Sicher und rechtskonform bei der Videoüberwachung

Sicher und rechtskonform bei der Videoüberwachung

Datenschutz bei der Videoüberwachung 2026: Ein Praxisleitfaden

Die Videoüberwachung ist ein wirksames Instrument zur Wahrung des Hausrechts oder zur Aufklärung von Straftaten. Gleichzeitig stellt sie einen erheblichen Eingriff in die Grundrechte der gefilmten Personen dar. Ein sorgfältiger Umgang mit dem Datenschutz bei der Videoüberwachung ist daher nicht nur eine gesetzliche Pflicht, sondern auch ein Zeichen von Verantwortung. Dieser Leitfaden bietet eine umfassende Handreichung für Verantwortliche in Unternehmen und öffentlichen Stellen, um Videoüberwachungssysteme rechtskonform nach der Datenschutz-Grundverordnung (DSGVO) zu gestalten und zu betreiben.

Inhaltsverzeichnis

Kurzüberblick (TL;DR): Kernpflichten auf einen Blick

Wer eine Videoüberwachung betreibt, muss folgende Kernpflichten beachten:

  • Rechtsgrundlage prüfen: Meistens ist eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO erforderlich. Das berechtigte Interesse des Betreibers (z. B. Schutz vor Diebstahl) muss die Interessen der gefilmten Personen überwiegen.
  • Zweck festlegen: Der Zweck der Überwachung muss klar definiert und dokumentiert sein (z. B. Schutz des Eigentums, Vandalismusprävention).
  • Datenminimierung beachten: Es dürfen nur die Bereiche gefilmt werden, die für den Zweck unbedingt erforderlich sind. Die Aufzeichnungsdauer muss so kurz wie möglich sein.
  • Transparenz schaffen: Ein gut sichtbares Hinweisschild ist Pflicht. Es muss alle wesentlichen Informationen enthalten.
  • Speicherfristen definieren: Aufnahmen müssen nach Erreichen des Zwecks unverzüglich gelöscht werden, in der Regel innerhalb von 48 bis 72 Stunden.
  • Datenschutz-Folgenabschätzung (DSFA) durchführen: Bei großflächiger Überwachung öffentlich zugänglicher Bereiche ist eine DSFA (DPIA auf Englisch) zwingend erforderlich.
  • Technische und organisatorische Maßnahmen (TOMs) umsetzen: Der Zugriff auf die Aufnahmen muss gesichert und protokolliert werden.

Warum Videoüberwachung besondere datenschutzrechtliche Aufmerksamkeit erfordert

Videoaufnahmen erfassen nicht nur das Aussehen einer Person, sondern auch ihr Verhalten, ihre sozialen Interaktionen und unter Umständen auch besonders sensible Daten (z. B. Gesundheitszustand, religiöse Zugehörigkeit). Der Datenschutz bei der Videoüberwachung ist deshalb so kritisch, weil ein permanenter Überwachungsdruck (“Chilling Effect”) entstehen kann, der Menschen davon abhält, ihre Grundrechte unbefangen auszuüben. Die DSGVO stellt daher hohe Anforderungen an die Rechtfertigung und Durchführung solcher Maßnahmen, um das Recht auf informationelle Selbstbestimmung zu schützen.

Typische Einsatzszenarien und zu erwartende Risiken

Die Risiken und Anforderungen variieren je nach Einsatzort. Eine sorgfältige Analyse des Kontexts ist für den datenschutzkonformen Betrieb unerlässlich.

Wohnanlagen und Privatgrundstücke

Hier steht oft der Schutz vor Einbruch und Vandalismus im Vordergrund. Das Risiko besteht darin, dass nicht nur der eigene Bereich, sondern auch öffentliche Wege, Nachbargrundstücke oder die Privatsphäre von Mietern übermäßig erfasst werden. Die Überwachung von Hauseingängen ist oft zulässig, die permanente Erfassung von Innenhöfen oder Zugangswegen, auf denen sich Mieter aufhalten, ist hingegen kritisch.

Betriebsgelände und Arbeitsplatz

Auf Betriebsgeländen dient die Überwachung oft dem Schutz von Firmeneigentum oder der Kontrolle von Produktionsprozessen. Eine Leistungs- oder Verhaltenskontrolle von Mitarbeitern ist jedoch grundsätzlich unzulässig und nur in engsten Ausnahmegrenzen bei einem konkreten Straftatverdacht denkbar. Bereiche wie Pausenräume, Umkleiden oder Sanitäranlagen dürfen niemals überwacht werden. Hier spielt § 26 BDSG eine zentrale Rolle.

Öffentlich zugängliche Bereiche

Die Überwachung von Bereichen wie Einkaufszentren, Parkplätzen oder Bahnhöfen stellt den größten Eingriff dar, da eine große Anzahl unbeteiligter Personen betroffen ist. Hier ist die Interessenabwägung besonders streng, und eine Datenschutz-Folgenabschätzung ist fast immer erforderlich.

Rechtsgrundlagen und Erlaubnistatbestände nach DSGVO

Die Verarbeitung personenbezogener Daten durch Videoaufzeichnung bedarf einer Rechtsgrundlage. Die relevanteste ist:

  • Art. 6 Abs. 1 lit. f DSGVO (Wahrung berechtigter Interessen): Dies ist die häufigste Grundlage für private Betreiber. Es erfordert eine dreistufige Prüfung:
    1. Berechtigtes Interesse: Gibt es ein legitimes Interesse des Betreibers (z. B. Schutz vor Diebstahl)?
    2. Erforderlichkeit: Ist die Videoüberwachung zur Erreichung dieses Ziels geeignet und gibt es kein milderes, gleich wirksames Mittel?
    3. Interessenabwägung: Überwiegen die Interessen des Betreibers die schutzwürdigen Interessen der gefilmten Personen?
  • Art. 6 Abs. 1 lit. e DSGVO (Aufgabe im öffentlichen Interesse): Diese Rechtsgrundlage ist öffentlichen Stellen vorbehalten, wenn die Überwachung zur Erfüllung ihrer Aufgaben erforderlich ist.
  • § 26 BDSG (Datenschutz im Beschäftigtenverhältnis): Für die Überwachung von Mitarbeitern gelten die strengen Regelungen des Bundesdatenschutzgesetzes.

Kriterien für die Notwendigkeit einer Datenschutz-Folgenabschätzung (DSFA)

Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Art. 35 DSGVO immer dann durchzuführen, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Für die Videoüberwachung ist dies insbesondere der Fall bei:

  • Systematischer und umfassender Überwachung öffentlich zugänglicher Bereiche.
  • Beobachtung des Verhaltens von Betroffenen (z. B. Kundenstromanalysen).
  • Verarbeitung besonders sensibler Daten (Art. 9 DSGVO), z. B. vor Kliniken oder Gotteshäusern.
  • Einsatz neuer Technologien wie biometrischer Erkennung.

Aufbau einer DSFA für Videoüberwachung: Schritt für Schritt und Checkliste

Eine DSFA sollte strukturiert und nachvollziehbar dokumentiert werden. Die folgenden Schritte und Prüfpunkte sind essenziell.

Checkliste für die DSFA-Durchführung

  • Schritt 1: Systematische Beschreibung der Verarbeitung
    • Zweck der Videoüberwachung (z. B. Vandalismus Prävention am Firmeneingang).
    • Erfasste Bereiche (Lageplan beifügen).
    • Art der erfassten Daten (Bild, Ton, Metadaten).
    • Eingesetzte Technologie (Kameratypen, Auflösung, Aufzeichnungssystem).
    • Speicherdauer und Löschkonzept.
    • Kreis der zugriffsberechtigten Personen.
  • Schritt 2: Bewertung der Notwendigkeit und Verhältnismäßigkeit
    • Dokumentation des berechtigten Interesses.
    • Prüfung alternativer, milderer Mittel (z. B. mehr Personal, bessere Beleuchtung, Alarmanlagen).
    • Begründung, warum die Videoüberwachung als erforderlich angesehen wird.
  • Schritt 3: Risikobewertung für die Betroffenen
    • Identifikation möglicher Risiken (z. B. Gefühl der Überwachung, Missbrauch der Daten, fehlerhafte Identifizierung).
    • Bewertung der Eintrittswahrscheinlichkeit und der Schwere des potenziellen Schadens.
  • Schritt 4: Geplante Abhilfemaßnahmen zur Risikominimierung
    • Technische Maßnahmen (z. B. Privacy Masking, Verschlüsselung).
    • Organisatorische Maßnahmen (z. B. Zugriffskonzept, Schulungen).
    • Transparenzmaßnahmen (z. B. klare Beschilderung).
  • Schritt 5: Dokumentation und Neubewertung
    • Schriftliche Festhaltung der Ergebnisse und der getroffenen Entscheidungen.
    • Festlegung eines regelmäßigen Überprüfungszyklus.

Technische Maßnahmen und Privacy by Design

Der Grundsatz “Privacy by Design” (Datenschutz durch Technikgestaltung) verlangt, den Datenschutz von Anfang an in die Technik zu integrieren. Für den Datenschutz bei der Videoüberwachung sind folgende Maßnahmen ab 2026 entscheidend:

  • Maskierung (Privacy Masking): Bereiche, die nicht überwacht werden dürfen (öffentliche Gehwege, Fenster von Nachbarn), müssen technisch dauerhaft geschwärzt werden.
  • Pseudonymisierung in Echtzeit: Moderne Systeme können Gesichter oder Kennzeichen bereits bei der Aufnahme verpixeln oder unkenntlich machen.
  • Verschlüsselung: Sowohl die Übertragung der Daten von der Kamera zum Rekorder als auch die Speicherung auf dem Datenträger müssen stark verschlüsselt sein.
  • Zugriffsbeschränkungen: Der physische und digitale Zugriff auf das System muss durch Passwörter, Zwei-Faktor-Authentifizierung und abschließbare Räume gesichert sein.

Operative Maßnahmen: Zugriffskontrolle, Protokollierung und Schulung

Technik allein reicht nicht. Klare organisatorische Regeln sind unerlässlich.

  • Zugriffskontrolle: Definieren Sie einen engen Kreis von Personen, die zur Sichtung der Aufnahmen berechtigt sind (Vier-Augen-Prinzip empfohlen). Jeder Zugriff muss einem konkreten Anlass folgen.
  • Protokollierung: Jeder Zugriff auf das Videomaterial muss mit Zeit Stempel, zugreifender Person und Grund des Zugriffs protokolliert werden.
  • Schulung und Rollenverteilung: Alle berechtigten Personen müssen nachweislich im Datenschutz geschult und zur Vertraulichkeit verpflichtet werden.

Speicherfristen und Löschkonzepte mit praxisnahen Beispielen

Der Grundsatz der Speicherbegrenzung verlangt, dass Daten nur so lange aufbewahrt werden, wie es für den Zweck erforderlich ist. Eine pauschale Speicherung über mehrere Wochen ist unzulässig. Die Aufsichtsbehörden erachten in der Regel eine Speicherdauer von maximal 72 Stunden als ausreichend.

Zweck Typische Speicherfrist Begründung
Vandalismus Prävention (z. B. an einer Fassade) 48 Stunden Schäden werden in der Regel am nächsten Werktag entdeckt.
Einbruchschutz (z. B. Juweliergeschäft) 72 Stunden Ermöglicht die Auswertung auch nach einem Wochenende.
Beweissicherung bei konkretem Vorfall Bis Abschluss des Verfahrens Die relevanten Sequenzen müssen gesichert und vom automatischen Löschzyklus ausgenommen werden.

Beschilderung und Informationspflichten: Muster und Vorgaben

Transparenz ist ein Eckpfeiler des Datenschutzes. Jeder überwachte Bereich muss klar und deutlich beschildert sein, bevor eine Person ihn betritt. Die Informationspflichten sind zweistufig aufgebaut.

Erste Stufe: Das Hinweisschild (Musterformulierung)

Das Schild muss die wichtigsten Informationen auf einen Blick liefern:

  • Piktogramm einer Kamera
  • Umstand der Beobachtung: “VIDEOÜBERWACHUNG”
  • Identität des Verantwortlichen: Name und Kontaktdaten des Betreibers
  • Zwecke der Verarbeitung: z. B. “Schutz des Eigentums, Wahrnehmung des Hausrechts”
  • Rechtsgrundlage: z. B. “Art. 6 Abs. 1 lit. f DSGVO”
  • Speicherdauer: z. B. “72 Stunden”
  • Hinweis auf weiterführende Informationen: z. B. “Weitere Informationen nach Art. 13 DSGVO finden Sie auf unserer Webseite: [Link] oder per QR-Code.”

Zweite Stufe: Vollständige Datenschutzhinweise

Über den Link oder QR-Code müssen alle Informationen gemäß Art. 13 DSGVO abrufbar sein, einschließlich der Kontaktdaten des Datenschutzbeauftragten (falls vorhanden), der Rechte der Betroffenen (Auskunft, Löschung etc.) und des Beschwerderechts bei einer Aufsichtsbehörde.

Besondere Technologien und Risiken

Technologien, die über die reine Bildaufzeichnung hinausgehen, bergen besonders hohe Risiken und sind in der Regel unzulässig oder bedürfen einer gesonderten Rechtsgrundlage.

  • Gesichtserkennung: Die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung ist nach Art. 9 DSGVO grundsätzlich verboten und nur in sehr eng begrenzten Ausnahmefällen (z. B. mit ausdrücklicher Einwilligung) erlaubt.
  • Kennzeichenerkennung: Eine automatisierte Erfassung von Kfz-Kennzeichen ist ein erheblicher Eingriff und nur zulässig, wenn es zur Zweckerreichung zwingend erforderlich ist (z. B. Zufahrtskontrolle zu einem Hochsicherheitsbereich).
  • Drohnen: Der Einsatz von Kameradrohnen zur Überwachung ist aufgrund des hohen Eingriffspotenzials in die Privatsphäre Dritter fast immer unzulässig.

Rechte der Betroffenen: Auskunft, Löschung und Widerspruch

Personen, die von einer Videoüberwachung erfasst wurden, haben umfassende Rechte. Verantwortliche müssen Prozesse implementieren, um diese Anfragen zu bearbeiten.

  • Auskunftsrecht (Art. 15 DSGVO): Betroffene können Auskunft darüber verlangen, ob sie aufgezeichnet wurden. Zur Identifizierung müssen sie hinreichend genaue Angaben machen (z. B. Datum, Uhrzeit, Ort, Kleidung). Der Verantwortliche muss die entsprechenden Sequenzen zur Verfügung stellen, wobei die Rechte Dritter (z. B. durch Schwärzung) zu wahren sind.
  • Recht auf Löschung (Art. 17 DSGVO): Liegt kein Grund mehr für die Speicherung vor, müssen die Daten gelöscht werden.
  • Widerspruchsrecht (Art. 21 DSGVO): Betroffene können der Verarbeitung ihrer Daten aus Gründen, die sich aus ihrer besonderen Situation ergeben, widersprechen. Der Verantwortliche muss dann die Verarbeitung einstellen, es sei denn, er kann zwingende schutzwürdige Gründe nachweisen.

Praktische Kurz-Checkliste für Betreiber

  • [ ] Ist der Zweck der Überwachung klar definiert und dokumentiert?
  • [ ] Wurde eine Interessenabwägung durchgeführt und dokumentiert?
  • [ ] Ist die Überwachung auf das absolut notwendige Maß beschränkt (räumlich und zeitlich)?
  • [ ] Sind öffentliche Bereiche und Nachbargrundstücke wirksam ausgeblendet (Privacy Masking)?
  • [ ] Ist ein gut sichtbares Hinweisschild mit allen Pflichtangaben angebracht?
  • [ ] Ist ein Löschkonzept vorhanden und wird es technisch umgesetzt (z. B. automatisches Überschreiben nach 72 Stunden)?
  • [ ] Wurde die Notwendigkeit einer Datenschutz-Folgenabschätzung geprüft und diese ggf. durchgeführt?
  • [ ] Ist der Zugriff auf die Aufzeichnungen technisch und organisatorisch streng reglementiert und wird er protokolliert?
  • [ ] Sind die zuständigen Mitarbeiter im Umgang mit dem System und den Betroffenenrechten geschult?

Praxis der Aufsichtsbehörden und Aktualisierung von Maßnahmen

Die deutschen Datenschutzaufsichtsbehörden kontrollieren die Einhaltung der Regeln zum Datenschutz bei der Videoüberwachung sehr genau und verhängen bei Verstößen empfindliche Bußgelder. Es ist entscheidend, die Veröffentlichungen und Orientierungshilfen der Behörden zu verfolgen und die eigenen Maßnahmen regelmäßig, insbesondere bei technischen Änderungen oder neuen rechtlichen Entwicklungen ab 2026, zu überprüfen und anzupassen. Ein internes Audit mindestens einmal jährlich wird empfohlen.

Ressourcen und weiterführende Links

Für detaillierte Informationen und offizielle Leitlinien empfehlen wir die Webseiten der deutschen Datenschutzbehörden. Diese Ressourcen bieten vertiefende Einblicke und rechtliche Bewertungen.

Zusammenfassung und empfohlene nächste Schritte für Verantwortliche

Ein rechtskonformer Datenschutz bei der Videoüberwachung erfordert eine sorgfältige Planung, eine lückenlose Dokumentation und die konsequente Umsetzung technischer und organisatorischer Maßnahmen. Es geht nicht darum, Überwachung zu verhindern, sondern sie so zu gestalten, dass sie verhältnismäßig ist und die Rechte der betroffenen Personen achtet.

Als nächste Schritte sollten Verantwortliche:

  1. Eine Bestandsaufnahme aller vorhandenen Kamerasysteme durchführen.
  2. Für jedes System die Zwecke, Rechtsgrundlagen und Interessenabwägungen schriftlich dokumentieren.
  3. Die Notwendigkeit einer Datenschutz-Folgenabschätzung prüfen und diese bei Bedarf erstellen.
  4. Sicherstellen, dass Beschilderung, Löschkonzepte und Zugriffsberechtigungen den aktuellen Anforderungen entsprechen.

Eine proaktive und transparente Herangehensweise schützt nicht nur vor Bußgeldern, sondern stärkt auch das Vertrauen von Kunden, Mitarbeitern und der Öffentlichkeit. Für komplexe Fälle oder eine detaillierte Prüfung Ihrer Maßnahmen empfiehlt sich eine fachkundige Beratung.

Vertiefende Informationen