Spruch
W298 2284627-1/11E
Im namen der republik
Das Bundesverwaltungsgericht hat durch den Richter Mag. Mathias VEIGL als Vorsitzenden und die fachkundigen Laienrichter Mag. Gerda Ferch-Fischer und Dr. Wolfgang Goricnik als beisitzende Laienrichter über die Beschwerde von XXXX , gegen das Straferkenntnis der Datenschutzbehörde vom XXXX 2023, GZ: D550.902 2023-0.811.212, zu Recht erkannt:
A)
I. Der Beschwerde wird Folge gegeben und die verhängte Geldstrafe auf gesamt EUR 1.500,-- reduziert; korrespondierend dazu reduziert sich der Beitrag zu den Kosten des Strafverfahrens vor der belangten Behörde gemäß § 64 VStG auf EUR 150,--.
II. Gemäß § 52 Abs. 8 VwGVG hat der Beschwerdeführer keine Kosten des Beschwerdeverfahrens zu tragen.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.
Text
Entscheidungsgründe:
I. Verfahrensgang:
1. Mit Schreiben vom 31.10.2023 teilte die belangte Behörde der Beschwerdeführerin XXXX mit, dass aufgrund von zwei datenschutzrechtlichen Beschwerdeverfahren bei der Datenschutzbehörde (belangte Behörde), die eine behauptete Verletzung im Recht auf Geheimhaltung infolge einer vermutet unrechtmäßigen Videoüberwachung mit mindestens XXXX fest montierten Kameras zum Gegenstand gehabt habe und forderte die belangte Behörde die Beschwerdeführerin zur Rechtfertigung auf. Demnach sei den Beschwerden der betroffenen Personen Folge gegeben worden.
2. Mit Rechtfertigung vom XXXX 2023 brachte die Beschwerdeführerin anwaltlich vertreten im Wesentlichen vor, dass sie den inkriminierten Aufnahmebereich, aufgrund dessen die Stattgabe der Datenschutzbeschwerden erfolgte seien, verändert habe, indem durch Auspixeln nur mehr der Garderobenbereich und eben nicht mehr der Eingang der Toiletten erfasst werde. Das Restaurant sei hochpreisig und der Eventbereich sei Tatort von Diebstählen. Die Täter könnten leicht unbemerkt über Lobby oder Terrasse zum Garderobenbereich gelangen und dort Diebstähle an den abgelegten Kleidungsstücken und Handtaschen verüben. Die belangte Behörde habe nur betreffend die eine Kamera bei der Garderobe eine überschießende Datenverarbeitung festgestellt, weil das Miterfassen der Toiletteneingangsbereiche, die direkt neben der Garderobe liegen, nicht erforderlich sei. Alle anderen Kameras seien nach der datenschutzrechtlichen Überprüfung im Einklang mit den rechtlichen Bestimmungen und auch die Kamera im Garderobenbereich erfasse zu 75% Bereiche deren Überwachung zulässig seien. Jedenfalls sei das Verschulden als gering anzusehen und stelle die Beschwerdeführerin den Antrag das Verwaltungsstrafverfahren einzustellen in eventu eine Ermahnung auszusprechen. Ein Vorbringen zu den Einkommens- und Vermögensverhältnissen ist unterblieben.
3. Mit nunmehr angefochtenem Straferkenntnis vom XXXX 2023 wurde über die Beschwerdeführerin eine Geldstrafe von EUR XXXX ,00 gemäß Art 83 Abs. 1 und 5 lit. a DSGVO verhängt und der Beschwerdeführer gemäß § 64 VStG zum Ersatz eines Beitrages zu den Kosten des Strafverfahrens in Höhe von EUR XXXX ,00 verpflichtet.
Der Beschwerdeführerin wurde zur Last gelegt, sie habe als Verantwortlicher im Sinne des Art. 4 Z 7 DSGVO zumindest in der Zeit zwischen XXXX bis zum XXXX (Tatzeitraum) eine Videokamera im Garderobenbereich des XXXX betrieben und durch die Einstellung des Kamerawinkels einen Bereich erfasst, der zur Gefahrenabwehr nicht erforderlich gewesen sei. Die Beschwerdeführerin habe den Erfassungsbereich der inkriminierten Kamera zwischen dem XXXX und dem XXXX eingeschränkt, sodass der Eingangsbereich der Toiletten nicht mehr von der Kamera aufgezeichnet werden könne. Die Beschwerdeführerin habe durch die Wahl des Einstellungswinkels und dadurch, dass der Aufnahmebereich über das unbedingt erforderliche Ausmaß hinausgegangen sei, gegen Art. 5 Abs. 1 lit. c DSGVO und damit gegen Verarbeitungsgrundsätze der DSGVO verstoßen. Der Verarbeitung der Bilddaten, die für den Tatzeitraum festgestellt worden seien, hätte somit auch an einer Rechtfertigung gemäß Art. Abs. 1 gefehlt.
Rechtlich führte die belangte Behörde aus, dass nach der jüngsten Judikatur des EuGH zur Strafbarkeit von juristischen Personen die Pflicht zur Ermittlung der Verantwortung einer natürlichen Person entfalle. Die belangte Behörde könne eine juristische Person auch ohnedies zur Verantwortung ziehen. Geldbußen nach Art. 83 DSGVO könnten demnach auch unmittelbar gegen juristische Personen verhängt werden.
In subjektiver Hinsicht sei festzuhalten, dass es nach der höchstgerichtlichen Rechtsprechung nur auf einen schuldhaften Verstoß ankomme, aber nicht darauf, ob dieser vorsätzlich oder fahrlässig begangen werde. Die Verstöße seien nicht durch eine Person begangen worden, jedoch hafte die Beschwerdeführerin für den Verstoß. Die Beschwerdeführerin könne sich auch nicht über die unzweckmäßige Erfassung von Teilen des Toiletteneingangsbereichs im unklaren gewesen sein. Es liege somit im Ergebnis auf der subjektiven Tatseite auch das Verschulden in Form von Fahrlässigkeit im Sinne des Art. 83 Abs. 2 lit. b DSGVO vor. Eine Einstellung des Verfahrens oder eine Ermahnung komme mit Verweis auf die Judikatur des VwGH zu § 45 VStG nicht infrage.
Im Zusammenhang mit der Strafzumessung führte die belangte Behörde aus, dass die Einkommens- und Vermögensverhältnisse der Beschwerdeführerin, mangels Angaben, nicht festgestellt und folglich nicht berücksichtigt worden seien und deshalb eine behördliche Einschätzung erfolgt sei. Das Verschulden der Beschwerdeführerin werde in Anbetracht der Art, Schwere und Dauer des Verstoßes als mittelschwer eingestuft.
Mildernd werde berücksichtigt, dass keine einschlägigen Vorstrafen bestünden, die Beschwerdeführerin an der Aufklärung mitgewirkt habe und die Beschwerdeführerin Anweisungen der belangten Behörde zeitnah umgesetzt habe. Die verhängte Strafe sei im Hinblick auf den verwirklichten Tatunwert gemessen am Strafrahmen tat- und schuldangemessen.
6. Gegen das Straferkenntnis wurde am XXXX 2024 Beschwerde eingebracht und darin zunächst ausgeführt, dass der Sachverhalt dem Grunde nach nicht bestritten werde, aber die Höhe der verhängten Geldstrafe angefochten werde, sowie, dass angesichts der Sachverhaltslage überhaupt eine Ermahnung ausreiche. Es wurde vorgebracht, dass es sich entgegen der Rechtsansicht der belangten Behörde, um keine schwere Verfehlung handle. Die Beschwerdeführerin habe die Videoüberwachung nach dem alten Datenschutzrecht im Jahr 2016 im DVR registriert und sei die Datenverarbeitung auch genehmigt worden. Überdies habe die Beschwerdeführerin die Überwachungsanlage äußerst zurückhaltend eingesetzt und im Einklang mit den Zwecken: die spezielle Gefahrenabwehr, die sich aus dem Betrieb des Gewerbes der Beschwerdeführerin ergebe. Jedenfalls treffe die Beschwerdeführerin kein mittelschweres Verschulden und würde auch angesichts des sofortigen Mitwirkens zur Beseitigung des Zustandes dazu führen, dass keine Bestrafung erforderlich sei.
7. Mit Schreiben vom 16.01.2024 legte die belangte Behörde die Beschwerde und den Verwaltungsakt dem Bundesverwaltungsgericht vor.
8. Mit Beschluss vom 24.04.2024 wurde die Rechtssache der ursprünglich zugewiesenen Gerichtsabteilung abgenommen und der Abteilung W298 per 03.05.2024 neu zugewiesen.
9. Mit Beschluss vom 08.05.2024 forderte das Bundesverwaltungsgericht die belangte Behörde und die Beschwerdeführerin auf, weitere Akten – insbesondere die DVR Meldung – vorzulegen.
10. Mit Beschluss vom 17.06.2024 beraumte das Bundesveraltungsgericht eine mündliche Verhandlung an.
11. Mit Schriftsatz vom 26.06.2024 und vom 27.06.2024 verzichteten die Beschwerdeführerin und die belangte Behörde auf die Durchführung einer mündlichen Verhandlung und verwiesen jeweils auf das schriftliche Vorbringen.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
Der unter Punkt I. angeführte Verfahrensgang wird den Feststellungen zugrunde gelegt.
Folgender entscheidungswesentlicher Sachverhalt steht fest:
1. Die Beschwerdeführerin ist eine Gesellschaft mit beschränkter Haftung und betreibt ein Restaurant und Eventmanagement an der XXXX .
2. Die Beschwerdeführerin betreibt seit der Meldung an das Datenverarbeitungsregister, das bei der Datenschutzbehörde geführt wurde, eine Videoüberwachung mit XXXX Kameras an der unter II.1. festgestellter Adresse zum Zwecke des Eigentumsschutzes der Gäste und zur speziellen Gefahrenprävention sowie zur Möglichkeit der Aufklärung von Straftaten. Eine der Kameras filmte einen Bereich der zur Zweckerreichung nicht unbedingt erforderlich ist.
3. Die Beschwerdeführerin wirkte in der Folge an der Aufklärung des Tathergangs mit, gab jedoch ihre Einkommens- und Vermögensverhältnisse nicht bekannt.
2. Beweiswürdigung:
Die Feststellungen ergeben sich aus dem Verwaltungsakt, dem angefochtenen Straferkenntnis und der Beschwerde.
3. Rechtliche Beurteilung:
Zu A):
3.1. Zu Spruchpunkt I.
3.1.1. Im vorliegenden Fall wendet sich der Beschwerdeführer in seiner an das Bundesverwaltungsgericht gerichteten Beschwerde ausschließlich gegen das Ausmaß der mit dem angefochtenen Erkenntnis verhängten Geldstrafe.
Gemäß § 27 Verwaltungsgerichtsverfahrensgesetz BGBl. I 2013/33 idF BGBl. I 2018/57 (im Folgenden: "VwGVG") hat das Verwaltungsgericht, soweit nicht Rechtswidrigkeit wegen Unzuständigkeit der Behörde vorliegt, den angefochtenen Bescheid auf Grund der Beschwerde oder auf Grund der Erklärung über den Umfang der Anfechtung zu überprüfen.
Gegenstand des vorliegenden Verfahrens kann und darf angesichts der vorliegenden Sach- und Rechtslage daher allein der Ausspruch der Strafe, nicht jedoch eine darüberhinausgehende Überprüfung des Schuldspruchs und damit der Bestrafung an sich sein. Hinsichtlich der Frage der Strafbarkeit ist insofern Teilrechtskraft eingetreten (siehe dazu ausdrücklich VwGH, 27.10.2014, Ra 2014/02/0053; VwGH 24.07.2019, Ra 2018/02/0034 u.v.m.).
3.1.2. Die für die Strafbemessung maßgeblichen Bestimmungen des Art. 83 DSGVO lauten auszugsweise wie folgt:
Art. 83 Abs.1, 2 und 5 lit. a DSGVO:
„Artikel 83
Allgemeine Bedingungen für die Verhängung von Geldbußen
(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und j verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
3.1.3. Die gesetzlichen Grundlagen nach dem VStG lauten wie folgt:
§ 5 VStG:
(1) Wenn eine Verwaltungsvorschrift über das Verschulden nicht anderes bestimmt, genügt zur Strafbarkeit fahrlässiges Verhalten. Fahrlässigkeit ist bei Zuwiderhandeln gegen ein Verbot oder bei Nichtbefolgung eines Gebotes dann ohne weiteres anzunehmen, wenn zum Tatbestand einer Verwaltungsübertretung der Eintritt eines Schadens oder einer Gefahr nicht gehört und der Täter nicht glaubhaft macht, daß ihn an der Verletzung der Verwaltungsvorschrift kein Verschulden trifft.
(1a) Abs. 1 zweiter Satz gilt nicht, wenn die Verwaltungsübertretung mit einer Geldstrafe von über 50 000 Euro bedroht ist.
(2) Unkenntnis der Verwaltungsvorschrift, der der Täter zuwidergehandelt hat, entschuldigt nur dann, wenn sie erwiesenermaßen unverschuldet ist und der Täter das Unerlaubte seines Verhaltens ohne Kenntnis der Verwaltungsvorschrift nicht einsehen konnte.
§ 10 VStG:
(1) Strafart und Strafsatz richten sich nach den Verwaltungsvorschriften, soweit in diesem
Bundesgesetz nicht anderes bestimmt ist.
(2) Soweit für Verwaltungsübertretungen, insbesondere auch für die Übertretung ortspolizeilicher Vorschriften, keine besondere Strafe festgesetzt ist, werden sie mit Geldstrafe bis zu 218 Euro oder mit Freiheitsstrafe bis zu zwei Wochen bestraft.
§ 16 VStG:
(1) Wird eine Geldstrafe verhängt, so ist zugleich für den Fall ihrer Uneinbringlichkeit eine
Ersatzfreiheitsstrafe festzusetzen.
(2) Die Ersatzfreiheitsstrafe darf das Höchstmaß der für die Verwaltungsübertretung angedrohten Freiheitsstrafe und, wenn keine Freiheitsstrafe angedroht und nicht anderes bestimmt ist, zwei Wochen nicht übersteigen. Eine Ersatzfreiheitsstrafe von mehr als sechs Wochen ist nicht zulässig. Sie ist ohne Bedachtnahme auf § 12 nach den Regeln der Strafbemessung festzusetzen.
§ 19 VStG:
(1) Grundlage für die Bemessung der Strafe sind die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat.
(2) Im ordentlichen Verfahren (§§ 40 bis 46) sind überdies die nach dem Zweck der Strafdrohung in Betracht kommenden Erschwerungs- und Milderungsgründe, soweit sie nicht schon die Strafdrohung bestimmen, gegeneinander abzuwägen. Auf das Ausmaß des Verschuldens ist besonders Bedacht zu nehmen. Unter Berücksichtigung der Eigenart des Verwaltungsstrafrechtes sind die §§ 32 bis 35 des Strafgesetzbuches sinngemäß anzuwenden. Die Einkommens- und Vermögensverhältnisse und allfällige Sorgepflichten des Beschuldigten sind bei der Bemessung von Geldstrafen zu berücksichtigen.
3.2. Allgemeines zur Verhängung von Geldbußen nach Art. 83 DSGVO:
Mit der Datenschutz-Grundverordnung („DSGVO“), die seit dem 25. Mai 2018 anwendbar ist, hat die EU eine umfassende Reform der Datenschutzvorschriften in Europa vollendet. Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Die Verordnung stützt sich auf mehrere Schlüsselkomponenten, zu denen unter anderem stärkere Durchsetzungsbefugnisse der Aufsichtsbehörden gehören. Die DSGVO sieht als Neuerung deutlich höhere Geldbußen sowie eine Harmonisierung der Geldbußen zwischen den Mitgliedstaaten vor. Verantwortliche und Auftragsverarbeiter haben mehr als zuvor, Sorge dafür zu tragen, dass die personenbezogenen Daten natürlicher Personen wirksam geschützt werden. Die Aufsichtsbehörden sind befugt sicherzustellen, dass die Grundsätze der DSGVO sowie die Rechte der betroffenen Personen gemäß dem Wortlaut und dem Geist der DSGVO gewahrt werden. Die DSGVO schreibt vor, dass der Betrag der Geldbuße in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein muss (Artikel 83 Abs. 1 DSGVO). Darüber hinaus haben die Aufsichtsbehörden bei der Festsetzung des Betrags der Geldbuße eine Liste von Umständen zu berücksichtigen, die sich auf Merkmale des Verstoßes (seine Schwere) oder das Verhalten des den Verstoß Begehenden beziehen (Art. 83 Abs. 2 DSGVO). Die Quantifizierung des Betrags der Geldbuße beruht daher auf einer konkreten Bewertung, die in jedem Einzelfall unter Berücksichtigung der in der DSGVO enthaltenen Parameter vorgenommen wird. Eine Mindestgeldbuße sieht die DSGVO für Verhaltensweisen, die gegen Datenschutzvorschriften verstoßen, nicht vor. Vielmehr sieht die DSGVO in ihrem Artikel 83 Absätze 4 bis 6, in denen verschiedene Verhaltensweisen zusammengefasst werden, lediglich Höchstbeträge vor. Eine Geldbuße kann letztlich nur durch Abwägung aller in Artikel 83 Abs. 2 lit. a bis j DSGVO ausdrücklich genannten Umstände, die für den Fall relevant sind, und anderer relevanter Anhaltspunkte berechnet werden, auch wenn sie in den genannten Bestimmungen nicht ausdrücklich aufgeführt sind (da Art. 83 Abs. 2 lit. k DSGVO verlangt, dass jeglichen anderen anwendbaren Umständen gebührend Rechnung getragen wird). Schließlich muss der endgültige Betrag der Geldbuße, der sich aus dieser Prüfung ergibt, in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein (Art. 83 Abs. 1 DSGVO). Jede verhängte Geldbuße muss all diesen Parametern ausreichend Rechnung tragen und darf gleichzeitig das in Art. 83 Abs. 4 bis 6 DSGVO vorgesehene gesetzliche Höchstmaß nicht überschreiten (vgl. zu alldem die Leitlinien 04/2022 des Europäischen Datenschutzausschusses für die Berechnung von Geldbußen im Sinne der DSGVO, Version 2.1, Angenommen am 24.05.2023 [im Folgenden: EDSA Leitlinien 2023 zu Art. 83 DSGVO], Rz. 1 – 16).
In seiner jüngst ergangenen Rechtsprechung zu Art. 83 DSGVO hält der Europäische Gerichtshof (EuGH) zur Verhängung von Geldbußen durch nationale Aufsichtsbehörden die im folgenden dargestellten Grundsätze fest.
Im Urteil vom 05.12.2023 in der Rechtssache C-807/21 [Deutsche Wohnen SE] führt der EuGH aus wie folgt [Hervorhebungen durch das Bundesverwaltungsgericht]:
„Zur Beantwortung der ersten Vorlagefrage ist zunächst festzustellen, dass sich die in der DSGVO vorgesehenen Grundsätze, Verbote und Pflichten insbesondere an „Verantwortliche“ richten. Deren Verantwortung und Haftung erstreckt sich nach den Ausführungen im 74. Erwägungsgrund der DSGVO auf jedwede Verarbeitung personenbezogener Daten, die durch sie oder in ihrem Namen erfolgt. In diesem Rahmen müssen sie nicht nur geeignete und wirksame Maßnahmen treffen, sondern sie müssen auch nachweisen können, dass ihre Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die sie ergriffen haben, um diesen Einklang sicherzustellen, auch wirksam sind. Diese Haftung ist es, die bei einem der in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstöße die Grundlage dafür bildet, nach Art. 83 DSGVO eine Geldbuße gegen den Verantwortlichen zu verhängen.
In Art. 4 Nr. 7 DSGVO ist der Begriff „Verantwortlicher“ weit definiert als die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Das Ziel dieser weiten Definition des Art. 4 Nr. 7 DSGVO – die ausdrücklich auch juristische Personen einschließt – besteht im Einklang mit dem Ziel der DSGVO darin, einen wirksamen Schutz der Grundfreiheiten und Grundrechte natürlicher Personen und insbesondere ein hohes Schutzniveau für das Recht jeder Person auf Schutz der sie betreffenden personenbezogenen Daten zu gewährleisten (vgl. in diesem Sinne Urteile vom 29. Juli 2019, Fashion ID, C‑40/17, EU:C:2019:629, Rn. 66, und vom 28. April 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, Rn. 73 sowie die dort angeführte Rechtsprechung).
Des Weiteren hat der Gerichtshof bereits entschieden, dass eine natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, als Verantwortlicher angesehen werden kann (vgl. in diesem Sinne Urteil vom 10. Juli 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, Rn. 68).
Somit ergibt sich aus dem Wortlaut und dem Zweck von Art. 4 Nr. 7 DSGVO, dass der Unionsgesetzgeber bei der Bestimmung der Haftung nach der DSGVO nicht zwischen natürlichen und juristischen Personen unterschieden hat, da die einzige Voraussetzung für diese Haftung darin besteht, dass diese Personen allein oder zusammen mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
Vorbehaltlich der Bestimmungen von Art. 83 Abs. 7 DSGVO betreffend Behörden und öffentliche Stellen haftet daher jede Person, die diese Voraussetzung erfüllt – unabhängig davon, ob es sich um eine natürliche oder juristische Person, eine Behörde, Einrichtung oder andere Stelle handelt – u. a. für jeden in Art. 83 Abs. 4 bis 6 der DSGVO genannten Verstoß, der von ihr selbst oder in ihrem Namen begangen wurde.
[…]
Sodann legt Art. 58 Abs. 2 DSGVO die Befugnisse der Aufsichtsbehörden zum Erlass von Abhilfemaßnahmen genau fest, ohne auf das Recht der Mitgliedstaaten zu verweisen oder den Mitgliedstaaten einen Ermessensspielraum einzuräumen. Zum einen zielen diese Befugnisse, zu denen gemäß Art. 58 Abs. 2 Buchst. i DSGVO die Befugnis zur Verhängung von Geldbußen gehört, auf den Verantwortlichen ab, und zum anderen kann ein solcher Verantwortlicher, wie aus Rn. 39 des vorliegenden Urteils hervorgeht, sowohl eine natürliche als auch eine juristische Person sein. Die materiellen Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer solchen Geldbuße zu beachten hat, sind in Art. 83 Abs. 1 bis 6 DSGVO genau und ohne Ermessensspielraum für die Mitgliedstaaten aufgeführt.
[…]
Zwar ergibt sich aus Art. 58 Abs. 4 und Art. 83 Abs. 8 DSGVO im Licht des 129. Erwägungsgrundes der DSGVO, dass die Ausübung der Befugnisse, über die die Aufsichtsbehörde gemäß diesen Artikeln verfügt, angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen muss.
Die Tatsache, dass die DSGVO den Mitgliedstaaten somit die Möglichkeit einräumt, Anforderungen an das von den Aufsichtsbehörden anzuwendende Verfahren bei der Verhängung einer Geldbuße vorzusehen, bedeutet jedoch keineswegs, dass sie auch befugt wären, über diese verfahrensrechtlichen Anforderungen hinaus materielle Voraussetzungen vorzusehen, die zu den in Art. 83 Abs. 1 bis 6 DSGVO geregelten hinzutreten. Des Weiteren wird durch den Umstand, dass der Unionsgesetzgeber eigens und ausdrücklich diese Möglichkeit vorgesehen hat, aber nicht diejenige, solche zusätzlichen materiellen Voraussetzungen festzulegen, bestätigt, dass er den Mitgliedstaaten insoweit keinen Ermessensspielraum gelassen hat. Für diese materiellen Voraussetzungen gilt daher ausschließlich das Unionsrecht.
Die vorstehende wörtliche Auslegung von Art. 58 Abs. 2 und Art. 83 Abs. 1 bis 6 DSGVO wird durch den Zweck der DSGVO bestätigt.
Insbesondere geht aus dem zehnten Erwägungsgrund der DSGVO hervor, dass deren Bestimmungen u. a. die Ziele haben, bei der Verarbeitung personenbezogener Daten unionsweit ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und zu diesem Zweck sicherzustellen, dass die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung solcher Daten unionsweit gleichmäßig und einheitlich angewendet werden. In den Erwägungsgründen 11 und 129 der DSGVO wird außerdem das Erfordernis betont, zur Sicherstellung einer einheitlichen Anwendung der DSGVO sicherzustellen, dass die Aufsichtsbehörden über gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie über gleiche Sanktionen im Fall von Verstößen gegen die DSGVO verfügen.
[…]
Nach Art. 288 Abs. 2 AEUV ist eine Unionsverordnung in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat, so dass es, sofern nichts anderes bestimmt ist, ausgeschlossen ist, dass die Mitgliedstaaten innerstaatliche Vorschriften erlassen, die die Tragweite einer solchen Verordnung beeinträchtigen. Außerdem dürfen die Mitgliedstaaten aufgrund der ihnen aus dem AEU‑Vertrag obliegenden Verpflichtungen die unmittelbare Geltung, die den Verordnungen innewohnt, nicht vereiteln. Insbesondere dürfen sie keine Handlung vornehmen, durch die die unionsrechtliche Natur einer Rechtsvorschrift und die sich daraus ergebenden Wirkungen den Einzelnen verborgen würden (Urteil vom 15. November 2012, Al-Aqsa/Rat und Niederlande/Al-Aqsa, C‑539/10 P und C‑550/10 P, EU:C:2012:711, Rn. 86 und 87 sowie die dort angeführte Rechtsprechung).
[…]
Mit seiner zweiten Frage, die für den Fall gestellt wird, dass die erste Frage bejaht wird, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 83 DSGVO dahin auszulegen ist, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.
Insoweit ist darauf hinzuweisen, dass nach Art. 83 Abs. 1 DSGVO Geldbußen wirksam, verhältnismäßig und abschreckend sein müssen. Dagegen enthält Art. 83 DSGVO keine ausdrückliche Klarstellung, dass die in seinen Abs. 4 bis 6 genannten Verstöße nur dann mit einer solchen Geldbuße geahndet werden können, wenn sie vorsätzlich oder zumindest fahrlässig begangen wurden.
[…]
Wie in den Rn. 45 und 48 des vorliegenden Urteils ausgeführt, gilt für die materiellen Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen einen Verantwortlichen zu beachten hat, ausschließlich das Unionsrecht. Diese Voraussetzungen sind in Art. 83 Abs. 1 bis 6 DSGVO genau festgelegt und lassen den Mitgliedstaaten keinen Ermessensspielraum (vgl. auch Urteil vom 5. Dezember 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, Rn. 64 bis 70).
Zu diesen Voraussetzungen ist festzustellen, dass Art. 83 Abs. 2 DSGVO die Kriterien anführt, die die Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen den Verantwortlichen berücksichtigt. Zu diesen Kriterien gehört nach Buchst. b dieser Bestimmung die „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“. Dagegen deutet keines der in der genannten Bestimmung aufgeführten Kriterien auf eine Möglichkeit hin, den Verantwortlichen unabhängig von seinem Verschulden haftbar zu machen.
Zudem ist der zweite Absatz von Art. 83 DSGVO in Verbindung mit seinem dritten Absatz zu lesen, der bestimmt, welche Folgen bei der Kumulierung von Verstößen gegen die DSGVO eintreten, und wie folgt lautet: „Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.“
Aus dem Wortlaut von Art. 83 Abs. 2 DSGVO ergibt sich somit, dass nur Verstöße gegen die Bestimmungen der DSGVO, die der Verantwortliche schuldhaft, d. h. vorsätzlich oder fahrlässig, begeht, zur Verhängung einer Geldbuße gegen ihn nach diesem Artikel führen können.
Die allgemeine Systematik und der Zweck der DSGVO bestätigen diese Lesart.
Zum einen hat der Unionsgesetzgeber ein Sanktionssystem vorgesehen, das es den Aufsichtsbehörden ermöglicht, je nach den Umständen des Einzelfalls die geeignetste Sanktion zu verhängen.
Art. 58 Abs. 2 Buchst. i der DSGVO bestimmt nämlich, dass die Aufsichtsbehörden befugt sind, eine Geldbuße gemäß Art. 83 DSGVO „zusätzlich zu oder anstelle von“ anderen in Art. 58 Abs. 2 genannten Abhilfebefugnissen wie die Befugnis zur Erteilung von Warnungen, Verwarnungen oder Anweisungen zu verhängen. Ebenso heißt es im 148. Erwägungsgrund dieser Verordnung u. a., dass es den Aufsichtsbehörden gestattet ist, im Fall eines geringfügigeren Verstoßes oder falls die voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, von der Verhängung einer Geldbuße abzusehen und stattdessen eine Verwarnung zu erteilen.
Zum anderen haben die Bestimmungen der DSGVO, wie in Rn. 50 des vorliegenden Urteils ausgeführt, u. a. die Ziele, bei der Verarbeitung personenbezogener Daten unionsweit ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und zu diesem Zweck sicherzustellen, dass die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung solcher Daten unionsweit gleichmäßig und einheitlich angewendet werden. Zur Sicherstellung einer einheitlichen Anwendung der DSGVO müssen die Aufsichtsbehörden zudem über gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten verfügen, so dass sie im Fall von Verstößen gegen die DSGVO die gleichen Sanktionen verhängen können.
Ein Sanktionssystem, das es ermöglicht, eine Geldbuße gemäß Art. 83 DSGVO zu verhängen, wenn die besonderen Umstände des Einzelfalls dies rechtfertigen, schafft für Verantwortliche und Auftragsverarbeiter einen Anreiz, der DSGVO nachzukommen. Geldbußen tragen durch ihre abschreckende Wirkung zu einem stärkeren Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten bei. Sie sind daher ein Schlüsselelement, um die Wahrung der Rechte dieser Personen zu gewährleisten, und stehen im Einklang mit dem Ziel der DSGVO, ein hohes Schutzniveau für solche Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten.
Der Unionsgesetzgeber hat es jedoch nicht für erforderlich gehalten, zur Gewährleistung eines solchen hohen Schutzniveaus vorzusehen, dass Geldbußen verschuldensunabhängig verhängt werden. In Anbetracht dessen, dass die DSGVO auf ein gleichwertiges und einheitliches Schutzniveau abzielt und hierfür in der gesamten Union gleichmäßig angewandt werden muss, liefe es diesem Ziel zuwider, den Mitgliedstaaten zu gestatten, eine solche Regelung für die Verhängung einer Geldbuße nach Art. 83 DSGVO vorzusehen. Eine solche Wahlfreiheit wäre zudem geeignet, den Wettbewerb zwischen den Wirtschaftsteilnehmern in der Union zu verfälschen, was den vom Unionsgesetzgeber u. a. in den Erwägungsgründen 9 und 13 der DSGVO dargestellten Zielen zuwiderliefe.
Demnach ist festzustellen, dass Art. 83 DSGVO es nicht gestattet, eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 genannten Verstoßes zu verhängen, ohne dass nachgewiesen ist, dass dieser Verstoß von dem Verantwortlichen vorsätzlich oder fahrlässig begangen wurde. Folglich ist Voraussetzung für die Verhängung einer solchen Geldbuße, dass der Verstoß schuldhaft begangen wurde.
Insoweit ist zu der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und aufgrund dessen mit einer Geldbuße gemäß Art. 83 DSGVO geahndet werden kann, noch klarzustellen, dass ein Verantwortlicher für ein Verhalten, das in den Anwendungsbereich der DSGVO fällt, sanktioniert werden kann, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Vorschriften der DSGVO verstößt (vgl. entsprechend Urteile vom 18. Juni 2013, Schenker Co. u. a., C‑681/11, EU:C:2013:404, Rn. 37 und die dort angeführte Rechtsprechung, vom 25. März 2021, Lundbeck/Kommission, C‑591/16 P, EU:C:2021:243, Rn. 156, und vom 25. März 2021, Arrow Group und Arrow Generics/Kommission, C‑601/16 P, EU:C:2021:244, Rn. 97).
[…]
Nach alledem ist auf die zweite Frage zu antworten, dass Art. 83 DSGVO dahin auszulegen ist, dass nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.“
3.3. Zum Verhältnis zwischen Unionsrecht und innerstaatlichem Recht: Wie vom EuGH im zitierten Urteil vom 05.12.2023 zu C-807/21 klar zum Ausdruck gebracht, gilt für die materiellen Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen einen Verantwortlichen zu beachten hat, ausschließlich das Unionsrecht, wobei diese Voraussetzungen in Art. 83 Abs. 1 bis 6 DSGVO abschließend festgelegt sind (vgl. erneut C-807/21, Rz. 45, 48 und 65). Nach Art. 288 Abs. 2 AEUV ist eine Unionsverordnung in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat, sodass es, sofern nichts Anderes bestimmt ist, ausgeschlossen ist, dass die Mitgliedstaaten innerstaatliche Vorschriften erlassen, die die Tragweite einer solchen Verordnung beeinträchtigen. Außerdem dürfen die Mitgliedstaaten aufgrund der ihnen aus dem AEU‑Vertrag obliegenden Verpflichtungen die unmittelbare Geltung, die den Verordnungen innewohnt, nicht vereiteln (vgl. erneut EuGH, C-807/21, Rz. 52).
Deshalb ist im Anwendungsbereich der DSGVO kein Raum für die Anwendung der Bestimmungen nach § 11 DSG („Verwarnung durch die Datenschutzbehörde“) und § 33a VStG („Beraten“), da diese Bestimmungen darauf abzielen, der Datenschutzbehörde zusätzliche Vorgaben hinsichtlich deren Ermessensausübung in Bezug auf die von Art. 58 DSGVO eingeräumten Abhilfebefugnisse aufzugeben. Wenn § 11 DSG unmissverständlich vorgibt, „[i]nsbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen“, ist diese Bestimmung jedenfalls unvereinbar mit Art. 83 Abs. 2 bis 6 in Verbindung mit Art. 58 Abs. 2 lit. i DSGVO, da diese darauf abzielt, das Ermessen der Datenschutzbehörde und in der Folge des Bundesverwaltungsgerichts, weg von der Verhängung einer Geldbuße im Sinn von Art. 58 Abs. 2 lit. i DSGVO, hin zur Erteilung einer Verwarnung im Sinne von Art. 58 Abs. 2 lit. b DSGVO, zu determinieren.
An dieser Stelle ist im Sinne der rezenten Rechtsprechung des EuGH zu Art. 83 DSGVO mit Blick auf das Verwaltungsstrafgesetz (VStG) festzuhalten, dass die den Mitgliedstaaten eingeräumte Möglichkeit, im Verfahrensrecht bei den Aufsichtsbehörden zum Verhängen einer Geldbuße zusätzliche Kautelen vorzusehen, nicht so zu verstehen ist, dass sie auch befugt wären, über diese verfahrensrechtlichen Anforderungen hinaus materielle Voraussetzungen vorzuschreiben, welche Art. 83 Abs. 1 bis 6 DSGVO hinzutreten. Für materielle Tatbestandsvoraussetzungen gilt demnach ausschließlich Unionsrecht (vgl. erneut EuGH vom 05.12.2023, C-807, Rz. 46, 48). Der Unionsgesetzgeber gestattet es unabhängig davon, ob nach dem Rechts des Mitgliedsstaates materielles oder formelles Recht vorliegt, nicht, dass dem Unionsrecht zursätzliche Schranken, etwa in Form einer Ermessensbeschränkung auferlegt werden. Vor diesem Hintergrund verbleibt auch für die Bestimmungen in § 5 VStG („Schuld“), das Verschulden des Verantwortlichen ist ausschließlich anhand der Bestimmungen des Art. 83 Abs. 1 und Abs. 2 DSGVO zu beurteilen, § 7 VStG („Anstiftung und Beihilfe“), eine Form der Beitragstäterschaft ist von Art. 83 DSGVO nicht vorgesehen und mit der Regelungssystematik von Art. 83 DSGVO nicht in Einklang zu bringen, § 9 VStG („Besondere Fälle der Verantwortlichkeit“), die Strafbarkeit juristischer Personen und eingetragener Personengesellschaften richtet sich ausschließlich nach der Systematik des Art. 4 Z 7 iVm Art. 83 DSGVO und kann deren Haftung nicht auf zur Vertretung nach außen Berufene oder auf einen verantwortlichen Beauftragten überwälzt werden, § 19 VStG („Strafbemessung“), die Bemessung der Geldbuße erfolgt ausschließlich anhand der von Art. 83 Abs. 1 bis 6 DSGVO normierten Kriterien, § 20 VStG („Außerordentliche Milderung der Strafe“), die Erschwernis- und Milderungsgründe ergeben sich abschließend aus Art. 83 Abs. 2 DSGVO, § 22 Abs. 2 VStG („Zusammentreffen von strafbaren Handlungen“), Art. 83 Abs. 3 DSGVO regelt das Zusammentreffen mehrerer Verstöße abschließend, im Anwendungsbereich der DSGVO kein Raum und haben daher unangewendet zu bleiben (vgl. EuGH vom 05.12.2023, C-683/21, Rz 70).
Der Strafrahmen für Unternehmen gemäß Art. 83 Abs. 5 lit a DSGVO reicht bis zu einem Betrag von EUR 20.000.000. Das erkennende Gericht sieht an dieser Stelle die Richtlinien des Europäischen Datenschutzausschusses zur Berechnung von Geldbußen als erheblich und maßgeblich an.
3.2.1. Strafbemessung durch die belangte Behörde:
Bezogen auf den vorliegenden Sachverhalt wurde von der belangten Behörde bei der Strafbemessung ein mittelschweres Verschulden festgestellt.
Mildernd wurde bei der Strafzumessung Folgendes berücksichtigt:
- Gegen die Beschwerdeführerin lagen bis dato keine einschlägigen Vorstrafen aufgrund von Verstößen gegen die DSGVO oder das DSG vor;
- Die Beschwerdeführerin zeigte sich sowohl im Beschwerde- als auch im Verwaltungsstrafverfahren vollumfänglich geständig.
- Die Beschwerdeführerin ist den Anweisungen der belangten Behörde zeitnah nachgekommen.
Mangels Bekanntgabe der Beschwerdeführerin zu Einkommens- und Vermögensverhältnissen wurde der Umsatz anhand des jährlichen Bilanzgewinnes geschätzt und unter Unternehmungen bis zu einem Umsatz von unter 2.000.000,-- EUR subsumiert. Das Bundesverwaltungsgericht tritt dem nicht entgegen.
Zunächst ist festzuhalten, dass – wie bereits unter oben ausgeführt – für die materiellen Voraussetzungen, die eine Aufsichtsbehörde bei der Verhängung einer Geldbuße gegen einen Verantwortlichen zu beachten hat, ausschließlich das Unionsrecht maßgebend ist, wobei diese Voraussetzungen in Art. 83 Abs. 1 bis 6 DSGVO festgelegt sind (vgl. erneut EuGH, Urteile vom 05.12.2023, C-807/21, Rz 45, 48, 52 und 65 sowie C‑683/21, Rz 64 bis 70).
Die nationalen Bestimmungen, hier etwa die §§ 5, 19, 20 und 22 des Verwaltungsstrafgesetzes – VStG bleiben unangewendet. Eine Bedachtnahme auf die Bestimmung des § 19 VStG oder § 45 VStG und die hierzu ergangene Rechtsprechung hat entgegen den Ausführungen der belangten Behörde zu unterbleiben. Fallbezogen war die Strafzumessung jedoch ohnehin vom Bundesverwaltungsgericht – aufgrund und im Lichte des Beschwerdevorbringens – zu überprüfen.
Wenn die Beschwerdeführerin im Rahmen ihres Beschwerdevorbringens unter Verweis auf § 11 DSG, § 34a VStG und Art. 18 B-VG, zusammengefasst die Rechtsansicht vertritt, dass für die mit dem angefochtenen Straferkenntnis verfolgten – und von der Beschwerdeführerin dem Grunde nach eingeräumten Verstößen von der belangten Behörde keine Geldbuße zu verhängen, sondern vielmehr mit einer Verwarnung das Auslangen gefunden werden hätte sollen, war dem aus Sicht des erkennenden Senates bereits im Lichte der unmittelbar anwendbaren Vorgaben der Art. 58 und 83 DSGVO – sowie der hierzu einschlägigen Rechtsprechung des EuGH vom 05.12.2023 – nicht zu folgen.
Zur (Nicht-)Erteilung einer Verwarnung anstelle der Verhängung einer Geldbuße: Die Beschwerdeführerin begehrt im Rahmen ihres Rechtsmittelvorbringens primär, anstelle der Verhängung einer Geldbuße im vorliegenden Fall mit der Erteilung einer Verwarnung das Auslangen zu finden, da die Beschwerdeführerin kein schweres Verschulden anzulasten sei, sie den Anweisungen unmittelbar gefolgt sei und aufgrund einer Genehmigung der belangten Behörde agiert habe:
Art. 58 Abs. 2 lit. i DSGVO bestimmt, dass Aufsichtsbehörden befugt sind, eine Geldbuße gemäß Art. 83 DSGVO „zusätzlich zu oder anstelle von“ anderen in Art. 58 Abs. 2 genannten Abhilfebefugnissen wie die Befugnis zur Erteilung von Warnungen, Verwarnungen oder Anweisungen zu verhängen. Ebenso relevant ist Erwägungsgrund 148 DSGVO wo es u. a. heißt, dass es den Aufsichtsbehörden gestattet ist, im Fall eines geringfügigeren Verstoßes oder falls die voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, von der Verhängung einer Geldbuße abzusehen und stattdessen eine Verwarnung zu erteilen.
Im vorliegenden Fall kann der mit Spruchpunkt I des angefochtenen Bescheides geahndete Verstoß, also die Überwachung der Garderobe des Restaurants mit einem Winkel, der einen nicht unbedingt erforderlichen Bereich vor den Toiletten miterfasst, nicht als geringfügiger Verstoß, der das Absehen von einer Geldbuße ermöglichen würde, qualifiziert werden. Dies ergibt sich aus dem Umstand, dass die fortlaufende automatisierte Aufzeichnung einer Vielzahl von Personen, die nicht erforderlich gewesen wäre per se nicht als geringfügig gesehen werden kann. Vielmehr sind diese Bilddaten als Daten zu qualifizieren, deren Verarbeitung auf Seiten des Verantwortlichen jedenfalls ein besonderes Maß an Sorgfalt erfordert. Gerade dieses Maß an Sorgfalt hat die Beschwerdeführerin in ihrer Eigenschaft als Verantwortliche jedoch gänzlich vermissen lassen. Das Verschulden ist entgegen der Würdigung im Bescheid der belangten Behörde als geringfügig anzusehen, weil sich die Beschwerdeführerin vor Inbetriebnahme im Einklang mit den damaligen Datenschutzbestimmungen um die Einhaltung der rechtlichen Bestimmungen bemüht hat. Dies ergibt sich insbesondere aus dem Umstand, dass die Anlage im Datenverarbeitungsregister der Datenschutzbehörde registriert wurde – ein Genehmigungsbescheid liegt aber nicht vor. Darüber hinaus hat die Beschwerdeführerin über einen längeren Zeitraum die Anlage betrieben, ohne dass es zu einschlägigen Beschwerden oder Rügen durch davon betroffene Personen gekommen ist. Weiteres ist festzuhalten, dass die Überwachung des Garderobenbereichs als zweckmäßig angesehen werden kann, aber die der Toiletteneingangsbereiche nicht. Jedoch ist es nicht möglich den Toiletteneingangsbereich zu betreten ohne von der Videoüberwachung (kurz) erfasst zu werden, sohin hat man sich der Datenverarbeitung ohnedies auszusetzen und ist die Beeinträchtigung durch die unrechtmäßige Überwachung in diesem Bereich als zeitlich gering und vergleichsweise wenig eingriffsintensiv zu werten.
Das Bundesverwaltungsgericht kommt daher zu dem Ergebnis, dass das Verschulden als geringfügig anzusehen ist.
Zum Beschwerdevorbringen, wonach die mit dem angefochtenen Straferkenntnis verhängte Geldbuße unangemessen hoch erscheine:
Die Beschwerdeführerin bringt im Rahmen ihrer Beschwerde weiterhin vor, ihr sei trotz mehrfacher Verfehlungen [gegen die DSGVO] insgesamt nur ein geringes Verschulden anzulasten, da die inkriminierte Videoüberwachung genehmigt sei und ihr nicht bewusst gewesen sei, welche Pflichten sich aus den datenschutzrechtlichen Vorgaben für sie tatsächlich ergeben hätten.
Mit ihrem diesbezüglichen Vorbringen zielt die Beschwerdeführerin auf eine (erhebliche) Reduktion der verhängten Geldbuße ab.
Nach Art. 83 Abs. 1 DSGVO stellt jede Aufsichtsbehörde sicher, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. In Art. 83 Abs. 2 DSGVO sind Zumessungskriterien aufgeführt, die bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall "gebührend" zu berücksichtigen sind. Relevant sind danach insbesondere Art, Schwere und Dauer des Verstoßes, die Zahl der von der Verarbeitung betroffenen Personen, das Ausmaß des Schadens, die Kategorie der betroffenen personenbezogenen Daten, das Bemühen des Unternehmens, den Schaden zu begrenzen, Art und Umfang der Kooperation mit den Datenschutzbehörden und der Grad der Verantwortlichkeit.
Bei der Beurteilung dieser Kriterien ist der entscheidende Senat unter Würdigung der Umstände des Verfahrens zu der Ansicht gelangt, dass dem Vorbringen der Beschwerdeführerin zu folgen ist:
Für die zukünftige Einhaltung der DSGVO seitens der Beschwerdeführerin erscheint die Strafe in Anbetracht dessen, dass die Schuld als gering anzusehen war und die Beschwerdeführerin den Aufforderungen der Behörde bereits nachgekommen ist, in der vorgesehenen Höhe nicht zweckmäßig. Es handelt sich auch um den ersten einschlägigen Verstoß. Die Beschwerdeführerin war sich dessen bewusst, dass sie zur speziellen Gefahrenabwehr und zur Vermittlung eines Sicherheitsgefühls ihrer Gäste eine Datenverarbeitung herangezogen hat, die ein hohes Maß an Sorgfalt erfordert, welches sie nicht lückenlos einhalten konnte. Dadurch kam es zur Erhebung einer großen Menge an dem Zweck nicht angemessenen Daten. Der Beschwerdeführerin musste dies anhand der Datenschutzbeschwerden auch klar sein. Entgegen der Annahme der Beschwerdeführerin handelt es sich bei Registrierung einer Datenanwendung nach dem DSG 2000 (das nicht mehr in Geltung ist) auch nicht um eine behördliche Genehmigung, oder befreit die Beschwerdeführerin auch nicht von der Pflicht fortlaufend zu überprüfen, ob sie datenschutzrechtliche Pflichten einhält, oder, ob die vorgenommene Datenverarbeitung (noch) im gegeben Umfang dem Zweck entsprechend ist.
Aus generalpräventiven Erwägungen ergibt sich, dass das Verhängen einer Geldbuße im Zuge einer überschießenden Videoüberwachung jedenfalls erforderlich scheint: Im öffentlichen Raum sind kamerabasierte Aufnahmen (zu meist privaten Zwecken) mittlerweile weit verbreitet. Davon zu unterscheiden ist der Betrieb eines Videoüberwachungssystems, das objektbezogen (Bild)Daten von jeder einzelnen Person erfasst, die vom Bereich des Systems erfasst werden können. Die Judikatur des EuGH zur Zweckmäßigkeit und Berechtigung eines solchen Systems sind anhand der für sich genommen schon eingriffsintensiven Datenverarbeitung streng (Urteil vom 4. Mai 2017, Rīgas satiksme, C 13/16, EU:C:2017:336, Rn. 28, wiederholt in EuGH vom 11.12.2019 C-708/18). Daher erscheint es auch erforderlich den Blick von potentiellen und bestehenden Verantwortlichen für Videoüberwachungssysteme auf die strikte Einhaltung der Zweckmäßigkeit unter Beachtung des Grundsatzes der Datenminimierung zu schärfen und dafür Sorge zu tragen, dass nicht erst das Einschreiten einer Aufsichtsbehörde dazu führt, dass Daten gleichsam auf Vorrat erzeugt werden.
3.3.2. Aus den vorgenannten Gründen war der Beschwerde hinsichtlich des Ausspruches über die verhängte Strafe teilweise Folge zu geben.
Die Kosten des Beschwerdeverfahrens vor dem Bundesverwaltungsgericht waren dem Beschwerdeführer gemäß § 52 Abs. 8 VStG nicht aufzuerlegen, weil seiner Beschwerde Folge gegeben wurde.
3.3.4. Diese Entscheidung konnte gemäß § 44 Abs. 3 Z. 2 VwGVG ohne Durchführung einer mündlichen Verhandlung getroffen werden, da sich die Beschwerde - wie oben ausgeführt - nur gegen die Höhe der Strafe richtet und auf die Durchführung einer mündlichen Verhandlung von den Parteien verzichtet wurde.
3.5. Zu B) Unzulässigkeit der Revision:
Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen. Die gegenständliche Rechtsprechung steht im Einklang mit der Rechtsprechung der Höchstgerichte. Aufgrund der eindeutigen Rechtslage handelt es sich nicht um eine Rechtsfrage grundsätzlicher Bedeutung. Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor.
Es war daher spruchgemäß durch Senat zu entscheiden.
Zahlungsinformation:
Sie haben den Gesamtbetrag von 1.650.-- EUR (Strafe, Kosten des verwaltungsbehördlichen Verfahrens und des verwaltungsgerichtlichen Beschwerdeverfahrens) binnen 2 Wochen auf das Konto des Bundesverwaltungsgerichtes (BVwG) mit dem IBAN AT840100000005010167 (BIC BUNDATWW) unter Angabe der Verfahrenszahl spesenfrei für den Empfänger einzuzahlen oder unter Mitnahme dieses Erkenntnisses beim Bundesverwaltungsgericht einzuzahlen. Bei Verzug muss damit gerechnet werden, dass der Betrag nach erfolgter Mahnung zwangsweise eingetrieben.