von Dr. Helmut Liebel / Marie Pfisterer
Das Bundesverwaltungsgericht hat mit Entscheidung vom 25. Juli 2025 (W258 2299744-1) eine Geldbuße von EUR 1,5 Millionen gegen IKEA wegen unzulässiger Videoüberwachung bestätigt. Die Summe wirkt hoch, fällt im Vergleich zum möglichen Höchstbetrag jedoch relativ gering aus. Weil sich DSGVO-Geldbußen am weltweiten Konzernumsatz bemessen, hätte IKEA theoretisch bis zu EUR 1,77 Milliarden (4 % von EUR 44,3 Milliarden) zahlen können. Die verhängte Geldbuße entspricht damit “nur” 0,004 % des Jahresumsatzes. Der Fall zeigt: Selbst milde Geldbußen erreichen bei Großkonzernen schnell Millionenhöhe.
Auslöser war eine fehlerhafte Ausrichtung mehrerer Sicherheitskameras in der IKEA-Filiale am Wiener Westbahnhof. Erfasst wurden nicht nur Kund:innen bei der PIN-Eingabe an Selbstbedienungskassen, sondern auch Passant:innen im Außenbereich (u. a. Straßenbahnhaltestelle, U-Bahn-Zugang).
Für Datenschutzverletzungen können Geldbußen bis zu EUR 20 Mio. oder bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden (Art 83 Abs 5 DSGVO) – maßgeblich ist die “wirtschaftliche Einheit” (d.h. der gesamte Konzern). Verstöße einer Tochtergesellschaft werden daher auf Basis des Konzernumsatzes bemessen (vgl. EuGH vom 05.12.2023, C‑807/21 – Deutsche Wohnen).
Wo innerhalb dieses Rahmens die konkrete Höhe liegt, richtet sich nach dem Schweregrad: berücksichtigt werden u. a. Art, Umfang und Zweck der Verarbeitung, Zahl der Betroffenen, Dauer, Schadenshöhe, Verschuldensmaß und die Kategorien der Daten. Hinzu kommen mildernde/erschwerende Umstände wie Kooperation oder Vorverstöße (vgl. im Detail EDSA-Leitlinien 04/2022). Ziel ist eine wirksame, verhältnismäßige und abschreckende Sanktion, die dem Einzelfall gerecht wird.
Im konkreten Fall stufte das Bundesverwaltungsgericht den Verstoß als mittelschwer ein. Zwar waren öffentliche Bereiche berührt und viele Personen erfasst, tatsächlich betraf es jedoch nur 9 von 133 Kameras. Zudem handelte es sich um den ersten Datenschutzverstoß, und IKEA kooperierte eng mit der Behörde. Vor diesem Hintergrund ist die Geldbuße von 0,004 % des Konzernumsatzes verhältnismäßig niedrig. Die Geldbuße zeigt: Entscheidend ist nicht nur der konkrete Verstoß, sondern vor allem die Größe des (Konzern-)Unternehmens, an der sie gemessen wird.
Fazit für die Praxis:
Fazit für die Praxis: Datenschutzverstöße sind konzernweit relevant. Selbst bei einem lokalen Vorfall wird die Geldbuße am Konzernumsatz festgemacht; die Höhe lässt sich durch einen geringeren Schweregrad nur bedingt reduzieren. Unternehmen sollten daher eine konzernweite Datenschutz-Governance sicherstellen: Prozesse, technische Prüfungen und Kontrollen zentral koordinieren und dokumentieren. Denn der IKEA-Fall zeigt, dass schon lokale Nachlässigkeiten zu finanziellen Schäden und Reputationsverlusten für den gesamten Konzern führen können.
Gegen die Entscheidung wurde Revision beim Verwaltungsgerichtshof erhoben; das Ergebnis bleibt abzuwarten. Unabhängig davon gilt: Datenschutz ist Konzernpflicht – kein Randthema einzelner Standorte.
