Das Bundesverwaltungsgericht Republik Österreich (BVwG, GZ W258 2299744-1/28E) hat am 25.07.2025 ein aufsehenerregendes Urteil gefällt:
Es wurde gegen IKEA Österreich eine Geldstrafe von 1,8 Millionen Euro verhängt, weil die Videoüberwachung in einer Wiener Filiale in mehrfacher Hinsicht gegen die Datenschutz-Grundverordnung (DSGVO) verstieß.
Die Entscheidung hat Signalwirkung weit über Österreich hinaus, da sie die EU-weit geltende DSGVO betrifft und somit auch für Deutschland und andere Mitgliedstaaten relevant ist.
Der Fall: Videoüberwachung bei IKEA Wien
In einer neu eröffneten IKEA-Filiale in Wien wurden neun Kameras installiert, die teils Innenbereiche (Selbstbedienungskassen) und teils öffentliche Außenflächen (Straßenbahnstation, Gehwege, Bahnhofszugang) erfassten.
Problematisch war:
- Kunden wurden beim Bezahlen und Eingeben ihres PIN-Codes gefilmt,
- Kameras erfassten öffentliche Verkehrsflächen,
- Aufnahmen wurden 72 Stunden gespeichert,
- Privatzonenmaskierungen waren unvollständig oder fehlten,
- und es fehlte eine Datenschutz-Folgenabschätzung vor Inbetriebnahme.
Juristische Bewertung: Mehrfache DSGVO-Verstöße
Das BVwG sah in der Videoüberwachung gleich mehrere Verstöße gegen zentrale DSGVO-Normen:
1. Verletzung des Grundsatzes der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)
IKEA habe mehr Daten erfasst als notwendig.
Die Kameras hätten auf jene Bereiche beschränkt werden müssen, die für die Sicherheit und Eigentumswahrung erforderlich sind.
Das Filmen von PIN-Eingaben und öffentlichen Gehwegen sei klar unverhältnismäßig.
2. Fehlende Rechtsgrundlage (Art. 6 Abs. 1 lit. f DSGVO)
Zwar kann ein berechtigtes Interesse (z. B. Eigentumsschutz, Verkehrssicherungspflicht) eine Datenverarbeitung rechtfertigen –
doch nur, wenn die Interessen der betroffenen Personen nicht überwiegen.
Das BVwG befand: IKEA hätte mildere Mittel einsetzen können, etwa Security-Personal oder gezielte Innenkameras.
3. Missachtung der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)
IKEA hatte keine abschließende Prüfung der Kameraeinstellungen und Maskierungen durchgeführt.
Das Gericht sah darin ein organisatorisches Kontrollversagen und zumindest grobe Fahrlässigkeit.
Die Sanktion: 1,8 Millionen Euro – berechnet nach Konzernumsatz
Das BVwG bestätigte die von der Datenschutzbehörde verhängte Strafe.
Maßgeblich war der weltweite Konzernumsatz von über 44 Milliarden Euro, da IKEA Österreich Teil einer wirtschaftlichen Einheit im Sinne des EU-Rechts ist.
Die Strafe sei – so das Gericht –
„erforderlich, um eine wirksame, verhältnismäßige und abschreckende Sanktion im Sinne von Art. 83 DSGVO sicherzustellen.“
Damit stellt das Urteil klar: Große internationale Unternehmen können sich nicht auf nationale Grenzen berufen, wenn sie gegen EU-Datenschutzrecht verstoßen.
Bedeutung über Österreich hinaus: Relevanz für Deutschland und die EU
Obwohl das Urteil in Österreich ergangen ist, hat es EU-weite Tragweite.
Die DSGVO gilt unmittelbar in allen Mitgliedstaaten, und nationale Gerichte müssen sie autonom und unionsrechtskonform auslegen.
Das bedeutet: Die rechtliche Argumentation des BVwG ist auch für deutsche Unternehmen bindend orientierend, insbesondere zur Auslegung von
- Art. 5 DSGVO (Grundsätze der Verarbeitung),
- Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung) und
- Art. 83 DSGVO (Bußgeldbemessung).
Deutsche Datenschutzaufsichtsbehörden (z. B. LfDI, BfDI) können sich bei ähnlichen Fällen ausdrücklich auf diese Entscheidung berufen.
Handlungsempfehlungen für Unternehmen
Das IKEA-Urteil ist ein Lehrstück dafür, dass Videoüberwachung kein rechtsfreier Raum ist.
Selbst gute Absichten wie Eigentumsschutz oder Sicherheitsinteressen reichen nicht, wenn die Umsetzung die Rechte Dritter verletzt.
Für eine DSGVO-konforme Videoüberwachung sollten daher folgende Punkte beachtet werden:
- Rechtsgrundlage festlegen (Art. 6 Abs. 1 lit. f DSGVO).
- Datenschutz-Folgenabschätzung (DSFA) bei sensiblen Bereichen durchführen.
- Privatzonenmaskierung technisch einrichten und dokumentieren.
- Keine Erfassung öffentlicher Räume oder Nachbargrundstücke.
- Speicherdauer so kurz wie möglich halten (max. 48–72 Stunden nur bei Begründung).
- Hinweisschilder nach Art. 13 DSGVO gut sichtbar anbringen.
- Regelmäßige Datenschutz-Audits durch DSB oder externe Prüfer.
Ihre Ansprechpartner: Dr. Stefan Bischoff und Markus Heinrich
