Ob herkömmliche Kamera, Webcam oder Handy: Sobald aufgezeichnet wird, fällt es unter die DSGVO als „Videoüberwachung“ und es gelten entsprechende Pflichten, die ein externer Datenschutzbeauftragter rechtssicher begleitet.
Eine Videoüberwachung liegt vor, sobald Kameras eingesetzt werden, um Bereiche, Objekte oder Personen zu überwachen. Entscheidend ist nicht die Speicherung der Aufnahmen, sondern bereits die Erfassung personenbezogener Daten durch optisch-elektronische Geräte. Dies umfasst klassische Überwachungskameras, Dashcams, Drohnen mit Kameras und sogar Smartphone-Aufnahmen in bestimmten Kontexten.
Videoüberwachung erfasst Daten wie Gesichter, Bewegungsmuster, Kennzeichen oder Verhaltensweisen – und unterliegt damit der DSGVO (Datenschutz-Grundverordnung) und dem Bundesdatenschutzgesetz (BDSG).
Jede dieser Gruppen muss unterschiedliche rechtliche Anforderungen erfüllen.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenDie DSGVO enthält keine speziellen Regelungen zur Videoüberwachung, weshalb die allgemeinen Bestimmungen des Artikel 6 Absatz 1 DSGVO als Rechtsgrundlage dienen. In der Praxis wird am häufigsten Art. 6 Abs. 1 lit. f DSGVO herangezogen, der die Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen erlaubt. Diese Rechtsgrundlage setzt voraus, dass die Interessen des Verantwortlichen nicht durch die schutzwürdigen Interessen der betroffenen Personen überwiegt werden.
Ein berechtigtes Interesse liegt insbesondere vor, wenn die Videoüberwachung dem Schutz von Eigentum dient und Diebstahl, Vandalismus oder Einbrüche verhindert werden sollen. Ebenso rechtfertigt der Schutz von Personen – etwa die Sicherheit von Mitarbeitern, Kunden und Besuchern – den Einsatz von Kameras. Die Beweissicherung bei Schadensfällen oder Straftaten sowie die Zutrittskontrolle an Eingängen und sensiblen Bereichen stellen weitere anerkannte Zwecke dar. Für öffentlich zugängliche Räume gilt zusätzlich § 4 BDSG, der die Videoüberwachung unter bestimmten Bedingungen ausdrücklich erlaubt.
Der Paragraf 4 BDSG erlaubt Videoüberwachung dann, wenn sie zur Erfüllung rechtlicher Aufgaben erforderlich ist, zur Wahrnehmung des Hausrechts dient oder berechtigte Interessen schützt, sofern keine überwiegenden Interessen der Betroffenen entgegenstehen. Diese Regelung konkretisiert die DSGVO-Vorgaben für den deutschen Rechtsraum und schafft damit mehr Rechtssicherheit für Verantwortliche, die öffentlich zugängliche Bereiche überwachen möchten.
Moderne Videoüberwachung geht weit über einfache Kameras hinaus. Technologische Entwicklungen wie Gesichtserkennung, Kennzeichenerkennung und KI-gestützte Verhaltensanalyse erhöhen nicht nur die Überwachungseffizienz, sondern auch die Datenschutzrisiken erheblich. Die Gesichtserkennung ermöglicht den automatischen Abgleich mit Datenbanken und erfordert aufgrund des hohen Eingriffs in die Persönlichkeitsrechte eine besonders strenge Rechtfertigung. In den meisten Fällen ist diese Technologie nur bei konkreten Sicherheitsbedrohungen und unter strengen Auflagen DSGVO-konform einsetzbar.
Die Kennzeichenerkennung erfasst Fahrzeugdaten und ist nur bei konkretem Sicherheitsbedarf zulässig, etwa zur Zufahrtskontrolle auf Firmengeländen oder zur Parkraumüberwachung. KI-gestützte Analyse-Systeme, die Verhaltensanalysen durchführen oder Bewegungsvorhersagen treffen, unterliegen hohen datenschutzrechtlichen Hürden. Dashcams, die zur privaten Überwachung im Straßenverkehr eingesetzt werden, sind nur anlassbezogen erlaubt – eine permanente Aufzeichnung verstößt gegen das Datenschutzrecht.
Je invasiver die eingesetzte Technologie, desto höher ist die Rechtfertigungslast für den Verantwortlichen. Technische Sicherheitsmaßnahmen spielen dabei eine zentrale Rolle, um unbefugten Zugriff auf die erfassten Daten zu verhindern.
So prüfen Sie, ob Ihre Videoüberwachung DSGVO-konform ist:
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)?
Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)?
Gesetzliche Erlaubnis (§ 4 BDSG)?
Gibt es mildere Mittel?
Ist die Überwachung verhältnismäßig?
Überwiegen Ihre Interessen die Rechte der Betroffenen?
Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) erstellt?
Datenschutz-Folgenabschätzung (Art. 35 DSGVO) erforderlich?
Ein übergeordnetes Datenschutzkonzept hilft bei der systematischen Umsetzung.
Die Zulässigkeit von Videoüberwachung hängt maßgeblich vom überwachten Bereich ab. Grundsätzlich gilt: Je privater und sensibler der Bereich, desto strenger sind die rechtlichen Anforderungen.
Außengelände wie Eingangsbereiche, Parkplätze und Lagerflächen dürfen überwacht werden, wenn ein berechtigtes Interesse besteht. Verkaufsräume sind zum Schutz vor Diebstahl und Übergriffen auf Mitarbeiter ebenfalls zulässige Überwachungsbereiche. Eingangsbereiche können zur Zutrittskontrolle und Besuchererfassung videoüberwacht werden, ebenso Lagerräume zum Schutz von hochwertigem Inventar.
Toiletten, Duschen und Umkleiden sind tabu – hier ist die Intimsphäre absolut geschützt. Sozial- und Pausenräume dürfen ebenfalls nicht überwacht werden, da Mitarbeiter ein Recht auf Privatsphäre haben. Nachbargrundstücke fallen nicht in Ihren Schutzbereich und dürfen daher nicht gefilmt werden. Öffentliche Straßen dürfen nur in begründeten Ausnahmefällen erfasst werden, etwa wenn dies für die Verkehrssicherheit zwingend erforderlich ist.
Videoüberwachung am Arbeitsplatz ist grundsätzlich zulässig, wenn:
Praxistipp: Betriebsvereinbarungen schaffen Rechtssicherheit und beugen Konflikten vor.
Wenn Sie Dienstleister mit der Videoüberwachung beauftragen, liegt eine Auftragsverarbeitung nach Art. 28 DSGVO vor. Dies betrifft insbesondere Sicherheitsunternehmen, die externe Überwachung durchführen, Cloud-Anbieter, die Videoaufnahmen speichern, sowie technische Dienstleister, die Kamerasysteme warten und installieren.
In diesen Fällen müssen Sie einen Auftragsverarbeitungsvertrag (AVV) abschließen, der die Pflichten des Dienstleisters festlegt und technische und organisatorische Maßnahmen (TOM) definiert. Sie müssen die Weisungsbefugnis sicherstellen – Sie bleiben Verantwortlicher im Sinne der DSGVO, während der Dienstleister nur nach Ihren Anweisungen handelt. Subdienstleister darf der Auftragsverarbeiter nur mit Ihrer ausdrücklichen Zustimmung einsetzen.
Ohne ordnungsgemäßen AVV drohen empfindliche Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes nach Art. 83 Abs. 4 DSGVO. Die sorgfältige vertragliche Absicherung ist daher keine Formalität, sondern ein zentraler Baustein rechtskonformer Videoüberwachung.
Setzen Sie Videoüberwachung DSGVO-konform um – mit der 10-Schritte-Checkliste inkl. Rechtsgrundlagen, Kennzeichnungspflichten und Speicherfristen zur rechtssicheren Umsetzung, kostenlos als Download.
Ja, zwingend! Laut § 4 Abs. 2 BDSG muss die Videoüberwachung durch geeignete Maßnahmen erkennbar gemacht werden.
Die Artikel 13 DSGVO Informationspflichten erfordern:
Die DSGVO verlangt Datensparsamkeit und Speicherbegrenzung nach Art. 5 Abs. 1 lit. c und e DSGVO. Die Speicherdauer muss sich am verfolgten Zweck orientieren und darf nicht länger sein als erforderlich.
Für allgemeine Überwachung ohne konkreten Anlass gilt eine Speicherdauer von 24 bis 72 Stunden als Standard. Dies reicht in der Regel aus, um Vorfälle zu erkennen und die Aufnahmen zu sichern. Bis zu 10 Tage Speicherung können bei berechtigtem Interesse gerechtfertigt sein, etwa wenn an Wochenenden oder Feiertagen keine Auswertung möglich ist. Eine längere Speicherung ist nur bei konkretem Anlass zulässig, etwa wenn ein Straftatverdacht besteht oder Ermittlungen laufen.
Nach Ablauf der Speicherfrist müssen die Aufnahmen automatisch gelöscht werden. Dies sollten Sie technisch sicherstellen, etwa durch zyklisches Überschreiben älterer Aufnahmen. Eine Ausnahme gilt für Aufnahmen mit Bezug zu Straftaten – diese dürfen länger gespeichert werden, bis der Fall abgeschlossen ist. Überlegen Sie sich die Speicherdauer vor Inbetriebnahme der Anlage und dokumentieren Sie diese im Verzeichnis der Verarbeitungstätigkeiten.
Verstöße gegen die DSGVO bei der Videoüberwachung können zu erheblichen Bußgeldern führen. Die Aufsichtsbehörden können Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängen, je nachdem, welcher Betrag höher ist.
Die Praxisbeispiele zeigen, dass Behörden diese Befugnisse auch nutzen. Das Unternehmen notebooksbilliger.de musste 2021 ein Bußgeld von 10,4 Millionen Euro zahlen, weil es dauerhaft und anlasslos Mitarbeiter überwachte, ohne eine tragfähige Rechtsgrundlage zu haben. Die Lehre: Mitarbeiterüberwachung erfordert immer eine konkrete Rechtfertigung und kann nicht pauschal mit allgemeinen Sicherheitsinteressen begründet werden.
Volkswagen erhielt 2019 ein Bußgeld von 1,1 Millionen Euro wegen fehlender Kennzeichnung von Forschungsfahrzeugen und nicht vorhandener Auftragsverarbeitungsverträge. Auch große Unternehmen mit professionellen Rechtsabteilungen sind nicht immun gegen Datenschutzverstöße. Eine mittelständische Handelskette musste 50.000 Euro Bußgeld zahlen, weil sie Sozialräume ohne ordnungsgemäße Interessenabwägung überwachte. Die klare Botschaft: Pausenräume sind für Überwachung tabu.
Eine umfassende Beratung zu allen Themen rund um die DSGVO aus einer Hand, damit Sie gesetzliche Anforderungen effizient umsetzen und Ihre Daten sicher verwalten können.
Heimliche Videoüberwachung ist grundsätzlich nicht erlaubt. Nur in extremen Ausnahmefällen bei konkretem Verdacht einer Straftat, wenn die Maßnahme verhältnismäßig ist und keine milderen Mittel zur Aufklärung zur Verfügung stehen, kann heimliche Überwachung zulässig sein. Selbst dann muss sie zeitlich und räumlich streng begrenzt bleiben.
Private Videoüberwachung ist mit Einschränkungen erlaubt. Sie dürfen nur Ihr eigenes Grundstück filmen – Nachbargrundstücke und öffentliche Wege müssen ausgespart bleiben. Die Überwachung muss dem Schutz des Eigentums dienen, und Besucher müssen durch Hinweisschilder informiert werden. Rein familiäre Tätigkeiten wie der Einsatz eines Babyphones fallen nicht unter die DSGVO.
Kamera-Attrappen sind grundsätzlich erlaubt, da sie keine personenbezogenen Daten erfassen und daher nicht von der DSGVO erfasst sind. Das Landesarbeitsgericht Mecklenburg-Vorpommern hat jedoch entschieden, dass Attrappen am Arbeitsplatz eine unzulässige Verhaltenskontrolle darstellen können, wenn Mitarbeiter sie für echt halten. Informieren Sie Mitarbeiter daher über Attrappen, um Vertrauensbrüche zu vermeiden.
Hinweisschilder müssen den Hinweis auf Videoüberwachung mit Text und Piktogramm enthalten, den Verantwortlichen mit Kontaktdaten nennen, Zweck und Rechtsgrundlage angeben, die Speicherdauer mitteilen und auf Betroffenenrechte wie Auskunft und Beschwerde hinweisen. Die Schilder sind vor Eintritt in den überwachten Bereich, gut sichtbar und an allen Zugängen anzubringen.
Audioaufnahmen sind grundsätzlich verboten. Sie verletzen die Vertraulichkeit des Wortes nach § 201 StGB und sind nur mit ausdrücklicher Einwilligung aller Beteiligten zulässig. Verstöße gegen dieses Verbot sind strafbar und können neben Bußgeldern auch strafrechtliche Konsequenzen nach sich ziehen.
Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist erforderlich, wenn die Videoüberwachung umfangreich ist, sensible Bereiche betrifft oder neue Technologien wie Gesichtserkennung nutzt. Die DSFA dokumentiert systematisch die Risiken für die Betroffenen und legt Schutzmaßnahmen fest, um diese Risiken zu minimieren.
Professioneller Datenschutz zum Budget-Preis mit Software, Schulungen, Audits & Vorlagen inklusive
Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zum Datenschutz und Best-Practices zur Umsetzung.
* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen