DSGVO-konforme Videoüberwachung: Datenschutz rechtssicher in Unternehmen umsetzen

Auf einen Blick:

• DSGVO-konforme Videoüberwachung erfordert eine dokumentierte Rechtsgrundlage nach Art. 6 Abs. 1 lit. f DSGVO
• Bußgelder bei Verstößen: bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes
• Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 DSGVO)
• Datenschutz-Folgenabschätzung (DSFA) bei hohem Risiko nach Art. 35 DSGVO verpflichtend
• Transparenzpflicht: gestufte Informationserteilung mit Hinweisschild und Informationsblatt nach Art. 13 DSGVO
• Speicherfrist: grundsätzlich 72 Stunden gemäß DSK-Orientierungshilfe
• Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO unerlässlich

Was bedeutet DSGVO-konforme Videoüberwachung – und warum ist sie für Unternehmen verpflichtend?

DSGVO-konforme Videoüberwachung bezeichnet den Betrieb von Kamerasystemen, der sämtliche Anforderungen der Datenschutz-Grundverordnung erfüllt – insbesondere hinsichtlich Rechtsgrundlage, Zweckbindung, Transparenz und technischer Datensicherheit. Jede erkennbare Person auf einer Aufnahme gilt als betroffene Person im Sinne von Art. 4 Nr. 1 DSGVO mit vollumfänglichen Persönlichkeitsrechten. Der Schutz dieser Daten ist keine bürokratische Formalie, sondern Kern des europäischen Datenschutzrechts.

Laut einer Studie der Deutschen Datenschutzhilfe e.V. vom Dezember 2024 sind 84 % aller Videoüberwachungsanlagen in Deutschland nicht datenschutzkonform betrieben. Für Datenschutzbeauftragte und Sicherheitsverantwortliche mittelständischer Unternehmen ergibt sich daraus ein erhebliches Haftungsrisiko – zumal Aufsichtsbehörden ihre Kontrolltätigkeit spürbar intensiviert haben.

Wie hoch ist das Bußgeldrisiko bei Datenschutzverstößen durch Videoüberwachung?

Verstöße können Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes nach sich ziehen. Die Anzahl der Verfahren steigt dabei kontinuierlich: Die Hamburger Datenschutzbehörde meldete für 2024 bereits doppelt so viele Verfahren wie im Gesamtjahr 2023, wie Haufe berichtet. Aufsichtsbehörden wie die LfD Niedersachsen oder der Europäische Datenschutzausschuss (EDSA) haben ihre Kontrolltätigkeit in den vergangenen Jahren spürbar intensiviert.

Dokumentierte Fallbeispiele verdeutlichen die Bandbreite:

Verstoßtyp	Bußgeldhöhe	Behörde
Unzulässige Mitarbeiterüberwachung ohne Rechtsgrundlage (notebooksbilliger.de)	10,4 Mio. €	LfD Niedersachsen
Überwachung ohne Datenschutzbeauftragten und Beschilderung	64.000 €	LDI NRW
Erfassung öffentlicher Gehwege und Drittbereiche	30.000 €	LfDSB Sachsen

Welche Branchen tragen das höchste Bußgeldrisiko?

Eine branchenspezifische Risikobetrachtung zeigt klare Muster: Je höher die Frequenz öffentlich zugänglicher Flächen, desto größer das Verstoßpotenzial.

• Einzelhandel (Risiko: hoch): Häufigste Verstöße sind die unbeabsichtigte Miterfassung öffentlicher Gehwege sowie fehlende oder unvollständige Beschilderung. Kunden und Mitarbeitern stehen hier gleichermaßen Betroffenenrechte zu.
• Fitness und Freizeit (Risiko: sehr hoch): Kameras in oder nahe Umkleidebereichen verstoßen regelmäßig gegen den Grundsatz der Verhältnismäßigkeit; eine DSFA ist hier in der Regel verpflichtend.
• Logistik und Lager (Risiko: mittel-hoch): Dauerhafter Betrieb mit vielen Kameras und langen Speicherfristen ohne automatisierte Löschmechanismen ist das typische Verstoßmuster.
• Bau (Risiko: mittel): Auf Baustellen entstehen Verstöße häufig durch weitläufige Erfassung angrenzender Bereiche und unzureichende Dokumentation. Auch die Überwachung von Baumaschinen muss datenschutzrechtlich korrekt eingebettet sein.

Welche gesetzlichen Grundlagen gelten für Videoüberwachung in Deutschland?

Die rechtliche Zulässigkeit ergibt sich aus einem Zusammenspiel mehrerer Normen. Verantwortliche müssen diese Grundlagen kennen und dokumentiert auf ihren konkreten Anwendungsfall anwenden:

1. Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Erlaubt die Verarbeitung, wenn berechtigte Interessen des Verantwortlichen überwiegen und keine schutzwürdigen Interessen der Betroffenen entgegenstehen.
2. § 4 BDSG – Videoüberwachung öffentlich zugänglicher Räume: Regelt spezifisch die Zulässigkeit in Bereichen wie Einzelhandel, Gastronomie oder Parkhäusern – etwa zum Schutz vor Diebstahl, Vandalismus oder unbefugtem Betreten.
3. Art. 13 DSGVO – Informationspflichten: Verpflichtet zur transparenten Information der Betroffenen, u. a. durch Hinweisschilder mit vollständigen Pflichtangaben.
4. Art. 30 DSGVO – Verzeichnis der Verarbeitungstätigkeiten: Dokumentationspflicht für alle Verarbeitungsvorgänge, einschließlich Zwecke, Speicherdauer und Empfänger.
5. Art. 32 DSGVO – Technische und organisatorische Maßnahmen (TOM): Verpflichtet zur Implementierung geeigneter Sicherheitsmaßnahmen.
6. Art. 35 DSGVO – Datenschutz-Folgenabschätzung (DSFA): Pflicht bei Verarbeitungen mit hohem Risiko für Betroffene.

Was ist das „berechtigte Interesse“ nach Art. 6 Abs. 1 lit. f DSGVO?

Das berechtigte Interesse ist die in der Praxis häufigste Rechtsgrundlage für betriebliche Videoüberwachung. Es setzt eine dreistufige Verhältnismäßigkeitsprüfung voraus:

• Legitimes Interesse: Liegt ein konkretes Schutzziel vor – etwa Diebstahlprävention, Beweissicherung oder Schutz des Eigentums?
• Erforderlichkeit: Ist die Kamera das mildeste geeignete Mittel zur Erreichung dieses Zwecks?
• Interessenabwägung: Überwiegen die schutzwürdigen Interessen der Betroffenen nicht die des Verantwortlichen?

Nur wenn alle drei Stufen bejaht werden können, ist die Beobachtung zulässig. Die Orientierungshilfe der Datenschutzkonferenz (DSK) bietet hierzu konkrete Leitlinien.

Wann ist eine DSFA bei Videoüberwachung verpflichtend?

Ein testbarer Entscheidungsrahmen hilft hier weiter: Sind mehr als drei Kameras dauerhaft in öffentlich zugänglichen Bereichen im Einsatz? Werden Beschäftigte systematisch erfasst? Kommen biometrische Verfahren wie Gesichtserkennung oder Kennzeichenerkennung zum Einsatz? Dann ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO in der Regel verpflichtend. Die DSK hat entsprechende Schwellenwerte definiert; bei Unsicherheit empfiehlt sich eine Vorabkonsultation bei der zuständigen Aufsichtsbehörde.

Rechtssichere Umsetzung: Der Leitfaden für Unternehmen

1. Bedarfsanalyse und Verhältnismäßigkeitsprüfung

Vor jeder Installation ist zu prüfen, ob Videoüberwachung das verhältnismäßige Mittel zur Erreichung des Schutzziels darstellt:

• Ist die Überwachung technisch notwendig und zweckgebunden?
• Gibt es weniger einschneidende Alternativen?
• Werden ausschließlich erforderliche Bereiche und Zeiten erfasst?
• Ist das berechtigte Interesse dokumentiert und begründet?

2. Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO führen

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) muss für jede Kameraanlage geführt werden. Es umfasst Zwecke, Rechtsgrundlage, Kategorien betroffener Personen, Empfänger, Speicherdauer sowie eine allgemeine Beschreibung der TOM. Zu beachten ist: Die Ausnahmeregelung für Unternehmen unter 250 Mitarbeitenden greift bei Videoüberwachung in der Regel nicht, da die Verarbeitung nicht nur gelegentlich erfolgt.

3. Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO

TOM sind das technische Rückgrat jeder datenschutzkonformen Videoüberwachung. Das folgende Mapping zeigt, wie die einzelnen Art.-32-Anforderungen technisch erfüllt werden können:

Art.-32-Anforderung	Technische Umsetzung
Vertraulichkeit	Verschlüsselung bei Übertragung und Speicherung; ISO-27001-zertifiziertes Rechenzentrum mit deutschem Serverstandort
Integrität	Protokollierung aller Zugriffsvorgänge; rollenbasiertes Berechtigungsmanagement
Verfügbarkeit	Redundante Systeme; 24/7-Leitstelle mit dokumentierter Reaktionsfähigkeit
Zweckbindung	KI-gestützte Analysesoftware mit regelbasierten Auswertungsfiltern und automatisierten Löschroutinen
Belastbarkeit	Regelmäßige Sicherheitsupdates; Privacy by Design nach VdS-Richtlinie 2366

Praxistipp: TOM sollten mindestens jährlich auf Aktualität und Wirksamkeit überprüft werden. Der Datenschutzbeauftragte ist in diesen Prozess einzubinden; die Überprüfung ist zu dokumentieren.

4. Transparenzpflichten und Beschilderung nach Art. 13 DSGVO

Die DSGVO schreibt eine gestufte Informationserteilung vor: Ein vorgelagertes Hinweisschild informiert knapp über die Tatsache der Videoüberwachung; ein weiterführendes Informationsblatt – etwa per QR-Code abrufbar – liefert die vollständigen Pflichtangaben nach Art. 13 DSGVO. Dieses zweistufige Modell entspricht der Empfehlung der Datenschutzkonferenz und reduziert das Risiko formaler Verstöße erheblich. Weiterführende Informationen zur Hinweispflicht bei Videoüberwachung finden sich u. a. beim Bußgeldkatalog.

Pflichtangaben auf dem Hinweisschild:

1. Hinweis auf Videoüberwachung (z. B. „Dieser Bereich wird videoüberwacht“)
2. Name und Kontaktdaten des Verantwortlichen
3. Zweck der Verarbeitung
4. Rechtsgrundlage (Art. 6 Abs. 1 lit. f DSGVO)
5. Speicherdauer
6. Hinweis auf Betroffenenrechte und Beschwerderecht bei der zuständigen Aufsichtsbehörde
7. Verweis auf das weiterführende Informationsblatt (Art. 12 Abs. 7 DSGVO)

Entscheidend ist: Ein fehlendes oder unvollständiges Schild stellt einen eigenständigen DSGVO-Verstoß dar – unabhängig davon, ob die Überwachung selbst zulässig ist.

5. Betroffenenrechte gewährleisten und dokumentieren

Betroffene – also Kunden, Mitarbeiter und sonstige erfasste Personen – können Auskunft über gespeicherte Aufnahmen verlangen, deren Löschung fordern und der Verarbeitung auf Basis berechtigten Interesses widersprechen. Transparente Kommunikation ist dabei nicht nur eine rechtliche Pflicht, sondern auch ein wirksames Instrument zur Risikominimierung.

Das Bundesarbeitsgericht hat mit Urteil vom 29. Juni 2023 (2 AZR 296/22) klargestellt, dass Videoaufzeichnungen aus offener, ordnungsgemäß gekennzeichneter Überwachung in Kündigungsschutzprozessen verwertbar sein können – sofern eine Interessenabwägung zugunsten des Arbeitgebers ausfällt.

Wie lange dürfen Videoaufnahmen laut DSGVO gespeichert werden?

Die DSK-Orientierungshilfe empfiehlt grundsätzlich eine Speicherdauer von 72 Stunden; längere Fristen sind unter bestimmten Voraussetzungen zulässig, müssen jedoch dokumentiert und begründet werden. Die Zweckbindung ist dabei das maßgebliche Kriterium: Aufnahmen, die für den Überwachungszweck nicht mehr erforderlich sind, sind unverzüglich zu löschen.

• Standardfall: 48–72 Stunden
• Beweissicherung bei konkretem Vorfall: bis zu 10 Tage (mit schriftlicher Begründung)
• Sensible Bereiche (z. B. Kassenbereiche, Zugangszonen): kürzere Fristen empfohlen

Automatisierte Löschmechanismen sind als technische Anforderung unerlässlich. Manuelle Prozesse sind fehleranfällig und bei Behördenprüfungen schwer nachweisbar. Die Videofernüberwachung durch spezialisierte Dienstleister kann diese Anforderungen systemseitig abbilden.

Praxiseinblick: Wie LivEye einen dokumentierten Datenschutzverstoß verhinderte

Ausgangssituation: Ein mittelständisches Logistikunternehmen mit rund 180 Mitarbeitenden betrieb auf seinem Betriebsgelände eine Videoüberwachungsanlage mit 14 Kameras zur Absicherung von Lagerbereichen und Dokumentation von Warenein- und -ausgängen.

Identifiziertes Risiko: Im Rahmen einer Systemprüfung durch LivEye wurde festgestellt, dass drei Kameras dauerhaft auch einen angrenzenden öffentlichen Parkstreifen erfassten. Aufzeichnungen wurden ohne automatisierten Löschmechanismus bis zu 45 Tage gespeichert – weit über die zulässige Frist hinaus. Ein Verzeichnis der Verarbeitungstätigkeiten fehlte vollständig.

Implementierte Maßnahmen: LivEye konfigurierte die Kamerawinkel datenschutzkonform, richtete automatisierte Löschroutinen mit einer 72-Stunden-Frist ein und integrierte die Anlage in ein nach ISO 27001 zertifiziertes Rechenzentrum mit deutschem Serverstandort. Die KI-Analysesoftware übernahm die lückenlose Zugriffsprotokolliierung und unterstützte die Zweckbindung durch regelbasierte Auswertungsfilter. Das Verzeichnis von Verarbeitungstätigkeiten (VVT) wurde gemeinsam mit dem Datenschutzbeauftragten des Unternehmens erstellt.

Ergebnis: Eine wenige Wochen später eingehende Beschwerde bei der zuständigen Landesdatenschutzbehörde konnte durch die vollständige Dokumentation und die nachgewiesenen TOM ohne Bußgeld abgeschlossen werden. Die 24/7-firmeninterne Leitstelle stellte dabei sicher, dass alle relevanten Zugriffsprotokolle innerhalb von Stunden bereitgestellt werden konnten.

FAQ: Häufige Fragen zur DSGVO-konformen Videoüberwachung

DSGVO-konforme Videoüberwachung mit professioneller Unterstützung umsetzen

Die rechtssichere Umsetzung erfordert das Zusammenspiel aus juristischer Sorgfalt, technischer Kompetenz und organisatorischer Disziplin. Selbst gut konzipierte Systeme erzeugen ohne dokumentierte Rechtsgrundlage, vollständige TOM und transparente Kommunikation erhebliche Haftungsrisiken.

Dienstleister, die über ein nach ISO 27001 zertifiziertes Rechenzentrum mit deutschem Serverstandort verfügen, erfüllen die Anforderungen an Datensouveränität und technische Sicherheit strukturell. Eine 24/7-firmeninterne Leitstelle gewährleistet die Reaktionsfähigkeit im Ereignisfall und die lückenlose Beweissicherung. Eigene KI-Analysesoftware unterstützt Zweckbindung und automatisierte Löschroutinen technisch. Entscheidend ist ferner, dass ein eigenes F&E-Team die kontinuierliche Anpassung an neue Bedrohungslagen und regulatorische Entwicklungen sicherstellt.

LivEye bietet als spezialisierter Anbieter für Videofernüberwachung die technische und beratende Unterstützung, um diese Anforderungen rechtssicher und effizient umzusetzen.