rahmen von Anlieferungen müssen Mitarbeiter der BF die Lagerräume für Lieferanten mit einem Chip aufschließen.
2. Beweiswürdigung:
2.1. Die Feststellung, dass die mitbeteiligte Partei im Zeitraum vom 11.03.2019 bis 04.02.2020 bei der BF beschäftigt war ergibt sich aus dem unstrittigen Vorbringen der Verfahrensparteien und dem vorgelegten Arbeitsvertrag. Der Zeitpunkt der Registrierung des Handvenenmusters ergibt sich aus dem Vorbringen in der mündlichen Verhandlung und den vorgelegten Beweismitteln.
2.2. Die fehlende Einrichtung eines Betriebsrats ergibt sich aus dem Vorbringen der BF vom 04.05.2022.
2.3. Die Feststellungen zu Funktion, Einsatzzweck, Identifizierungsmethode und Nutzung des Handvenenscanners gründen auf den Stellungnahmen der BF, den vorgelegten Datenschutzinformationen bzw. der Betriebsanleitung des eingesetzten Geräts und den unbestrittenen Angaben zur Nutzung des Handvenenscanners.
2.4. Die Feststellungen zu den enthaltenen Bestimmungen im Arbeitsvertrag der mitbeteiligten Partei ergeben sich aus diesem.
2.5. Die Feststellungen zum Registrierungszeitpunkt des Handvenenmusters der mitbeteiligten Partei, dem Vorgang und den dabei erteilten Informationen ergeben sich aus den Stellungnahmen der BF vom 15.12.2020 und 21.02.2021
2.6. Die Feststellungen zu der betriebenen Videoüberwachungsanlage der BF, insbesondere den Kameras Nummer 10 und 23 und dem Einsatzzweck ergeben sich aus dem Vorbringen der BF im verwaltungsbehördlichen Verfahren, dem Vorbringen in der mündlichen Verhandlung sowie der vorgelegten Meldung nach dem DSG 2000 vom 24.10.2016.
Die Änderungen des Aufnahmewinkels der Kameras und die im relevanten Zeitpunkt erfolgte Miterfassung des Arbeitsbereichs ergibt sich aus den vorliegenden Beweismitteln, insbesondere einem Vergleich der 2016 vorgelegten und der erstinstanzlich festgestellten Aufnahmebereiche.
2.7. Die Feststellung, dass die Anlage nicht zur Überwachung der Mitarbeiter der BF eingesetzt wird, ergibt sich aus deren Ausführungen im verwaltungsbehördlichen Verfahren, welche durch den BF nicht bestritten wurde.
2.8. Die Feststellung, dass eine bloß anlassbezogene Auswertung der Aufnahmen und eine maximale Speicherdauer von 72h eingehalten wird, ergibt sich aus dem glaubhaften Vorbringen der BF, wobei die mitbeteiligte Partei dies bestritt, jedoch das durchgeführte Ermittlungsverfahren keinerlei Anhaltspunkte für eine gegenteilige Annahme lieferte und entsprechende Beweise durch die mitbeteiligte Partei nicht erbracht wurden.
2.9. Die Feststellung zur (aktuellen) Kennzeichnung der Videoüberwachungsanlage ergibt sich aus der Stellungnahme der BF vom 24.02.2023 und dem vorgelegten Lichtbild.
2.10. Die Feststellung zum erteilten Leistungsauftrag der belangten Behörde ergibt sich aus dem bekämpften Bescheid.
2.11. Die BF wurde in der Verhandlung auf konkrete Schadensfälle in Zusammenhang mit dem Aufnahmebereich der strittigen Kameras angesprochen, konnte dazu aber keine konkreten Angaben machen.
3. Rechtliche Beurteilung:
3.1. Gemäß Art. 130 Abs. 1 Z 1 B-VG entscheiden die Verwaltungsgerichte über Beschwerden gegen den Bescheid einer Verwaltungsbehörde wegen Rechtswidrigkeit.
Gemäß § 6 BVwGG entscheidet das Bundesverwaltungsgericht durch Einzelrichter, sofern nicht in Bundes- oder Landesgesetzen die Entscheidung durch Senate vorgesehen ist.
Gemäß § 27 Abs. 1 DSG entscheidet das Bundesverwaltungsgericht durch Senat über Beschwerden gegen Bescheide, wegen Verletzung der Unterrichtungspflicht gemäß
§ 24 Abs. 7 leg.cit. und der Entscheidungspflicht der Datenschutzbehörde. Gemäß § 27 Abs. 2 erster Satz DSG besteht der Senat aus einem Vorsitzenden und je einem fachkundigen Laienrichter aus dem Kreis der Arbeitgeber und aus dem Kreis der Arbeitnehmer. Gegenständlich liegt somit Senatszuständigkeit vor.
Das Verfahren der Verwaltungsgerichte mit Ausnahme des Bundesfinanzgerichtes ist durch das VwGVG, BGBl. I Nr. 33/2013, geregelt (§ 1 leg.cit.). Gemäß § 59 Abs. 2 VwGVG bleiben entgegenstehende Bestimmungen, die zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bereits kundgemacht wurden, in Kraft.
Gemäß § 17 VwGVG sind, soweit in diesem Bundesgesetz nicht anderes bestimmt ist, auf das Verfahren über Beschwerden gemäß Art. 130 Abs. 1 B-VG die Bestimmungen des AVG mit Ausnahme der §§ 1 bis 5 sowie des IV. Teiles, die Bestimmungen der Bundesabgabenordnung – BAO, BGBl. Nr. 194/1961, des Agrarverfahrensgesetzes – AgrVG, BGBl. Nr. 173/1950, und des Dienstrechtsverfahrensgesetzes 1984 – DVG, BGBl. Nr. 29/1984, und im Übrigen jene verfahrensrechtlichen Bestimmungen in Bundes- oder Landesgesetzen sinngemäß anzuwenden, die die Behörde in dem dem Verfahren vor dem Verwaltungsgericht vorangegangenen Verfahren angewendet hat oder anzuwenden gehabt hätte.
Zu A)
3.1.1. Die maßgeblichen Bestimmungen der DSGVO lauten auszugsweise:
Art. 4 – Begriffsbestimmungen:
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
(…)
14. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;
(…)
Art. 5 DSGVO – Grundsätze für die Verarbeitung personenbezogener Daten:
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Art. 6 DSGVO – Rechtmäßigkeit der Verarbeitung:
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
(…)
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
(…)
Art. 7 DSGVO- Bedingungen für die Einwilligung:
(…)
(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
Art. 9 DSGVO - Verarbeitung besonderer Kategorien personenbezogener Daten:
(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
(2) Absatz 1 gilt nicht in folgenden Fällen:
a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
(…)
Art. 13 DSGVO - Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person:
(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
(…)
3.1.2. Die maßgebliche Bestimmung des DSG lautet auszugsweise:
§ 1 DSG – Grundrecht auf Datenschutz:
(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2 )Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
(…)
3.1.3. Die maßgebliche Bestimmung des AVRAG lautet:
§ 10 AVRAG – Kontrollmaßnahmen:
(1) Die Einführung und Verwendung von Kontrollmaßnahmen und technischen Systemen, welche die Menschenwürde berühren, ist unzulässig, es sei denn, diese Maßnahmen werden durch eine Betriebsvereinbarung im Sinne des § 96 Abs. 1 Z 3 ArbVG geregelt oder erfolgen in Betrieben, in denen kein Betriebsrat eingerichtet ist, mit Zustimmung des Arbeitnehmers.
(2) Die Zustimmung des Arbeitnehmers kann, sofern keine schriftliche Vereinbarung mit dem Arbeitgeber über deren Dauer vorliegt, jederzeit ohne Einhaltung einer Frist schriftlich gekündigt werden.
3.2. Anwendung auf den konkreten Sachverhalt:
3.2.1. Spruchpunkt 1a des bekämpften Bescheides:
Wie in Art 6 Abs 1 lit a ist der erste Zulässigkeitstatbestand die Einwilligung in die Verarbeitung von (sensiblen) personenbezogenen Daten für einen oder mehrere festgelegte Zwecke. Allerdings muss die Einwilligung in Art 9 Abs 2 lit a ausdrücklich erfolgen, wodurch eine konkludente (schlüssige) Einwilligung ausgeschlossen wird. Der Begriff „ausdrücklich“ bezieht sich dabei auf die Art und Weise, in der die Zustimmung der betroffenen Person zum Ausdruck gebracht wird. Der offensichtlichste Weg, um sicherzustellen, dass die Einwilligung ausdrücklich ist, wäre die Einwilligung in Form einer schriftlichen Erklärung (zB durch Ankreuzen einer Checkbox bei vorformulierten Einwilligungserklärungen). Um jeden Zweifel auszuräumen, kommt auch die Einholung einer Unterschrift der betroffenen Person infrage. (Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 9 Rz 31 DSGVO (Stand 7.5.2020, rdb.at))
Art 7 Abs 4 normiert ein sog allgemeines (dh nicht auf punktuelle sektorale Regelungen eingeschränktes) Kopplungsverbot als besondere Ausprägung des Merkmals der Freiwilligkeit, wonach eine Einwilligung ua freiwillig erteilt werden muss. Zweck des Kopplungsverbots ist der Schutz der freien Willensbetätigung des Betroffenen im Rahmen einer Einwilligung, womit eine faktisch erzwungene Einwilligungserteilung (die ua beim Vorliegen eines „klaren Ungleichgewichts“ zwischen Betroffenem und Verantwortlichem vorliegen kann, aber nicht muss) verhindert werden soll. Dadurch kann im Ergebnis ein Eingriff in die Vertragsfreiheit (Privatautonomie) erfolgen. Eine Einwilligung soll also dann nicht freiwillig erteilt sein, wenn die betroffene Person faktisch keine andere Wahl hat, als der Datenverarbeitung zuzustimmen, um in den Genuss einer Dienstleistung oder einer anderen vertraglichen Leistung zu kommen. Art 7 Abs 4 normiert nunmehr, dass „bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, dem Umstand in größtmöglichem Umfang Rechnung getragen werden muss, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich ist“. Demgegenüber lässt Art 7 Abs 4 durch die Hervorhebung der Abwägung hinsichtlich der Beurteilung im Einzelfall, ob die Einwilligung freiwillig erteilt worden ist (arg „muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden“) einen Auslegungsspielraum. (Kastelitz in Knyrim, DatKomm Art 7 Rz 33-24 DSGVO (Stand 7.5.2020, rdb.at))
Der OGH kam in bislang zwei E zum Ergebnis, dass nach der DSGVO strenge Anforderungen an die Beurteilung der „Freiwilligkeit“ zu stellen sind. Bei der Kopplung der Einwilligung zu einer Verarbeitung vertragsunabhängiger personenbezogener Daten mit einem Vertragsschluss sei grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolge, wenn nicht im Einzelfall besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprächen. (Kastelitz in Knyrim, DatKomm Art 7 Rz 34/1 DSGVO (Stand 7.5.2020, rdb.at))
Im Allgemeinen schreibt die DSGVO vor, dass eine Einwilligung nicht gültig ist, wenn die betroffene Person keine wirkliche Wahl hat, sich zur Einwilligung gedrängt fühlt oder negative Auswirkungen erdulden muss, wenn sie nicht einwilligt. Auch im Beschäftigungskontext tritt ein Ungleichgewicht der Macht auf. Angesichts der Abhängigkeit, die sich aus dem Verhältnis Arbeitgeber/Arbeitnehmer ergibt, ist es unwahrscheinlich, dass die betroffene Person ihrem Arbeitgeber die Einwilligung in die Datenverarbeitung verweigern kann, ohne Angst zu haben oder wirklich Gefahr zu laufen, dass diese Weigerung zu Nachteilen führt. Es ist unwahrscheinlich, dass ein Arbeitnehmer frei auf ein Ersuchen seines Arbeitgebers um Einwilligung beispielsweise in die Aktivierung von Überwachungssystemen wie einer Kameraüberwachung des Arbeitsplatzes oder das Ausfüllen von Bewertungsformularen antworten kann, ohne sich gedrängt zu fühlen, die Einwilligung zu erteilen. Deshalb sieht es der EDSA als problematisch an, wenn Arbeitgeber die personenbezogenen Daten ihrer derzeitigen oder zukünftigen Arbeitnehmer auf der Grundlage der Einwilligung verarbeiten, da es unwahrscheinlich ist, dass diese freiwillig erteilt wurde. (EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 Rz 13, 21, https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_de.pdf)
Auf Basis dieser Ausführungen ist zur Frage der ausdrücklichen und freiwilligen Einwilligung in die Verarbeitung von sensiblen Daten folgendes zu erörtern:
Kontrollmaßnahmen und technische Systeme im Beschäftigungskontext, welche die Menschenwürde berühren, erfordern neben den Vorgaben der DSGVO auch gemäß § 10 AVRAG die Zustimmung jedes einzelnen Mitarbeiters für dessen Einführung und Verwendung, wenn kein Betriebsrat eingerichtet ist. Ein solches System liegt nicht vor, da der eindeutige Zweck des Systems in der reinen Abzeichnung der Arbeitszeitaufzeichnungen und Einsichtnahme in Vertragsunterlagen liegt, ohne dies händisch unter Vorweisung eines Identitätsnachweises durchführen zu müssen. Weitreichendere Eingriffe in die persönliche Integrität der Arbeitnehmer sind nicht ersichtlich, so handelt es sich gerade nicht um ein „Arbeitszeiterfassungssystem“ (Binder/Mair in Binder/Burger/Mair, AVRAG3 § 10 Rz 7(Stand 1.1.2017, rdb.at).
Der sachliche Anwendungsbereich der DSGVO erfasst u.a. die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten. Entgegen dem erstmaligen Vorbringen der BF keine personenbezogenen Daten zu verarbeiten, hat die belangte Behörde korrekt dargelegt, dass bei Registrierung jedenfalls ein Bild des Handvenenmusters durch das Gerät des Verantwortlichen erfasst und daher verarbeitet wird (Art. 4 Z 2 DSGVO). Es handelt sich um ein physiologisches Merkmal einer Person, welche durch dieses eindeutig identifiziert werden kann. Dieses zählt zu den biometrischen (Art. 4 Z 14 DSGVO) bzw. „sensible“ (Art. 9 Abs. 1 DSGVO) Daten, welche besonders geschützte personenbezogene Daten darstellen. Ob im Zeitalter der Digitalisierung die zweifache Verschlüsselung eines Handvenenmusters durch Umwandlung in einen „Hash-Wert“ tatsächlich zum Entfall des Personenbezugs führt, kann daher dahingestellt bleiben.
Voraussetzung für die Verarbeitung von „sensiblen“ Daten im Sinne des Art. 9 DSGVO ist die Erfüllung eines Ausnahmetatbestandes des Abs. 2, hier konkret Art. 9 Abs. 2 lit a DSGVO. Die „ausdrückliche Einwilligung“ setzt nach oben dargestellter Rechtslage voraus, dass diese freiwillig, für einen bestimmten Fall, in informierter Weise, unmissverständlich und frei von Vertragskopplungen abgegeben wird. Sowohl die Leitlinien der EDSA, als auch die Rechtsprechung des OGH legen eine sehr restriktive Auslegung des Kriteriums „Freiwilligkeit“ im Beschäftigungskontext nahe, da das Machtungleichgewicht in diesen Fällen besonders hervortritt. Ein solches Machtungleichgewicht liegt eindeutig vor, da gegenständlich eine renommierte Restaurantkette einem „Jungkoch“ gegenübersteht. Soweit vorgebracht wird, dass nach Vertragsabschluss, dem Ende der Probezeit beziehungsweise der Befristung keine Drucksituation oder Ängste der mitbeteiligten Partei mehr vorliegen konnten, ist darauf hinzuweisen, dass im Rahmen einer restriktiven Auslegung des Einwilligungstatbestandes einer Einwilligung, die kurz nach dem Ablauf des ersten Monats des Arbeitsverhältnisses (und der Probezeit) erfolgte, nicht von einem Wegfall der Drucksituation ausgegangen werden kann. Ein Arbeitnehmer kann nicht davon ausgehen, sich nach einem Monat bereits so bewährt zu haben, dass die Verweigerung einer so aktiv vom Dienstgeber an ihn herangetragenen Zustimmungserklärung keine nachteiligen Folgen für ihn haben würde.
Es kann somit nicht ausgeschlossen werden, dass die mitbeteiligte Partei ihre Einwilligung am 15.04.2019 nur abgab, da sie befürchtete, dass bei Verweigerung eine umgehende oder zumindest rasche Beendigung des Dienstverhältnisses zu erwarten wäre.
Es muss jedoch im Rahmen einer Einfallabwägung beurteilt werden, ob die ergriffenen Maßnahmen der BF, insbesondere die Hinweise, Informationen und Abläufe am Terminal ausreichen, um die aufgezeigten Probleme auszuschließen. Dies ist jedoch nicht der Fall. Die vulnerable Situation des Arbeitnehmers in der Probezeit (und auch den unmittelbar folgenden Tagen) rechtfertigt schon grundsätzlich die restriktive Auslegung der „Freiwilligkeit“. Zudem reichen die getroffenen Maßnahmen der BF nicht aus, dass eine „echte Wahl“ in dem Sinne vorliegt, dass etwaige Ängste vor negativen Folgen ausgeschlossen oder zumindest weitgehend beseitigt sind.
Insbesondere wirken hier die kurze Probezeit, das Fehlen eines Betriebsrates und die Abgabe der Erklärung in den Räumlichkeiten der Personalabteilung hinsichtlich der Annahme einer Freiwilligkeit einschränkend. Dazu kommt, dass bereits der Arbeitsvertrag eine grundsätzliche „Zustimmung“ zur Nutzung des Scanners enthält. Auch eine explizite Information über das Terminal, dass solche Folgen nicht zu erwarten sind, stellt mit Blick auf die Natur des Arbeitsverhältnisses, das Machtungleichgewicht und die Dauer des Arbeitsverhältnisses keine ausreichende Garantie dar. Dies nicht zuletzt aufgrund der zuvor angeführten Umstände. Eine rechtskonforme Einwilligung liegt somit nicht vor.
Soweit die BF bestreitet, im Dienstvertrag eine Koppelung vorgesehen zu haben, und Punkt 27 des Arbeitsvertrages als eine Einwilligung im Sinne des § 10 AVRAG bezeichnet, ist dem zu entgegnen, dass aufgrund des Wortlauts sowie dem wechselnden Vorbringen der BF betreffend die Natur der Klausel begründete Zweifel am wahren Zweck dieser Vertragspassage bestehen. Dies insbesondere angesichts der zunächst vorgebrachten Ansicht, dass eine Zustimmung nach § 10 AVRAG ohnehin nicht erforderlich sei. Nicht zu übersehen ist die teilweise idente Ausdrucksweise zwischen der Vertragsbestimmung und § 10 AVRAG. Jedoch erschließt sich mit dieser Behauptung nicht das Verhalten der BF im verwaltungsbehördlichen Verfahren, wenn sie an mehreren Stellen vorbrachte, dass es sich u.a. dabei um eine datenschutzrechtliche Einwilligungserklärung (Stellungnahme 15.12.2020) handeln soll oder die Zustimmung am Terminal (auch) eine Zustimmung im Sinne des § 10 AVRAG darstelle (Stellungnahme 04.05.2022). Darüber hinaus ist nicht klar, wieso die entsprechende Regelung die Überschrift „Biometrische Erfassung“ trägt und in einem zweiten Satz auf die Löschung der biometrischen Daten nach Ausscheiden aus dem Dienstverhältnis hingewiesen wird. Auch enthält die Regelung keine Nennung von gesetzlichen Grundlagen. Zusätzlich fehlt der Einholung einer Zustimmung, welche nach dem eigenen Vorbringen der BF aus ihrer Sicht nie erforderlich war, die Schlüssigkeit. Dies umso mehr, wenn nach dem Vorbringen der BF später ohnedies noch eine gänzlich freiwillige Zustimmungserklärung eingeholt werden soll/muss.
Insofern ging die belangte Behörde zu Recht davon aus, dass eine problemlose Ablehnung der Zustimmung am 15.04.2019 in Anbetracht der Tatsache, dass die Verwendung des Handvenenscanners explizit Bestandteil des Arbeitsvertrages vom 04.03.2019 wurde, für die mitbeteiligte Partei nicht möglich war. Somit entsprach die Abgabe der Einwilligung am Terminal erneut nicht dem Kriterium der Freiwilligkeit.
3.2.2. Spruchpunkt 1b des bekämpften Bescheides
Unionsrechtliche Grundlagen: Die nunmehrige Spruchpraxis der DSB wendet die §§ 12, 13, die sich speziell mit der Bildverarbeitung befassen, nicht mehr (unmittelbar) an. Das liegt daran, dass nach inzwischen gefestigter Ansicht diese Bestimmungen mangels einer Öffnungsklausel aus unionsrechtlichen Gründen unangewendet bleiben; ebenso BVwG 25.11.2019, W211 2210458-1 [Kebab-Stand]. Diese Spruchpraxis beschränkt damit die Rechtmäßigkeitsprüfung von Bildverarbeitungen auf Art 5 und 6 DSGVO. (Thiele/Wagner, Praxiskommentar zum Datenschutzgesetz (DSG)2 § 12 Rz 128 (Stand 1.2.2022, rdb.at))
Anderes gilt für den Fall des § 12 Abs 4 Z 2. Das diesbezügliche Verbot kann auf die spezifische Ermächtigung aus Art 88 Abs 1 iVm Art 6 Abs 1 DSGVO zum Erlass spezifischer Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext gestützt werden. (Kunnert in Bresich/Dopplinger/Dörnhöfer/Kunnert/Riedl, DSG § 12 Rz 21 (Stand 12.6.2018, rdb.at))
Nach § 12 Abs 4 Z 2 DSG 2018 ist die Bildaufnahme zum Zweck der Kontrolle von AN unzulässig. Die DSGVO sieht keine speziellen Regelungen zu Bildaufnahmen vor. Demnach gibt es auch keine spezielle Öffnungsklausel für Bildaufnahmen. Im konkreten Fall ist die Einschränkung/das Verbot zulässig, weil sich dieses ausschließlich auf das Arbeitsrecht bezieht und nach Art 88 DSGVO für den Bereich des Arbeitsrechts eine Öffnungsklausel besteht. Nach dem Wortlaut soll die Überwachung für Zwecke der Kontrolle von AN verboten sein. Fraglich ist, wie diese Formulierung zu interpretieren ist. Nach den Materialien zur DSG-Novelle 2010 zielt dieses Verbot auf die Leistungskontrolle von Mitarbeitern ab, dh, Videoüberwachung darf nicht intentional dazu eingesetzt werden, die Vertragserfüllung zu überwachen (zB ist es daher verboten, Videokameras für Anwesenheitskontrollen oder zur Überprüfung der Einhaltung der Arbeitszeit einzusetzen). (Grünanger in Grünanger/Goricnik, Arbeitnehmer-Datenschutz und Mitarbeiterkontrolle2 Kap. 5 Rz 5.44-5.46 (Stand 1.11.2018, rdb.at))
Im Ergebnis wird man von einem Berühren der Menschenwürde jedenfalls dann ausgehen können, wenn AN während dem Großteil ihrer Arbeitszeit vom Radius einer Kamera erfasst sind, ohne dem ausweichen zu können (zB Kassier in einer Bank, Kassabereich in einem Supermarkt, Tankstellen). Eine Ausnahme kann hier nur dann gegeben sein, wenn der AG keinen Zugriff auf die Bilddaten hat und eine Auswertung nur im Anlassfall erfolgt. Kommen AN nur selten und eher zufällig als Nebenprodukt in den Einsatzbereich einer Kamera, wird man ein Berühren ausschließen können (zB Verladebereiche, Zugang zu geschützten Bereichen), weil hier keine überschießende Kontrolle vorliegt. Zum Beispiel: Verletzung der Menschenwürde: Permanente Überwachung von AN ohne Ausweichmöglichkeiten, Überwachung von sensiblen Bereichen (zB WC, Umkleide, Zugang zu WC etc), Berühren der Menschenwürde: durch ein Kamerasystem mit mehreren Kameras sind dieselben AN (zB AN sind in mehreren Betriebsbereichen tätig) während dem Großteil ihrer Arbeitszeit von Aufnahmen erfasst, Kein Berühren der Menschenwürde: AN kommen nur selten und zufällig in den Aufnahmebereich einer Kamera (zB Verladebereiche, Zugang zu geschützten Bereichen, Zugänge und Zufahrten). (Grünanger in Grünanger/Goricnik, Arbeitnehmer-Datenschutz und Mitarbeiterkontrolle2 Kap. 5 Rz 5.88 (Stand 1.11.2018, rdb.at))
Der EuGH hat zur inhaltlich weitgehend übereinstimmenden Vorgängerbestimmung (Art 7 lit f DS-RL) ein „Prüfschema“ vorgegeben, wonach die Verarbeitung personenbezogener Daten unter drei kumulativen Voraussetzungen zulässig ist:
1. Vorliegen eines berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw den Dritten wahrgenommen wird, denen die Daten übermittelt werden,
2. Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses und
3. kein Überwiegen der Grundrechte und Grundfreiheiten der betroffenen Person.
Berechtigte Interessen sind weit zu verstehen, es kann grds jedes von der Rechtsordnung gebilligte Interesse sein. Das Rechtmäßigkeitserfordernis dient dabei als grober Filter. Die ErwGr enthalten einige Beispiele, in denen berechtigte Interessen vorliegen (können): Anzeige strafrechtlich relevanter Sachverhalte inklusive Bedrohungen der öffentlichen Sicherheit, außer die Verarbeitung ist mit einer rechtlichen, beruflichen oder sonstigen verbindlichen Pflicht zur Geheimhaltung unvereinbar (ErwGr 50 S 9).Auch Art 9 Abs 2 enthält in einigen Tatbeständen berechtigte Interessen, die als Zulässigkeitstatbestand für die Verarbeitung sensibler Daten infrage kommen. Im Sinne eines Größenschlusses folgt daraus, dass diese Interessen die Verarbeitung „normaler“ Daten erst recht rechtfertigen können. Anzuführen ist hier insb Art 9 Abs 2 lit f leg cit (die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich). (Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 6 DSGVO Rz 51, 54 (Stand 7.5.2020, rdb.at))
Unbestritten ist, dass es sich bei der Videoüberwachungsanlage um die Verarbeitung von personenbezogenen Daten handelt und der Anwendungsbereich der DSGVO eröffnet ist, da die Identifizierbarkeit durch den Verantwortlichen aufgrund von Dienstplänen und Arbeitsplatz gegeben ist. Nach gefestigten Rechtsprechung sind die § 12 und 13 DSG, mangels Öffnungsklausel nicht anwendbar und eine Datenverarbeitung anhand Art. 6 Abs. 1 lit f DSGVO zu beurteilen (vgl. Erkenntnis des BVwG vom 25. November 2019, GZ: W211 2210458-1). Es handelt sich bei den gegenständlichen Videoaufnahmen und auch grundsätzlich bei Videoüberwachungen nicht um „sensible“ Daten im Sinne des Art. 9 Abs. 1 DSGVO (ErwGr 51). Eine Zulässigkeitsprüfung ist daher anhand von Art. 6 Abs. 1 lit f DSGVO vorzunehmen.
Wie im Fall des Handvenenscanners ist auch hier zu fragen, ob das Videoüberwachungssystem die Menschwürde der Arbeitnehmer berührt. Wie den rechtlichen Ausführungen entnommen werden kann, ist dies nicht der Fall, da sich die Arbeitnehmer nicht überwiegend im Blickfeld der Kamera aufhalten, keine sensiblen Bereiche überwacht werden und die Einsichtnahme in die Aufzeichnungen nur im Anlassfall erfolgt. Die mitbeteiligte Partei verrichtete ihre Arbeit nicht überwiegend in der Vorbereitungsküche, welche auch nur teilweise überwacht ist. Sie konnte weitgehend nach freiem Ermessen in die (nicht überwachte) Hauptküche wechseln. Eine Zustimmung nach § 10 AVRAG war daher nicht erforderlich.
Als erste Voraussetzung verlangt Art. 6 Abs. 1 lit f ein berechtigtes Interesse des Verantwortlichen an der Datenverarbeitung. Dieses zeigt sich im gegenständlichen Fall, wie von der BF vorgebracht, in der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, Sicherheit des eigenen Personals / der Gäste / des Eigentums und der Anzeige von sonstigen strafrechtlich relevanten Sachverhalten. So dient die Kamera „Zulieferungs-/Entsorgungsweg“ insbesondere dem Schutz der Lebensmittel in den Kühlzellen sowie der Dokumentation von Schäden im Rahmen von Anlieferungen und die Kamera „Vorbereitungsküche“ der Identifizierung der Fluchtrichtung möglicher Täter. In beiden Fällen soll möglichst das Gesicht von Tatverdächtigen erkannt werden. In allen Fällen besteht ein grundsätzlich berechtigtes Interesse des Verantwortlichen.
In einem zweiten Schritt ist die Erforderlichkeit der Datenverarbeitung zu überprüfen. Dies bedeutet, dass die Verarbeitung auf das absolut Notwendigste beschränkt sein muss. (EuGH 04.05.2017, C‑13/16 (Rīgas satiksme)) und nach Möglichkeit ein weniger eingriffsintensives Mittel zu verwenden ist. (VwGH 12.09.2016, Ro 2015/04/0011) Dabei sind die Verarbeitungsgrundsätze des Art. 5 DSGVO, insbesondere der Grundsatz der Datenminimierung einzuhalten.
Soweit die Kamera „Vorbereitungsküche“ dazu dient, den Fluchtweg von Tatverdächtigen nachzuverfolgen und die Chance auf verwertbare Bilder zu erhöhen, ist dem zu entgegnen, dass die BF in ihrem Lokal 29 Kameras betreibt, davon ein Großteil im Untergeschoß. So ist bereits ein Großteil der Ein- und Ausgänge videoüberwacht und erfasst die in Frage stehende Kamera nur zu einem äußerst geringen Teil Türen bzw. den anschließenden Weg. Zum Erreichen des angegebenen berechtigten Interesses ist diese nicht erforderlich. So wäre es ausreichend einzig und allein die Zutrittspunkt durch Bildaufnahmen zu kontrollieren (z.B. von außen, auf der anderen Seite der Türe, ohne Sicht in die Küche). Gerade beim Verlassen eines Raumes könnte auf diese Art und Weise effizienter eine Aufnahme des Gesichts allfälliger Täter angefertigt werden. Ein Betrieb dieser Kamera ist daher nicht erforderlich.
Die Kamera „Zulieferungsweg-/Entsorgungsweg“ dient zusammengefasst der Geltendmachung und Verteidigung von Rechtsansprüchen, insbesondere gegenüber Schäden im Rahmen von Anlieferungen/ Entsorgungen, dem Schutz der Kühlzellen, dem Schutz teurer Geräte und der Verhütung von Straftaten. Dabei übersieht die BF, dass jede Kühlzelle bereits mit einer eigenen Kamera ausgestattet ist, eine zweite Kamera den fraglichen Gang zusätzlich überwacht und zum Schutz der Geräte gelindere Maßnahmen ausreichen würden. So kann z.B. die Installierung eines, am Boden verschraubten, Schutzblechs die Geräte vor Kollisionen mit schweren Lieferwägen schützen. Auch gab die BF an, dass Zulieferer ohnehin über keinen freien Zugang zu den zu den Kühlzellen verfügen. Ein Arbeitnehmer der BF müsse diese begleiten und die entsprechenden Räumlichkeiten aufschließen. Zur Kontrolle der Zutrittspunkte und Erkennen der Gesichter von allfälligen Tatverdächtigen ist auf die oben gemachten Ausführungen zu verweisen. Es ist zur Erreichung der Interessen der BF nicht erforderlich, diese Kamera zu betreiben.
Insofern ist die Verletzung im Recht auf Geheimhaltung durch die Kameras 10 und 23 festzustellen.
Soweit die BF behauptet in ihrem verfassungsgesetzlich gewährleisteten Recht auf Gleichheit verletzt zu sein, ist zu entgegnen, dass die vorgebrachten Bedenken keine Verletzung des Gleichheitsgrundsatzes darstellen können. So garantiert der Vertrauensgrundsatz den Bürgern Schutz vor überraschenden und nicht vorhersehbaren Gesetzesänderungen. Dabei kann dieser Schutz in drei Bereiche eingeteilt werden: Dem Schutz vor rückwirkenden Gesetzen, dem Schutz einer rechtlichen Anwartschaft und dem begrenzten Schutz von begründeten Erwartungshaltungen. (Berka, Verfassungsrecht7, Grundzüge des österreichischen Verfassungsrechts, Rz 1686ff)
Diese Tatbestände liegen nicht vor und richten sich zudem ausschließlich gegen den Gesetzgeber. Die Bindung der Vollziehung an den Gleichheitsgrundsatz manifestiert sich in den Tatbeständen der Anwendung eines gleichheitswidrigen Gesetzes, der Unterstellung eines gleichheitswidrigen Inhalts oder der Übung von Willkür. Objektive Willkür liegt insbesondere bei einer gehäuften Verkennung der Rechtslage oder gravierenden Verfahrensfehlern vor. Man spricht auch von „denkunmöglicher Rechtsanwendung“. (Berka, Verfassungsrecht7, Grundzüge des österreichischen Verfassungsrechts, Rz 1694ff)
Das gegenständliche Verfahren lieferte keine dahingehenden Anhaltspunkte. Sogar die BF brachte vor, dass ihr bewusst sei, dass sie sich nicht auf die „Genehmigung“ auf Basis der alten Rechtslage verlassen dürfe und monierte lediglich eine fehlende Begründung betreffend das Abgehen der Behörde von der alten Rechtslage. Die belangte Behörde stellte in ihrem Bescheid allerdings ausführlich die aktuelle Rechtslage und die durchgeführten Prüfschritte dar. Eine diesbezüglich erfolgte Willkür ist nicht ersichtlich, zumal festgestellt wurde, dass mittlerweile auch ein größerer Ausschnitt der Räumlichkeiten durch die Kameras 10 und 23 erfasst wurde. Die Verwaltungsbehörden und Verwaltungsgerichte haben die im Zeitpunkt der Entscheidung gegebene Sach- und Rechtslage anzuwenden, soweit keine anderslautenden Übergangsregelungen bestehen (siehe dazu VwGH 25.04.2019, Ra 2018/22/0059; 06.12.2018, Ra 2018/02/0318). Derartige Übergangsregeln liegen hier jedoch nicht vor.
3.2.3. Spruchpunkt 2 des bekämpften Bescheides
Nach stRsp des VwGH muss der Spruch eines Bescheides, mit dem der Partei eine Verpflichtung auferlegt wird, zum einen so bestimmt gefasst sein, dass dem Bescheidadressaten die überprüfbare Möglichkeit gegeben wird, dem Leistungsauftrag zu entsprechen (VwGH 21. 10. 1999, 99/07/0080; 24. 11. 2003, 2002/10/0049; VwSlg 17.589 A/2008; VwGH 8. 4. 2014, 2012/05/0113). Zum anderen bedeutet die von § 59 Abs. 1 AVG für Leistungsbefehle geforderte Deutlichkeit eine Bestimmtheit – und nicht bloß Bestimmbarkeit– in dem Sinn, dass ohne weiteres Ermittlungsverfahren und neuerliche Entscheidung eine Vollstreckungsverfügung nach dem VVG (VwGH 25. 4. 1988, 88/12/0048), insb (vgl aber auch § 5 Abs 1 VVG) im Rahmen einer allfälligen, ihrem Umfang nach deutlich abgegrenzten Ersatzvornahme ergehen kann. Nach der Jud des VwGH dürfen aber selbst die Anforderungen an den Spruch von Leistungsbescheiden ieS nicht überspannt werden (VwGH 24. 4. 1995, 93/10/0035; 22. 2. 2001, 2000/07/0254; 31. 3. 2009, 2007/10/0301). Dem Gesetzgeber kann weder unterstellt werden, er habe die Behörde verhalten wollen, in einem Bescheid alle nur möglichen Details anzuführen, noch, er habe eine ausführliche Umschreibung von Sachverhalten gefordert, die schon durch eine kurze Umschreibung für die Behörde und ihre Sachverständigen auf der einen und die Bescheidadressaten (unmittelbar oder über die von ihnen bei der Bescheidumsetzung beizuziehenden Fachleute) auf der anderen Seite einen objektiv erkennbaren eindeutigen Inhalt haben. Dem Bestimmtheitsgebot des § 59 Abs 1 AVG wird durch eine Verweisung aber nur dann entsprochen, wenn zum einen der Bescheidspruch den Akt der Integrierung unzweifelhaft klarstellt, also exakt erkennbar ist, was durch die mit dem Verweis bewirkte Rezeption Teil des Spruchs wird (VwGH 23. 6. 1994, 92/06/0239; 20. 5. 2015, Ra 2015/04/0033; 27. 4. 2017, Ra 2015/07/0067) (Hengstschläger/Leeb, AVG § 59 Rz 90-95 (Stand 1.3.2023, rdb.at))
Nach diesen Ausführungen ist der von der belangten Behörde formulierte Leistungsauftrag auf seine Bestimmtheit bzw. Vollstreckbarkeit zu überprüfen. Kern des Spruchs ist die sofortige Untersagung der Datenverarbeitung mittels der eindeutig bezeichneten Kameras in der den Sachverhaltsfeststellungen zugrundeliegenden Form. Der Leistungsauftrag ist hinreichend bestimmt, da einerseits das tatsächliche Entsprechen der BF überprüft werden kann und für eine (hypothetische) Vollstreckbarkeit kein erneutes (Ermittlungs)Verfahren erforderlich ist. So spezifiziert der Leistungsauftrag bereits, dass eine Datenverarbeitung durch die beiden bezeichneten Kameras mit sofortiger Wirkung untersagt ist und verweist zum Umfang der konkreten Situation auf die zu den beiden Kameras getroffenen Sachverhaltsfeststellungen, welche sowohl Bilder der erfassten Aufnahmebereiche, als auch eine verbale Beschreibung „Vorbereitungsküche“ und „Zulieferungs-/Entsorgungsweg“ enthalten. Dabei handelt es sich unzweifelhaft um einen Teil des Spruchs. Eine Untersagung einer Datenverarbeitung, erfordert nach objektiven Gesichtspunkten dessen Einstellung bis zu einem Punkt, an welchem keine Verarbeitungsvorgänge mehr stattfinden. Bei elektronischen Geräten (Videokameras), deren Zweck einzig und allein in der Verarbeitung von Bildern besteht, kann dies nur durch das Ausschalten oder Trennen des Geräts von der Stromversorgung erfolgen, solange der festgestellte Aufnahmebereich ersichtlich ist. Der Leistungsauftrag erfüllt daher die Anforderungen an die Bestimmtheit des Spruchs.
Eine gelindere Abhilfemaßnahme war nicht zu wählen, da mangels Erforderlichkeit der Kameras, eine vollständige Verpixelung des Aufnahmebereichs keine gleichwertige Maßnahme darstellt und insofern auch keine Interessenabwägung durchzuführen war.
3.2.4. Spruchpunkt 3 des bekämpften Bescheides
Wenn das Verwaltungsgericht in der Sache selbst entscheidet, hat es seine Entscheidung an der zum Zeitpunkt seiner Entscheidung maßgeblichen Sach- und Rechtslage auszurichten, soweit gesetzlich nicht explizit Anderes angeordnet ist (VwGH 30.6.2015, Ra 2015/03/0022; 10.11.2015, Ro 2015/19/0001); allfällige Änderungen des maßgeblichen Sachverhalts und der Rechtslage seit der Erlassung des angefochtenen Bescheides sind zu berücksichtigen (VwGH 9.9.2015, Ro 2015/03/0032), gleichzeitig bildet aber die behördliche Entscheidungsbefugnis die Grenze der Sachentscheidungskompetenz gemäß § 28 Abs 1 VwGVG (VwGH 16.11.2015, Ra 2015/12/0044; 16.9.2015, Ra 2015/22/0082; 14.8.2015, Ra 2015/03/0025). (Grof in Raschauer/Wessely (Hrsg), VwGVG § 28 (Stand 31.3.2018, rdb.at))
Als mögliche Lösung dieses Spannungsverhältnisses bzw als „best practice“ ist das bereits in anderen Empfehlungen der Artikel-29-Datenschutzgruppe zitierte „layered privacy statement“, eine Mehrebenen-Datenschutzerklärung, zu nennen. Auf der ersten Ebene soll der betroffenen Person ein klarer Überblick über die Informationen geboten werden, die bezüglich der Verarbeitung ihrer personenbezogenen Daten zur Verfügung stehen. Gleichzeitig sollen hier Hinweise gesetzt sein, wo weitere detailliertere Informationen zu finden sind, also deutliche Verweise auf die weiteren Ebenen der Datenschutzerklärung. Konkret auf Art 13 und 14 bezogen soll diese erste Ebene nach Ansicht der Artikel-29-Datenschutzgruppe in erster Linie Einzelheiten zu den Verarbeitungszwecken, die Identität des Verantwortlichen und die Existenz der Rechte der betroffenen Person enthalten, ergänzt um Informationen über die größten Auswirkungen der Verarbeitung und jene Verarbeitungen, mit denen die betroffene Person nicht rechnet. (Illibauer in Knyrim, DatKomm Art 12 Rz 37-37/1 DSGVO (Stand 1.12.2021, rdb.at))
Im Rahmen des Beschwerdeverfahrens nahm die belangte Behörde ihre Befugnis war, aufgrund des Anlassfalles, die im Eingangsbereich der Betriebsstätte vorgenommene Kennzeichnung der Videoüberwachungsanlage zu überprüfen und erteilte einen dahingehenden Leistungsauftrag, diese geeignet zu kennzeichnen. Aus der Stellungnahme der BF vom 24.02.2023, insbesondere dem vorgelegten Lichtbild, geht hervor, dass die Kennzeichnung der Videoüberwachungsanlage geändert wurde. Dies wurde von der Behörde nicht bestritten.
Das Verwaltungsgericht hat in seine Entscheidung alle Veränderungen bis zum Zeitpunkt der Erkenntniserlassung miteinzubeziehen und daher die neue Kennzeichnung einer Überprüfung im Sinne der Art. 12 und 13 DSGVO zu unterziehen. Die neue Kennzeichnung informiert nun in einer ersten Ebene in verständlicher, transparenter und gedrängter Darstellung über die essenziellen Informationen des Art. 13 Abs. 1 DSGVO. Ein Piktogramm weist auf die Videoüberwachung hin und enthält der Aushang einen QR-Code bzw. eine Webadresse, welche zu den umfassenden Datenschutzinformationen (zweite Ebene) führt. Die Empfehlung der EDSA nennt, beispielhaft, dass die Beschilderung „etwa in Augenhöhe“ anzubringen ist, damit diese gut lesbar ist. Auch diesem Umstand wird mit der belegten Anbringung entsprochen.
Somit war der genannte Spruchpunkt aufzuheben.
Zu B) Zulässigkeit der Revision:
Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Weder weicht die gegenständliche Entscheidung von der bisherigen Rechtsprechung des Verwaltungsgerichtshofes ab, noch fehlt es an einer Rechtsprechung; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen. Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor.