Alle Episoden
#37 - Drohnenfotos im Immobilieninserat: Wenn das Nachbarhaus unfreiwillig mitverkauft wird
15.05.2026, 04:00
Drohnenfotos im Immobilieninserat: Wenn das Nachbarhaus unfreiwillig mitverkauft wird
Willkommen zurück im Datenschutztheater, Murphy und Birgit freuen sich, dass Sie wieder da sind.
Diesmal fliegen wir datenschutzrechtlich ein bisschen höher, nämlich mit einer Drohne über ein Grundstück, das verkauft werden soll. Klingt nach moderner Immobilienvermarktung.
Schöne Perspektive, gute Übersicht, Lage erkennbar, Garten sichtbar, Nachbarschaft im Bild.
So weit, so praktisch.
Das Problem: Auf den Aufnahmen war nicht nur die zu verkaufende Liegenschaft zu sehen, sondern auch das Haus einer Nachbarin. Und diese Nachbarin war damit eher weniger einverstanden.
Denn auch wenn sie selbst nicht auf dem Foto abgebildet war, stellte sich die Frage:
Kann schon das erkennbare Haus einer Person ein personenbezogenes Datum sein?
Spoiler aus dem Datenschutztheater:
Ja. Vor allem dann, wenn man mit ein bisschen Kombinationsfreude herausfinden kann, wem das Haus gehört.
Was Sie in dieser Folge erwartet
✅ Warum nicht nur Menschen, sondern auch Häuser datenschutzrechtlich spannend werden können
✅ Wieso Drohnenaufnahmen in Immobilieninseraten nicht automatisch harmlos sind
✅ Wann eine Immobilie zum personenbezogenen Datum wird
✅ Warum die Kombination aus Foto, Ortsangabe, Kartendienst und Grundbuch problematisch sein kann
✅ Weshalb die Behörde nicht den Drohnenflug selbst, sondern die Veröffentlichung geprüft hat
✅ Warum Verpixelung manchmal nicht nur hübsch, sondern rechtlich entscheidend ist
✅ Und weshalb bei Immobilienfotos auch Nachbargrundstücke nicht einfach dekoratives Beiwerk sind
⚖️ Der Fall: Ein Inserat, eine Drohne und ein unfreiwilliges Nachbarhaus
Eine Immobilienfirma fertigte zu Werbezwecken Drohnenaufnahmen einer Liegenschaft an. Diese Aufnahmen wurden in einem Immobilieninserat auf einem Online-Marktplatz veröffentlicht.
Auf den Bildern war auch das Haus einer Nachbarin gut erkennbar.
Was die Datenschutzbehörde geprüft hat
Entscheidend war nicht, ob die Drohne überhaupt fliegen durfte.
Entscheidend war die Veröffentlichung der Aufnahmen im Immobilieninserat.
Die Behörde prüfte daher, ob durch die unverpixelte Veröffentlichung des Hauses eine Verletzung des Rechts auf Geheimhaltung nach § 1 DSG vorlag. Und dabei wurde es interessant.
Die Beschwerdeführerin selbst war auf dem Bild zwar nicht zu sehen. Ihr Haus aber schon. Dazu kam die Ortsangabe „Bezirk Donaustadt“. Über eine Anfrage zur inserierten Liegenschaft konnte deren Adresse erlangt werden. Über diese Adresse konnten angrenzende Grundstücke zugeordnet werden. Mithilfe von Google Maps oder Google Earth konnte wiederum das Haus der Beschwerdeführerin lokalisiert werden. Und über das Grundbuch konnte letztlich auch die Eigentümerin ermittelt werden. Das klingt nach ein bisschen Detektivarbeit.
Datenschutzrechtlich heißt das aber:
Identifizierbarkeit.
Die Kernaussage der Behörde
Personenbezogene Daten müssen nicht immer mit einem großen Namensschild daherkommen.
Es reicht, wenn eine Person direkt oder indirekt identifizierbar ist. Und diese Identifizierbarkeit kann sich auch aus der Kombination mehrerer Informationen ergeben.
Hier also aus: Foto des Hauses, Ortsangabe, Adresse der inserierten Liegenschaft, Lage der Nachbargrundstücke, Kartendiensten und Grundbuch.
Das Haus war damit nicht einfach nur ein Haus.
Es war ein Hinweis auf eine konkrete natürliche Person.
Berechtigtes Interesse? Ja, aber …
Die Immobilienfirma hatte natürlich ein Interesse daran, die zu verkaufende Liegenschaft gut zu vermarkten.
Und dieses Interesse wurde von der Behörde grundsätzlich auch anerkannt.
Immobilien verkaufen sich nun einmal leichter, wenn man zeigt, was verkauft wird. Überraschung des Tages.
Aber: Auch ein berechtigtes Interesse macht nicht jede Veröffentlichung automatisch zulässig.
Die Behörde prüfte daher, ob die konkrete Verarbeitung erforderlich war.
Und genau dort scheiterte es.
Denn das Nachbarhaus wurde unverpixelt und gut erkennbar mitveröffentlicht. Die Umgebung hätte aber auch verpixelt dargestellt werden können. Interessierte hätten die Lage und das Umfeld trotzdem ausreichend einschätzen können.
Oder weniger juristisch gesagt:
Man hätte das Haus der Nachbarin nicht in HD mitliefern müssen.
Das Ergebnis
Die Datenschutzbehörde gab der Beschwerde statt.
Sie stellte eine Verletzung des Rechts auf Geheimhaltung fest.
Ausschlaggebend war nicht, dass überhaupt Drohnenaufnahmen gemacht wurden. Ausschlaggebend war, dass das Haus der Beschwerdeführerin unverpixelt und gut erkennbar veröffentlicht wurde, obwohl ein milderes Mittel möglich gewesen wäre.
Nämlich:
Verpixeln.
Ein kleines technisches Mittel mit großer datenschutzrechtlicher Wirkung.
DSGVO-Lifehacks für Immobilienfotos
✔ Bei Drohnenaufnahmen immer prüfen, was außer der eigenen Liegenschaft noch sichtbar ist
✔ Nachbarhäuser und Nachbargrundstücke sind datenschutzrechtlich nicht automatisch egal
✔ Personenbezug kann auch indirekt entstehen
✔ Öffentlich verfügbare Informationen können gemeinsam zur Identifizierbarkeit führen
✔ Google Maps, Google Earth und Grundbuch können aus einem Bild mehr machen als nur ein Bild
✔ Vor Veröffentlichung prüfen, ob Verpixelung möglich und zumutbar ist
✔ Das Umfeld darf gezeigt werden, aber nicht grenzenlos
✔ Immobilienmarketing braucht nicht nur schöne Bilder, sondern auch ein Datenschutzfilterchen
Fazit
Diese Entscheidung zeigt sehr schön, dass personenbezogene Daten manchmal besser versteckt sind, als man auf den ersten Blick glaubt.Es muss nicht immer ein Gesicht, ein Name oder eine Telefonnummer sein. Auch ein erkennbares Haus kann personenbezogen werden, wenn sich über weitere Informationen herausfinden lässt, wem es zuzuordnen ist.
Für Immobilienmaklerinnen, Immobilienmakler und alle, die Inserate gestalten, heißt das:
Die Drohne darf schöne Bilder machen.
Aber vor dem Upload sollte jemand mit Datenschutzbrille draufschauen.
Denn manchmal ist nicht der Flug das Problem, sondern das, was danach online landet.
Und Murphy bringt es auf den Punkt:
Personenbezogene Daten sind oft nicht sofort erkennbar. Manchmal entstehen sie erst aus der Kombination mehrerer scheinbar harmloser Informationen.
Jetzt reinhören in Folge 37 von
Mein Datenschutztheater
Der Podcast von MeineBerater 🎙️⚖️
Präsentiert von MeineBerater
Moderation: Birgit und Erich von Maurnböck
Produziert von DAS POD (https://daspod.at/).
#36 - „Keine Makler“ heißt wirklich keine Makler
05.05.2026, 04:00
Special für Immobilienmakler: „Keine Makler“ heißt wirklich keine Makler
Birgit und Murphy heißen Sie herzlich willkommen zurück im Datenschutztheater.
Diesmal mit einem Fall aus Österreich, der für Immobilienmaklerinnen, Immobilienmakler und Vertriebsmenschen ein kleines Warnschild mit Blaulicht ist: Ein Grundstück wird online inseriert. Name und Telefonnummer stehen dabei.
Kontaktaufnahme ist erwünscht.
Aber gleich am Anfang steht gut sichtbar: Keine Makler.
Und was passiert?
Natürlich ruft trotzdem eine Immobilienmaklerin an.
Darf sie das? Oder ist „öffentlich sichtbar“ im Datenschutz ungefähr so überzeugend wie „Ich hab’s eh nur gut gemeint“?
Spoiler, Birgits typische Juristenantwort: Es kommt darauf an.
Aber hier kam es eher nicht gut für die Maklerin.
Was Sie in dieser Folge erwartet
✅ Warum öffentlich sichtbare Kontaktdaten nicht automatisch frei verwendbar sind
✅ Wieso Name und Telefonnummer auch in Inseraten personenbezogene Daten bleiben
✅ Warum schon ein einzelner Anruf eine datenschutzrechtliche Verarbeitung sein kann
✅ Wann wirtschaftliche Interessen als berechtigtes Interesse nach Art. 6 DSGVO überhaupt in Betracht kommen
✅ Weshalb der Hinweis „Keine Makler“ bei der Interessenabwägung entscheidend war
✅ Warum Maklerakquise kein rechtsfreier Raum ist
✅ Und wieso man Inserate nicht nur lesen, sondern auch verstehen sollte ;-)
Darf man Kontaktdaten aus einem öffentlichen Inserat für Akquise verwenden, obwohl dort ausdrücklich „Keine Makler“ steht?
**Die große Frage: Was sagt die Datenschutzbehörde? **
Name und Telefonnummer sind personenbezogene Daten.
Das Auslesen aus dem Inserat und spätestens die Verwendung für den Anruf sind eine Verarbeitung.
Eine Einwilligung gab es nicht.
Kann sich die Maklerin auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO stützen?
Die Behörde sagt: Wirtschaftliches Interesse? Grundsätzlich ja.
Geeignetheit der Kontaktaufnahme? Auch noch ja.
Aber dann kommt die Interessenabwägung. Und dort wird es für die Maklerin ungemütlich.
Wer ausdrücklich schreibt, dass Makler nicht erwünscht sind, muss vernünftigerweise nicht mit einem Makleranruf rechnen. Der klare Gegenwille des Betroffenen war also nicht bloß eine dekorative Textzeile im Inserat, sondern rechtlich relevant.
Ergebnis:
Die Beschwerde war erfolgreich.
Die Datenschutzbehörde stellte eine Verletzung des Rechts auf Geheimhaltung fest.
DSGVO-Lifehacks für Makler und Vertrieb
✔ Öffentlich sichtbar heißt nicht automatisch frei verwendbar
✔ Vor der Kontaktaufnahme immer den gesamten Kontext prüfen
✔ Hinweise wie „Keine Makler“ sind ernst zu nehmen
✔ Berechtigtes Interesse ist kein Freibrief für Akquise
✔ Einzelne Anrufe können datenschutzrechtlich relevant sein
✔ Screenshots sind im Verfahren oft sehr hilfreiche Beweise
✔ Vertriebsprozesse sollten solche Ausschlüsse systematisch erfassen
✔ Wer Nutzungsschranken ignoriert, riskiert eine Datenschutzverletzung
Fazit
Datenschutz hängt stark vom Kontext ab.
Wer Kontaktdaten in einem Inserat findet, darf sie nicht automatisch für jeden beliebigen Zweck verwenden. Entscheidend ist, wofür die Daten veröffentlicht wurden und welche Grenzen die betroffene Person gesetzt hat.
Oder ganz praktisch: Wenn im Inserat „Keine Makler“ steht, ist das kein Gesprächseinstieg.
Es ist eine Grenze. ;-)
Jetzt reinhören in Folge 36 von DSGVOMG – Mein Datenschutztheater
Der Podcast von MeineBerater 🎙️⚖️
Präsentiert von MeineBerater
Moderation: Birgit und Erich von Maurnböck
Produziert von DAS POD (https://daspod.at/).
#35 - Private Daten am Dienst-PC – darf der Arbeitgeber reinschauen?
01.03.2026, 05:00
Mein Datenschutztheater, Folge 35
Private Daten am Dienst-PC – darf der Arbeitgeber reinschauen?
Willkommen zurück im Datenschutztheater 🎭
Diesmal mit einem Fall aus Österreich, der es laut Murphy in sich hat:
👉 Private E-Mails, Intimfotos und politische Satire am Dienst-PC … und dann eine Kündigung.
Darf der Arbeitgeber das auswerten? Oder ist das ein klarer Datenschutzverstoß?
Spoiler (Birgits typische Juristenantwort): Es kommt darauf an. (Natürlich. Wir sind im Datenschutz 😉)
🧠 **Was euch in dieser Folge erwartet: **
✅ Warum das Recht auf Geheimhaltung (§ 1 DSG) kein absoluter Schutzschild ist
✅ Wann sich ein Arbeitgeber auf „berechtigtes Interesse“ nach Art. 6 DSGVO stützen darf
✅ Wieso selbst sensible Daten nach Art. 9 DSGVO im Prozess relevant werden können
✅ Ob Intimfotos im Arbeitsgerichtsverfahren verwendet werden dürfen
✅ Warum eine fehlende Privatnutzungsrichtlinie alles komplizierter macht
✅ Und was das Ganze mit der Kündigungsanfechtung nach § 105 ArbVG zu tun hat
⚖️ Der Fall: Vom Dienst-PC ins Landesgericht Salzburg
Ein langjähriger Mitarbeiter wird gekündigt und ficht die Kündigung an.
Der Arbeitgeber prüft den Dienst-PC und findet:
- Private E-Mails und Bewerbungen
- Kreditkartenabrechnungen und Reisepasskopie
- Intimaufnahmen
- Ein politisches Satirebild
Keine klare Regelung zur Privatnutzung.
Der Mitarbeiter beschwert sich bei der Datenschutzbehörde.
Die große Frage: War das zulässig? Oder doch ein massiver Eingriff in die Privatsphäre?
🔍 Was die Datenschutzbehörde sagt
📌 Konkreter Verdacht auf Dienstpflichtverletzungen
📌 Kein gelinderes Mittel zur Aufklärung
📌 Prozessbezug im laufenden Kündigungsverfahren
📌 Art. 9 Abs. 2 lit. f DSGVO: Verarbeitung sensibler Daten zur Verteidigung von Rechtsansprüchen zulässig
Ergebnis: Die Beschwerde wird abgewiesen.
Kernaussage: Auch besonders geschützte Daten verlieren ihren absoluten Schutz, wenn sie für die Rechtsverteidigung erforderlich sind.
🧩 DSGVO-Lifehacks (arbeitsrechtlich erprobt):
✔ Dienstgeräte sind primär Arbeitsmittel, nicht Privatsphäre-Zonen
✔ Private Nutzung ohne klare Regelung ist riskant
✔ Arbeitgeber brauchen einen konkreten Anlass, „Neugierkontrollen“ sind unzulässig
✔ Interessenabwägung dokumentieren!
✔ Zugriff nur im notwendigen Umfang
✔ Wer klagt, eröffnet auch den Beweisraum
🎬 Fazit
Datenschutz endet nicht am Arbeitsplatz, er ist immer kontextabhängig.
Wer Rechtsansprüche geltend macht oder sich verteidigen muss, darf relevante Daten verwenden, auch wenn sie unangenehm oder sensibel sind. Eine pauschale „Privatsphäre-Garantie“ auf dem Dienst-PC gibt es nicht.
🎧 Jetzt reinhören in Folge 35 von
Mein Datenschutztheater – der Podcast von MeineBerater🎙️⚖️
Präsentiert von MeineBerater
Moderation: Birgit und Erich von Maurnböck
Produziert von DAS POD (https://daspod.at/).
#34 - Wie lange gilt eine Einwilligung wirklich?
15.02.2026, 05:00
🎙️ Mein Datenschutztheater – Folge 34
Wie lange gilt eine Einwilligung wirklich?
DSGVO, Speicherbegrenzung & Rechtsprechung – mit Verfallsdatum?
Willkommen zurück im Datenschutztheater 🎭
In dieser Folge klären Birgit und Murphy eine der beliebtesten Fragen im Datenschutz-Alltag:
👉 Läuft eine Einwilligung irgendwann einfach ab – wie eine Jahreskarte des Golfclubs?
Spoiler: Die DSGVO verrät kein genaues Ablaufdatum. Aber Gerichte schon. Und die sind… sagen wir: kreativ.
🧠 Was euch in dieser Folge erwartet:
✅ Warum eine Einwilligung nicht automatisch verfällt, aber trotzdem alt werden kann
✅ Was Gerichte unter „verlorener Aktualität“ verstehen
✅ Warum 1,5 Jahre Funkstille für Newsletter manchmal schon zu viel sind
✅ Welche Rolle der Grundsatz der Speicherbegrenzung spielt
✅ Praxisbeispiele von Bewerberdaten bis Mitarbeiterfotos
✅ Und warum regelmäßige Newsletter manchmal datenschutzrechtlich sinnvoller sind als Funkstille 📬
⚖️ Gerichtssäle statt Glaskugel
Wir schauen uns unter anderem an:
LG München I: 1,5 Jahre nichts gehört? Einwilligung praktisch „vergessen“.
LG Berlin: 2 Jahre später Werbung? Lieber vorher nochmal fragen.
Weitere Gerichte: von 4 bis 10 Jahren – alles schon gesehen.
Ergebnis:
📌 Keine starre Frist, aber viel Erwartungshaltung.
Und genau die ist entscheidend.
🧩 DSGVO-Lifehacks (juristisch geprüft):
✔ Einwilligungen regelmäßig überprüfen
✔ Löschkonzepte ernst nehmen (ja, wirklich!)
✔ Daten löschen, wenn der Zweck weg ist
✔ Transparenz schaffen, Informationspflichten erfüllen
Nicht vergessen: Widerruf muss easy sein!
Oder wie Murphy es sagen würde:
👉 „Lieber einmal zu viel aufräumen als einmal Post vom Gericht bekommen.“
🎬 Fazit
Eine Einwilligung ist kein Ablaufprodukt, aber auch keine lebenslange Dauerkarte.
Zeit, Zweck und Erwartung der betroffenen Person spielen zusammen.
Wer das ignoriert, landet schneller vor Gericht, als ihm lieb ist.
🎧 Und nicht vergessen: Auch Folge 4 zum Thema Löschkonzepte ist absolut hörenswert!
Mein Datenschutztheater
Der Podcast von MeineBerater 🎙️⚖️
Präsentiert von MeineBerater
Moderation: Birgit und Erich von Maurnböck
Produziert von DAS POD (https://daspod.at/).
#33 - Versicherung gehackt, Millionen gepeckt
15.09.2025, 04:00
🎧 Versicherung gehackt – Millionen gepeckt
Herzlich willkommen zurück im Datenschutztheater, wo Birgit und Murphy heute einen besonders drastischen Fall vorstellen, bzw. Murphy stellt ihn vor und Birgit redet gescheit mit:
Die spanische Datenschutzbehörde AEPD hat Generali España zu 5 Millionen Euro Strafe verdonnert, wegen einer massiven Datenpanne, bei der über 1 Million Kundendaten abgeflossen sind.
Ein kompromittiertes Maklerkonto, fehlende Sicherheitsmaßnahmen, mangelhafte Protokollierung und eine Unternehmenskultur, die Datenschutz nicht ernst genug nahm: All das führte zu einer Rekordstrafe und zeigt, wie eng IT-Sicherheit und Datenschutz zusammenspielen müssen.
🔍 Was erwartet euch in dieser Folge?
✅ Wie konnte ein einziges Maklerkonto zum Einfallstor für über 1 Million Datensätze werden?
✅ Warum sind besonders Gesundheitsdaten so heikelund warum bewertet die DSGVO hier Verstöße so streng?
✅ Welche DSGVO-Verstöße die Behörde im Detail festgestellt hat (von Art. 5 bis Art. 35).
✅ Was die Generali vorbrachte und warum die Argumente nicht überzeugten.
✅ Die Rolle von Vermittlern, fehlende Audits und „Versäumniskultur“.
✅ Wie die Strafe berechnet wurde und warum es am Ende noch einen „Rabatt“ gab.
✅ Welche Lehren Unternehmen und auch Kundinnen und Kunden aus dem Fall ziehen sollten.
📄 Zum Hintergrund des Falls:
Ein Maklerkonto eines Vermittlers der Generali wurde kompromittiert. Darüber wurden automatisierte Abfragen gestartet, bei denen auch Daten ehemaliger Kunden zugänglich waren, darunter Vertragsdaten, Telefonnummern und in manchen Fällen sogar Bankverbindungen und Gesundheitsdaten.
Das Unternehmen konnte das Ausmaß lange nicht einschätzen, da Protokolle und Logs fehlten. Erst als die Daten im Darknet und auf Telegram auftauchten, wurde das volle Ausmaß sichtbar.
Die AEPD stellte zahlreiche Verstöße gegen die DSGVO fest, von fehlender Datensparsamkeit bis hin zur unterlassenen Datenschutz-Folgenabschätzung.
🧠 Für wen ist diese Folge spannend?
- Für alle, die wissen wollen, was ein Datenleck in der Praxis bedeutet
- Für Unternehmen, die mit Vermittlern oder externen Partnern arbeiten
- Für alle, die heikle Daten wie Gesundheits- oder Finanzdaten verarbeiten
- Für Datenschutzprofis und Interessierte, die verstehen wollen, wie die Behörden Verstöße gewichten
Unser Fazit:
Datenschutz sollte keine lästige Pflicht, sondern eine Führungsaufgabe sein.
Wer Verantwortlichkeiten verschleppt, keine Logs führt und Geschäftspartnern unkontrollierten Zugriff einräumt, riskiert Millionenstrafen und einen massiven Vertrauensverlust.
Wir wünschen viel Vergnügen beim Zuhören, und wenn Sie Ihr Datenschutzmanagement überprüfen lassen wollen, Sie wissen, wo Sie Birgit und Murphy finden: Die beiden und ihr fantastisches Team unterstützen Sie gerne. 😉
Präsentiert von MeineBerater
Moderation: Birgit und Erich von Maurnböck
Produziert von DAS POD (https://daspod.at/).