2023-0.680.196 – Datenschutzbehörde Entscheidung
Text
GZ: 2023-0.680.196 vom 16. August 2024 (Verfahrenszahl: DSB-D550.761)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), statistische Angaben etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
Straferkenntnis
Beschuldigte juristische Person: D*** Handels Ges.m.b.H. (FN *5**29)
Die beschuldigte juristische Person mit Sitz in **** A***stadt, S***platz (im Folgenden unter anderem „D***“), hat als Verantwortliche gemäß Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „DSGVO“), ABl. Nr. L 119 vom 04.05.2016, S. 1 idgF, nachstehenden Sachverhalt verwirklicht und dadurch folgende Verwaltungsübertretung begangen:
D*** hat in ihrer Rolle als Verantwortliche insgesamt im Zeitraum vom 25.03.2022 bis zumindest 23.05.2022 (im Folgenden auch „Tatzeitraum“) am Standort „ D*** U***stadt Ä***plaza “ in **** U***stadt, W***straße *3 (im Folgenden auch „Tatort“), unrechtmäßig personenbezogene Daten verarbeitet, indem sie am Tatort eine Videoüberwachungsanlage (Bildverarbeitungsanlage bestehend aus insgesamt neun verfahrensgegenständlichen Außen- und Innenkameras) betrieben hat. Dadurch wurden betroffene Personen, die sich in den nachstehenden Aufnahmebereichen befanden, erfasst. Der Betrieb der gegenständlichen Videoüberwachungsanlage am Tatort stellte sich wie folgt dar:
Im Zeitraum vom 25.03.2022 bis 23.05.2022 setzte D*** drei Kameras („Kamera 1, 2 und 3“) ein, um den Innenbereich des Geschäftslokals (konkret den Kassenbereich bzw. die Selbstbedienungskassen innerhalb der Filiale) zu erfassen. Dabei wurde auch die Eingabetastatur am Bankomat-Terminal von den Kameras erfasst.
Im Zeitraum vom 25.03.2022 bis 05.05.2022 setzte D*** vier Kameras („Kamera 4, 5, 6 und 7“) ein, um den Außenbereich rund um die Filiale von D*** am Tatort (in Richtung „L***gasse“ und „C***straße“ / ****haltestelle „Ä***plaza ****, L***gasse“ sowie Zugang zu den ***bahn-Linien ****) zu erfassen.
Im Zeitraum vom 25.03.2022 bis 06.05.2022 setzte D*** eine Kamera („Kamera 8“) und im Zeitraum vom 25.03.2022 bis 23.05.2022 eine weitere Kamera („Kamera 9“) ein, um die Fluchtausgänge in Richtung „R***City U***stadt West“ zu erfassen. Dabei wurde der Zugang zu „R***City U***stadt West“ und ein Teilbereich der angrenzenden sowie gegenüberliegenden Liegenschaft (Katastralgemeinde 0*5*4* ***hof, Einlagezahl *4*, Grundstücksnummer *6/*3 und *6/*2) erfasst.
Die durch die Videoüberwachungsanlage erfolgte Verarbeitung personenbezogener Daten war aufgrund des eingestellten Aufnahmebereichs nicht dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt. Die Verarbeitung im Tatzeitraum erfolgte im Ergebnis ohne einer einschlägigen Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO und in Missachtung des Grundsatzes der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO.
Die beschuldigte juristische Person hat als Verantwortliche daher folgende Vorgaben der DSGVO verletzt:
Die rechtmäßige Verarbeitung personenbezogener Daten auf Basis einer Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO
Grundsatz der Verarbeitung von personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise nach Art. 5 Abs. 1 lit. a DSGVO („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)
Grundsatz der dem Zweck angemessenen und erheblichen sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkte Verarbeitung von personenbezogenen Daten nach Art. 5 Abs. 1 lit. c DSGVO („Datenminimierung“)
Verwaltungsübertretung nach:
Art. 5 Abs. 1 lit. a und c sowie Art. 6 Abs. 1 iVm Art. 83 Abs. 1 und 5 lit. a DSGVO ABl. L 2016/119, S. 1, idgF
Wegen dieser Verwaltungsübertretung wird gemäß Art. 83 DSGVO folgende Strafe verhängt:
Ferner haben Sie gemäß § 64 des Verwaltungsstrafgesetzes 1991 – VStG zu zahlen:
150.000,-
Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10% der Strafe, mindestens jedoch 10 Euro;
Euro als Ersatz der Barauslagen für
Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher
1.650.000,-
Euro (in Worten: eine Million sechshundertfünfzigtausend Euro)
Zahlungsfrist:
Wird keine Beschwerde erhoben, ist dieses Straferkenntnis sofort vollstreckbar. Der Gesamtbetrag ist in diesem Fall binnen zwei Wochen nach Eintreten der Rechtskraft auf das Konto [hier gekürzt] lautend auf die Datenschutzbehörde, einzuzahlen. Als Verwendungszweck möge die Geschäftszahl sowie das Erledigungsdatum angegeben werden .
Erfolgt binnen dieser Frist keine Zahlung, kann der Gesamtbetrag eingemahnt werden. In diesem Fall ist ein pauschalierter Kostenbeitrag in der Höhe von fünf Euro zu entrichten. Erfolgt dennoch keine Zahlung, wird der ausstehende Betrag vollstreckt .
Begründung:
1. Folgender entscheidungsrelevanter Sachverhalt steht auf Grund des durchgeführten Beweisverfahrens fest:
1.1. Zum Verfahrensgang:
Der Datenschutzbehörde (im Folgenden auch „DSB“) wurde mit E-Mail vom 25.03.2022 von einer unbekannten Person mit der E-Mail-Adresse anonym.anzeige.u***stadt@outlook.com folgender Sachverhalt zur Kenntnis gebracht (Formatierung nicht 1:1 wiedergegeben):
[Anmerkung Bearbeiter/in: Das an dieser Stelle im Original als Faksimile (grafische Datei) wiedergegebene Schreiben (E-Mail) mit personenbezogenen Daten der Beschuldigten kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]
Im Anhang wurde ein Konvolut an Lichtbildern im Zusammenhang mit dem Aufnahmebereich der am Tatort betriebenen Videoüberwachungsanlage übermittelt.
Die DSB leitete in der Folge ein amtswegiges Prüfverfahren („Datenschutzüberprüfung“) gemäß Art. 57 Abs. 1 lit. h iVm Art. 58 Abs. 1 lit. b DSGVO iVm § 22 Abs. 1 DSG zur GZ: D213.1604 ein und forderte die Beschuldigte mit Schreiben vom 21.04.2022 zur Stellungnahme auf (GZ: D213.1604 / 2022-0.227.932). Der Aufforderung zur Stellungnahme wurde die anonyme Anzeige bzw. die oben eingefügte Sachverhaltsdarstellung samt Beilagen (Lichtbilder vom Aufnahmebereich der Anlage) angehängt.
Nach einer gewährten Fristerstreckung brachte die Beschuldigte mit E-Mail vom 04.06.2022 über ihren bestellten Rechtsvertreter eine Stellungnahme ein und hängte dieser mehrere Beilagen an. Die Beschuldigte führte zusammengefasst aus, dass die Verarbeitung auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden könne und gab gleichzeitig bekannt, dass bestimmte Außen- und Innenkameras entweder zur Gänze entfernt oder gedreht worden seien oder der Aufnahmebereich durch technische Maßnahmen („ Privatzonenmaskierung “) eingeschränkt worden sei. Die in diesem Zusammenhang von D*** erteilten Aufträge und in der Folge vorgenommenen Änderungen wurden durch „ Arbeitsscheine “ dokumentiert und der DSB ebenfalls als Beweismittel übermittelt.
In Bezug auf die Innenkameras, die im Kassenbereich betrieben wurden, führte die Beschuldigte ins Treffen, dass D*** sich dem „ Payment Card Industry Data Security Standard “ unterworfen habe. Danach sei eine Privatzonenmaskierung im Kassenbereich obligatorisch. Für die Beschuldigte sei es unerklärbar, wieso die Privatzonenmaskierung deaktiviert war. In diesem Zusammenhang wurde eine interne Untersuchung eingeleitet, jedoch sei diese ergebnislos geblieben. D*** vermutete aufgrund der anonymen Anzeige eine „ Rache-Aktion “ von einem ehemaligen Sicherheits-Mitarbeiter, jedoch handelte es sich lediglich um eine Mutmaßung und der Verdacht habe sich – nach der internen Untersuchung – nicht erhärtet.
Aufgrund der ins Treffen geführten Änderungen (Entfernung von Kameras und Einschränkung des Aufnahmebereichs) wurde das amtswegige Prüfverfahren mit Schreiben vom 11.01.2023 (GZ: D213.1604 / 2022-0.411.698) formlos eingestellt.
In Bezug auf die in der Vergangenheit liegenden (abgeschlossenen) Verstöße leitete die DSB ein Verwaltungsstrafverfahren gegen die Beschuldigte ein und forderte diese mit Schreiben vom 14.02.2023 (GZ: D550.761 / 2023-0.060.266) zur Rechtfertigung auf. Die Aufforderung zur Rechtfertigung (im Folgenden auch „AzR“) wurde per RSa an die Beschuldigte und ihre Prokuristinnen zugestellt.
Daraufhin brachte die Beschuldigte mit E-Mail vom 13.03.2023 eine schriftliche Rechtfertigung ein und beantrage mangels Erfüllung objektiver und subjektiver Tatseite die Einstellung des Verfahrens. Die Beschuldigte verwies dabei auf die bereits vorgenommenen Änderungen in Bezug auf den Aufnahmebereich der Videoüberwachungsanlage (siehe oben). Die Änderungen seien durch D*** vorgenommen worden, „ weil die Rechtmäßigkeit einzelner Bildausschnitte bzw. die Ausrichtung einzelner Kameras nicht mit vollständiger Sicherheit begründet werden konnte “. Der Prozess in Bezug auf diese Änderungen habe „ einige Zeit in Anspruch genommen “. Daher waren „ einige Bildausschnitte bzw. Kameraeinstellungen während der gegenständlichen Zeiträume möglicherweise nicht 100% rechtskonform “.
In Reaktion darauf forderte die DSB die Beschuldigte mit Schreiben vom 04.04.2023 zu einer ergänzenden Stellungnahme und Vorlage von Unterlagen auf (GZ: D550.761 / 2023-0.201.789). Dabei wurde sie insbesondere zur Konkretisierung ihrer berechtigten Interessen im Zusammenhang mit den genannten „ behördlich auferlegten Verkehrssicherungspflichten “ aufgefordert.
Die Beschuldigte brachte nach gewährter Fristerstreckung und einem Telefonat zwischen der DSB und dem Beschuldigtenvertreter (siehe AV vom 07.04.2023 (GZ: D550.761 / 2023-0.271.665)) mit E-Mail vom 24.04.2023 eine ergänzende Stellungnahme ein und legte weitere Unterlagen vor.
Mit Bescheid vom 19.07.2023 (GZ: D550.761 / 2023-0.312.951) setzte die DSB das gegenständliche Verwaltungsstrafverfahren gemäß § 24 VStG iVm § 38 AVG bis zur rechtskräftigen Entscheidung durch den Gerichtshof der Europäischen Union (EuGH) in der Rechtssache C-807/21 (Deutsche Wohnen SE) aus. Dieser Aussetzungsbescheid erwuchs mangels Rechtsmittel in Rechtskraft.
Mit Bescheid vom 05.12.2023 (GZ: D550.761 / 2023-0.799.587) hob die DSB den Aussetzungsbescheid vom 19.07.2023 von Amts wegen auf und setzte das Verwaltungsstrafverfahren - unter Berücksichtigung des Urteils vom 05.12.2023 des EuGH in der Rechtssache C-807/21 – fort.
In Reaktion auf das Urteil des EuGH in der genannten Vorabentscheidungssache teilte die DSB der Beschuldigten mit Schreiben vom 12.12.2023 (GZ: D550.761 / 2023-0.893.775) ihre Rechtsansicht im Zusammenhang mit der Strafbarkeit juristischer Personen sowie der im vorliegenden Fall vorzunehmenden Strafbemessung mit. Der Beschuldigten wurde dabei unter anderem vorgehalten, dass im vorliegenden Fall der Begriff „Unternehmen“ in Art. 83 DSGVO im Sinne der Art. 101 und 102 AEUV ausgelegt werde und die Beschuldigte aufgrund kapitalmäßiger und personeller Verflechtungen einem solchen Unternehmen angehöre. Die Beschuldigte wurde daher aufgefordert, den gesamten weltweit erzielten Jahresumsatz des vorangegangenen Geschäftsjahres des Unternehmens im Sinne von Art. 101 und 102 AEUV bekanntzugeben. Sie wurde zeitgleich darauf hingewiesen, dass im Falle mangelnder Mitwirkung eine Schätzung durch die DSB vorgenommen werde. Der Beschuldigten wurde in diesem Zusammenhang auch die Möglichkeit einer Stellungnahme eingeräumt (Parteiengehör nach § 24 VStG iVm § 45 Abs. 3 AVG). Als Beilage wurde der finanzielle Jahresbericht der DF** Holding Europe B.V. mit Sitz in *****, Niederlande (im Folgenden auch „Konzernmutter“) angeschlossen, der im Falle einer Schätzung herangezogen werde.
In Reaktion darauf führte Beschuldigte durch ihren Rechtsvertreter mit Schreiben vom 23.12.2023 aus, dass sie die Auslegung des Begriffs „Unternehmen“ im Sinne von Art. 101 und 102 zur Kenntnis nehme und gab zum weltweit erzielten Jahresumsatz des Unternehmens an, dass dieser für das Geschäftsjahr 2022 mit EUR 27.9**.***.*** [Anmerkung Bearbeiter/in: genauer Betrag hier und in weiterer Folge aus Pseudonymisierungsgründen unkenntlich gemacht] festgestellt worden sei. Dieser Umsatz setze sich aus den Umsätzen der Tochtergesellschaften der Konzernmutter zusammen. Da es keinen konsolidierten Jahresabschluss gebe, wurden in einer angehängten Excel-Tabelle die Umsätze der einzelnen Tochtergesellschaften zusammengefasst. Im Rahmen der angehängten Excel-Tabelle wird der Umsatz der österreichischen Tochtergesellschaften im Jahr 2022 mit EUR 77*.***.*** [Anmerkung Bearbeiter/in: genauer Betrag hier und in weiterer Folge aus Pseudonymisierungsgründen unkenntlich gemacht] angegeben.
1.2. Zum Betrieb der Videoüberwachungsanlage:
Die Beschuldigte übt am Tatort seit 25.05.2021 das freie Gewerbe „ Handelsgewerbe “ gemäß § 124 Z 11 Gewerbeordnung 1994 - GewO und seit 31.05.2021 das reglementierte Gewerbe „ Gastgewerbe in der Betriebsart: Restaurant “ gemäß § 189 Abs. 1 Z 2-4 GewO aus. Am **.**.202* [Anmerkung Bearbeiter/in: genaues Datum aus Pseudonymisierungsgründen unkenntlich gemacht] eröffnete die Beschuldigte am Tatort eine neue Filiale („D*** Einrichtungshaus U***stadt Ä***plaza“).
Die Beschuldigte montierte am Tatort mehrere Außen- und Innenkameras, die sowohl einen Bereich rund um die Liegenschaft von D*** als auch den Innenbereich der neuen Filiale erfassten (siehe hierzu noch unten), und nahm die aus mehreren Kameras bestehende Videoüberwachungsanlage in einem nicht näher feststellbaren Zeitraum, jedoch jedenfalls vor dem gegenständlichen Tatzeitraum, in Betrieb.
Die Aufnahmebereiche der Videoüberwachungsanlage am Tatort stellte sich in den unten genannten Zeiträumen konkret wie folgt dar (Hinweis: Formatierung nicht 1:1 wiedergegeben, die Bezeichnung der Kameras erfolgte durch die DSB, es wurde nur der Aufnahmebereich der im Tatzeitraum relevanten Kameras festgestellt) :
Die Aufnahmebereiche der als Kamera 1, 2 und 3 bezeichneten Videokameras im Innenbereich (Kassa) stellten sich vom 25.03.2022 bis 23.05.2022 wie folgt dar:
Kamera 1:
[Anmerkung Bearbeiter/in: Die an dieser Stelle im Original wiedergegebene Bilddatei kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]
Kamera 2:
[Anmerkung Bearbeiter/in: Die an dieser Stelle im Original wiedergegebene Bilddatei kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]
Kamera 3:
[Anmerkung Bearbeiter/in: Die an dieser Stelle im Original wiedergegebenen Bilddateien konnten mit zumutbarem Aufwand nicht pseudonymisiert werden und wurden daher entfernt.]
Die Aufnahmebereiche der als Kamera 4, 5, 6 und 7 bezeichneten Videokameras stellten sich vom 25.03.2022 bis 05.05.2022 wie folgt dar:
Kamera 4:
[Anmerkung Bearbeiter/in: Die an dieser Stelle im Original wiedergegebene Bilddatei kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]
Kamera 5:
[Anmerkung Bearbeiter/in: Die an dieser Stelle im Original wiedergegebene Bilddatei kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]
Kamera 6:
[Anmerkung Bearbeiter/in: Die an dieser Stelle im Original wiedergegebene Bilddatei kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]
Kamera 7:
[Anmerkung Bearbeiter/in: Die an dieser Stelle im Original wiedergegebene Bilddatei kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]
Der Aufnahmebereich der als Kamera 8 bezeichneten Videokamera stellte sich vom 25.03.2022 bis 06.05.2022 wie folgt dar:
[Anmerkung Bearbeiter/in: Die an dieser Stelle im Original wiedergegebene Bilddatei kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]
Der Aufnahmebereich der als Kamera 9 bezeichneten Videokamera stellte sich jedenfalls vom 25.03.2022 bis 23.05.2022 wie folgt dar:
[Anmerkung Bearbeiter/in: Die an dieser Stelle im Original wiedergegebene Bilddatei kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]
Die oben genannten Videokameras verfüg(t)en unter anderem über eine „ Zoom-Funktion “, wodurch der aufgenommene Bereich an den gewünschten Stellen durch die Beschuldigte vergrößert dargestellt werden konnte.
Die gegenständliche Videoüberwachungsanlage mit den oben dargestellten Aufnahmebereichen wurde für folgende Zwecke im Tatzeitraum betrieben:
„Die Verarbeitung der Daten durch die Bildverarbeitungsanlage erfolgt zum Zweck des Schutzes der Besucher des D*** Standortes, zum Zweck die Sicherheit der Mitarbeiter von D*** sowie um die Produkte und das Eigentum von D*** zu schützen. Weiters ist die mit einer Videoüberwachung einhergehende Datenverarbeitung zur Erfüllung der rechtlichen Sorgfaltspflichten zum Zweck der Rechtsverteidigung oder Rechtsverfolgung (inkl. Verfolgung von Straftraten) und die damit einhergehende Beschaffung und Sicherung von Beweismitteln, sowie zur Durchsetzung des Hausrechts am Standort Ä***plaza notwendig.“
In Bezug auf die Kameras im Innenbereich (Kassenbereich) führte die Beschuldigte ins Treffen, dass laut einer internen Vorfallstatistik D*** Einrichtungshäuser 170-mal (insgesamt in allen österreichischen Filialen) zum Opfer oder Schauplatz strafrechtlich relevanter Geschehnisse wurden (z.B. Kunde scannte bei der Selbstbedienungskasse zu wenige Artikel ein, Kunde hat den Barcode von billigeren Produkten gescannt, Kunde wollte ohne Bezahlen das Einrichtungshaus verlassen). Daher habe D*** ein berechtigtes Interesse, um die Kameras im Kassenbereich zu betreiben („ Recht auf Eigentum, Recht auf Sicherheit, Verteidigungsrechte, Unterbindung von betrügerischen Handlungen/Straftaten “).
Nach Bekanntwerden des Umstandes, dass die „Privatzonenmaskierung“ der Kameras 1, 2 und 3 deaktiviert wurde, infolge der Aufforderung zur Stellungnahme im amtswegigen Prüfverfahren, wurde diese mit 23.05.2022 wieder aktiviert.
Konkret stellten sich die Aufnahmebereiche dieser Kameras nach Vornahme/Aktivierung der Privatzonenmaskierung wie folgt dar (die gelben Pfeile wurden von der Beschuldigten für die Stellungnahme eingefügt):
Kamera 1:
[Anmerkung Bearbeiter/in: Die an dieser Stelle im Original wiedergegebene Bilddatei kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt. Es ist erkennbar, dass die Lesegeräte und Eingabetastaturen für PIN-Codes nunmehr verpixelt bzw. aus dem Aufnahmebereich der Digitalkameras ausgespart sind.]
Kamera 2:
[Anmerkung Bearbeiter/in: Die an dieser Stelle im Original wiedergegebene Bilddatei kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt. Es ist erkennbar, dass die Lesegeräte und Eingabetastaturen für PIN-Codes nunmehr verpixelt bzw. aus dem Aufnahmebereich der Digitalkameras ausgespart sind.]
Kamera 3:
[Anmerkung Bearbeiter/in: Die an dieser Stelle im Original wiedergegebene Bilddatei kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt. Es ist erkennbar, dass die Lesegeräte und Eingabetastaturen für PIN-Codes nunmehr verpixelt bzw. aus dem Aufnahmebereich der Digitalkameras ausgespart sind.]
In Bezug auf die Außenkameras 4, 5, 6 und 7 führte die Beschuldigte neben den oben genannten Gründen noch die „ behördlich auferlegten Verkehrssicherungspflichten “ für die am Einrichtungshaus angrenzenden Flächen („ winterliche Betreuung des Gehsteigs “) ins Treffen. Die Aufzeichnung dieser Bereiche sei erforderlich „ in Zusammenhang mit Unfällen und einer damit allenfalls einhergehenden Inanspruchnahme von D*** als für die Verkehrssicherung Verantwortliche “. Durch die Aufzeichnungen sollen Beweismittel erzeugt werden. Ohne solche Aufzeichnungen „ hätte D*** keine Möglichkeit zu belegen, dass keine Pflichtverletzung vorliegt “.
D*** hat sich dennoch dazu entschieden, die Kameras 4, 5, 6 und 7 nicht mehr zu betreiben und erteilte den Auftrag, die Kameras ersatzlos zu entfernen .
Hinsichtlich der Außenkameras 8 und 9 führte die Beschuldigte insbesondere die Überwachung der Fluchtausgänge und die Vermeidung von unberechtigten Zutritten ins Treffen. Im Falle eines Einbruchs müsse das Gesicht des mutmaßlichen Täters erfasst werden.
D*** hat sich jedoch dazu entschieden, die Kamera 8 zu drehen und Kamera 9 neu zu verpixeln , damit Personen, die sich im angrenzenden Bereich vor der „ R***City “ aufhalten, nicht mehr erkennbar sind. Konkret stellte sich die Aufnahmebereiche dieser Kameras nach den vorgenommenen Änderungen wie folgt dar:
Kamera 8 (gedreht, gelber Pfeil wurde von der Beschuldigten für die Stellungnahme eingefügt):
[Anmerkung Bearbeiter/in: Die an dieser Stelle im Original wiedergegebene Bilddatei kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]
Kamera 9 (Privatzonenmaskierung, gelber Pfeil wurde von der Beschuldigten für die Stellungnahme eingefügt):
[Anmerkung Bearbeiter/in: Die an dieser Stelle im Original wiedergegebene Bilddatei kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]
In Reaktion auf das Schreiben der DSB vom 04.04.2023, wodurch die Beschuldigte unter anderem dazu aufgefordert wurde, die „ behördlich auferlegten Verkehrssicherungspflichten “ im Tatzeitraum zu konkretisieren und insbesondere den jeweiligen Bescheid vorzulegen, brachte die Beschuldigte vor, dass es keinen Bescheid gebe. Die genannten Verkehrssicherungspflichten ergeben sich aus einer privatrechtlichen Vereinbarung (hierzu legte die Beschuldigte einen Kooperationsvertrag zwischen der Ü** und D*** vor sowie eine E-Mail-Korrespondenz mit der Stadt U***stadt, ****).
Die Vereinbarung mit der Ü** wurde im Jahr 2019 abgeschlossen und hatte zum Ziel, die Rücksichtnahme und Koordination zwischen den Parteien im Zuge der Errichtung der neuen Filiale am Tatort und nach der Bauphase die laufenden Reinigungs- und Wartungsarbeiten zu regeln. D*** verpflichtete sich, die östlich der D***-Liegenschaft auf den Ü**-Liegenschaften im Bereich der Ä***plaza geplante Fahrradabstellanlage in angemessenen Abständen Instand zu halten, zu warten und nötigenfalls zu erneuern. Darüber hinaus verpflichtete sich D*** im Zuge der Kooperationsvereinbarung zur Reinigung und winterlichen Betreuung sowie etwaig erforderlichen Security-Leistungen innerhalb „ der ca. 4 m breiten Abstandsflächen “. Die Pflichten betreffend winterliche Betreuung und bauliche Erhaltung wurden im Jahr 2022 wie folgt abgestimmt (die D*** betreffenden Flächen wurden mit dunkelblauer Farbe gekennzeichnet, hinsichtlich der „ winterlichen Betreuungspflichten “ verwies die Beschuldigte auf ihre Pflichten nach § 93 StVO):
[Anmerkung Bearbeiter/in: Die an dieser Stelle im Original wiedergegebene Bilddatei kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt.]
Die Aufzeichnungen der Anlage wurden im Tatzeitraum für die Dauer von 72 Stunden für die oben genannten Zwecke gespeichert/aufbewahrt. Die Aufzeichnungen befanden sich auf lokalen Servern und wurden nach 72 Stunden automatisch gelöscht. Die Videoüberwachungsanlage befand sich im Tatzeitraum dauerhaft in Betrieb. Die oben dargestellten Aufnahmebereiche wurden dadurch im Tatzeitraum permanent überwacht.
1.3. Zum Jahresumsatz und zur Gesellschaftsstruktur der Beschuldigten:
Die Beschuldigte selbst erzielte im Geschäftsjahr 2022 einen Jahresumsatz in der Höhe von insgesamt EUR 751.***.***,71 [Anmerkung Bearbeiter/in: genauer Betrag aus Pseudonymisierungsgründen unkenntlich gemacht].
Die Beschuldigte hat zwei unbeschränkt haftende Gesellschafter: (1) die D*** Einrichtungen - Handelsgesellschaft m.b.H. (FN *4*7*6t) und (2) die D*** Austria GmbH (FN *4*36*i).
Gesellschafter der D*** Einrichtungen - Handelsgesellschaft m.b.H. sind die D*** Austria GmbH sowie die DF** Holding Europe B.V.
Alleingesellschafter der D*** Austria GmbH ist wiederum auch die DF** Holding Europe B.V. mit Sitz in *****, Niederlande (Konzernmutter).
Der gesamte weltweit erzielte Jahresumsatz von DF** Holding Europe B.V. für das Geschäftsjahr 2022 beträgt EUR 27.9**.***.*** .
Dieser Umsatz setzt sich aus den Umsätzen der Tochtergesellschaften der Konzernmutter im Geschäftsjahr 2022 zusammen. Die österreichischen Tochtergesellschaften erzielten davon einen Umsatz von insgesamt EUR 77*.***.***.
2. Die Feststellungen werden aufgrund folgender Beweiswürdigung getroffen:
2.1. Zu den Feststellungen betreffend Verfahrensgang:
Die Feststellungen zum Verfahrensgang unter Punkt 1.1. ergaben sich durch Einsicht in den Verwaltungsakt zum amtswegigen Prüfverfahren (GZ: DSB-D213.1604) sowie durch die Aktenbestandteile des gegenständlichen Verwaltungsstrafverfahrens. Die Beschuldigte erstattete im Laufe des Ermittlungsverfahrens auch kein diesen Feststellungen widersprechendes Vorbringen.
Die Feststellungen zu der von D*** vermuteten „Rache-Aktion“ des anonymen Anzeigers ergaben sich aus ihren eigenen Angaben im Zuge ihrer ersten schriftlichen Rechtfertigung. In Reaktion darauf wurde die Beschuldigte aufgefordert, die ins Treffen geführte interne Untersuchung zu konkretisieren und insbesondere den internen Bericht vorzulegen. Daraufhin folgte ein Gespräch zwischen dem Beschuldigtenvertreter (im Folgenden auch „BV“) und dem Sachbearbeiter der DSB. Im Zuge des Gesprächs teilte der BV mit, dass es keinen internen Bericht zu der genannten Untersuchung gebe und daher auch nicht vorgelegt werden könne. Außerdem würde es sich in diesem Zusammenhang lediglich um Mutmaßungen handeln, die in der Rechtfertigung vorgebracht worden seien. D*** habe keine stichhaltigen Beweise für ihren Verdacht (siehe AV zum Telefonat mit BV vom 07.04.2023 (GZ: D550.761 / 2023-0.271.665), beiliegend im Verwaltungsstrafakt). Es ergaben sich im Laufe des Ermittlungsverfahrens auch sonst keine Anhaltspunkte in diesem Zusammenhang.
2.2. Zu den Feststellungen in Bezug auf den Betrieb der Videoüberwachungsanlage und Jahresumsatz der Beschuldigten (Punkt 1.2. und 1.3.)
Die Feststellungen in Bezug auf die Ausübung der genannten Gewerbe und die Eröffnung einer neuen Filiale ergaben sich durch Einsicht in das Gewerbeinformationssystem Austria (siehe GISA Auszüge vom 21.09.2023, beiliegend im Verwaltungsstrafakt).
Die Feststellungen betreffend Betrieb und Aufnahmebereiche der einzelnen Kameras ergaben sich im Wesentlichen aus der Ersteingabe im amtswegigen Prüfverfahren bzw. der anonymen Anzeige samt Beilagen sowie den Angaben/Stellungnahmen der Beschuldigten sowohl im amtswegigen Prüfverfahren als auch im gegenständlichen Verwaltungsstrafverfahren. Dabei ist zunächst zu berücksichtigen, dass die Beschuldigte den im Rahmen der AzR vorgehaltenen Tatvorwurf in Bezug auf den Sachverhalt nicht bestritten hat. Der festgestellte Sachverhalt ergab sich überwiegend aus den eigenen Angaben der Beschuldigten, die als erwiesen angenommen wurden. Die Beschuldigte bestritt zwar den Verstoß gegen die vorgeworfenen Bestimmungen der DSGVO in rechtlicher Hinsicht, jedoch nicht die Tatsachen, dass sie als Betreiberin im (vorgeworfenen) Tatzeitraum die gegenständliche Verarbeitung durch die Videoüberwachungsanlage am Tatort und mit den dargestellten Aufnahmebereichen vornahm. Der maßgebliche Sachverhalt wurde von der Beschuldigten somit nicht bestritten und konnte aufgrund der vorliegenden Aktenlage zweifelsfrei und vollständig festgestellt werden.
Zum Tatzeitraum ist festzuhalten, dass der Beginn sich aus der anonyme Anzeige ergibt. Eine Person, die offenbar Zugang zum Raum mit den Monitoren von D*** hatte, welche mit der Videoüberwachungsanlage verbunden waren, übermittelte der DSB mehrere Lichtbilder von den Aufnahmebereichen bestimmter Kameras im Innen- und Außenbereich und wollte die DSB über den IST-Zustand der D***-Videoüberwachungsanlage am Ä***plaza in Kenntnis setzen. Auf den Lichtbildern ist ersichtlich, dass der anonyme Anzeiger die Monitore am Abend, jedoch noch vor Ladenschluss, fotografierte (auf den Lichtbildern vom Außenbereich ist ersichtlich, dass es bereits dunkel war, jedoch waren die Selbstbedienungskassen noch nicht geschlossen). Die Beschuldigte führte zwar aus, dass auf den übermittelten Lichtbildern kein Zeitstempel ersichtlich sei, übersieht jedoch die Datumsangabe auf den Monitoren, welche auf zwei der Lichtbilder ersichtlich ist (konkret die JPG-Dateien, die mit „ 276989151_1027658811169839_4104199653962378338_n “ und „ 277188169_484631583405309_885357205597039660_n “ tituliert wurden). Auf diesen Lichtbildern (am oberen rechten Rand des Monitors) ist folgende Datumsangabe ersichtlich: „ 24.03.2022 “. Diese Angabe passt auch mit dem Datum der Ersteingabe im amtswegigen Prüfverfahren zusammen, da der anonyme Anzeiger schließlich die angefertigten Lichtbilder am nächsten Tag in der Früh (09:19 Uhr) an die DSB übermittelte. Der Beginn des Tatzeitraums konnte somit jedenfalls mit 25.03.2022 festgestellt werden.
Die Beschuldigte nahm dann in weiterer Folge erst in Reaktion auf die Aufforderung zur Stellungnahme im amtswegigen Prüfverfahren mehrere Änderungen in Bezug auf die Kameras vor. Die Änderungen wurden jedoch zu unterschiedlichen Zeitpunkten vorgenommen. Daher erfolgte im Sachverhalt eine Gliederung der Kameras je nach Zeitpunkt der vorgenommenen Änderung. Die Beschuldigte konnte die vorgenommenen Änderungen und den Zeitpunkt durch die vorgelegten und im Akt befindlichen „ Arbeitsscheine “ nachvollziehbar belegen:
In Bezug auf die Kameras 1, 2 und 3 (Kassenbereich) kann auf die Beilage 9 (Arbeitsschein-Nr: 435) zur schriftlichen Rechtfertigung vom 13.03.2023 verwiesen werden. Demnach erfolgte am 23.05.2022 durch die Y*** Sicherheitstechnik GmbH per Fernwartung die ins Treffen geführte Privatzonenmaskierung („ Kameras […] wurden neu verpixelt “).
In Bezug auf die Kameras 4, 5, 6 und 7 kann auf die Beilagen 11 bis 16 verwiesen werden. Demnach wurden die Kameras am 05.05.2022 durch die Y*** Sicherheitstechnik GmbH entfernt („ Kameras Demontieren “). An dieser Stelle kann kurz darauf hingewiesen werden, dass die Beschuldigte in ihrer schriftlichen Rechtfertigung die Kameras 6 und 7 als ein und dieselbe Kamera angenommen und gemeinsam als „ Kamera 6 “ bzw. „ Kamera E0/03 “ tituliert hat, jedoch wird unten noch erläutert, dass es zwei Kameras mit unterschiedlichen Positionen waren.
In Bezug auf die Kameras 8 und 9 kann auf die Beilagen 9, 18 und 19 verwiesen werden. Demnach wurde die Kamera 8 am 06.05.2022 durch die Y*** Sicherheitstechnik GmbH neu ausgerichtet (siehe Beilage 18 und 19). Die Kamera 9 hingegen wurde hingegen nicht neu ausgerichtet, sondern am 23.05.2022 per Fernwartung „ neu verpixelt “ (siehe Beilage 9, „ Kameras […] und E0/15 wurden neu verpixelt “)
Die Beschuldigte hat in ihrer Stellungnahme im amtswegigen Prüfverfahren (konkret in der Beilage 18 „ gemeldete Kameras “), wie bereits erwähnt, die Kameras 6 und 7 als ein und dieselbe Kamera angenommen (von der Beschuldigten in der Beilage 18 als Kamera „ E0/03 “ bezeichnet. Nach Durchsicht der Lichtbilder konnte die DSB jedoch feststellen, dass es sich hierbei um zwei verschiedene Kameras mit unterschiedlichen Positionen handelte. Im Rahmen der Aufforderung zur Rechtfertigung vom 14.02.2023 wurde der Aufnahmebereich daher getrennt voneinander vorgeworfen (siehe Punkt 4).
Die Feststellungen im Zusammenhang mit dem Zweck der Videoüberwachungsanlage stützen sich auf die eigenen Angaben der Beschuldigten im Rahmen ihrer schriftlichen Rechtfertigung vom 13.03.2023 und sind somit unstrittig.
Die von der DSB als erwiesen angenommene Tatsache, dass die Beschuldigte mit 23.05.2022 die Privatzonenmaskierung in Bezug auf die Eingabetastatur der Bankomat-Terminals im Kassenbereich wieder aktivierte, ergibt sich aus den eigenen Angaben der Beschuldigten im Rahmen ihrer schriftlichen Rechtfertigung vom 13.03.2023 (Beilage 9 - Arbeitsschein-Nr: 435). An der Echtheit und Richtigkeit der Arbeitsscheine bestehen keine Zweifel.
Die Feststellungen in Bezug auf die Vereinbarung zwischen der Ü** und D*** im Jahr 2019 ergaben sich ebenfalls aus den eigenen Angaben der Beschuldigten bzw. aus der vorgelegten „ Kooperationsvereinbarung D***-Ü** “ (siehe Beilage 22 in der E-Mail vom BV am 24.04.2023). Die im Sachverhalt aufgenommene und als erwiesen angenommene Skizze zu der winterlichen Betreuung und bauliche Erhaltung im Jahr 2022 wurde von der Beschuldigten selbst vorgelegt (siehe Beilage 24 in der E-Mail vom BV am 24.04.2023) und ist insofern nicht strittig.
Die Feststellung hinsichtlich der Zoom-Funktion der Kameras ergab sich aus den vom anonymen Einschreiter übermittelten Lichtbildern (konkret aus den JPG-Dateien, die als „ 277188169_484631583405309_885357205597039660_n “ und „ 277286709_339209588018847_3143651061653669744_n “ tituliert wurden). Auf den genannten Lichtbildern ist ersichtlich, dass die Kameras im Rahmen der Verwaltungssoftware durch ein Steuerungselement (beim erstgenannten Lichtbild unten links ersichtlich) bedient und der Aufnahmebereich vergrößert bzw. verkleinert werden kann. Beim zweiten Lichtbild ist ersichtlich, dass dadurch beispielsweise die Eingabetastatur beim Bankomat-Terminal (Selbstbedienungskasse) vergrößert dargestellt werden konnte (am rechten unteren Bildrand ist der ganze Aufnahmebereich ersichtlich, um während der Vergrößerung einen Überblick zu gewährleisten).
Die festgestellte Speicherdauer der Aufzeichnungen und die Betriebszeit der Kameras im Tatzeitraum sowie der von der Beschuldigten selbst erzielte Jahresumsatz ergaben sich ebenfalls aus den eigenen Angaben der Beschuldigten (siehe schriftliche Rechtfertigung vom 13.03.2023).
Die restlichen Feststellungen zum Jahresumsatz und der hier vorliegenden Gesellschaftsstruktur (100% Eigentumskette bis zu DF** Holding Europe B.V.) ergaben sich einerseits durch Einsicht in die relevanten Firmenbuchauszüge (dem Verwaltungsstrafakt beiliegend) und wurden zudem nach Vorhalt durch die Datenschutzbehörde von der Beschuldigten nicht bestritten. Der festgestellte Jahresumsatz von DF** Holding Europe B.V. und unter anderem der österreichischen Tochtergesellschaften wurde von der Beschuldigten selbst ins Treffen geführt (siehe Stellungnahme vom 23.12.2023) und wird als erwiesen angenommen.
3. Rechtlich folgt daraus:
3.1. Zur Zuständigkeit der Datenschutzbehörde und Anwendungsbereich der DSGVO
Art. 83 Abs. 5 lit. a DSGVO legt fest, dass bei Verstößen gegen die Bestimmungen der Art. 5, 6, 7 und 9 DSGVO Geldbußen von bis zu 20 000 000 Euro oder im Fall eines Unternehmens von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können, je nachdem, welcher der Beträge höher ist.
Nach § 22 Abs. 5 DSG liegt die Zuständigkeit für die Verhängung von Geldbußen gegenüber natürlichen und juristischen Personen für Österreich als nationaler Aufsichtsbehörde bei der DSB .
Gemäß Art. 2 Abs. 1 DSGVO gilt die Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Die im vorliegenden Fall durch die Videokameras aufgezeichneten (Bild-)Daten stellen zweifelsfrei personenbezogene Daten im Sinne von Art. 4 Z 1 DSGVO dar (vgl. EuGH 11.12.2014, C-212/13, Rz 2). Durch den Einsatz der gegenständlichen Videoüberwachungsanlage wurde eine Verarbeitung im Sinne von Art. 4 Z 2 DSGVO vorgenommen. Im Lichte des als erwiesen angenommenen Sachverhalts ist die Beschuldigte als Verantwortliche gemäß Art. 4 Z 7 DSGVO zu qualifizieren, da sie für die festgestellten Zwecke die gegenständliche Videoüberwachungsanlage mit mehreren Außen- und Innenkameras installiert und in Folge betrieben hat. Die Rolle als Verantwortliche wurde von der Beschuldigten auch zu keinem Zeitpunkt bestritten. Als Verantwortliche ist die Beschuldigte Adressat der einschlägigen (strafbewehrten) Pflichten der DSGVO im Zusammenhang mit dem Betrieb einer solchen Videoüberwachungsanlage, die im Folgenden näher beleuchtet werden.
3.2. Zur Rechtmäßigkeit der Verarbeitung durch die Videoüberwachungsanlage
In Bezug auf die Rechtmäßigkeit einer Verarbeitung wird Eingangs darauf hingewiesen, dass Art. 5 DSGVO die Grundsätze der Verarbeitung personenbezogener Daten festlegt und im Abs. 1 lit. a bestimmt, dass personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“) . Art. 5 Abs. 1 lit. c DSGVO normiert zudem, dass die konkrete Datenverarbeitung dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein muss („Datenminimierung“).
Verantwortliche müssen im Falle einer Verarbeitung personenbezogener Daten jedenfalls die Gewährleistung der oben genannten Grundsätze sicherstellen. Dabei ist zu berücksichtigen, dass gemäß Art. 5 Abs. 2 DSGVO die Verantwortliche die Einhaltung dieser Grundsätze nachweisen können muss (Rechenschaftspflicht). In diesem Zusammenhang ist auf ein rezentes Urteil des EuGH zu verweisen, wonach die Verantwortliche die Beweislastdafür trägt, dass sie eine Verarbeitung in Übereinstimmung mit den Grundsätzen der Datenverarbeitung vornahm (vgl. EuGH vom 04.07.2023, C-252/21, Rz 95; vgl. auch zuletzt BVwG vom 28.08.2023, W245 2255957-1).
Die Anforderungen für eine rechtmäßige Datenverarbeitung sind in Art. 6 DSGVO konkretisiert. Danach erfordert die Rechtmäßigkeit jeder Verarbeitung, dass die Verarbeitung - kumulativ zu den anderen in Art. 5 Abs. 1 geregelten Grundsätzen – mindestens einem der in Art. 6 Abs. 1 DSGVO abschließend festgelegten Rechtsgründe genügen muss (vgl. Selmayr in Ehmann/Selmayr, Datenschutz-Grundverordnung, Kommentar², Art. 5 Rz 8f).
Im Zusammenhang mit den festgestellten Zwecken der gegenständlichen Videoüberwachungsanlage führte die Beschuldigte als Rechtsgrundlage ausschließlich berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO ins Treffen. Die restlichen Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO wurden von der Beschuldigten nicht vorgebracht und sind im vorliegenden Fall auch nach einer amtswegigen Prüfung nicht einschlägig(vgl. in Bezug auf die Prüfung der Rechtfertigungstatbestände auch VwGH vom 08.02.2022, Ro 2021/04/0033). Nachstehend wird daher die vorgenommene Verarbeitung im Tatzeitraum im Lichte der vorgebrachten Interessen beurteilt.
Art. 6 Abs. 1 lit. f der DSGVO gestattet die Verarbeitung nach der Rechtsprechung des EuGH unter drei kumulativen Voraussetzungen: (i) Wahrnehmung eines berechtigten Interesses; (ii) Erforderlichkeit der Verarbeitung und (iii) kein Überwiegen der Rechte und Freiheiten anderer (vgl. Urteil des EuGH vom 11.12.2019, Rs C-708/18, Rz 36 mwN).
Der EuGH wies betreffend Wahrnehmung eines berechtigten Interesses bereits darauf hin, dass der Schutz des Eigentums sowie der Schutz der Gesundheit und des Lebens für den Betrieb einer Videoüberwachungsanlage grundsätzlich berechtigte Interessen darstellen können (vgl. Urteil des EuGH vom 11.12.2019, Rs C-708/18, Rz 42). Auch eine Datenverarbeitung zum Zwecke der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen kann ein berechtigtes Interesse darstellen (vgl. Art. 9 Abs. 2 lit. f, Art. 17 Abs. 3. lit. e, Art. 18 Abs. 2 oder Art. 21 Abs. 1 DSGVO; vgl. EuGH vom 17.06.2021, C-597/19 Rz 108 ff). Im vorliegenden Fall kann daher ein berechtigtes Interesse der Beschuldigten nicht per se ausgeschlossen werden.
Gleichzeitig hielt der EuGH jedoch fest, dass jegliche Datenverarbeitung in Bezug auf ihre Zulässigkeit die in Art. 5 Abs. 1 DSGVO aufgestellten Grundsätze für die Verarbeitung erfüllen muss (vgl. zur alten, jedoch identen Rechtslage das Urteil des EuGH vom 13.05.2014, C-131/12, Rz 71 mwN). In Bezug auf die Erforderlichkeit einer Verarbeitung hielt der EuGH fest, dass sich die Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten auf das absolut Notwendige beschränken müssen (vgl. das Urteil des EuGH vom 04.05.2017, C-13/16 sowie vom 09.11.2010, C-92/09 und C-93/09). Mit anderen Worten: Kann der gleiche Schutzzweck durch ein gelinderes Mittel ebenfalls erlangt werden bzw. kann das angestrebte Ziel mit einer weniger eingriffsintensiven Datenverarbeitung erreicht werden?
Die Beschuldigte hatte im vorliegenden Fall - zusammengefasst - zwar ein berechtigtes Interesse am Betrieb der Videoüberwachungsanlage, jedoch war die konkrete Verarbeitung aufgrund der festgestellten Aufnahmebereiche im Tatzeitraum nicht erforderlich und somit auch nicht das gelindeste Mittel, um die von der Beschuldigten ins Treffen geführten Interessen zu gewährleisten (vgl. BVwG vom 28.08.2023, W245 2255957-1). Die mangelnde Erforderlichkeit der Verarbeitung in Bezug auf die einzelnen Kameras wird Nachstehend näher beleuchtet.
Das Kriterium der Erforderlichkeit ist eng mit dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) verbunden (vgl. EuGH vom 11.12.2019, C-708/18, Rz 48). Selbst wenn eine Videoüberwachung unbedingt erforderlich erscheint, müssen Maßnahmen zur Einschränkung des Aufnahmebereichs, wie das Anbringen einer physischen Blende , oder das Verpixeln nicht relevanter Bereiche , getroffen werden (vgl. Europäischer Datenschutzausschuss (EDSA) Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.1., Rz 25-27).
Die Beschuldigte konnte im gegenständlichen Verfahren - entgegen ihrer Nachweispflicht (siehe oben zitierte Judikatur des EuGH betreffend Nachweispflicht von Verantwortliche) - die Erforderlichkeit der Verarbeitung in Bezug auf die festgestellten Aufnahmebereiche nicht nachvollziehbar darlegen. Nach Ansicht der DSB können die von der Beschuldigten vorgebrachten Interessen den gewählten Aufnahmebereich jedenfalls nicht rechtfertigen . Die Beschuldigte räumte auch selbst die mangelnde Erforderlichkeit der konkreten Verarbeitung ein, indem sie in Reaktion auf die Aufforderung zur Stellungnahme im amtswegigen Prüfverfahren die Verarbeitung durch die Videoüberwachungsanlage und konkret die Aufnahmebereiche einer näheren (internen) Prüfung unterzog und zum Entschluss kam, dass „ einige Bildausschnitte bzw. Kameraeinstellungen während der gegenständlichen Zeiträume möglicherweise nicht 100% rechtskonform“ waren (siehe schriftliche Rechtfertigung vom 13.03.2023). Daher hat die Beschuldigte in weiterer Folge die betroffenen Kameras entweder zur Gänze entfernt oder den Aufnahmebereich durch technische Maßnahmen bzw. Neujustierung eingeschränkt.
3.2.1. Zur Erforderlichkeit der Verarbeitung in Bezug auf die Kameras im Innenbereich
Die Beschuldigte hat in Bezug auf die Kameras 1, 2 und 3 im Innenbereich des Einrichtungshauses, welche die Selbstbedienungskassen überwachen, zwar nachvollziehbare Interessen vorgebracht, konnte jedoch dem Vorwurf der mangelnden Erforderlichkeit bzw. Missachtung des Grundsatzes der Datenminimierung nicht entgegentreten. Die Beschuldigte räumte stattdessen die mangelnde Erforderlichkeit implizit ein, indem sie ins Treffen führte, dass sie sich grundsätzlich dazu verpflichtet habe, die Code-Eingabe bzw. Eingabetastatur am Terminal nicht zu erfassen („ Payment Card Industry Data Security Standard“) . Es sei für die Beschuldigte unerklärbar gewesen, weshalb die Eingabetastatur im Tatzeitraum von der Videoüberwachungsanlage erfasst wurde. Die Aufnahmebereiche wurden daher von der Beschuldigten durch technische Maßnahmen mittlerweile eingeschränkt, indem die Eingabetastatur am Terminal verpixelt wurde („ Privatzonenmaskierung “).
Die DSB übersieht dabei nicht die Interessen der Beschuldigten an der Überwachung der Selbstbedienungskassen und die in diesem Zusammenhang in der Vergangenheit erfolgten Strafanzeigen durch D*** (überwiegend wegen Diebstahl), jedoch scheitert die Rechtmäßigkeit der Verarbeitung im Tatzeitraum durch die Kameras 1, 2 und 3 letztendlich aufgrund der mangelnden Verpixelung der Eingabetastatur am Terminal .
Der festgestellte Aufnahmebereich dieser Kameras war im Ergebnis nicht angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt, weshalb die Verarbeitung nicht auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden konnte. Die Betroffenen mussten zudem auch nicht damit rechnen, dass sie bei der Nutzung der Eingabetastatur am Terminal (PIN-Eingabe) aufgezeichnet werden. Mangels Erforderlichkeit der Verarbeitung bedarf es keiner weiteren Interessenabwägung im engeren Sinn zwischen den Interessen der Beschuldigten und der Betroffenen.
3.2.2. Zur Erforderlichkeit der Verarbeitung in Bezug auf die Kameras 4 bis 7 (Außenbereich)
Die Beschuldigte brachte im Zusammenhang mit den Kameras 4 bis 7 zunächst vor, dass diese im Wesentlichen zur Beweissicherung bei Straftaten sowie für die „ Absicherung der D*** obliegenden Verkehrssicherungspflichten “ dienten („ winterliche Betreuung des Gehsteigs im Bereich C***straße und L***gasse “).
Die genannten Verkehrssicherungspflichten im Sinne einer winterlichen Betreuung am Tatort sind im Hinblick auf den vorgeworfenen Tatzeitraum (Ende März bis Ende Mai 2022) nicht nachvollziehbar. Die Beschuldigte wurde daher aufgefordert, die von ihr genannten Pflichten zu konkretisieren und insbesondere darzulegen, weshalb die Erfüllung dieser Pflichten bzw. Interessen nur durch eine permanente Videoüberwachung dieser Flächen gewährleistet werden kann.
Die Beschuldigte konkretisierte ihr Vorbringen mit Stellungnahme vom 24.04.2023 dahingehend, dass sich die „ Verkehrssicherungspflichten “ aus keinem Bescheid, sondern aus der festgestellten Kooperationsvereinbarung zwischen D*** und der Ü** ergeben würden. Die Beschuldigte verwies in diesem Zusammenhang auf die vertraglichen Pflichten von D*** unter Punkt 4.3 der Vereinbarung. Außerdem müsse neben der winterlichen Betreuung auch die „ bauliche Erhaltung “ gewährleistet werden. D*** müsse die Reinigung und winterliche Betreuung der Außenflächen sicherstellen. Hierzu legte sie die festgestellte Skizze für die „ Bauliche Erhaltung ab 2022 “ vor. Auf dieser sind die D*** betreffenden Flächen mit dunkelblauer Farbe gekennzeichnet. Die winterliche Betreuung sei zudem im Sinne von § 93 StVO zu verstehen und beziehe sich neben der Räumung von Schnee auch auf die Entfernung von Verunreinigungen generell. Daher wurden diese Kameras nicht auf den Winterzeitraum eingeschränkt. D*** treffe eine Pflicht zur Beseitigung von allfälligen Schäden in den festgestellten Aufnahmebereichen, die eine Gefahr für Fußgänger darstellen könnten. In einem allfälligen Schadensfall müsse D*** im Rahmen eines Zivilverfahrens den Entlastungsbeweis erbringen können, dass alle Sorgfaltspflichten eingehalten wurden und daher keine Haftung besteht. Als Geschäftsinhaber sei die Beschuldigte für die sichere Benutzung der Geschäftsräumlichkeiten und deren Eingangsbereich verantwortlich.
Die Beschuldigte kann in Bezug auf ihre Rechtfertigung zunächst auf die von ihr selbst vorgelegte Übersicht/Skizze (siehe oben) und die D*** betreffenden Flächen (dunkelblaue Farbe) verwiesen werden. In Zusammenschau mit den festgestellten Aufnahmebereichen der Kameras 4 bis 7 ergibt sich, dass die Beschuldigte einen überschießenden Aufnahmebereich wählte. Beim Aufnahmebereich der Kamera 4 wurde überwiegend öffentlicher Raum sowie die gegenüberliegenden Liegenschaften erfasst, wo die Beschuldigte weder die winterliche Betreuung noch die bauliche Erhaltung gewährleisten muss (der vorgelegten Übersicht zufolge trifft dies die Stadt U***stadt, **** – Straßenverwaltung und Straßenbau). Bei den Kameras 6 und 7 wurde teilweise ein Bereich erfasst, wo die Beschuldigte ebenfalls keine Pflichten im Sinne ihres Vorbringens treffen (ein Teilbereich der ****haltestelle „ Ä***plaza ****, L***gasse “ und den Eingangsbereich zu den ***bahn-Linien ****). Hierbei ist überdies zu berücksichtigten, dass es sich hierbei insbesondere um einen sehr stark von Fußgängern frequentierten Bereich handelt. Am Tatort befindet sich neben dem Einrichtungshaus von D*** auch der Zugang zum Ä***plaza, zu den ***bahn-Linien **** sowie zur ****haltestelle „Ä***plaza ****, L***gasse“. Bereits daraus ergibt sich ein Verstoß gegen den Datenminimierungsgrundsatz nach Art. 5 Abs. 1 lit. c DSGVO und die mangelnde Erforderlichkeit für die gegenständliche Verarbeitung.
Der Beschuldigten kann aber auch darüber hinaus in Bezug auf ihre Beweissicherungs-interessen im Zusammenhang mit den genannten Verkehrssicherungspflichten nicht gefolgt werden. Für die DSB ist nicht erkennbar, inwiefern die Beschuldigte einem allfälligen Beweisnotstand unterliegen würde. Es ist evident, dass die Beschuldigte jeglichen Auftrag samt dessen Durchführung durch sogenannte „ Arbeitsscheine “ im Detail dokumentiert, die wiederum selbst als Beweismittel dienen können. So kann darauf hingewiesen werden, dass im konkreten Verfahren die von der Beschuldigten behaupteten Änderungen in Bezug auf die Videoüberwachungsanlage zu einem bestimmten Zeitpunkt (Entfernung der Kameras, Änderung des Aufnahmebereichs, etc.) aufgrund der vorgelegten Arbeitsscheine nachvollziehbar und glaubhaft dargelegt werden konnten. Die vorgebrachten Änderungen wurden von der DSB im Ergebnis als erwiesen angenommen.
In diesem Zusammenhang sind jedoch auch die konkreten Pflichten der Beschuldigten zu berücksichtigen und es ist daher fraglich, ob eine Videoüberwachung, wie im gegenständlichem Umfang, erforderlich war. Der Kooperationsvereinbarung zufolge (Punkt 4. – „ Leistungen von D*** “) muss die Beschuldigte eine geplante Fahrradabstellanlage im Bereich der Ä***plaza in angemessenen Abständen Instand halten, warten und nötigenfalls erneuern (Punkt 4.1.). Inwiefern hierfür eine permanente Videoüberwachung erforderlich sein soll, um die Erfüllung dieser Pflichten nachzuweisen, ist nicht erkennbar und wurde auch nicht näher von der Beschuldigten begründet.
Unter Punkt 4.3. verpflichtete sich die Beschuldigte zur „ Reinigung und winterliche Betreuung sowie etwaig erforderliche Security-Leistungen innerhalb der ca. 4 m breiten Abstandsfläche “. Auch für die Einhaltung dieser Vereinbarung ist die Erforderlichkeit der gegenständlichen Verarbeitung nicht erkennbar. Hierfür können unter anderem die Arbeitsscheine oder eine sonstige interne Dokumentation ebenfalls als Nachweis für die Einhaltung dieser vertraglichen Verpflichtung herangezogen werden. Die permanente Überwachung der festgestellten Flächen kann keinesfalls als das gelindeste Mittel angenommen werden, um die Einhaltung dieser vertraglichen Verpflichtung in einem allfälligen (hypothetischen) Fall nachweisen zu können. Schließlich wird D*** im Rahmen dieser Kooperationsvereinbarung auch nicht zur permanenten Videoüberwachung der betroffenen Flächen verpflichtet.
Nachstehend werden noch die von der Beschuldigten ins Treffen geführten Pflichten von Anrainer gemäß § 93 StVO beleuchtet:
Diese Bestimmung normiert für Eigentümer von Liegenschaften in Ortsgebieten die Pflicht, dafür Sorge zu tragen, dass die entlang der Liegenschaft in einer Entfernung von nicht mehr als 3 m vorhandenen, dem öffentlichen Verkehr dienenden Gehsteige und Gehwege einschließlich der in ihrem Zuge befindlichen Stiegenanlagen entlang der ganzen Liegenschaft in der Zeit von 06:00 bis 22:00 Uhr von Schnee und Verunreinigungen gesäubert sowie bei Schnee und Glatteis bestreut sind . Ist ein Gehsteig (Gehweg) nicht vorhanden, so ist der Straßenrand in der Breite von 1 m zu säubern und zu bestreuen.
Auch aus diesem Vorbringen ist für die Beschuldigte nichts zu gewinnen. Nach dem Wortlaut der Bestimmung sind die Eigentümer von Liegenschaften lediglich in der Zeit zwischen 06:00 Uhr bis 22:00 Uhr zu bestimmten Maßnahmen verpflichtet. Diese zeitliche Einschränkung muss auch im Rahmen der Beurteilung betreffend Erforderlichkeit der Verarbeitung berücksichtigt werden. Im vorliegenden Fall führt zwar die Beschuldigte ihre Pflichten nach § 93 StVO ins Treffen, zeichnet den festgestellten Aufnahmebereich jedoch permanent auf. Die Videoüberwachungsanlage wurde im Tatzeitraum auch dann betrieben, wenn keine Schnee- oder Glatteisgefahr vorlag („ keine Einschränkung des Betriebs auf den Winterzeitraum “).
Darüber hinaus ist auch unabhängig von der zeitlichen Einschränkung der Videoüberwachung nicht erkennbar, inwiefern für die Nachweisbarkeit dieser Verpflichtung eine dauerhafte Überwachung der Aufnahmebereiche erforderlich sein sollte. Die Beschuldigte begründet dies auch nicht näher und beschränkt ihr Vorbringen mit einem Verweis auf diese Bestimmung (vgl. hierzu auch EuGH 11.12.2019, C-708/18, Rz 44, wonach das vorgebrachte berechtigte Interesse zum Zeitpunkt der Verarbeitung bereits entstanden und vorhanden sein muss und zu diesem Zeitpunkt nicht bloß hypothetisch sein darf). In diesem Zusammenhang kann erneut auf die von der Beschuldigten bereits im operativen Tagesgeschäft eingesetzten Arbeitsscheine verwiesen werden, die als Nachweis für die vorgenommene Bestreuung, Säuberung und sonstige ergriffene Maßnahmen verwendet werden können. Auch für die Gewährleistung der baulichen Erhaltung war die Verarbeitung mit dem gegenständlichen Aufnahmebereich nicht erforderlich und hätte ohne die Zuhilfenahme einer permanenten Videoüberwachung dokumentiert werden können.
Schließlich läuft auch das Vorbringen im Zusammenhang mit den allgemeinen (zivilrechtlichen) Verkehrssicherungspflichten, wonach D*** als Geschäftsinhaberin die sichere Benutzung der Geschäftsräumlichkeiten und deren Eingangsbereich gewährleisten müsse und dafür Beweismittel benötige, ins Leere. Dabei ist zunächst zu berücksichtigen, dass die festgestellten Aufnahmebereiche der Außenkameras nur teilweise den unmittelbaren Eingangsbereich zum Einrichtungshaus erfassten und hierfür auch eine andere Positionierung der Kameras mit einem eingeschränkten Aufnahmebereich möglich gewesen wäre (die Beschuldigte brachte in diesem Zusammenhang auch keine baulichen Einschränkungen vor, die einer anderen Positionierung der Kameras entgegenstehen würden).
Hinsichtlich der Beweislast in einem allfälligen (zum Zeitpunkt der gegenständlichen Verarbeitung hypothetischen) Zivilverfahren übersieht die Beschuldigte außerdem, dass sie, wie offenbar von ihr angenommen, keiner verschuldensunabhängigen Haftung unterliegt. Generell gilt nach der einschlägigen Rechtsprechung, dass die Anforderung an die zivilrechtlichen Verkehrssicherungspflichten nicht überspannt werden dürfen. Der Verkehrssicherungspflichtige hat die verkehrsübliche Aufmerksamkeit anzuwenden und die notwendige Sorgfalt zu beachten, wobei auch die Grenzen des Zumutbaren zu beachten sind (vgl. RIS-Justiz RS0023487). Die Verkehrssicherungspflichten sollen jedenfalls keine - vom Gesetz nicht vorgesehene - vom Verschulden unabhängige Haftung zur Folge haben (vgl. OGH vom 15.04.2020, 9 Ob 71/19k). Die Behauptungs- und Beweislast für das Bestehen einer Sorgfaltspflicht und deren Verletzung (etwa durch Unterlassung) sowie die Kausalität der Sorgfaltsverletzung für den ebenfalls nachzuweisenden Schaden trägt der Geschädigte (vgl. OGH vom 26.09.2017, 5 Ob 89/17z mwN). Die Beweislastumkehr betrifft lediglich den Verschuldensbereich (vgl. RIS-Justiz RS0022686). Eine eingeschränkte Beweislastumkehr wird darüber hinaus nur dann angenommen, wenn dem Geschädigten der Nachweis eines Schadens und der Kausalität sowie zumindest eines – ein rechtswidriges Verhalten indizierenden – objektiv rechtswidrigen Zustands gelungen ist (vgl. OGH vom 22.10.2015, 10 Ob 53/15i). Eine, wie von der Beschuldigten angenommene, uneingeschränkte und vollumfängliche Beweislastumkehr zu Lasten von D*** kann der Rechtsprechung nicht entnommen werden (vgl. z.B. OGH vom 27.02.2019, 9 Ob 58/18x, wo es dem Kläger nicht gelungen sei, den Nachweis eines ein rechtswidriges Verhalten indizierenden objektiv rechtswidrigen Zustands zu führen).
Die von der Beschuldigten ergriffenen Maßnahmen in Bezug auf die Verkehrssicherung können dabei auch ohne die Zuhilfenahme einer permanenten Videoüberwachung der gegenständlichen Aufnahmebereiche dokumentiert werden. Die Aufzeichnungen der Anlage werden im Regelfall auch nicht sämtliche von D*** ergriffenen Maßnahmen belegen können, sondern nur jene, die auf den Videoaufzeichnungen der letzten 72 Stunden (festgelegte Speicherdauer) ersichtlich sind. Die Dokumentation über die ergriffenen Maßnahmen kann hingegen einen besseren Überblick hinsichtlich sämtlicher Verkehrssicherungsmaßnahmen geben, die nicht nur auf die letzten 72 Stunden zurückgehen und auf den Aufzeichnungen nicht ersichtlich sind. Eine Verlängerung der Speicherdauer der Videoaufnahmen über 72 Stunden hinaus hingegen würde per se zu einem Verstoß gegen den Datenminimierungsgrundsatz und die Speicherbegrenzung (Art. 5 Abs. 1 lit. c und e DSGVO) führen. Mit anderen Worten: für die vorgebrachten Interessen standen nicht nur gelindere, sondern auch effektivere Mittel zur Verfügung.
Im Ergebnis befürchtet die Beschuldigte ohne den Einsatz der betroffenen Kameras offenbar auch selbst keinen Beweisnotstand, da sie die Kameras, wie festgestellt, nach einer internen Prüfung über die Rechtmäßigkeit der Verarbeitung (in Reaktion auf das eingeleitete amtswegige Prüfverfahren, wobei noch kein Bescheid erlassen wurde) ersatzlos entfernt hat. Sie konnte auch im Zuge ihrer Rechtfertigung keine in der Vergangenheit liegenden Anlassfälle nennen, wo sie einem Beweisnotstand unterlegen sei.
Unter Berücksichtigung dieser Erwägungen war der festgestellte Aufnahmebereich der betroffenen Kameras nicht angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt, weshalb die Verarbeitung nicht auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden konnte. Mangels Erforderlichkeit der Verarbeitung bedarf es keiner weiteren Interessenabwägung im engeren Sinn.
3.2.3. Zur Erforderlichkeit der Verarbeitung in Bezug auf die Kameras 8 und 9 (Außenbereich)
Hinsichtlich der Kameras 8 und 9 („ Fluchtausgänge “) brachte die Beschuldigte ebenfalls berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO vor und führte hierzu Folgendes ins Treffen:
Das berechtigte Interesse liege bei diesen Kameras darin, unberechtigten Zutritt zu vermeiden, die Sicherheit in den Einrichtungshäusern zu erhöhen und darüber hinaus in der Vorbeugung, Verhinderung, Aufdeckung sowie Aufklärung von Straftaten. Es müsse eine Beweissicherung bei Straftaten und eine Abschreckung gewährleistet werden. Diese Interessen würden auch aktuell bestehen, da D*** in Österreich seit 2014 insgesamt 170-mal „ Opfer oder Schauplatz “ strafrechtlich relevanter Geschehnisse wurde. In Bezug auf die gegenständlichen Fluchtausgänge wurde auf einen Vorfall vom 28.01.2022 beim D*** Standort U***stadt Ä***plaza verwiesen. Bei diesem Vorfall hätte eine Gruppe Jugendlicher widerrechtlich die geschlossene Tür zur öffentlichen Stiege geöffnet und danach mutwillig so lange gegen diese Tür eingetreten, bis diese schwer beschädigt war.
In Bezug auf die Erforderlichkeit wurde vorgebracht, dass die Fluchtausgänge von den betroffenen Kameras erfasst werden müssten, um das Gesicht des mutmaßlichen Einbrechers im Falle eines Einbruchs- oder Manipulationsversuches erheben zu können. Abschließend wurde in Bezug auf den Aufnahmebereich darauf hingewiesen, dass die Kamera 8 gedreht und Kamera 9 neu verpixelt worden sei, damit der angrenzende Bereich (R***City) nicht mehr erfasst wird (siehe oben).
Auch bei diesen Kameras scheitert die Erforderlichkeit der Verarbeitung aufgrund des eingestellten Aufnahmebereichs im Tatzeitraum. In Bezug auf Kamera 8 ist im Lichte der vorgebrachten Interessen festzuhalten, dass der Aufnahmebereich nicht primär den Fluchtausgang, sondern den Zugang zu „R***City U***stadt West“ sowie den unmittelbaren Bereich davor erfasste. Der Fluchtausgang per se war vom Aufnahmebereich gar nicht umfasst. Objektiv betrachtet diente dieser Aufnahmebereich somit nicht zur Überwachung der Fluchtausgänge von D***, sondern zur Überwachung einer anderen Liegenschaft.
Die DSB übersieht dabei nicht die Interessen von D***, jedoch hätten diese durch gelindere Mittel bzw. durch einen eingeschränkten Aufnahmebereich ebenfalls gewährleistet werden können. Es ist insofern nicht nachvollziehbar, weshalb der Aufnahmebereich nicht von Beginn an so eingestellt wurde, wie nach der vorgenommenen Änderung (siehe oben). Der Aufnahmebereich ist seitdem primär auf den Fluchtausgang und den unmittelbaren Bereich davor gerichtet und stellt im Vergleich zum ursprünglichen Aufnahmebereich nicht nur das gelindere, sondern auch effektivere Mittel dar, um den Fluchtausgang zu überwachen.
Hinsichtlich der Kamera 9 ist ebenfalls keine Erforderlichkeit der Verarbeitung im Tatzeitraum aufgrund des gewählten Aufnahmebereichs erkennbar. Die Erfassung der gegenüberliegenden Liegenschaft war für die vorgebrachten Zwecke nicht erforderlich. Dies wurde auch von der Beschuldigten anerkannt, indem sie in Reaktion auf die Einleitung des amtswegigen Prüfverfahrens eine Privatzonenmaskierung vornehmen ließ, um die Verarbeitung durch technische Maßnahmen einzuschränken. Durch den eingeschränkten Aufnahmebereich können die vorgebrachten Interessen ebenfalls gewährleistet werden und stellen zudem ein gelinderes Mittel dar.
Abschließend kann in Bezug auf die Erforderlichkeit der Verarbeitung im Zusammenhang mit einer Videoüberwachung auf die Rechtsprechung des BVwG hingewiesen werden. Unter Verweis auf die zuvor zitierten Leitlinien des EDSA stellte das BVwG fest, dass selbst wenn eine Videoüberwachung für bestimmte Zwecke unbedingt erforderlich erscheint, vom Verantwortlichen dennoch Maßnahmen zur Einschränkung des Erfassungsbereichs, wie das Anbringen einer physischen Blende oder das Verpixeln nicht relevanter Bereich, getroffen werden müssen (vgl. BVwG vom 13.12.2022, W252 2247268-1). Die von der Beschuldigten ins Treffen geführten Maßnahmen im Sinne der Datenminimierung (Speicherdauer von 72 Stunden, Aufbewahrung der Aufzeichnungen auf lokalen Servern, Zugangsbeschränkung zu den Räumen…) sind zwar im Rahmen der Beurteilung und im Falle einer Interessenabwägung zu berücksichtigen, können im vorliegenden Fall jedoch den eingestellten Aufnahmebereich nicht rechtfertigen bzw. im Ergebnis dazu führen, dass die Verarbeitung als das gelindeste Mittel bewertet wird.
Somit war auch der festgestellte Aufnahmebereich der Kameras 8 und 9 im Tatzeitraum nicht angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt, weshalb die Verarbeitung nicht auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden konnte. Mangels Erforderlichkeit der Verarbeitung bedarf es in Folge keiner Interessenabwägung im engeren Sinn.
3.2.4. Ergebnis
Im Ergebnis ist die von der Beschuldigten ins Treffen geführte Rechtsgrundlage nach Art. 6 Abs. 1 lit. f DSGVO für die konkrete Verarbeitung nicht einschlägig .
Eine sonstige Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO kommt nicht in Betracht und wurde auch nicht vorgebracht .
Die Verarbeitung durch die gegenständliche Videoüberwachungsanlage erfolgte in den jeweiligen Tatzeiträumen somit unrechtmäßig . Damit ist die objektive Tatseite eines Verstoßes gegen die Grundsätze für die Verarbeitung des Art. 5 Abs. 1 lit. a und c und des Art. 6 Abs. 1 DSGVO erfüllt .
3.3. Zur subjektiven Tatseite
Der EuGH hat, wie schon bereits von der DSB in ihrer bisherigen Spruchpraxis angenommen, nun explizit festgehalten, dass nur Verstöße gegen Bestimmungen der DSGVO, die der Verantwortliche schuldhaft, d.h. vorsätzlich oder fahrlässig begeht, zur Verhängung einer Geldbuße führen können (vgl. EuGH vom 05.12.2023, C-807/21, Rz 68).
In Bezug auf die subjektive Tatseite ist jedoch zu berücksichtigen, dass die Voraussetzung des Verschuldens für die Verhängung einer Geldbuße nach Art. 83 DSGVO unionsautonom auszulegen und insbesondere im Lichte der Rechtsprechung des EuGH zu beurteilen ist. Auch zur Vorlagefrage in Bezug auf das Verschulden stellte der EuGH nämlich fest, dass den Mitgliedstatten in diesem Zusammenhang kein Ermessensspielraum durch den Unionsgesetzgeber für nationale Regelungen eingeräumt wurde, da die materiellen Voraussetzungen abschließendin Art. 83 Abs. 1 bis 6 DSGVO genau geregelt sind (vgl. hierzu auch EuGH vom 05.12.2023, C-683/21, Rz 64 ff). Somit gelangt die (nationale) Bestimmung nach § 5 VStG in Bezug auf das Verschulden nichtzur Anwendung (vgl. auch BVwG vom 03.06.2024, W292 2282284-1, wonach mehrere Bestimmungen des VStG nach dem Urteil des EuGH nicht mehr zur Anwendung gelangen dürfen).
Zu der entscheidenden Frage, ob ein Verstoß vorsätzlich oder fahrlässig begangen wurde und daher mit einer Geldbuße geahndet werden kann, stellte der EuGH in seinem oben zitierten Urteil gleichzeitig klar, dass ein solches Verschulden bereits vorliegt, wenn der Beschuldigte sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass er gegen die Vorschriften der DSGVO verstößt (vgl. EuGH C-807/21, Rz 76).
Unter Verweis auf weitere (wettbewerbsrechtliche) Rechtsprechung stellte der EuGH zudem ausdrücklich klar, dass die Anwendung von Art. 83 DSGVO gegenüber juristischen Personen keine Handlung und nicht einmal eine Kenntnis seitens des Leitungsorgans dieser juristischen Person voraussetzt (vgl. EuGH vom 05.12.2023, C-807/21, Rz 77).
Die Verantwortung und Haftung eines Verantwortlichen erstreckt sich dabei auf jedwede Verarbeitung personenbezogener Daten, die durch oder in seinem Namen erfolgt. In diesem Rahmen muss der Verantwortliche nicht nur geeignete und wirksame Maßnahmen treffen, sondern muss er auch nachweisen können, dass seine Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen, die er ergriffen hat, um diesen Einklang sicherzustellen, auch wirksam sind (vgl. EuGH C-807/21, Rz 38, unter Verweis auf ErwGr 74).
Umgelegt auf den vorliegenden Fall bedeutet dies Folgendes:
Zunächst ist festzuhalten, dass es im Rahmen des Ermittlungsverfahrens keine Anhaltspunkte dafür gab, dass die gegenständlichen Verstöße von einer Person begangen wurden, die nicht im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelte. Entscheidend ist, dass die Beschuldigte als Verantwortliche für die inkriminierte Verarbeitung qualifiziert wird. Es wurde weder im Laufe des Ermittlungsverfahrens noch während des amtswegigen Prüfverfahrens von der Beschuldigten vorgebracht, dass sie nicht als Verantwortliche für die gegenständliche Verarbeitung durch die Videoüberwachungsanlage zu qualifizieren sei. Dem Urteil des EuGH zufolge ist es für die Verhängung einer Geldbuße gegen eine juristische Person jedoch (darüber hinaus) nicht erforderlich, dass die DSB (zusätzlich) eine identifizierte natürliche Person, die im Rahmen der unternehmerischen Tätigkeit und im Namen der juristischen Person handelte, in ihrer Entscheidung anführt und das Handeln dieser Person der juristischen Person als Verantwortliche zurechnet. Es ist daher im vorliegenden Fall auch nicht entscheidungserheblich, ob und welche nach außen hin vertretungsbefuge Person der Beschuldigten die gegenständlichen Verstöße zu verantworten hat. Die (nationalen) Voraussetzungen für die Strafbarkeit einer juristischen Person nach § 30 Abs. 1 und 2 DSG gelangen nichtzur Anwendung (vgl. VwGH vom 01.02.2024, Ra 2020/04/0187).
Die inkriminierte Datenverarbeitung durch D*** bzw. die Montage, Inbetriebnahme sowie Einstellung der Aufnahmebereiche der Kameras erfolgte durch Personen, die der Beschuldigten zugerechnet werden. Die Beschuldigte erstatte im Ermittlungsverfahren kein diesbezüglich widersprechendes Vorbringen.
Im Lichte des als erwiesen angenommen Sachverhalts wird von der DSB jedoch keine vorsätzliche Tathandlung durch die Beschuldigte angenommen. Die Beschuldigte hat als Verantwortliche gemäß Art. 4 Z 7 DSGVO die festgestellten Verstöße aufgrund von Fahrlässigkeit nach Art. 83 Abs. 2 lit. b DSGVO zu verantworten.
Die Beschuldigte unterliegt gemäß Art. 5 Abs. 2 DSGVO und im Lichte der oben dargestellten Judikatur des EuGH einer Erkundigungspflicht, um sicherzustellen, dass die von ihr vorgenommenen Verarbeitungstätigkeiten im Einklang mit den Grundsätzen für die Verarbeitung personenbezogener Daten stehen. Die Beschuldigte kam dieser Verpflichtung nicht nach und hat sich offenbar vorab nicht über die einschlägigen Verwaltungsvorschriften erkundigt.
Bereits das Aufrufen der Webseite der Datenschutzbehörde hätte gereicht, um beispielsweise in Erfahrung zu bringen, dass eine Videoüberwachung örtlich nur im unbedingt erforderlichen Ausmaß erfolgen darf und ein Einbeziehen öffentlicher Verkehrsflächen nur eingeschränkt in einem Ausmaß bis zu 50 Zentimeter zulässig ist oder dass angrenzende Liegenschaften von Nachbarn ohne Einwilligung jedenfalls nicht erfasst werden dürfen. Darüber hinaus hat auch der Europäische Datenschutzausschuss Empfehlungen im Rahmen von Leitlinien zur Videoüberwachung auf ihrer Webseite veröffentlicht (siehe Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte).
Lediglich in Bezug auf die Datenverarbeitung mittels der Kameras 1, 2 und 3 (Innenbereich/Selbstbedienungskassen) wird eine grobe Fahrlässigkeit angenommen. Der Beschuldigten war die mangelnde Erforderlichkeit in Bezug auf die Erfassung der Eingabetastatur am Terminal selbst bewusst und hat sie sich insbesondere auch dem sog. „ Payment Card Industry Data Security Standard“ unterworfen, wonach eine Privatzonenmaskierung im Kassenbereich über die Eingabetastatur vorgenommen werden muss. Die grobe Fahrlässigkeit im festgestellten Tatzeitraum ergibt sich daraus, dass der Beschuldigten im amtswegigen Prüfverfahren die Anzeige samt Lichtbilder über den Aufnahmebereich der verfahrensgegenständlichen Kameras zusammen mit einer Aufforderung zur Stellungnahme (GZ: D213.1604 / 2022-0.227.932) nachweislich zur Kenntnis gebracht wurde. Die Beschuldigte setzte jedoch in Reaktion darauf erst ungefähr ein Monat danach konkrete Maßnahmen um (siehe oben). Die mit Arbeitsschein Nummer 435 dargelegte Maßnahme (Privatzonenmaskierung per Fernwartung durch die Y*** Sicherheitstechnik GmbH) erfolgte erst am 23.05.2022. Der Beschuldigten wäre es zumutbar und möglich gewesen, den Aufnahmebereich umgehend nach Kenntniserlangung einzuschränken, insbesondere deshalb, weil sie sich selbst zur Privatzonenmaskierung der genannten Kameras verpflichtet hat und nicht nachvollziehen konnte, weshalb die Maskierung nicht aktiviert war.
Außerdem kann abschließend in Bezug auf das Verschulden auch auf das Erkenntnis des Bundesverwaltungsgerichts vom 08.04.2022 zur GZ: W214 2240128-1 verwiesen werden, wonach der dortigen Beschwerdeführerin ebenfalls bekannt sein musste, „ dass es einschlägige Datenschutzvorschriften gibt, umso mehr, als über die DSGVO bei deren Wirksamwerden im Jahre 2018 breit in der Öffentlichkeit informiert und diskutiert wurde und eine große Anzahl von medialen Beiträgen zu diesem Thema erschienen ist “.
Im Lauf des Ermittlungsverfahrens ergaben sich jedenfalls keine Hinweise darauf, dass die Beschuldigte an der Verletzung der gegenständlich anzuwendenden Verwaltungsvorschriften kein Verschulden trifft. Die Beschuldigte konnte sich im Lichte der Rechtsprechung des EuGH über die Rechtswidrigkeit ihres Verhaltens nicht im Unklaren sein, unabhängig davon, ob ihr dabei bewusst war, dass sie gegen die Vorschriften der DSGVO verstößt (vgl. EuGH C-807/21, Rz 76 und 77; EuGH C-683/21, Rz 81 und 82 mwN). Es wäre der Beschuldigten zumutbar und möglich gewesen, sich beim Betrieb der gegenständlichen Anlage rechtskonform zu verhalten.
Die subjektive Tatseite ist ebenfalls erfüllt.
4. Zur Strafzumessung ist Folgendes festzuhalten:
4.1. Allgemeines
Gemäß Art. 83 Abs. 1 DSGVO hat die DSB sicherzustellen, dass die Verhängung von Geldbußen für Verstöße gegen die unter Sanktion gestellten Bestimmungen der DSGVO (Art. 83 Abs. 4, 5 und 6 DSGVO) in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Dabei handelt es sich um die zentralen Kriterien einer Geldbuße . Näherhin bestimmt Art. 83 Abs. 2 DSGVO, dass bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall bestimmte Kriterien gebührend zu berücksichtigen sind.
Die Strafbemessung innerhalb eines gesetzlichen Strafrahmens ist eine Ermessensentscheidung , die nach den vom Gesetzgeber festgelegten Kriterien vorzunehmen ist (vgl. VwGH 05.09.2013, 2013/09/0106).
Die DSB hat im Rahmen der Strafbemessung die Leitlinien des EDSA betreffend Berechnung von Geldbußen nach der DSGVO(vgl. EDPB Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 2.1 vom 24.05.2023 – im Folgenden „Fines-Leitlinien“) zur Anwendung gebracht, um eine einheitliche Anwendung von Art. 83 DSGVO sicherzustellen (vgl. auch BVwG vom 26.03.2024, W137 2241630-1; 27.03.2024, W214 2243436-1; 18.04.2024, W137 2248575-1).
Die Bestimmung nach § 19 Abs. 1 VStG gelangt nicht zur Anwendung, da die Strafbemessung ebenfalls abschließend durch Art. 83 Abs. 2 DSGVO geregelt wird und kein Ermessensspielraum für die Mitgliedstaaten bleibt (vgl. EuGH 05.12.23, C-807/21, Rn 45; siehe hierzu auch die rezente Entscheidung des BVwG vom 03.06.2024, GZ: W292 2282284-1)
Durch Art. 83 Abs. 3 DSGVOwird in Abweichung zu dem mit § 22 Abs. 2 VStG normierten Kumulationsprinzip angeordnet, dass in Fällen gleicher oder miteinander verbundener Verarbeitungsvorgänge (in der englischen Sprachfassung: „ the same or linked processing operations “), durch die vorsätzlich oder fahrlässig gegen mehrere Bestimmungen der DSGVO verstoßen wird, der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß übersteigt. Somit gilt im Anwendungsbereich dieser Bestimmung das Absorptionsprinzip .
Ansonsten (außerhalb des Anwendungsbereiches des Art. 83 Abs. 3 DSGVO) gelangt das Kumulationsprinzipnach § 22 Abs. 2 VStG zur Anwendung (vgl. mwN BVwG 12.03.2020, GZ: W256 2223922-1).
Darüber hinaus ist im Sinne des Art. 83 Abs. 1 DSGVO zu beachten, dass im Rahmen der Strafbemessung des „ Gesamtbetrages der Geldbuße “ unter Anwendung des Absorptionsprinzips nach Art. 83 Abs. 3 DSGVO alle begangenen Verstöße gegen die DSGVO berücksichtigt werden müssen. Der Wortlaut „ Betrag für den schwerwiegendsten Verstoß “ bezieht sich dabei auf den Strafrahmen bzw. die gesetzlich vorgegebenen Höchstbeträge (siehe Art. 83 Abs. 4 bis 6 DSGVO). Der EDSA hielt hierzu fest, dass im Anwendungsbereich des Art. 83 Abs. 3 DSGVO die anderen begangenen Verstöße nicht de facto verworfen werden können, sondern bei der Strafbemessung dementsprechend berücksichtigt werden müssen (vgl. Fines-Leitlinien, Kapitel 3 – Rz 43). Ansonsten würde dies zu einer Privilegierung von Verantwortlichen und Auftragsverarbeiter führen, die im Rahmen eines festgestellten Sachverhaltes gleich gegen mehrere Bestimmungen der DSGVO verstoßen haben.
Die DSGVO enthält in Bezug auf Art. 83 Abs. 3 DSGVO ansonsten keine Ausführungen dazu, was unter „ gleichen oder miteinander verbundenen Verarbeitungsvorgängen “ zu verstehen ist. Auch den Erwägungsgründen kann dazu nichts Näheres entnommen werden.
Bei der Beurteilung von „ gleichen oder miteinander verbundenen Verarbeitungsvorgängen “ ist entsprechend der Fines-Leitlinien zu berücksichtigen, dass alle Verpflichtungen, die für die rechtmäßige Durchführung der Verarbeitungsvorgänge erforderlich sind, berücksichtigt werden können. Der Wortlaut (vor allem in der englischen Sprachfassung) deutet darauf hin, dass der Anwendungsbereich des Art. 83 Abs. 3 DSGVO jeden Verstoß einschließt, der sich auf dieselben („same“) oder miteinander verbundene Verarbeitungsvorgänge bezieht und sich auf diese auswirken kann (vgl. Fines-Leitlinien, 3. Kapitel – Rz 27 f). Das Bundesverwaltungsgericht wies in diesem Zusammenhang darauf hin, dass nach dem allgemeinen Sprachgebrauch daher auch jene Fälle unter diese Bestimmung zu subsumieren sind, in denen durch „ ein und dieselbe Tat (Verarbeitung)“ mehrere Straftatbestände erfüllt wurden und verwies dabei ebenfalls auf die englische Sprachfassung (vgl. mwN BVwG 12.03.2020, GZ: W256 2223922-1).
Im Lichte dieser Ausführungen gelangt im konkreten Fall für die festgestellten Verstöße durch den Einsatz mehrerer verfahrensgegenständlicher Videoüberwachungskameras das Absorptionsprinzip nach Art. 83 Abs. 3 DSGVO zur Anwendung . Die Beschuldigte setzte zur Tatzeit am Tatort zwar mehrere Kameras ein, die jeweils unterschiedliche Aufnahmebereiche hatten, jedoch war die Verarbeitung miteinander verbunden und die Kameras bildeten zusammen eine Videoüberwachungsanlage.
Durch den oben näher beschriebenen Einsatz dieser Anlage verstieß die Beschuldigte im Tatzeitraum schließlich gegen die oben genannten Grundsätze der Datenverarbeitung, weshalb der Strafrahmen nach Art. 83 Abs. 5 lit. a DSGVO zur Anwendung gelangt.
Gemäß Art. 83 Abs. 5 DSGVO werden im Falle der dort genannten Verstöße, im Einklang mit Abs. 2, Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.
4.2. Zum Begriff „Unternehmen“
Im Zuge der Berechnung einer Geldbuße, die gemäß Art. 83 Abs. 4 bis 6 DSGVO gegen einen Verantwortlichen verhängt wird, ist der Begriff „Unternehmen“ im Lichte des ErwGr 150 DSGVO im Sinne vonArt. 101 und 102 AEUVauszulegen. Dieser (funktionale) Unternehmensbegriff umfasst nach den in den Art. 101 und 102 AEUV niedergelegten Wettbewerbsregeln jede eine wirtschaftliche Tätigkeit ausübende Einheit unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Er bezeichnet somit eine wirtschaftliche Einheit , auch wenn diese aus rechtlicher Sicht aus mehreren natürlichen oder juristischen Personen besteht. Diese wirtschaftliche Einheit besteht in einer einheitlichen Organisation persönlicher, materieller und immaterieller Mittel, die dauerhaft einen bestimmten wirtschaftlichen Zweck verfolgt (vgl. EuGH 05.12.23, C-807/21, Rn 54 und 56).
Der EuGH stellte in diesem Zusammenhang grundlegend fest, dass eine Geldbuße nur dann die Kriterien nach Art. 83 Abs. 1 DSGVO erfüllen kann, wenn die Höhe der Geldbuße anhand der tatsächlichen oder materiellen Leistungsfähigkeit des Adressatenvon der Aufsichtsbehörde unter Zugrundelegung des Begriffs der wirtschaftlichen Einheit im Sinne seiner wettbewerbsrechtlichen Judikatur festgesetzt wird. Daher sind Aufsichtsbehörden bei der Berechnung einer Geldbuße verpflichtet, den Begriff „Unternehmen“ im Sinne von Art. 101 und 102 AEUV auszulegen (vgl. EuGH 05.12.23, C-807/21, Rn 57 ff).
Nach der Rechtsprechung des EuGH kann einer Muttergesellschaft das Verhalten ihrer Tochtergesellschaft insbesondere dann zugerechnet werden, wenn die Tochtergesellschaft trotz eigener Rechtspersönlichkeit ihr Marktverhalten zum Zeitpunkt der Begehung der Zuwiderhandlung nicht selbstständig bestimmt, sondern im Wesentlichen Weisungen der Muttergesellschaft befolgt, und zwar vor allem wegen der wirtschaftlichen, organisatorischen und rechtlichen Beziehungen, welche die beiden Rechtssubjekte verbinden, sodass sie in einem solchen Fall zur selben wirtschaftlichen Einheit gehören und damit ein einziges Unternehmen bilden (vgl. EuGH vom 06.10.2021, C-882/19, Rn 43 mwN).
Übt also die Muttergesellschaft bestimmenden Einflussauf die Tochtergesellschaft aus (wenn auch über einer zwischengeschalteten Gesellschaft) und kann diese folglich ihr Marktverhalten nicht autonom bestimmen, bilden die Gesellschaften eine wirtschaftliche Einheit und folglich ein Unternehmen iSd Art. 101 und 102 AEUV.
Der EuGH hat in diesem Zusammenhang in einer wegweisenden Entscheidung festgehalten, dass eine 100%ige Beteiligung der Mutter- an der Tochtergesellschaft die Vermutung begründet, dass die Mutter tatsächlich einen bestimmenden Einfluss auf das Verhalten der Tochter ausübt und es daher zu einer Zurechnung und gesamtschuldnerischen Haftung kommt. Es genügt demnach der Nachweis durch die Kommission, dass von der Muttergesellschaft das gesamte Kapital der Tochter gehalten wird, um die Ausübung eines bestimmenden Einflusses und somit eine wirtschaftliche Einheit anzunehmen (vgl. EuGH vom 10.09.2009, C-97/08 P, Rs „Akzo Nobel“, Rn 58 ff; siehe auch EuGH 16.11.2000, C-286/98 P, Rn 29).
Der EDSA verweist in den Fines-Leitlinien für die Festsetzung des Jahresumsatzes ebenfalls auf die oben zitierte Rechtsprechung des EuGH. Zur Klarstellung weist der EDSA jedoch in Bezug auf den „bestimmenden Einfluss“ insbesondere darauf hin, dass sich die „Entscheidungskompetenz“, die zu beurteilen ist, um festzustellen, ob eine Muttergesellschaft einen bestimmenden Einfluss auf andere Konzernmitglieder ausübt, auf die Entscheidungskompetenz betreffend das „Marktverhalten“ der Tochtergesellschaft bezieht. Sie unterscheidet sich grundsätzlich von dem Einfluss, den eine Muttergesellschaft auf die betreffende Verarbeitung hat bzw. nicht haben kann, und insbesondere von der Fähigkeit, Entscheidungen in Bezug auf die „Zwecke und Mittel“ der Verarbeitung zu treffen. Diese Umstände sind zwar im Rahmen der Prüfung der Identität des Verantwortlichen zu berücksichtigen, aber für die Beurteilung eines bestimmenden Einflusses im Hinblick auf die Feststellung einer wirtschaftlichen Einheit nicht relevant. Mit anderen Worten: Bei der Prüfung einer wirtschaftlichen Einheit sind nicht dieselben Anforderungen wie bei einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO zu prüfen (vgl. EDSA Fines-Leitlinien, Rn 122, Fußnote 54).
Im vorliegenden Fall besteht jedenfalls eine kapitalmäßige Verflechtung durch eine 100%ige Beteiligungskette bis zur Konzernmutter, weshalb im Ergebnis eine wirtschaftliche Einheit zwischen der Beschuldigten und der Muttergesellschaft im Sinne der oben näher dargestellten Judikatur des EuGH angenommen werden kann. Der Beschuldigten wurde dies im Laufe des Verfahrens - mit Verweis auf die Vorabentscheidungssache „Deutsche Wohnen SE“ zu C - 807/21 – vorgehalten, die Möglichkeit einer Stellungnahme eingeräumt und dazu aufgefordert, den gesamten weltweiten Jahresumsatz der wirtschaftlichen Einheit durch Vorlage eines konsolidierten Jahresabschlusses bekanntzugeben.
Die Annahme einer wirtschaftlichen Einheit wurde von der Beschuldigten auch nicht bestritten. Sie konnte lediglich keinen konsolidierten Jahresabschluss einbringen, weil ein solcher nicht vorlag. Daher wurde der Jahresumsatz des Unternehmens in Form einer Excel-Liste mit den einzelnen Umsätzen der Tochtergesellschaften vorgelegt. Wenn kein konsolidierter Jahresabschluss vorliegt, können in einem solchen Fall auch andere Unterlagen herangezogen werden, um den Jahresumsatz des Unternehmens festzustellen (vgl. EDSA Fines-Leitlinien, Rn 130)
Unter Berücksichtigung, dass die Beschuldigte einem Unternehmen im Sinne von Art. 101 und 102 AEUV angehört, war daher der gesamte vorgelegte Jahresumsatz der DF** Holding Europe B.V. bei der Berechnung der Geldbuße zu berücksichtigten (vgl. auch BVwG vom 27.03.2024, W214 2243436-1; 18.04.2024, W137 2248575-1).
4.3. Zur Strafbemessung im vorliegenden Fall:
Die Beschuldigte hat somit im Ergebnis, wie festgestellt, einen Jahresumsatz in der Höhe von EUR 27.9**.***.*** erzielt. Unter Anwendung der Fines-Leitlinien wird die Beschuldigte in Bezug auf ihren Umsatz und im Hinblick auf die Verhängung einer wirksamen, abschreckenden und verhältnismäßigen Geldbuße in die Kategorie „ Undertakings with a turnover of 500 million and higher “ eingestuft . Durch diese Einstufung wird die Unternehmensgröße bei der Strafbemessung gebührend berücksichtigt.
Der Strafrahmen im konkreten Fall reicht gemäß Art. 83 Abs. 5 DSGVO bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (dynamischer/variabler Strafrahmen – hier bis zu EUR 1.138.603.614,8 ). Der statische Strafrahmen (EUR 20.000.000,-) gelangt aufgrund des festgestellten Umsatzes nicht zur Anwendung. Vollständigkeitshalber wird darauf hingewiesen, dass bei der Anwendung der Fines-Leitlinien im vorliegenden Fall der zweite Berechnungsschritt (= Anpassung des Ausgangsbetrags nach „Schritt 1“ – siehe unten – aufgrund der Unternehmensgröße) nicht vorgenommen wird, weil hier bereits der variable Strafrahmen zur Anwendung gelangt. Mit anderen Worten: die vorliegende Unternehmensgröße wird durch den variablen Strafrahmen bereits berücksichtigt. Der zweite Berechnungsschritt ist nur dann erforderlich, wenn ein Unternehmen mit einem Umsatz von unter EUR 500 Millionen vorliegt (hier gilt eben der statische Strafrahmen und das Unternehmen muss einer der vordefinierten Kategorien zugeordnet werden).
Im Lichte des als erwiesen angenommenen Sachverhalts und unter Berücksichtigung der Art, Schwere und Dauer des Verstoßes (Art. 83 Abs. 1 lit. a DSGVO) , der Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes (Art. 83 Abs. 2 lit. b DSGVO) sowie die Kategorien personenbezogener Daten, die vom Verstoß betroffen sind (Art. 83 Abs. 2 lit. g DSGVO) wird von der Datenschutzbehörde die Schwere der Zuwiderhandlung („Seriousness of the infringement“) mit mittel („medium level of seriousness“) festgelegt (0,5% des Jahresumsatzes). Dies ergibt einen Ausgangsbetrag von EUR 142.325.451,85 für die weitere Berechnung.
Bezogen auf den vorliegenden Sachverhalt wurde darüber hinaus (über die bereits für die Feststellung des Schweregrades berücksichtigten Kriterien nach Art. 83 Abs. 1 lit. a, b und g DSGVO hinaus) bei der Strafzumessung Folgendes erschwerend berücksichtigt:
n/a
Bezogen auf den vorliegenden Sachverhalt wurde darüber hinaus bei der Strafzumessung Folgendes mildernd berücksichtigt:
gegen die Beschuldigte liegen bei der Datenschutzbehörde keinerlei einschlägige frühere Verstöße gegen die DSGVO vor
die Beschuldigte hat im Rahmen des gegenständlichen Ermittlungsverfahrens vor der Datenschutzbehörde mitgewirkt und dadurch einen Beitrag zur Wahrheitsfindung geleistet, indem sie insbesondere den vorgeworfenen Sachverhalt nicht in Abrede stellte (sie teilte lediglich nicht die rechtliche Beurteilung im Rahmen des Vorwurfs) und sich bereits nach Zustellung der Aufforderung zur Stellungnahme im amtswegigen Prüfverfahren einsichtig zeigte, nachdem sie eine interne Überprüfung der gegenständlichen Datenverarbeitung durch die Videoüberwachungsanlage vornahm. Die Mitwirkung im Verwaltungsstrafverfahren als Beitrag zur Wahrheitsfindung wurde im vorliegenden Fall besonders strafmildernd berücksichtigt, weil die Beschuldigte der DSB sämtliche Informationen offenlegte und den Betrieb der Anlage per se ausführlich darlegte.
Der Umstand, dass die Beschuldigte die gegenständliche Verarbeitung über den festgestellten Tatzeitraum hinaus nicht weiter fortsetzte, indem sie die gegenständlichen Kameras entweder ersatzlos entfernen ließ oder durch technische Maßnahmen den Aufnahmebereich einschränkte. Die abmontierten Kameras werden von der Beschuldigten künftig nicht mehr verwendet. Die von der Beschuldigten im Rahmen des Ermittlungsverfahrens ergriffenen Maßnahmen, um die Verarbeitung durch den Einsatz der Videoüberwachungsanlage künftig in Einklang mit der DSGVO zu bringen, wurden von der DSB nicht übersehen und führten im konkreten Fall daher zu einer deutlichen Strafmilderung. Durch die ergriffenen Maßnahmen konnte der rechtmäßige Zustand wiederhergestellt werden.
Die durch die verfahrensgegenständlichen Videokameras vorgenommenen Aufzeichnungen sind mittlerweile gelöscht und können von der Beschuldigten nicht wiederhergestellt werden (Speicherdauer 72 Stunden)
Bei der Bemessung der Strafe dürfen nach ständiger Rechtsprechung des VwGH auch Überlegungen der Spezial- und Generalprävention einbezogen werden (vgl. VwGH 15.5.1990, 89/02/0093, VwGH 22.4.1997, 96/04/0253, VwGH 29.1.1991, 89/04/0061; siehe auch Fines-Leitlinien, Kapitel 7.3, Rn 142 ff). Die Verhängung der konkreten Geldstrafe war nicht im Sinne der Spezialprävention notwendig , um die Beschuldigte von der Begehung weiterer Verstöße abzuhalten, da sie die gegenständliche Verarbeitung bereits, wie erwähnt, eingestellt hat und künftig nicht durchführen wird.
Die Verhängung der Geldstrafe war jedoch im Sinne der Generalprävention erforderlich , um Verantwortliche in Bezug auf den rechtskonformen Einsatz von Videoüberwachungsanlagen , insbesondere für von Betroffenen stark frequentierte Bereiche , und der damit im Zusammenhang stehenden Pflichten nach der DSGVO zu sensibilisieren (Art. 83 Abs. 1 DSGVO) .
In Bezug auf die Generalprävention im Falle einer „ überschießenden Videoüberwachung “ kann noch auf eine rezente Entscheidung des BVwG hingewiesen werden, wonach „ das Verhängen einer Geldbuße im Zuge einer überschießenden Videoüberwachung jedenfalls erforderlich scheint: Im öffentlichen Raum sind kamerabasierte Aufnahmen (zu meist privaten Zwecken) mittlerweile weit verbreitet. Davon zu unterscheiden ist der Betrieb eines Videoüberwachungssystems, das objektbezogen (Bild)Daten von jeder einzelnen Person erfasst, die vom Bereich des Systems erfasst werden können. Die Judikatur des EuGH zur Zweckmäßigkeit und Berechtigung eines solchen Systems sind anhand der für sich genommen schon eingriffsintensiven Datenverarbeitung streng (Urteil vom 4. Mai 2017, Rīgas satiksme, C 13/16, EU:C:2017:336, Rn. 28, wiederholt in EuGH vom 11.12.2019 C-708/18). Daher erscheint es auch erforderlich den Blick von potentiellen und bestehenden Verantwortlichen für Videoüberwachungssysteme auf die strikte Einhaltung der Zweckmäßigkeit unter Beachtung des Grundsatzes der Datenminimierung zu schärfen und dafür Sorge zu tragen, dass nicht erst das Einschreiten einer Aufsichtsbehörde dazu führt, dass Daten gleichsam auf Vorrat erzeugt werden.“(vgl. BVwG vom 15.07.2024, W298 2284627-1).
Die DSB übersieht im Zuge der Strafzumessung jedoch nicht das Kriterium der Verhältnismäßigkeit nach Art. 83 Abs. 1 DSGVO, das in jedem Einzelfallzu prüfen ist. Dies insbesondere vor dem Hintergrund, dass im vorliegenden Fall der Jahresumsatz des Unternehmens nach Art. 101 und 102 AEUV, dem die Beschuldigte angehört, herangezogen wurde, und der festgestellte Verstoß jedoch den Betrieb einer lokalen Videoüberwachungsanlage in und außerhalb einer einzelnen Filiale der Beschuldigten betraf. Die lokale Beschränkung der (unrechtmäßigen) Videoüberwachungsanlage war im Rahmen der Verhältnismäßigkeit der Geldbuße zu berücksichtigen. In diesem Zusammenhang nahm die DSB eine deutliche Reduktion des Ausgangsbetrages (nach Berücksichtigung der Milderungsgründe) vor, um das Kriterium der Verhältnismäßigkeit in diesem Einzelfall zu gewährleisten (vgl. Fines-Leitlinien, Kapitel 7, Rn 132 ff).
Die im Ergebnis konkret verhängte Strafe in der Höhe von EUR 1.500.000,- erscheint daher im Hinblick auf den verwirklichten Tatunwert, gemessen am zur Verfügung stehenden (variablen) Strafrahmen des Art. 83 Abs. 5 DSGVO (hier bis zu EUR 1.138.603.614,8 ) in Zusammenschau mit dem erzielten Jahresumsatz in der Höhe von circa EUR 27.9**.***.*** und unter Berücksichtigung der festgestellten Milderungsgründe tat- und schuldangemessen und befindet sich am untersten Ende des zur Verfügung stehenden Strafrahmens (circa 0,13% des Strafrahmens). Auch wenn der Jahresumsatz des Unternehmens im Sinne von Art. 101 und 102 AEUV für die Strafbemessung herangezogen wurde, hat die DSB die Verhältnismäßigkeit im vorliegenden Einzelfall, wie oben dargelegt, sichergestellt. Ein (noch) niedrigerer Betrag würde den in Art. 83 Abs. 1 DSGVO normierten Kriterien für eine Geldbuße nicht mehr gerecht werden.
Das BVwG hat mit , das gegenständliche Straferkenntnis großteils (hinsichtlich der Höhe der verhängten Geldbuße zur Gänze) bestätigt.