Bußgeld gegen Ikea wegen Videoüberwachung – DS News KW 42/2025

Moderation:

David Schmidt

Natalia Wozniak

Was ist in der KW 42 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

Die Big Brother Awards 2025 gehen an…
IKEA Wien filmte Eingabe von PINs (österreichisches Bundesverwaltungsgericht, Az. W258 2299744-1/28E)
Ausschluss des Widerspruchsrechts (LAG Sachsen, Beschluss vom 26.05.2025, Az. 2 TaBV 8/24 (BeckRS 2025, 25878): Einsichtsrecht des Betriebsrats)
Koppelungsverbot ist kein „absolutes“ Verbot (AG Nürnberg, Endurteil v. 09.07.2025 – 22 C 1423/25)
EDSA legt Schwerpunkte für Datenschutz 2026 fest

Veranstaltung:

Berlin: Zweite Schulung zu TOM: Speicherung und Aufbewahrung von Daten

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

X: https://x.com/ds_talk?lang=de

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/bußgeld-gegen-ikea-wegen-videouberwachung-ds-news-kw-42-2025/↗

Schreibe einen Kommentar Antwort abbrechen

Transkript zur Folge:

Das Gerät… …gerät.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosense.
Heute ist Freitag, der 17. Oktober 2025.
Unser Redaktionsschluss war, wie üblich, um 10 Uhr morgens. Und bei mir ist mein lieber Kollege...
David Schmidt. Hallo Natalia.
Hallo David. Schön, dass du da bist. Schön, dass wir beide hier sind.
Ja, finde ich auch.
Ja, wir haben heute mal wieder einen tatsächlich sehr interessanten bunten Strauß
an Themen mitgebracht. David, was hast du dabei?
Ich berichte von der Verleihung der Big Brother Awards.
Dann habe ich ein Urteil mitgebracht, das sich mit den Rechten eines Betriebsrats
beschäftigt und der EDPB hat seinen Prüfschwerpunkt für das kommende Jahr 2026 angekündigt.
Wie sieht es bei dir aus?
Ich habe zwei Urteile und einen Veranstaltungshinweis.
Das erste Urteil ist vom österreichischen Bundesverwaltungsgericht.
Das Gericht hat sich mit der Videoüberwachung bei Ikea beschäftigt und hier ein Bußgeld verhängt.
Dann habe ich das Amtsgericht Nürnberg, das sich mit dem Kopplungsverbot bei
Einwilligungen beschäftigt hat und festgehalten hat, dass es kein absolutes Verbot gibt.
Und wie gesagt, ein Veranstaltungshinweis. Ich würde sagen, wir fangen an. David, leg los.
Ja, wir fangen an mit den Big Brother Awards. Die fanden ja am letzten Freitag
in Bielefeld statt und die Preise gingen dieses Jahr an den Bundesinnenminister
Alexander Dobrindt, an Google, TikTok,
das Bundesarbeitsgericht und das Verwaltungsgericht Hannover sowie an die Abhängigkeit
von Jugendlichen gegenüber Apple und WhatsApp.
Google gewann in der Kategorie Technik für den KI-Assistenten Gemini,
da dieser unauffällig, aber zwangsweise auf Android-Mobiltelefon installiert
wird und dabei Nutzungs- und Kommunikationsdaten gesammelt werden,
die Google wiederum für das Training seiner KI-Modelle einsetzt.
Die Deaktivierung erfordere komplexe Einstellungen in verschiedenen Menüs.
Der Preis in der Kategorie Behörden und Verwaltung ging an Innenminister Alexander
Dobrindt für sein geplantes Sicherheitspaket, das den umfangreichen Einsatz
von Gesichtssuchmaschinen vorsieht.
Dabei soll neben Palantir unter anderem auch auf einen alten Stammgast aus unserem
Podcast zurückgegriffen werden, nämlich Clearview AI.
Das Verwaltungsgericht Hannover und das Bundesarbeitsgericht wurden in der Kategorie
Arbeitswelt für ihre Rechtsprechung zu den Arbeitsbedingungen und Überwachungspraktiken
bei Amazon ausgezeichnet.
Damit wurde kritisiert, dass nicht entschieden gegen die Überwachung von Angestellten
in einem Amazon-Logistikzentrum vorgegangen wurde und einem Betriebsrat das
Mitbestimmungsrecht bei der Einführung einer neuen Software nicht zugesprochen wurde.
In der Kategorie Social Media gewann natürlich TikTok für verschiedene Verletzungen
des Datenschutzes die Verbreitung von Fake News und Hate Speech sowie mangelhaften
Minderjährigen-Schutz.
Und in der Kategorie Jung und Überwacht kritisierte die Jugendorganisation TechKids
die Abhängigkeit durch TechGiganten anhand von zwei Beispielen,
nämlich zum einen dem Zwang an einer Schule iPads einzusetzen und der Quasizwang
durch WhatsApp als Marktführer für Online-Messenger.
Wir gratulieren allen Preisträgern und ja, inhaltlich geben wir da,
glaube ich, einiges mit, lassen das aber im Detail unkommentiert.
Naja, ich weiß nicht, ob wir jetzt hier wirklich gratulieren können, aber...
Ja, es ist so, wie es ist.
Handelt sich ja alles auch um Satire, die auf Missstände aufmerksam machen soll.
Und ich glaube, demnach kann man da auch gratulieren.
Alles klar. Dann machen wir das. So, ich komme zu einem ersten Urteil.
Das österreichische Bundesverwaltungsgericht hat sich mit der unzulässigen Videoüberwachung
bei einer IKEA-Filiale in Wien beschäftigt.
Das Gericht hat entschieden, dass die Videoüberwachung unzulässig ist.
Denn zum einen ermöglichte die Videoüberwachung das Filmen der PIN-Eingabe durch
erkennbare Personen, wenn an einer Ikea-Kasse mit einer Karte bezahlt wurde.
Und zum anderen waren mehrere Kameras auch außerhalb der Filiale so ausgerichtet,
dass die Blickfelder für den angestrebten Zweck zu groß gewählt waren und so
auch Passanten außerhalb der Filiale mit aufgezeichnet wurden.
Es ist also nach Ansicht des Gerichts versäumt worden, nicht zu filmende Bereiche
zu maskieren und das ist Ikea auch mangels einer stattfindenden Überprüfung
auch gar nicht aufgefallen.
Auch die Inbetriebnahme der Videoüberwachung erfolgte ohne, dass eine Datenschutzbeurteilung
im Vorfeld stattgefunden hätte oder beziehungsweise abgeschlossen war.
Die notwendigen technischen Maßnahmen waren wohl nicht umgesetzt,
aber auch organisatorisch.
Und mir fällt hier das Datenschutzmanagement ein, dass einfach Prozesse nicht
vorhanden waren, die sicherstellen, dass neue Verfahren erst dann eingesetzt
werden, wenn sie im Vorfeld Datenschutzrechte beurteilt worden sind.
Jedenfalls hat das Gericht hier Ikea bei der Festlegung der Bußgeldhöhe zugute gehalten,
dass den Betroffenen kein materieller Schaden entstanden ist,
insbesondere dass die Pins, die aufgezeichnet wurden, nicht missbraucht worden
sind und dass das Unternehmen auch mit den Aufsichtsbehörden kooperiert hat.
Und ja, das Gericht hat den Schaden nachher für insgesamt mit leicht bewertet.
Dennoch wurden folgende Verstöße festgestellt. Einmal
Artikel 6 Absatz 1 DSGVO, nämlich dass die Rechtsgrundlage für die Datenverarbeitung
nicht dokumentiert war und insgesamt auch, soweit die Videoüberwachung unzulässig
war, auch nicht vorhanden war.
Dann ein Verstoß gegen Artikel 5 Absatz 1 Lit A, nämlich gegen den Grundsatz
der Rechtmäßigkeit und gegen den Grundsatz von Treu und Glauben.
Und ein Verstoß gegen Artikel 5 Lit C DSGVO, nämlich gegen den Grundsatz der Datenminimierung.
Es wurden mehr Daten erhoben, als eigentlich benötigt waren.
Ja, spannend ist vielleicht auch an der Stelle, dass das Gericht auch darauf
hingewiesen hat, dass die Geldbußen nach der DSGVO sich am Konzernumsatz bemessen
und nicht am Umsatz der jeweiligen den Datenschutz verletzenden Filiale,
sodass im konkreten Fall ein weit höheres Bußgeld möglich gewesen wäre als die verhängte Geldbuße.
Konkret sieht das Gericht die von der Behörde verhängte Geldbuße in Höhe von
1,8 Millionen hierfür wirksam und abschreckend und auch verhältnismäßig.
Nichtsdestotrotz, IKEA hat Rechtsmittel
angekündigt, sowohl in der Sache selbst als auch der Höhe nach.
Von daher, wir werden schauen, wie sich das Thema weiterentwickelt.
Aber ich glaube für unsere Zuhörer, für euch interessant im Hinblick auf Überprüfung
der Videoüberwachung hier konkret, was wird genau aufgezeichnet?
Brauchen wir eine Maskierung oder brauchen wir tatsächlich das,
was aufgezeichnet wird, um den Zweck, damit die Videoüberwachung angestrebt wird, zu erreichen?
Oder geht das eventuell auch ein bisschen kleiner?
Ja, 1,8 Millionen ist vielleicht für ein Konzern wie Ikea nicht so viel.
Aber wie gesagt, da ist auch der Schaden insgesamt vielleicht bewertet worden.
Und ja, Obacht bei dem Einsatz der Videoüberwachung.
Absolut. Finde ich ein sehr wichtiges Thema. Man diskutiert ja regelmäßig vor
allem über die Speicherfristen von Videoaufnahmen, aber dass schon davor einige
Fragen geklärt werden müssen, das darf man nicht vergessen.
So ist das.
Das Landesarbeitsgericht Chemnitz musste sich mit den Rechtsgrundlagen nach
Artikel 6 des GVO für die Verarbeitung von personenbezogenen Daten im Zusammenhang
mit den Rechten eines Betriebsrats auseinandersetzen.
Konkret ging es um den Anspruch des Betriebsrats aus § 80 Absatz 2 Betriebsverfassungsgesetz
Einsicht in Bruttogehaltslisten zu nehmen.
Ein Arbeitgeber hatte dem Betriebsrat auf Anfrage solche Listen in nicht anonymisierter
Form zur Verfügung gestellt.
Dabei wurden aber fünf Beschäftigte zuvor von den Listen gestrichen,
weil diese Widerspruch eingelegt hatten.
Gegen diese Streichung wehrte sich der Betriebsrat gerichtlich und zwar mit Erfolg.
Das Gericht entschied, dass der Anspruch des Betriebsrats aus § 80 Absatz 2
Betriebsverfassungsgesetz gleichzeitig eine rechtliche Verpflichtung des Arbeitgebers
darstelle und somit Artikel 6 Absatz 1 Buchstabe c die einschlägige Rechtsgrundlage
für die entsprechende Verarbeitung sei.
Der Arbeitgeber hatte sich auf Buchstabe F, also auf ein berechtigtes Interesse,
gestützt und deshalb den Beschäftigten zuvor das Widerspruchsrecht eingeräumt.
Das Gericht begründet die Entscheidung damit, dass der Betriebsrat seiner Überwachungspflicht
nur wirksam nachkommen könne, wenn er vollständig über alle Zahlungen informiert sei.
Dies umfasste die Einsicht in die Gehälter aller von ihm vertretenen Mitarbeiter.
Durch die Einräumung eines Widerspruchsrechts würde dies aber zur Disposition
einzelner Arbeitnehmer gestellt, sodass die Kontrollrechte des Betriebsrats
unzulässig eingeschränkt werden.
Finde ich eine sehr interessante, systematische Begründung.
Jetzt gar nicht so von der Seite des Datenschutzes her, sondern eher aus dem
Betriebsverfassungsgesetz.
Grundsätzlich aber plausibel und ich glaube, damit wird dann der Inhalt des
Anspruchs aus § 80 Absatz 2,
der nach seinem Wortlaut nicht klar sagt, ob solche Listen vollständig sein
müssen und ob diese anonymisiert oder als Klardaten zur Verfügung gestellt werden müssen, klargestellt.
Und ich glaube auch wirklich das Verhältnis des § 80 Betriebsverfassungsgesetz,
der eben auf Artikel 6 Absatz 1 Lit C referenziert,
weil referenziert hier nicht das richtige Wort ist, aber dass wir einfach für
den Arbeitgeber hier den Buchstaben C als Rechtsgrundlage haben für die Bereitstellung
der Daten und eben nicht F.
Ich glaube, das ist auch ein wichtiger Hinweis für unsere Zuhörer.
Obacht bei der Festlegung der Rechtsgrundlagen für Verarbeitung,
da diese, vor allem die Einwilligung und das berechtigte Interesse nicht nur
unterschiedliche höhere Voraussetzungen haben,
sondern auch unterschiedliche Rechtsfolgen dabei entstehen, hier nämlich das Widerspruchsrecht.
So, dann komme ich zu meinem nächsten Urteil.
Das Amtsgericht Nürnberg hat zur Wirksamkeit von datenschutzrechtlichen Einwilligungen
bei Kopplung an Vertragsbedingungen entschieden.
Danach, so eine der Leitsätze, ist eine Einwilligung nach Artikel 7 DSGV wirksam,
wenn sie in einfacher Sprache, transparent und zweckgebunden erteilt wird.
Eine datenschutzrechtliche Einwilligung kann auch dann freiwillig sein,
wenn sie an einen Vertragsschluss gekoppelt ist, sofern keine unangemessene
Drucksituation besteht.
Ja, dem Urteil liegt ein spannender Sachverhalt zugrunde.
Die Beklagte ist ein Telekommunikationsunternehmen, welches Mobilfunkdienstleistungen
anbietet und der Kläger hat einen privaten Mobilfunkvertrag mit der Beklagten
über das Internet abgeschlossen.
Dabei hat sich der Kläger unter anderem auch mit der Geltung der Bestimmungen
auf dem Merkplatz zum Datenschutz einverstanden erklärt.
Im Rahmen der Entscheidung hat das Gericht daher festgehalten,
dass sich der Kläger bei Vertragsschluss mit der Weitergabe seiner Daten zur
Bonitätsprüfung an Auskunftteilen einverstanden erklärt hat und diese Weitergabe
auch für die Beklagte zur Wahrung berechtigte Interessen notwendig war.
Damit lege eine Einwilligung nach Artikel 7 DSGVO vor.
Das heißt, jetzt nochmal kurz zusammengefasst, durch die Unterzeichnung des
Vertrages, bei dem unter anderem das Merkplatz zum Datenschutz zum Vertragsbestand gemacht wurde,
hat der Kläger sich eben damit auch einverstanden erklärt, dass seine Daten
an Auskunftteilen weitergegeben werden.
Das Gericht führt zur Begründung insbesondere aus, dass dem Kopplungsverbot
Artikel 7 Absatz 4 DSGVO nicht zu entnehmen sei, dass jede Art der Kopplung
einer datenschutzrechtlichen Einwilligung mit anderen Sachverhalten bzw.
Einem Vertragsschluss zwangsläufig zur Unfreiwilligkeit der Einwilligung führe.
Insbesondere können Daten nach § 312 Abs.
1a und § 327 Abs. 3 BGB nun ausdrücklich eine vertragliche Gegenleistung darstellen.
Allein daher sei das Kopplungsverbot nicht als absolutes Kopplungsverbot zu sehen.
Das Gericht führt weiter aus, dass durch Artikel 7 Abs.
4 DSGVO gerade verhindert werden soll, dass völlig vertragsfremde Zwecke verfolgt werden.
Im folgenden Fall also war die Datenerhebung selbst ohne weiteres zur Vertragserfüllung
erforderlich, schon allein zur Rechnungsstellung und Zahlungsabwicklung.
Das Gericht hat dabei auch berücksichtigt, dass die weitergehende Einwilligung
zur Datenweitergabe nicht gezwungenermaßen erfolgte, um an den Mobilfunkvertrag zu gelangen.
Dies hat das Gericht aus der Tatsache geschlossen, dass die Beklagte bzw.
Das Mobilfunkunternehmen keine Monopolstellung inne hatte und zum anderen durch
den Kläger nicht vorgetragen wurde, dass sämtliche der weiteren Mobilfunkanbieter,
die es auf dem deutschen Markt gibt, in ihren eigenen Geschäftsbedingungen eine
Weitergabe an Auskunftsdeilen vorsehen.
Insofern, die Drucksituation war auch nicht so gegeben.
Das Gericht hat zugleich das ebenfalls vorliegende berechtigte Interesse des
Beklagten an der Übermittlung mit berücksichtigt.
Demnach rechtfertigt das Interesse des Mobilfunkunternehmens an einer hinreichenden
Betrugsbekämpfung die Übermittlung der Positivdaten an die Auskunft teilen.
Ja, interessant und tatsächlich nicht direkt aus dem Urteil erkennbar ist,
und die Frage habe ich mir gestellt nach dem Überfliegen des Urteils,
wie wirkt sich denn ein Widerruf der Einwilligung in der konkreten Konstellation aus,
in der das Unternehmen zugleich auch ein berechtigtes Interesse an der Übermittlung,
an die Auskunft teilen hat?
Ja, vielleicht steht das noch irgendwo im kleingedruckten Urteil mit drin und
ich habe es einfach nur überlesen bei der Vorbereitung, aber wäre doch mal interessant,
der Frage mal nachzugehen.
Ansonsten glaube ich ein interessantes Urteil, was einfach nochmal klarstellt,
dass eine Kopplung von Einwilligung an den Vertragsabschluss nicht per se verboten
ist, sondern der konkrete Einzelfall betrachtet werden muss.
Im Detail hier glaube ich richtig, aber zu der Frage, die du dir gestellt hast,
meines Erachtens ist es so, dass wer A sagt, kann nicht mehr F sagen.
Weil in dem Moment, wo ich eine Einwilligung abgegeben habe,
vertraue ich auch darauf, dass das die Rechtsgrundlage ist und dass dann nicht
doch irgendwie auf einer anderen Rechtsgrundlage gearbeitet wird.
Aber scheinbar ist dieser Auffassung das Gericht hier nicht gefolgt.
Ja, das war eigentlich auch mein Kenntnisstand. Entweder A oder F.
Aber das hat sich jetzt ein bisschen anders gelesen. Von daher vielleicht auch
hier eine Empfehlung an unsere Zuhörer nochmal im stillen Kämmerlein mal in
das Urteil reinzuschauen, um zu gucken, ob da vielleicht noch wirklich der Teufel im Detail liegt.
Das EDPB bzw. zu Deutsch der Europäische Datenschutzausschuss hat seine Schwerpunkte
für den Datenschutz 2026 festgelegt.
Im Rahmen seines Coordinated Enforcement Frameworks wurden die Prüfungsschwerpunkte
für 2026 dahingehend bestimmt,
dass als nächstes die Einhaltung der Pflichten zur Transparenz und Information
gemäß der DSGVO im Fokus stehen sollen.
Durch das Coordinated Enforcement Framework soll eine einheitliche Umsetzung
des Datenschutzes und eine Kontrolle dieser Umsetzung innerhalb der EU sichergestellt werden.
Auch die deutschen Aufsichtsbehörden orientieren sich an dieser Schwerpunktsetzung bei ihren Kontrollen.
Deshalb ist es, glaube ich, ein guter Anlass, sich dieses Thema jetzt nochmal
verstärkt anzuschauen.
Die Einhaltung der Datenschutzhinweise, der Pflichten zu Transparenz und Information
gegenüber den Betroffenen. In diesem Jahr stand übrigens das Recht Löschung
im Fokus und 2024 war es das Auskunftsrecht.
Ich komme zu unserem Veranstaltungshinweis. Die Berliner Datenschutzbeauftragte
bietet mit der Starthilfe Datenschutz den Berliner Gründerinnen und
Vertreterinnen von in Berlin ansässigen Vereinen, Start-ups und Kleinunternehmen
eine Möglichkeit, sich mit den Grundlagen des Datenschutzes vertraut zu machen.
Die Aufsichtsbehörde vermittelt in ihrer Schulungsreihe praxisorientiertes Wissen,
das den sicheren Umgang mit den Rechtsvorschriften ermöglicht und Hilfestellung
bei der Einbindung des Datenschutzes in die Arbeits- und Unternehmensprozesse leistet.
Zum Beispiel sicherlich auch das, was du, David, gerade erwähnt hast,
Löschverfahren und das, was in diesem Jahr jetzt auch ansteht,
Informationspflichten, Transparenzpflichten.
Die Schulungsreihe besteht aus 14 Terminen, wovon einige schon in der Vergangenheit
liegen. Ein paar stehen noch an.
Einige der Termine sind als Präsenzveranstaltungen geplant, andere als Online-Schulungen.
Die Teilnahme ist kostenfrei.
Eine Anmeldung ist aber erforderlich und der nächste Termin ist der 4.
November und der findet in Präsenz statt.
Thema sollen dort die TOMP sein.
Ja, und damit sind wir auch am Ende unserer heutigen Folge. Wir hoffen,
dass es euch gefallen hat.
Und ja, falls ihr es am Wochenende hört, wünschen wir noch ein schönes Wochenende.
Ansonsten einen guten Start in die nächste Woche und sagen bis zum nächsten Mal.
Auf bald.
Bis dann.