2023-0.583.644 – Datenschutzbehörde Entscheidung
Text
GZ: 2023-0.583.644 vom 7. Dezember 2023 (Verfahrenszahl: DSB-D550.731)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.
Straferkenntnis
Beschuldigte juristische Person: N*** Gastronomie GmbH (FN 3*3*68b)
Die beschuldigte juristische Person mit Sitz in **31 K***hausen, O***straße *6/8/*7 (im Folgenden „N***GG“), hat als Verantwortliche gemäß Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „DSGVO“), ABl. Nr. L 119 vom 04.05.2016, S. 1 idgF, nachstehenden Sachverhalt verwirklicht und dadurch folgende Verwaltungsübertretungen begangen:
I. Die N***GG hat in ihrer Rolle als Verantwortliche gemäß Art. 4 Z 7 DSGVO in einem nicht näher feststellbaren Zeitraum, jedoch zumindest seit 31.07.2020 bis 26.09.2022 (im Folgenden „Tatzeitraum 1“) am Standort in **12 K***hausen, M***platz *3 (im Folgenden „Tatort 1“) unrechtmäßig personenbezogene Daten verarbeitet, indem sie am Tatort 1 eine Bildverarbeitungsanlage (Videoüberwachungsanlage) betrieben hat, wobei der Aufnahmebereich der Anlage die Innenräume ihrer Betriebsstätte („ N*** Delivery Take away “) am Tatort 1 (unter anderem Arbeitsplätze der MitarbeiterInnen der N***GG im Küchen- und Abholbereich) erfasste. Die Speicherdauer in Bezug auf die Aufzeichnungen betrug 14 Tage und die Aufzeichnung wurde ständig – dh ohne Unterbrechungen (wie bspw. außerhalb der Betriebszeiten) – durchgeführt. Die Datenverarbeitung durch N***GG war im Ergebnis nicht dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt und konnte auf keine Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO gestützt werden.
II. Darüber hinaus hat N***GG in ihrer Rolle als Verantwortliche gemäß Art. 4 Z 7 DSGVO in einem nicht näher feststellbaren Zeitraum, jedoch zumindest seit 25.05.2018 (bzw. seit In-Geltung-Tretung der DSGVO) bis 08.03.2023 (im Folgenden „Tatzeitraum 2“) in **31 K***hausen, O***straße *6/8/*7 (Sitz der N***GG – im Folgenden „Tatort 2“), gegen ihre Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten im Sinne des Art. 30 Abs. 1 DSGVO verstoßen, indem sie kein solches Verarbeitungsverzeichnis in der nach Art. 30 Abs. 3 DSGVO genannten Form (schriftlich oder in einem elektronischen Format) geführt hat.
Die beschuldigte juristische Person hat daher im Ergebnis gegen folgende Vorgaben der DSGVO verstoßen:
Die rechtmäßige Verarbeitung personenbezogener Daten auf Basis einer Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO
Die Pflicht zur Führung eines Verzeichnisses betreffend aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO
Grundsatz der Verarbeitung von personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise gemäß Art. 5 Abs. 1 lit. a DSGVO („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)
Grundsatz der dem Zweck angemessenen und erheblichen sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkte Verarbeitung von personenbezogenen Daten gemäß Art. 5 Abs. 1 lit. c DSGVO („Datenminimierung)
Verwaltungsübertretungen nach:
Ad. I.: Art. 5 Abs. 1 lit. a und c sowie Art. 6 Abs. 1 iVm Art. 83 Abs. 1 und 5 lit. a DSGVO ABl. L 2016/119, S. 1, idgF
Ad. II.: Art. 30 Abs. 1 iVm Art. 83 Abs. 1 und 4 lit. a DSGVO ABl. L 2016/119, S. 1, idgF
Wegen dieser Verwaltungsübertretungen wird gemäß Art. 83 DSGVO folgende Strafe verhängt:
Ferner haben Sie gemäß § 64 des Verwaltungsstrafgesetzes 1991 – VStG zu zahlen:
2.000,-
Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10% der Strafe, mindestens jedoch 10 Euro;
Euro als Ersatz der Barauslagen für
Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher
22.000,-
Euro
Zahlungsfrist:
Wird keine Beschwerde erhoben, ist dieses Straferkenntnis sofort vollstreckbar. Der Gesamtbetrag ist in diesem Fall binnen zwei Wochen nach Eintreten der Rechtskraft auf das Konto [hier gekürzt] , lautend auf die Datenschutzbehörde, einzuzahlen. Als Verwendungszweck möge die Geschäftszahl sowie das Erledigungsdatum angegeben werden .
Erfolgt binnen dieser Frist keine Zahlung, kann der Gesamtbetrag eingemahnt werden. In diesem Fall ist ein pauschalierter Kostenbeitrag in der Höhe von fünf Euro zu entrichten. Erfolgt dennoch keine Zahlung, wird der ausstehende Betrag vollstreckt .
Begründung:
1. Folgender entscheidungsrelevanter Sachverhalt steht auf Grund des durchgeführten Beweisverfahrens fest:
1.1. Zum Verfahrensgang:
Mit gemeinsamer Eingabe vom 25.11.2021 brachten zwei ehemalige Arbeitnehmer der N***GG (Herr Johann A*** sowie Herr Enrico B*** – im Folgenden „Betroffene“) bei der Datenschutzbehörde (im Folgenden „DSB“) eine Beschwerde wegen Verletzung im Recht auf Geheimhaltung ein und führten im Wesentlichen aus, dass die N***GG sie am Tatort 1 an ihrem Arbeitsplatz mittels einer Videoüberwachungsanlage überwachen würde. Die Geschäftsführer der N***GG hätten dabei die Möglichkeit, jederzeit via Smartphone auf die Aufnahmen der Videoüberwachungsanlage zuzugreifen.
Die DSB leitete daraufhin ein Beschwerdeverfahren gemäß Art. 77 DSGVO iVm § 24 DSG zur GZ: D124.5325 ein und forderte die N***GG zur Stellungnahme hierzu auf.
Nach zahlreichen Aufforderungen zur Stellungnahme und Vorlage von Screenshots vom Aufnahmebereich der Kameras, die von N***GG zunächst ohne sachliche Begründung verweigert wurden, legte die Beschuldigte schließlich mit Stellungnahme vom 21.06.2022 die geforderten Unterlagen (Aufnahmebereich der Anlage) im Beschwerdeverfahren vor und führte aus, dass der Einsatz der Kameras dem Schutze des Eigentums der Beschuldigten und dem Schutze der Kunden sowie Arbeitnehmer der N***GG diene und dabei das gelindeste Mittel darstelle. Die Aufzeichnungen der Kameras würden für eine Dauer von 14 Tagen gespeichert werden. Danach würden die Aufzeichnungen automatisch gelöscht werden. Die Verarbeitung stützte die Beschuldigte auf eine vermeintliche Einwilligung der Betroffenen gemäß Art. 6 Abs. 1 lit. a DSGVO.
In Folge hat die DSB das Beschwerdeverfahren gegen N***GG nach Art. 77 DSGVO iVm § 24 DSG mit Bescheid vom 26.09.2022 (GZ: D124.5325 / 2022-0.646.831) erledigt. Die DSB gab den Beschwerden der Betroffenen statt und hielt im Rahmen des Bescheides fest, dass die N***GG die Betroffenen in ihrem Recht auf Geheimhaltung verletzte, indem sie mit einer Videoüberwachungsanlage in der Küche ihrer Betriebsstätte Bildaufnahmen verarbeitet hat, die den gesamten Küchenarbeitsbereich erfassten. Der N***GG wurde unter Spruchpunkt 2. aufgetragen, eine zeitliche sowie örtliche Einschränkung in Bezug auf die Videoüberwachungsanlage vorzunehmen (Aufnahmebereich sowie Betriebszeiten einschränken). Außerdem stellte die DSB fest, dass die Beschuldigte kein Verzeichnis von Verarbeitungstätigkeiten führt (siehe Punkt C.6, S. 11). Der Bescheid wurde von N***GG mittels Beschwerde vom 27.10.2022 angefochten und ist derzeit unter einer der DSB unbekannten GZ beim Bundesverwaltungsgericht anhängig.
Mit Schreiben vom 08.03.2023 leitete die DSB das gegenständliche Verwaltungsstrafverfahren gegen die N***GG ein und forderte sie zur Rechtfertigung auf. Im Rahmen der Aufforderung wurde die Beschuldigte zudem aufgefordert, ihren Jahresumsatz des Vorjahres bekanntzugeben.
Die Beschuldigte brachte in Reaktion darauf mit Schreiben vom 06.04.2023 eine schriftliche Rechtfertigung ein und beantragte die Einstellung des Verfahrens mit einer Begründung, die sich im Wesentlichen auf allgemein gehaltene Angaben beschränkte. Außerdem war die Vertreteranzeige des Beschuldigtenvertreters unklar. Schließlich wurde auch der Jahresumsatz nicht bekanntgegeben.
Die DSB forderte die Beschuldigte daher mit Schreiben vom 16.05.2023 zu einer ergänzenden Stellungnahme, zur Klarstellung der Vollmachtbekanntgabe sowie Bekanntgabe ihres Jahresumsatzes auf. Die Beschuldigte verweigerte die weitere Mitwirkung im Verwaltungsstrafverfahren und erstattete keine weitere Stellungnahme in Reaktion darauf.
Mit Bescheid vom 14.06.2023 setzte die DSB das gegenständliche Verfahren gemäß § 24 VStG iVm § 38 AVG bis zur rechtskräftigen Entscheidung durch den Gerichtshof der Europäischen Union (EuGH) in der Rechtssache C-807/21 (Deutsche Wohnen SE) aus. Dieser Aussetzungsbescheid erwuchs mangels Rechtsmittel in Rechtskraft.
Mit Bescheid vom 05.12.2023 hob die DSB den Aussetzungsbescheid vom 14.06.2023 von Amts wegen auf und setzte das Verwaltungsstrafverfahren – unter Berücksichtigung des Urteils vom 05.12.2023 des EuGH in der Rechtssache C-807/21 – fort.
Beweiswürdigung: Die bisherigen Feststellungen zum Verfahrensgang ergeben sich aus dem gegenständlichen Verwaltungsstrafakt und dem Verwaltungsakt zum Beschwerdeverfahren (GZ: D124.5325).
1.2. Zum Betrieb der Videoüberwachungsanlage:
Die N***GG übt seit 18.12.2013 das reglementierte Gewerbe „ Gastgewerbe in der Betriebsart Restaurant “ aus und betreibt am Tatort 1 seit 21.12.2020 hierfür eine Betriebsstätte („ N*** Delivery Take away “).
Die N***GG hat innerhalb der Betriebsstätte am Tatort 1 zum Zwecke des Schutzes ihres Eigentums und ihrer Arbeitnehmer („ vor gefährlichen Angriffen Dritter bzw. vor ungerechtfertigter Beschuldigung durch Gäste oder anderer Mitarbeiter “) eine Videoüberwachungsanlage mit insgesamt drei Videokameras installiert und zumindest im Zeitraum vom 31.07.2020 bis 26.09.2022 betrieben.
Der Aufnahmebereich der Videoüberwachungsanlage umfasste den gesamten Küchenbereich, den Lagerraum sowie die Bar bzw. Theke samt Eingangs- und Gästebereich innerhalb der Betriebsstätte. Der Aufnahmebereich der Anlage stellte sich in diesem Zeitraum konkret wie folgt dar (Formatierung der übermittelten Lichtbilder nicht 1:1 wiedergegeben):
[Anmerkung Bearbeiter/in: Das an dieser Stelle im Original wiedergegebene digitale Lichtbild (Screenshot von Farbbildern der verfahrensgegenständlichen Videoüberwachung, dem Augenschein nach vom Display eines Mobilfunkgerätes) zeigt in drei Bildteilen die Einstellungen, d.h. die Aufnahmebereiche dreier Kameras, bezeichnet als „Küche“, „Lager“ und „Eingang“. Auf den Bildteilen ist erkennbar, dass Tag und Zeitpunkt der Aufnahme jeweils eingeblendet sind.]
Die Aufzeichnungen/Aufnahmen der Videoüberwachungsanlage wurden für die Dauer von 14 Tagen gespeichert/aufbewahrt und nach Ablauf dieser Frist automatisch gelöscht.
Eine zeitliche Einschränkung der Verarbeitung (z.B. Betrieb/Aktivierung der Videoüberwachungsanlage nur außerhalb der Betriebszeiten) wurde nicht vorgenommen.
Beweiswürdigung: Die Feststellungen betreffend Ausübung des Gastgewerbes ergaben sich durch Einsicht in das Gewerbeinformationssystem Austria (GISA-Abfrage zum Stichtag: 08.08.2023).
Die Feststellungen betreffend Betrieb und Zweck der Videoüberwachungsanlage sowie Anzahl der Kameras am Tatort 1 stützen sich auf die eigenen Angaben der Beschuldigten und sind insofern unstrittig (siehe schriftliche Rechtfertigung vom 06.04.2023).
Die Feststellung, wonach die Videoüberwachungsanlage im Tatzeitraum 1 am Tatort 1 betrieben wurde, beruht auf Folgendem: Zunächst ist darauf hinzuweisen, dass der Beschuldigten ein konkreter Tatzeitraum (31.07.2020 bis 26.09.2022) im Rahmen der Aufforderung zur Rechtfertigung vorgeworfen wurde, den die Beschuldigte im Zuge ihrer schriftlichen Rechtfertigung nicht bestritt und auch kein (widersprechendes) Vorbringen in diesem Zusammenhang erstattete. Die Beschuldigte brachte zwar in rechtlicher Hinsicht Verjährung vor, bezog sich jedoch auf ein Schreiben der DSB vom 29.12.2021, das offensichtlich eine Aufforderung zur Stellungnahme im Beschwerdeverfahren darstellte (GZ: D124.5325 / 2021 0.832.353) und nicht die Aufforderung zur Rechtfertigung im gegenständlichen Fall.
In der Aufforderung zur ergänzenden Stellungnahme wurde der Beschuldigten erneut die Möglichkeit eingeräumt, ein Vorbringen in diesem Zusammenhang zu erstatten bzw. ihr oben angeführtes Vorbringen näher zu beleuchten. Dieser Aufforderung kam die Beschuldigte nicht mehr nach.
Der festgestellte Zeitraum stützt sich darüber hinaus auch auf die Angaben der Betroffenen, die beide zumindest seit 31.07.2020 bei der Betriebsstätte der Beschuldigten als Manager und Koch beschäftigt waren und im Rahmen dieser Beschäftigung den Betrieb der gegenständlichen Videoüberwachungsanlage wahrgenommen und schließlich durch ihre gemeinsame Eingabe vom 28.10.2021 zum Gegenstand eines Beschwerdeverfahrens gemacht haben. Sie gaben hierzu in der Beschwerde zusammengefasst an, dass sie nach Rücksprache mit der Arbeiterkammer eine Beschwerde einbringen möchten, weil sie an ihrem Arbeitsplatz durch die Videoüberwachungsanlage überwacht werden. Der Betrieb der Videoüberwachungsanlage wurde durch die Beschuldigte auch nicht (weder im Beschwerdeverfahren noch im Verwaltungsstrafverfahren) bestritten. Schließlich legte die Beschuldigte im Zuge der Stellungnahme vom 21.06.2022 im Beschwerdeverfahren selbst mehrere Lichtbilder bzw. Screenshots vom Aufnahmebereich der Anlage als Beweismittel vor (Beilage ./6). Auf diesen Lichtbildern ist ein Zeitstempel ersichtlich („15.06.2022“). Die Beschuldigte brachte im gesamten Beschwerdeverfahren keine Änderung in Bezug auf die Videoüberwachungsanlage vor, sondern beharrte auf die Rechtmäßigkeit der Videoüberwachung. Daher konnte betreffend Ende des Zeitraums angenommen werden, dass die Anlage zumindest bis zum Zeitpunkt der Bescheiderlassung im Beschwerdeverfahren am 26.09.2022 betrieben wurde.
Der festgestellte Aufnahmebereich der Videoüberwachungsanlage innerhalb der Betriebsstätte beruht auf den eigenen Angaben der Beschuldigten bzw. auf den von ihr übermittelten Lichtbilder im Rahmen der Stellungnahme vom 21.06.2022 im Beschwerdeverfahren (Beilage ./6) und ist insofern unstrittig. Auch die Feststellungen in Bezug auf die Speicherdauer von 14 Tagen und der mangelnden zeitlichen Einschränkung ergeben sich aus den eigenen Angaben der Beschuldigten (siehe Rechtfertigung vom 06.04.2023).
In Bezug auf die Videoüberwachungsanlage wurde in den Arbeitsverträgen der Arbeitnehmer von N***GG folgende Klausel zur „ Kameraaufzeichnung “ im „ Safe- und Lokalbereich “ unter Punkt 13. aufgenommen (Formatierung nicht 1:1 wiedergegeben):
[Anmerkung Bearbeiter/in: Der an dieser Stelle als Faksimile (grafische Datei) wiedergegebene Ausschnitt aus dem Vertragstext kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wird daher als Text reproduziert (Anführungszeichen nicht im Original).]
„ 13. Sonstiges:
Kameraaufzeichnung :
Der Safe- und Lokalbereich wird mittels Kamera videoüberwacht. Die Videoüberwachung beabsichtigt keine Überwachung der Mitarbeiter, sondern dient ausschließlich dem Schutz der Betriebseinrichtungen des Dienstgebers sowie dem Schutz der Dienstnehmer. Der Dienstnehmer erteilt seine ausdrückliche Zustimmung zur Durchführung der dargestellten Videoüberwachung.“
Beweiswürdigung: Diese Feststellung stützt sich auf die eigenen Angaben der Beschuldigten. Im Beschwerdeverfahren legte die Beschuldigte als Beweismittel die von ihr genutzten Arbeitsverträge vor.
Die N***GG führte zumindest seit 25.05.2018 bis 08.03.2023 kein Verzeichnis von Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterlagen.
Beweiswürdigung: Diese Feststellung ergibt sich zunächst aus der Stellungnahme der N***GG vom 25.08.2022 im Beschwerdeverfahren. Im Zuge dieser Stellungnahme brachte sie unter anderem vor, dass es für sie mangels einer Verarbeitungstätigkeit („bzw. diese Bildaufzeichnungen nicht verarbeitet werden“) nicht erkennbar sei, „welche Aufzeichnungen gemäß Art. 30 DSGVO hier zu führen sein sollten“. Darüber hinaus wurde der Beschuldigten im Rahmen der Aufforderung zur Rechtfertigung konkret ein Verstoß gegen Art. 30 DSGVO vorgeworfen. Diesem Vorwurf entgegnete die Beschuldigte, dass die Videoaufzeichnungen nur durch die handelsrechtlichen Geschäftsführer eingesehen werden können bzw. nur sie die Login-Daten haben. Zudem würden die Aufzeichnungen nach 14 Tagen automatisch gelöscht werden, wenn keine Beweissicherung erforderlich ist. Daher sei für sie nicht erkennbar, „welche Aufzeichnungen gemäß Art. 30 DSGVO hier zu führen sein sollten“. Daraus ergibt sich ohne Zweifel, dass die Beschuldigte zumindest seit der In-Geltung-Tretung der DSGVO am 25.05.2018 bis zum Zeitpunkt der Aufforderung zur Rechtfertigung kein Verarbeitungsverzeichnis geführt hat.
1.3. Zum Umsatz der Beschuldigten
Der relevante Umsatz der Beschuldigten konnte nicht festgestellt werden.
Beweiswürdigung: Der Umsatz konnte mangels Mitwirkung der Beschuldigten nicht festgestellt werden. Es wurden keinerlei Unterlagen in diesem Zusammenhang vorgelegt. Die Beschuldigte wurde im Rahmen der Aufforderung zur Rechtfertigung zur Bekanntgabe ihres Umsatzes aufgefordert. Dieser Aufforderung kam die Beschuldigte im Zuge ihrer schriftlichen Rechtfertigung nicht nach. In weiterer Folge wurde sie erneut im Laufe des Verfahrens zur Bekanntgabe ihres Umsatzes aufgefordert und darauf hingewiesen, dass im Falle mangelnder Mitwirkung in diesem Zusammenhang eine Schätzung vorgenommen werden muss. Auf die letztgenannte Aufforderung folgte keine weitere Reaktion der Beschuldigten. Die Datenschutzbehörde führte schließlich eine amtswegige Recherche innerhalb des Firmenbuchs durch (Firmenbuch-Auszug/Jahresabschluss) und nahm Einsicht in die verfügbaren Urkunden. Konkret kann im Firmenbuch zwar der Jahresabschluss für das Jahr 2022 der Beschuldigten eingesehen werden, jedoch enthält diese Urkunde keinen Auszug über die Gewinn- und Verlustrechnung der Beschuldigten im Jahr 2022 oder sonstige Angaben zu den erzielten Umsatzerlösen. Dem im Firmenbuch verfügbaren Jahresabschluss kann lediglich entnommen werden, dass die Beschuldigte einen Bilanzgewinn in der Höhe von EUR 22*.9*1,89 erzielte.
2. Rechtlich folgt daraus:
2.1. Zur Zuständigkeit der Datenschutzbehörde und Anwendungsbereich der DSGVO
Art. 83 Abs. 5 lit. a DSGVO legt fest, dass bei Verstößen gegen die Bestimmungen der Art. 5, 6, 7 und 9 DSGVO Geldbußen von bis zu 20 000 000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können, je nachdem, welcher der Beträge höher ist.
Nach § 22 Abs. 5 DSG liegt die Zuständigkeit für die Verhängung von Geldbußen gegenüber natürlichen und juristischen Personen für Österreich als nationaler Aufsichtsbehörde bei der DSB .
Gemäß Art. 2 Abs. 1 DSGVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Die im vorliegenden Fall durch die Videokameras aufgezeichneten Bilddaten stellen zweifelsfrei personenbezogene Daten im Sinne von Art. 4 Z 1 DSGVO dar (vgl. EuGH 11.12.2014, C-212/13, Rz 2). Durch den Einsatz der gegenständlichen Videoüberwachungsanlage wurde eine Verarbeitung im Sinne von Art. 4 Z 2 DSGVO vorgenommen. Soweit die Beschuldigte in diesem Zusammenhang vorbringt, dass im konkreten Fall „ keine Verarbeitungstätigkeit “ vorliege und daher auch kein Verzeichnis zu führen sei, kann darauf hingewiesen werden, dass die Legaldefinition nach Art. 4 Z 2 DSGVO keine „ Mindestverarbeitung “ verlangt (vgl. hierzu BVwG vom 03.09.2019, GZ: W214 2219944-1). Aus dem Wortlaut der Definition ist zu entnehmen, dass bereits die Anfertigung bzw. das Erfassen/Erheben von personenbezogenen Daten eine Verarbeitung darstellt. Außerdem bringt die Beschuldigte selbst vor, dass die Aufnahmen in der Dauer von 14 Tagen gespeichert werden. Auch die Speicherung stellt eine eigenständige Verarbeitung im Sinne des Art. 4 Z 2 DSGVO dar.
Im Lichte des als erwiesen angenommenen Sachverhalts ist die Beschuldigte als Verantwortliche gemäß Art. 4 Z 7 DSGVO zu qualifizieren, da sie primär zum Schutze ihres Eigentums eine Videoüberwachungsanlage betrieben hat. Die Rolle als Verantwortliche wurde von der Beschuldigten auch nicht bestritten (weder im Beschwerdeverfahren noch im Verwaltungsstrafverfahren). Als Verantwortliche ist die Beschuldigte Adressat der einschlägigen Pflichten der DSGVO im Zusammenhang mit der gegenständlichen Videoüberwachungsanlage, die im Folgenden näher beleuchtet werden.
2.2. Zur Rechtmäßigkeit der Verarbeitung durch die Videoüberwachungsanlage (Spruchpunkt I.)
Als primärer Zweck der Videoüberwachungsanlage wurde von der Beschuldigten der Schutz ihres Eigentums vorgebracht. Darüber hinaus brachte sie auch den Schutz ihrer Mitarbeiter, wie festgestellt, vor. Die Beschuldige brachte als Rechtsgrundlage in Bezug auf die Verarbeitung durch die Videoüberwachungsanlage im Beschwerdeverfahren zunächst die Einwilligung ihrer Arbeitnehmer (Art. 6 Abs. 1 lit. a DSGVO) vor. In Reaktion auf die Aufforderung zur Rechtfertigung im gegenständlichen Verfahren stützte die Beschuldigte die Verarbeitung jedoch schließlich auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO. Auch im Rahmen des Beschwerdeverfahrens stützte die Beschuldigte die Verarbeitung zunächst (in den ersten Stellungnahmen) auf die Einwilligung ihrer Arbeitnehmer und in weiterer Folge auf berechtigte Interessen. Im Folgenden werden jedenfalls beide ins Treffen geführten Rechtsgrundlagen näher beleuchtet. Die restlichen Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO wurden nicht vorgebracht und sind auch nach einer amtswegigen Prüfung im vorliegenden Fall nicht einschlägig.
2.2.1. Zur Einwilligung als Rechtgrundlage nach Art. 6 Abs. 1 lit. a DSGVO
Gemäß Art. 4 Z 11 DSGVO versteht man unter „ Einwilligung “ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Gemäß Art. 7 Abs. 4 DSGVO sowie unter Berücksichtigung von Art. 4 Z 11 DSGVO und Erwägungsgrund 43 DSGVO muss eine Einwilligung freiwillig erfolgen und darf nicht an die Erfüllung eines Vertrages gekoppelt sein, obwohl diese Einwilligung zur Erfüllung dieses Vertrags nicht erforderlich ist . Unfreiwillig ist eine Einwilligung insbesondere dann, wenn bei Nichtabgabe der Einwilligung ein Nachteil zu erwarten ist (vgl. dazu den Bescheid der DSB vom 16. April 2019, GZ: DSB-D213.679/0003-DSB/2018).
In Art. 7 Abs. 1 DSGVO wird die ausdrückliche Verpflichtung des Verantwortlichen deutlich dargelegt, die Einwilligung der betroffenen Person nachzuweisen . Nach Art. 5 Abs. 2 iVm Art. 7 Abs. 1 iVm Art. 24 Abs. 1 DSGVO liegt die Beweislast beim Verantwortlichen . Erwägungsgrund 42 der DSGVO hält hierzu fest: „Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte der Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat“.
Der EuGH hat in diesem Zusammenhang in einer Entscheidung ausdrücklich klargestellt, dass der Verantwortliche einer Verarbeitung die Beweislast für die Einhaltung der Grundsätze nach Art. 5 Abs. 1 DSGVO trägt . Das bedeutet, dass der Verantwortliche beispielsweise nachweisen muss, dass die Daten für festgelegte, eindeutige und legitime Zwecke erhoben und auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Darüber hinaus wies der EuGH schließlich in Bezug auf eine Einwilligung nach Art. 7 Abs. 1 DSGVO darauf hin, dass in jenen Fällen, in denen die Verarbeitung auf einer Einwilligung beruht, der Verantwortliche die Beweislast dafür trägt, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. In diesem Zusammenhang trägt der Verantwortliche insbesondere die Beweislast dafür, ob die Einwilligung tatsächlich wirksam , insbesondere freiwillig , erteilt wurde (vgl. EuGH vom 04.07.2023, C-252/21, Rz 95 und 152 ff).
In einer rezenten Entscheidung erinnerte der EuGH erneut daran, dass Verantwortliche im Lichte ihrer Pflichten nach der DSGVO nicht nur geeignete und wirksame Maßnahmen treffen, sondern auch nachweisen können müssen, dass ihre Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die ergriffenen Maßnahmen auch wirksam sind, um diesen Einklang sicherzustellen (vgl. EuGH vom 05.12.2023, C-807/21, Rz 38).
Im konkreten Fall stützte sich die Beschuldigte zunächst auf die Einwilligung der Arbeitnehmer, konnte jedoch im Rahmen des Beschwerdeverfahrens keine zulässige Einwilligung für die Verarbeitung durch die Videoüberwachungsanlage im Sinne der oben genannten Bestimmungen bzw. Anforderungen der DSGVO, insbesondere der Freiwilligkeit einer Einwilligung, nachweisen. Darüber hinaus könnte selbst das Vorliegen einer solchen Einwilligung der Arbeitnehmer im konkreten Fall das Kriterium der Freiwilligkeit nicht erfüllen (vgl. zu all dem die Ausführungen und zitierte Judikatur im Bescheid der DSB vom 26.09.2022, S. 13). Sowohl im Rahmen der Beschwerde gegen den Bescheid vom 26.09.2022 als auch im Zuge der schriftlichen Rechtfertigung vom 06.04.2023 brachte die Beschuldigte vor, dass sie die festgestellte Videoüberwachung in der Küche der Betriebsstätte für „ absolut notwendig “ erachtet. Daher ist es evident, dass die Beschuldigte selbst im Falle einer mangelnden Einwilligung eines Arbeitnehmers die gegenständliche Kamera innerhalb der Küche nicht deinstalliert bzw. weiter betrieben hätte. Somit gab es keine Alternative für die Arbeitnehmer , wenn sie sich dazu entschieden hätten, keine Einwilligung für den Betrieb der Videoüberwachungsanlage zu erteilen. Durch eine mangelnde Einwilligung hätten die Arbeitnehmer zudem gegen die festgestellte Klausel im Rahmen ihres Arbeitsvertrages („ Kameraaufzeichnung “) verstoßen (Koppelungsverbot gemäß Art. 7 Abs. 4 DSGVO).
Gemessen daran konnte die gegenständliche Verarbeitung nicht auf eine allfällige Einwilligung der Arbeitnehmer im Sinne des Art. 6 Abs. 1 lit. a iVm Art. 7 DSGVO gestützt werden. Schließlich ist in diesem Zusammenhang darauf hinzuweisen, dass die Beschuldigte in ihrer Rechtfertigung vom 06.04.2023 ausschließlich nur mehr ein berechtigtes Interesse als Rechtsgrundlage ins Treffen führte.
2.2.2. Zum berechtigten Interesse als Rechtgrundlage nach Art. 6 Abs. 1 lit. f DSGVO
Eingangs ist in Bezug auf den Wechsel der Rechtsgrundlage im Laufe der Verfahren darauf hinzuweisen, dass die DSB – in Einklang mit den Leitlinien des Europäischen Datenschutzausschusses (EDSA) – davon ausgeht, dass ein nachträglicher Wechsel der Erlaubnistatbestände von Art. 6 Abs. 1 lit. a auf lit. f leg. cit. im Falle der Ungültigkeit der Einwilligungserklärung nicht zulässig ist (vgl. BVwG vom 28.09.2023, W256 2227693-1, im Zusammenhang mit einem Kundenbindungsprogramm). Unabhängig davon wird die Rechtsgrundlage nach Art. 6 Abs. 1 lit. f DSGVO im konkreten Fall näher beleuchtet.
In Bezug auf die Rechtmäßigkeit der Verarbeitung wird darauf hingewiesen, dass Art. 5 DSGVO die Grundsätze der Verarbeitung personenbezogener Daten festlegt und im Abs. 1 lit. a bestimmt, dass personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) . Art. 5 Abs. 1 lit. c DSGVO normiert zudem, dass die konkrete Datenverarbeitung dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein muss („Datenminimierung“).
Die Anforderungen für eine rechtmäßige Datenverarbeitung sind in Art. 6 DSGVO konkretisiert. Danach erfordert die Rechtmäßigkeit jeder Verarbeitung, dass die Verarbeitung - kumulativ zu den anderen in Art. 5 Abs. 1 geregelten Grundsätzen – mindestens einem der in Art. 6 Abs. 1 DSGVO abschließend festgelegten Rechtsgründe genügen muss (vgl. Selmayr in Ehmann/Selmayr , Datenschutz-Grundverordnung, Kommentar², Art 5 Rz 8f).
Art 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) gestattet die Verarbeitung nach der Judikatur des EuGH unter drei kumulativen Voraussetzungen: (i) Wahrnehmung eines berechtigten Interesses; (ii) Erforderlichkeit der Verarbeitung und (iii) kein Überwiegen der Rechte und Freiheiten anderer (vgl. EuGH vom 11.12.2019, Rs C-708/18, Rz 36 mwN).
Der EuGH wies betreffend Wahrnehmung eines berechtigten Interesses bereits darauf hin, dass der Schutz des Eigentums sowie der Schutz der Gesundheit und des Lebens für den Betrieb einer Videoüberwachungsanlage grundsätzlich berechtigte Interessen darstellen können (vgl. Urteil des EuGH vom 11.12.2019, Rs C-708/18, Rz 42). Auch eine Datenverarbeitung zum Zwecke der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen kann ein berechtigtes Interesse darstellen (vgl. Art 9 Abs. 2 lit. f, Art. 17 Abs. 3. lit. e, Art. 18 Abs. 2 oder Art. 21 Abs. 1 DSGVO; vgl. EuGH vom 17.06.2021, C-597/19, Rz 108 ff). Im vorliegenden Fall kann ein berechtigtes Interesse der Beschuldigten nicht ausgeschlossen werden.
Gleichzeitig hielt der EuGH jedoch fest, dass jegliche Datenverarbeitung in Bezug auf ihre Zulässigkeit die in Art. 5 Abs. 1 DSGVO aufgestellten Grundsätze für die Verarbeitung erfüllen muss (vgl. zur alten, jedoch identen Rechtslage das Urteil des EuGH vom 13.05.2014, C-131/12, Rz 71 mwN). In Bezug auf die Erforderlichkeit einer Verarbeitung hielt der EuGH fest, dass sich die Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten auf das absolut Notwendige beschränken müssen (vgl. das Urteil des EuGH vom 4.05.2017, C 13/16, sowie vom 9.11.2010, C-92/09 und C-93/09). Mit anderen Worten: Es ist zu prüfen, ob der gleiche Schutzzweck durch ein gelinderes Mittel ebenfalls erlangt werden bzw. kann das angestrebte Ziel mit einer weniger eingriffsintensiven Datenverarbeitung erreicht werden kann.
Die Beschuldigte hatte im vorliegenden Fall - zusammengefasst - zwar ein berechtigtes Interesse am Betrieb der Videoüberwachungsanlage (primär Schutz ihres Eigentums und darüber hinaus Schutz ihrer Arbeitnehmer), jedoch war die konkrete Verarbeitung bzw. die Einstellung des festgestellten Aufnahmebereichs, der Betriebszeit sowie Speicherdauer der Aufnahmen von 14 Tagen nicht erforderlich und somit auch nicht das gelindeste Mittel , um die genannten Interessen zu gewährleisten. In Bezug auf die Eingriffsintensität der Verarbeitung ist darauf hinzuweisen, dass im konkreten Fall ein gravierender Eingriff in das Grundrecht auf Geheimhaltung der Arbeitnehmer erfolgte, da sie an ihrem Arbeitsplatz permanent/durchgehend überwacht wurden. Insbesondere erfolgte keine Einschränkung der Videoüberwachung auf Zeiten außerhalb der Betriebszeiten.
Das Kriterium der Erforderlichkeit ist eng mit dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) verbunden. Demnach müssen die verarbeiteten Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Selbst wenn eine Videoüberwachung unbedingt erforderlich erscheint, müssen Maßnahmen zur Einschränkung des Aufnahmebereichs, wie das Anbringen einer physischen Blende, oder das Verpixeln nicht relevanter Bereiche, getroffen werden (vgl. Europäischer Datenschutzausschuss (EDSA) Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.1., Rz 25-27).
Im konkreten Fall kann aufgrund des eingestellten Aufnahmebereichs , der eingestellten Betriebszeit der Kamera im Küchenbereich sowie der Speicherdauer von 14 Tagen keine Erforderlichkeit der Verarbeitung im Sinne des Art. 5 Abs. 1 lit. c DSGVO erkannt werden. In Bezug auf den Aufnahmebereich und die Betriebszeit der Kamera im Küchenbereich kann hierzu auf die Ausführungen im Bescheid der DSB vom 26.09.2022 verwiesen werden (S. 15 f).
Darüber hinaus liegt auch auf Grund der unverhältnismäßigen langen Speicherdauer keine erforderliche Verarbeitung bzw. nicht das gelindeste Mittel vor. Der Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO konkretisiert den Grundsatz der Datenminimierung in Bezug auf die Speicherdauer. Diese ist auf das unbedingt erforderliche Mindestmaß zu beschränken. Die Frist bzw. die Kriterien, nach denen sich der Zeitpunkt der Löschung bestimmt, müssen auf das für die Verarbeitungszwecke unbedingt erforderliche Mindestmaß beschränkt sein. Die Festlegung der Fristen bzw. Kriterien bedarf daher einer Einzelfallbetrachtung, in der die Erforderlichkeit der Aufbewahrung von Daten anhand der Verarbeitungszwecke beurteilt wird (vgl. Hötzendorfer/Tschohl/Kastelitz in Knyrim , DatKomm Art. 5 DSGVO, Rz 49f).
Im vorliegenden Fall wählte die Verantwortliche eine Speicherdauer von 14 Tagen . Die Datenschutzbehörde geht nicht davon aus, dass im Falle eines Einbruchs oder einer Sachbeschädigung die Beschuldigte 14 Tage benötigt, um dies zu bemerken und in Folge auf die Aufzeichnungen zurückzugreifen. Im Falle von Einbrüchen, Beschädigungen oder auch sonstigen Vorfällen, bei denen eine Aufzeichnung zur Aufklärung erforderlich sein könnte, muss davon ausgegangen werden, dass eine solche zeitnah zum jeweiligen Geschehnis gespeichert und beispielsweise den Sicherheitsbehörden übermittelt werden würde (vgl. BVwG vom 02.06.2021, W211 2232587-1, S. 23). Die Datenschutzbehörde geht bei solchen Videoüberwachungsanlagen im Regelfall von einer Speicherdauer von 72 Stunden aus (darüber werden Verantwortliche auf der Webseite der Datenschutzbehörde unter https://www.dsb.gv.at/download-links/fragen-und-antworten.html#Stationaere_Videoueberwachung informiert). Für eine Speicherdauer von 14 Tagen müssten spezielle Gründe vorliegen, die von der Beschuldigten jedoch nicht dargelegt wurden (vgl. hierzu auch EDSA Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.1., Rz 121), obwohl sie nach Art. 5 Abs. 2 DSGVO hiefür die Beweislast trifft.
Die Beschuldigte konnte daher entgegen ihrer Nachweispflicht (siehe oben zitierte Judikatur des EuGH betreffend Nachweispflicht von Verantwortliche) weder im Beschwerdeverfahren noch im gegenständlichen Verfahren die Erforderlichkeit der Verarbeitung in Bezug auf die oben genannten Einstellungen nachvollziehbar darlegen . Mit der Aufforderung zur ergänzenden Stellungnahme im konkreten Verfahren wurde die Beschuldigte ausdrücklich darauf hingewiesen und aufgefordert, die Erforderlichkeit der Verarbeitung darzulegen. Dieser Aufforderung kam die Beschuldigte nicht nach .
Mangels Erforderlichkeit der Verarbeitung bedarf es in Folge keiner Interessenabwägung im engeren Sinn zwischen den Interessen der Beschuldigten und der Betroffenen.
Im Ergebnis sind die Voraussetzungen der Rechtsgrundlagen nach Art. 6 Abs. 1 lit. a und f DSGVO für die konkrete Verarbeitung nicht erfüllt . Eine sonstige Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO kommt nicht in Betracht und wurde auch nicht vorgebracht . Die Verarbeitung der Bilddaten durch die gegenständliche Videoüberwachungsanlage erfolgte somit unrechtmäßig .
Damit ist die objektive Tatseite eines Verstoßes gegen die Grundsätze für die Verarbeitung des Art. 5 Abs. 1 lit. a und c und des Art. 6 Abs. 1 DSGVO erfüllt .
2.3. Zum Verstoß gegen Art. 30 DSGVO (Spruchpunkt II.)
Jeder Verantwortliche und gegebenenfalls sein Vertreter müssen gemäß Art. 30 Abs. 1 DSGVO ein Verzeichnis aller Verarbeitungstätigkeiten , die ihrer Zuständigkeit unterliegen, führen. Dieses Verzeichnis muss die in Art. 30 Abs. 1 lit. a bis g DSGVO angeführten Angaben enthalten. Ein solches Verzeichnis ist gemäß Art. 30 Abs. 3 DSGVO schriftlich zu führen, wobei auch ein elektronisches Format zulässig ist. Nach Art. 30 Abs. 4 DSGVO müssen Verantwortliche auf Anfrage einer Aufsichtsbehörde dieses Verzeichnis zur Verfügung stellen.
Im vorliegenden Fall hatte die Beschuldigte, wie festgestellt, kein solches Verzeichnis über die in ihre Zuständigkeit fallenden Verarbeitungstätigkeiten geführt. Daher konnte sie ein solches Verzeichnis auf Anfrage der DSB im Rahmen des Beschwerdeverfahrens auch nicht vorlegen .
Die Beschuldigte brachte in diesem Zusammenhang - zusammengefasst - vor, dass auf die Aufzeichnungen der Anlage nur die Geschäftsführer der N***GG Zugriff hätten und die Aufzeichnungen nach 14 Tagen automatisch gelöscht werden, wenn keine Beweissicherung erforderlich erscheint. Daher gebe es im konkreten Fall „ keine Verarbeitungstätigkeiten “ und sei nicht erkennbar, welche Aufzeichnungen hier geführt werden müssten. Schließlich wurde nochmals auf den Zweck der Anlage verwiesen.
In Bezug auf die Tatsache, dass im konkreten Fall eine Verarbeitung im Sinne von Art. 4 Z 2 DSGVO vorliegt, kann auf die Ausführungen oben unter Punkt 2.1 verwiesen werden. Die Beschuldigte verarbeitete, wie bereits ausgeführt, in ihrer Rolle als Verantwortliche durch den Einsatz der Videoüberwachungsanlage personenbezogene Daten von ihren Arbeitnehmern und Kunden. Dadurch unterliegt sie den einschlägigen Pflichten der DSGVO und somit auch der Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO. Die Ausnahmebestimmung nach Art. 30 Abs. 5 DSGVO ist im konkreten Fall bereits aufgrund der regelmäßig bzw. dauerhaften Verarbeitung durch die Videoüberwachungsanlage nicht einschlägig (vgl. Jahnel , Kommentar zur Datenschutz-Grundverordnung Art. 30 DSGVO, Rz 13 (Stand 1.12.2020, rdb.at)).
Somit ist auch die objektive Tatseite betreffend Art. 30 Abs. 1 DSGVO erfüllt.
2.4. Zur Strafbarkeit der Beschuldigten als juristische Person nach Art. 83 DSGVO
Die Voraussetzungen für die Verhängung von Geldbußen sowohl gegen natürliche Personen als auch gegen juristische Personen werden in Art. 83 DSGVO normiert. Der nationale Gesetzgeber hat jedoch in § 30 Abs. 1 und 2 DSG weitere „ allgemeine Bedingungen für die Verhängung von Geldbußen “ normiert.
Nach § 30 Abs. 1 DSG kann die Datenschutzbehörde Geldbußen gegen eine juristische Person verhängen, wenn Verstöße gegen Bestimmungen der DSGVO durch Personen begangen wurden, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person aufgrund (1) der Befugnis zur Vertretung der juristischen Person (2) der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder (3) einer Kontrollbefugnis innerhalb der juristischen Person innehaben.
Juristische Personen können wegen Verstößen gegen Bestimmungen der DSGVO gemäß § 30 Abs. 2 DSG auch in jenen Fällen verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in § 30 Abs. 1 DSG genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat (mangelnde Kontrolle und Überwachung) , sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.
Der Verwaltungsgerichtshof hat in seinem Erkenntnis vom 12.05.2020 zu Ro 2019/04/0229 sich erstmalig mit der Anwendbarkeit der Strafbarkeitsvoraussetzungen des § 30 DSG in einem Verfahren nach Art. 83 DSGVO auseinandergesetzt und stellte in diesem Zusammenhang fest, dass eine juristische Person nicht selbst handeln kann und daher ihre Strafbarkeit nach § 30 DSG eine Folge des tatbestandsmäßigen, rechtswidrigen und schuldhaften Verhaltens einer natürlichen (Führungs-)Person im Sinne des § 30 Abs. 1 DSG ist. Demnach sei für die Wirksamkeit der gegen die juristische Person gerichteten Verfolgungshandlung die genaue Umschreibung der Tathandlung der natürlichen Person (oder auch die sogenannte „Zurechnungsperson“) vonnöten. Die Zurechnung der konkreten Tathandlung durch die Führungsperson an die juristische Person müsse im Spruch aufgenommen und die Zurechnungsperson zudem als identifizierte natürliche Person namentlich genannt werden (vgl. VwGH 12.05.2020, Ro 2019/04/0229, mwN). Mit anderen Worten: Die Datenschutzbehörde müsse in einem Verfahren nach Art. 83 DSGVO im Spruch des Straferkenntnisses jene natürliche (Führungs-)Person, deren Verstoß gegen die DSGVO bzw. das DSG der im Sinne des Art. 4 Z 7 DSGVO verantwortlichen juristischen Person zugerechnet werden soll, namentlich nennen, um in Folge eine Geldbuße nach Art. 83 DSGVO gegen die Verantwortliche als juristische Person verhängen zu können. Diese Zurechnungsperson ist dabei als Beschuldigte im Verwaltungsstrafverfahren gegen die juristische Person zu führen und hat per se Parteistellung (vgl. Zaczek , Das Verbandsverantwortlichkeitsmodell des Art 83 DSGVO, in Jahnel (Hrsg), Jahrbuch Datenschutzrecht 2020, S. 257 ff).
Mit Beschluss vom 06.12.2021 ersuchte das Kammergericht Berlin den EuGH im Rahmen eines Vorabentscheidungsersuchens nach Art. 267 AEUV um Auslegung des Art. 83 DSGVO in Bezug auf die Frage, ob ein Unternehmen unmittelbar Betroffener im Bußgeldverfahren wegen eines Verstoßes gegen Art. 83 DSGVO sein kann und legte in diesem Zusammenhang folgende Fragen vor
1. Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass es den Art. 101 und 102 AEUV zugeordneten funktionalen Unternehmensbegriff und das Funktionsträgerprinzip in das innerstaatliche Recht mit der Folge inkorporiert, dass unter Erweiterung des § 30 OWiG zugrundeliegenden Rechtsträgerprinzips ein Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden kann und die Bebußung nicht der Feststellung einer durch eine natürliche und identifizierte Person, gegebenenfalls volldeliktisch, begangenen Ordnungswidrigkeit bedarf?
2. Wenn die Frage zu 1. bejaht werden sollte: Ist Art. 83 Abs. 4 bis 6 DS-GVO dahin auszulegen, dass das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben muss (vgl. Art. 23 der Verordnung (EG) Nr. 1/2003 des Rates vom 16. Dezember 2002 zur Durchführung der in den Art. 81 und 82 des Vertrags niedergelegten Wettbewerbsregeln), oder reicht für eine Bebußung des Unternehmens im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß aus („strict liability“)?
Durch das Vorabentscheidungsersuchen des Kammergerichts Berlin war es fraglich, ob die Bestimmungen des § 30 Abs. 1 und 2 DSG überhaupt zur Anwendung gelangen dürfen, weil sie gegen die unmittelbar anwendbaren Bestimmungen der DSGVO verstoßen könnten, und ob die Ausführungen des VwGH in seinem oben zitierten Erkenntnis zur Strafbarkeit juristischer Personen in Verfahren nach Art. 83 DSGVO aufrechterhalten werden könnten. Da die Entscheidung des EuGH zu diesen Vorlagefragen präjudizielle Wirkung für das gegenständliche Verfahren hatte, wurde das Verwaltungsstrafverfahren ausgesetzt .
Der EuGH hielt schließlich im Urteil vom 05.12.2023 fest, dass die unmittelbar anwendbaren Bestimmungen nach Art. 58 Abs. 2 lit. i und Art. 83 Abs. 1 bis 6 DSGVO dahin auszulegen sind, dass sie einer nationalen Regelung entgegenstehen , wonach eine Geldbuße wegen eines in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoßes gegen eine juristische Person in ihrer Eigenschaft als Verantwortliche nur dann verhängt werden kann, wenn dieser Verstoß zuvor einer identifizierten natürlichen Person zugerechnet wurde.
Der EuGH führte in diesem Zusammenhang aus, dass juristische Personen nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurde, die im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelte . Außerdem müsse es möglich sein, die in Art. 83 DSGVO vorgesehenen Geldbußen unmittelbar gegen juristische Personen zu verhängen (vgl. EuGH vom 05.12.2023, C-807/21, Rz 44).
Die (materiellen) Voraussetzungen für die Verhängung von Geldbußen durch Aufsichtsbehörden sind in Art. 83 Abs. 1 bis 6 DSGVO genau und ohne Ermessensspielraum für die Mitgliedstaaten geregelt . Die DSGVO enthält keine Bestimmung, wonach die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche davon abhängt, dass zuvor festgestellt wird, dass dieser Verstoß von einer identifizierten natürlichen Person begangen wurde. Die DSGVO räumt den Mitgliedstaaten lediglich die Möglichkeit/Befugnis ein, Anforderungen an das von den Aufsichtsbehörden anzuwendende Verfahren bei der Verhängung einer Geldbuße vorzusehen, jedoch keineswegs über diese verfahrensrechtlichen Anforderungen hinaus die Normierung von materiellen Voraussetzungen, die zu jenen in Art. 83 Abs. 1 und 6 DSGVO hinzutreten (vgl. EuGH C-807/21, Rn 45 ff).
Die Voraussetzungen für die Verhängung einer Geldbuße nach Art. 83 DSGVO durch eine Aufsichtsbehörde ergeben sich daher ausschließlich durch das Unionsrecht . Es liegen keine Öffnungsklausen in diesem Zusammenhang für die Mitgliedstaaten vor.
Der EuGH führte hierzu ins Treffen, dass eine nationale Regelung, die zusätzliche Anforderungen für die Verhängung von Geldbußen nach Art. 83 DSGVO normiert, gegen Art. 83 Abs. 1 DSGVO verstößt, weil dadurch die Wirksamkeit und die abschreckende Wirkung von Geldbußen geschwächt wird , die gegen juristische Personen verhängt werden. Dabei muss berücksichtigt werden, dass Geldbußen ein Schlüsselelement der DSGVO darstellen und zur Durchsetzung der Ziele dieser Verordnung dienen bzw. die Wahrung der Rechte betroffener Personen gewährleisten und ein hohes Schutzniveau unionsweit sicherzustellen (vgl. EuGH C-807/21, Rz 51 und 73). Im Ergebnis stellte der EuGH daher fest, dass die Voraussetzungen für die Verhängung einer Geldbuße nach Art. 83 DSGVO abschließend in Art. 83 Abs. 1 bis 6 DSGVO geregelt sind (Rn 53).
Über diese Frage hinaus stellte der EuGH zudem fest, dass der Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV (siehe ErwGr 150 DSGVO) nur für die Berechnung einer Geldbuße relevant ist, die gemäß Art. 83 Abs. 4 bis 6 DSGVO verhängt werden (nicht jedoch für das oben zusammengefasste Ergebnis in Bezug auf die erste Vorlagefrage). Demnach müsse der wettbewerbsrechtliche Unternehmensbegriff , wonach jede eine wirtschaftliche Tätigkeit ausübende Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung umfasst ist, der Entscheidung über die Höhe der Geldbuße zu Grunde gelegt werden (vgl. EuGH C-807/21, Rz 53 ff). Mit anderen Worten: Für die Berechnung der Geldbuße muss der weltweite Jahresumsatz der wirtschaftlichen Einheit herangezogen werden, wenn der Adressat der Geldbuße ein Unternehmen im Sinne des Art. 101 und 102 AEUV ist oder einem solchen angehört.
Diese wirtschaftliche Einheit besteht in einer einheitlichen Organisation persönlicher , materieller und immaterieller Mittel , die dauerhaft einen bestimmten wirtschaftlichen Zweck verfolgt (vgl. EuGH vom 06.10.2021, C-882/19, Rz 41 mwN).
Hierzu führte der EuGH, wie schon zuvor der Generalanwalt in seinen Schlussanträgen, ins Treffen, dass nur eine Geldbuße, deren Höhe anhand der tatsächlichen oder materiellen Leistungsfähigkeit des Adressaten unter Zugrundlegung des Begriffs der wirtschaftlichen Einheit festgesetzt wird, letztendlich die in Art. 83 Abs. 1 DSGVO genannten Voraussetzungen (wirksam, abschreckend, verhältnismäßig) erfüllen kann (vgl. EuGH C-807/21, Rz 58 f).
2.5. Zur subjektiven Tatseite
Der EuGH hat in Bezug auf die zweite Vorlagefrage, wie schon bereits von der Datenschutzbehörde in ihrer bisherigen Spruchpraxis angenommen, nun explizit festgehalten, dass nur Verstöße gegen Bestimmungen der DSGVO, die der Verantwortliche schuldhaft, d.h. vorsätzlich oder fahrlässig begeht, zur Verhängung einer Geldbuße führen können (vgl. EuGH vom 05.12.2023, C-807/21, Rz 68).
In Bezug auf die subjektive Tatseite ist zu berücksichtigen, dass die Voraussetzung des Verschuldens für die Verhängung einer Geldbuße nach Art. 83 DSGVO unionsautonom auszulegen und insbesondere im Lichte der Rechtsprechung des EuGH zu beurteilen ist. Auch zur Vorlagefrage in Bezug auf das Verschulden stellte der EuGH fest, dass den Mitgliedstatten in diesem Zusammenhang kein Ermessensspielraum durch den Unionsgesetzgeber für nationale Regelungen eingeräumt wurde, da die materiellen Voraussetzungen abschließend in Art. 83 Abs. 1 bis 6 DSGVO genau geregelt sind (vgl. hierzu auch EuGH vom 05.12.2023, C-683/21, Rz 64 ff).
Zu der Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und daher mit einer Geldbuße geahndet werden kann, stellte der EuGH in seinem oben zitierten Urteil gleichzeitig klar, dass ein solches Verschulden bereits vorliegt, wenn der Beschuldigte sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass er gegen die Vorschriften der DSGVO verstößt (vgl. EuGH C-807/21, Rz 76).
Unter Verweis auf weitere Rechtsprechung stellte der EuGH zudem ausdrücklich klar, dass die Anwendung von Art. 83 DSGVO gegenüber juristischen Personen keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt (vgl. EuGH vom 05.12.2023, C-807/21, Rz 77).
Die Verantwortung und Haftung eines Verantwortlichen erstreckt sich dabei auf jedwede Verarbeitung personenbezogener Daten, die durch oder in seinem Namen erfolgt . In diesem Rahmen muss der Verantwortliche nicht nur geeignete und wirksame Maßnahmen treffen, sondern muss er auch nachweisen können, dass seine Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die er ergriffen hat, um diesen Einklang sicherzustellen, auch wirksam sind (vgl. EuGH C-807/21, Rz 38, unter Verweis auf ErwGr 74).
Umgelegt auf den vorliegenden Fall bedeutet dies Folgendes:
Zunächst ist festzuhalten, dass es im Rahmen des Ermittlungsverfahrens keine Anhaltspunkte dafür gab, dass die gegenständlichen Verstöße von einer Person begangen wurden, die nicht im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelte. Dem Urteil des EuGH zufolge ist es für die Verhängung einer Geldbuße gegen eine juristische Person jedoch nicht erforderlich, dass die Datenschutzbehörde eine identifizierte natürliche Person, die im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelte, in ihrer Entscheidung anführt und das Handeln dieser Person der juristischen Person zurechnet . Es ist daher im vorliegenden Fall auch nicht entscheidungserheblich, ob und welcher Geschäftsführer der Beschuldigten die gegenständlichen Verstöße zu verantworten hat.
Im Lichte des als erwiesen angenommen Sachverhalts wird von der Datenschutzbehörde keine vorsätzliche Tathandlung durch die Beschuldigte angenommen. Die Beschuldigte hat als Verantwortliche gemäß Art. 4 Z 7 DSGVO beschlossen, dass für die festgestellten Zwecke eine Videoüberwachungsanlage montiert und in Betrieb genommen wird und dies ohne sich dabei vorab über die einschlägigen Verwaltungsvorschriften zu erkundigen. Bereits das Aufrufen der Webseite der Datenschutzbehörde (siehe oben) hätte gereicht, um beispielsweise in Erfahrung zu bringen, dass lediglich eine Speicherdauer von 72 Stunden als zulässig erachtet wird. Darüber hinaus hat auch der Europäische Datenschutzausschuss Empfehlungen im Rahmen von Leitlinien zur Videoüberwachung auf ihrer Webseite veröffentlicht (siehe Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte).
Außerdem kann in diesem Zusammenhang auch auf das Erkenntnis des Bundesverwaltungsgerichts vom 08.04.2022 zur GZ: W214 2240128-1 verwiesen werden, wonach der dortigen Beschwerdeführerin ebenfalls bekannt sein musste, „ dass es einschlägige Datenschutzvorschriften gibt, umso mehr, als über die DSGVO bei deren Wirksamwerden im Jahre 2018 breit in der Öffentlichkeit informiert und diskutiert wurde und eine große Anzahl von medialen Beiträgen zu diesem Thema erschienen ist “ (siehe Punkt 3.3.2 zur Erfüllung der subjektiven Tatseite).
In Bezug auf die unrechtmäßige Verarbeitung personenbezogener Daten durch den Betrieb einer Videoüberwachungsanlage (Spruchpunkt I.) liegt jedenfalls Verschulden in Form von Fahrlässigkeit vor.
Auch der Verstoß gegen die verpflichtende Führung des Verarbeitungsverzeichnisses kann durch kein Vorbringen der Beschuldigten gerechtfertigt werden. Die Beschuldigte hat sich weder vor noch nach der In-Geltung-Tretung der DSGVO über die einschlägigen Verwaltungsvorschriften geeignet erkundigt. Dies wäre der Beschuldigten jedoch jedenfalls möglich und zumutbar gewesen. Auch in Bezug auf Spruchpunkt II. liegt Verschulden in Form von Fahrlässigkeit vor.
Spätestens seit dem Abschluss des Beschwerdeverfahrens nach Art. 77 DSGVO iVm § 24 DSG hätte es der Beschuldigten klar sein müssen, dass sie gegen Vorgaben der DSGVO verstößt.
Im Lauf des Ermittlungsverfahrens ergaben sich jedenfalls keine Hinweise darauf, dass der Beschuldigten an der Verletzung der gegenständlich anzuwendenden Verwaltungsvorschriften kein Verschulden trifft. Die Beschuldigte konnte sich im Lichte der Rechtsprechung des EuGH über die Rechtswidrigkeit ihres Verhaltens nicht im Unklaren sein, unabhängig davon, ob ihr dabei bewusst war, dass sie gegen die Vorschriften der DSGVO verstößt (vgl. EuGH C-807/21, Rz 76 und 77; EuGH C-683/21, Rz 81 und 82 mwN).
Dadurch ist die subjektive Tatseite ebenfalls erfüllt.
3. Zur Strafzumessung ist Folgendes festzuhalten:
Gemäß Art. 83 Abs. 1 DSGVO hat die Datenschutzbehörde sicherzustellen, dass die Verhängung von Geldbußen für Verstöße gegen die unter Sanktion gestellten Bestimmungen der DSGVO (Art. 83 Abs. 4, 5 und 6 DSGVO) in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Näherhin bestimmt Art. 83 Abs. 2 DSGVO , dass bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall bestimmte Kriterien gebührend zu berücksichtigen sind.
Die Datenschutzbehörde hat im Rahmen der Strafbemessung die Leitlinien des EDSA betreffend Berechnung von Geldbußen nach der DSGVO (vgl. EDPB Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 2.1 vom 24.05.2023 – im Folgenden „Fines-Leitlinien“) zur Anwendung gebracht.
Die Strafbemessung innerhalb eines gesetzlichen Strafrahmens ist eine Ermessensentscheidung , die nach den vom Gesetzgeber im § 19 VStG festgelegten Kriterien vorzunehmen ist (vgl. VwGH 05.09.2013, 2013/09/0106).
Gemäß § 19 Abs. 1 VStG sind die Grundlagen für die Bemessung der Strafe die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat. Überdies sind nach dem Zweck der Strafdrohung die in Betracht kommenden Erschwerungs- und Milderungsgründe, soweit sie nicht schon die Strafdrohung bestimmen, gegeneinander abzuwägen. Auf das Ausmaß des Verschuldens ist besonders Bedacht zu nehmen. Unter Berücksichtigung der Eigenart des Verwaltungsstrafrechtes sind die §§ 32 bis 35 des Strafgesetzbuches sinngemäß anzuwenden. Die Einkommens- und Vermögensverhältnisse und allfällige Sorgepflichten des Beschuldigten sind bei der Bemessung von Geldstrafen zu berücksichtigen (dies gilt naturgemäß nur für natürliche Personen, ist aber sinngemäß auf juristische Personen zu übertragen); dies allerdings nur in dem Ausmaß, als nicht die unmittelbar zur Anwendung gelangenden Bestimmungen der DSGVO die Bestimmungen des VStG verdrängen und in dem Umfang, welcher von Art. 83 Abs. 8 DSGVO und Erwägungsgrund 148 im Hinblick auf die zu gewährleistenden Verfahrensgarantien angeordnet wird.
Durch Art. 83 Abs. 3 DSGVO wird in Abweichung zu dem mit § 22 Abs. 2 VStG normierten Kumulationsprinzip angeordnet, dass in Fällen gleicher oder miteinander verbundener Verarbeitungsvorgänge (in der englischen Sprachfassung: „ the same or linked processing operations “), durch die vorsätzlich oder fahrlässig gegen mehrere Bestimmungen der DSGVO verstoßen wird, der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß übersteigt. Somit gilt im Anwendungsbereich dieser Bestimmung das Absorptionsprinzip (vergleichbar mit dem im österreichischen Strafrecht nach § 28 Abs. 1 StGB normierten Kombinationsprinzip).
Ansonsten (außerhalb des Anwendungsbereiches des Art. 83 Abs. 3 DSGVO) gelangt das Kumulationsprinzip nach § 22 Abs. 2 VStG zur Anwendung (vgl. mwN BVwG 12.03.2020, GZ: W256 2223922-1). Auch im Rahmen der Fines-Leitlinien wird darauf Bezug genommen und festgehalten, dass Art. 83 Abs. 3 DSGVO in seiner Anwendung beschränkt ist und nicht für jeden Fall gilt, in welchem mehrere Verstöße gegen die DSGVO festgestellt werden (vgl. Fines-Leitlinien, 3. Kapitel - Rz 39).
Darüber hinaus ist im Sinne des Art. 83 Abs. 1 DSGVO zu beachten, dass im Rahmen der Strafbemessung des „ Gesamtbetrages der Geldbuße “ unter Anwendung des Absorptionsprinzips nach Art. 83 Abs. 3 DSGVO alle begangenen Verstöße gegen die DSGVO berücksichtigt werden müssen. Der Wortlaut „ Betrag für den schwerwiegendsten Verstoß “ bezieht sich dabei auf den Strafrahmen bzw. die gesetzlich vorgegebenen Höchstbeträge (siehe Art. 83 Abs. 4 bis 6 DSGVO). Der EDSA hielt hierzu fest, dass im Anwendungsbereich des Art. 83 Abs. 3 DSGVO die anderen begangenen Verstöße nicht de facto verworfen werden können, sondern bei der Strafbemessung dementsprechend berücksichtigt werden müssen (vgl. Fines-Leitlinien, Kapitel 3 – Rz 43). Ansonsten würde dies zu einer Privilegierung von Verantwortlichen und Auftragsverarbeiter führen, die im Rahmen eines festgestellten Sachverhaltes gleich gegen mehrere Bestimmungen der DSGVO verstoßen haben.
Die DSGVO enthält in Bezug auf Art. 83 Abs. 3 DSGVO ansonsten keine Ausführungen dazu, was unter „ gleichen oder miteinander verbundenen Verarbeitungsvorgängen “ zu verstehen ist. Auch den Erwägungsgründen kann dazu nichts Näheres entnommen werden.
Bei der Beurteilung von „ gleichen oder miteinander verbundenen Verarbeitungsvorgängen “ ist entsprechend der Fines-Leitlinien zu berücksichtigen, dass alle Verpflichtungen, die für die rechtmäßige Durchführung der Verarbeitungsvorgänge erforderlich sind, berücksichtigt werden können. Der Wortlaut (vor allem in der englischen Sprachfassung) deutet darauf hin, dass der Anwendungsbereich des Art. 83 Abs. 3 DSGVO jeden Verstoß einschließt, der sich auf dieselben („same“) oder miteinander verbundene Verarbeitungsvorgänge bezieht und sich auf diese auswirken kann (vgl. Fines-Leitlinien, 3. Kapitel – Rz 27 f). Das Bundesverwaltungsgericht wies in diesem Zusammenhang darauf hin, dass nach dem allgemeinen Sprachgebrauch daher auch jene Fälle unter diese Bestimmung zu subsumieren sind, in denen durch „ ein und dieselbe Tat (Verarbeitung) “ mehrere Straftatbestände erfüllt wurden und verwies dabei ebenfalls auf die englische Sprachfassung (vgl. mwN BVwG 12.03.2020, GZ: W256 2223922-1).
Im Lichte dieser Ausführungen gelangt im konkreten Fall für die festgestellten Verstöße das Absorptionsprinzip nach Art. 83 Abs. 3 DSGVO zur Anwendung. Der Strafrahmen ergibt sich aus dem schwerwiegendsten Verstoß. Daher gelangt im vorliegenden Fall der Strafrahmen nach Art. 83 Abs. 5 DSGVO zur Anwendung.
Gemäß Art. 83 Abs. 5 DSGVO werden im Falle der dort genannten Verstöße, im Einklang mit Abs. 2, Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.
Der Begriff Umsatz in Art. 83 Abs. 4, 5 und 6 DSGVO ist im Sinne des Art. 2 Z 5 der Richtlinie 2013/34/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013 über den Jahresabschluss, den konsolidierten Abschluss und damit verbundene Berichte von Unternehmen bestimmter Rechtsformen, zur Änderung der Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates und zur Aufhebung der Richtlinien 78/660/EWG und 83/349/EWG des Rates (im Folgenden „Richtlinie 2013/34/EU“) zu verstehen. Umsatz ist die Summe aller verkauften Waren und Dienstleistungen. Nettoumsatz ist der Betrag, der sich aus dem Verkauf von Produkten und der Erbringung von Dienstleistungen nach Abzug von Erlösschmälerungen und der Mehrwertsteuer (MwSt) sowie sonstigen direkt mit dem Umsatz verbundenen Steuern ergibt (vgl. EDPB Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 2.1, Rz 128 ff).
Aus der der Datenschutzbehörde vorliegenden Urkunde (Jahresabschluss der Beschuldigten im Firmenbuch) kann lediglich der Bilanzgewinn entnommen werden. Dabei handelt es sich jedoch nicht um den relevanten Umsatz im Sinne der oben dargestellten Definition.
Mangels Mitwirkung der Beschuldigten in Bezug auf die Feststellung des Jahresumsatzes musste die Datenschutzbehörde eine Schätzung vornehmen (vgl. VwGH 11.05.1990, 89/18/0179; 22.04.1992, 92/03/0019; 23.02.1996, 95/02/0174). In Anbetracht der Fines-Leitlinien wird die Beschuldigte in Bezug auf ihren Umsatz und im Hinblick auf die Verhängung einer wirksamen, abschreckenden und verhältnismäßigen Geldbuße im Zuge der Schätzung in die niedrigste Kategorie („ Undertakings with a turnover up until € 2 Million “) eingestuft. Durch diese Einstufung wird die Unternehmensgröße gebührend berücksichtigt, um insbesondere die Verhältnismäßigkeit der Geldbuße zu gewährleisten.
Der Strafrahmen im konkreten Fall reicht gemäß Art. 83 Abs. 5 DSGVO bis zu einem Betrag in der Höhe von EUR 20.000.000,- (statischer Strafrahmen) . Der dynamische Strafrahmen (4% des Jahresumsatzes) gelangt nicht zur Anwendung.
Im Lichte des als erwiesen angenommenen Sachverhalts und unter Berücksichtigung der Art, Schwere und Dauer des Verstoßes (Art. 83 Abs. 2 lit. a DSGVO) [Anmerkung Bearbeiter/in: im Original aufgrund eines offensichtlichen Redaktionsversehens „Art. 83 Abs. 1 lit. a DSGVO“], der Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes (Art. 83 Abs. 2 lit. b DSGVO) sowie die Kategorien personenbezogener Daten, die vom Verstoß betroffen sind (Art. 83 Abs. 2 lit. g DSGVO) wird von der Datenschutzbehörde die Schwere der Zuwiderhandlung („Seriousness of the infringement“) mit einem hohen Schweregrad („high level of seriousness“) festgelegt.
Bezogen auf den vorliegenden Sachverhalt wurde darüber hinaus (über die bereits für die Feststellung des Schweregrades berücksichtigten Kriterien nach Art. 83 Abs. 1 lit. a, b und g DSGVO hinaus) bei der Strafzumessung Folgendes erschwerend berücksichtigt:
n/a
Bezogen auf den vorliegenden Sachverhalt wurde darüber hinaus bei der Strafzumessung Folgendes mildernd berücksichtigt:
gegen die Beschuldigte liegen bei der Datenschutzbehörde keinerlei einschlägige frühere Verstöße gegen die DSGVO vor
Bei der Bemessung der Strafe dürfen nach ständiger Rechtsprechung des VwGH auch Überlegungen der Spezialprävention und Generalprävention einbezogen werden (vgl. VwGH 15.5.1990, 89/02/0093, VwGH 22.4.1997, 96/04/0253, VwGH 29.1.1991, 89/04/0061). Die Verhängung der konkreten Geldstrafe war jedenfalls im Sinne der Spezialprävention notwendig , um die Beschuldigte von der Begehung weiterer Verstöße abzuhalten, insbesondere um sie in Bezug auf die Grundsätze der Datenverarbeitung nach Art. 5 Abs. 1 DSGVO sowie ihrer Pflichten als Verantwortliche wie das Führen eines Verarbeitungsverzeichnisses zu sensibilisieren. Die Beschuldigte zeigte sich in Bezug auf die vorgeworfenen Tathandlungen nicht einsichtig und es ist jedenfalls davon auszugehen, dass sie ohne die Verhängung einer Geldstrafe die gegenständliche Verarbeitung fortsetzen wird. Die Verhängung der Geldstrafe war darüber hinaus auch im Sinne der Generalprävention erforderlich , um Verantwortliche in Bezug auf den rechtskonformen Einsatz von Videoüberwachungsanlagen, insbesondere am Arbeitsplatz, und der damit im Zusammenhang stehenden Pflichten nach der DSGVO zu sensibilisieren .
Die im Ergebnis konkret verhängte Strafe in der Höhe von EUR 20.000,- erscheint daher im Hinblick auf den verwirklichten Tatunwert, gemessen am zur Verfügung stehenden Strafrahmen des Art. 83 Abs. 5 DSGVO (hier bis zu EUR 20.000.000) tat- und schuldangemessen und befindet sich am untersten Ende des zur Verfügung stehenden Strafrahmens (0,1% des Strafrahmens) .