videoüberwachung datenschutz checkliste

Videoüberwachung Datenschutz Checkliste

/ Allgemein, Datenschutz

Warum eine Checkliste für Videoüberwachung unverzichtbar ist

Videoüberwachung gehört heute zu den häufigsten Sicherheitsmaßnahmen in Unternehmen, Geschäften und öffentlich zugänglichen Räumen. Gleichzeitig ist sie eine der datenschutzrechtlich heikelsten Verarbeitungstätigkeiten, da sie massiv in die Persönlichkeitsrechte und die informationelle Selbstbestimmung der Betroffenen eingreift.

Die Datenschutz-Grundverordnung (DSGVO) stellt strenge Anforderungen an die Zulässigkeit und Ausgestaltung von Videoüberwachungsmaßnahmen. Verstöße können empfindliche Bußgelder nach sich ziehen, wenn Unternehmen die datenschutzrechtlichen Vorgaben missachtet haben.

Eine systematische Checkliste hilft Ihnen dabei, alle rechtlichen Anforderungen zu erfüllen, Haftungsrisiken zu minimieren und gleichzeitig die Sicherheitsziele Ihres Unternehmens zu erreichen. 

Kontakt aufnehmen
Inhaltsübersicht
  1. Warum eine Checkliste für Videoüberwachung unverzichtbar ist
  2. Das Wichtigste im Überblick
  3. Rechtliche Grundlagen der Videoüberwachung
  4. Prüfung der Zulässigkeit: Die Interessenabwägung
  5. Transparenzpflichten: Hinweisschilder und Informationspflichten
  6. Technische und organisatorische Maßnahmen (TOMs)
  7. Praktische Tipps für die Umsetzung
  8. Checkliste: Videoüberwachung datenschutzkonform umsetzen
  9. Datenschutz als Erfolgsfaktor
  10. Häufig gestellte Fragen 

Das Wichtigste im Überblick

  • Rechtsgrundlagen beachten: Videoüberwachung ist nur bei berechtigtem Interesse nach Art. 6 DSGVO und zulässig – eine Interessenabwägung ist zwingend erforderlich
  • Transparenzpflichten erfüllen: Betroffene müssen vor Betreten des überwachten Bereichs durch gut sichtbare Hinweisschilder nach Art. 13 DSGVO informiert werden, inklusive Kontaktdaten des Verantwortlichen und Speicherdauer
  • Technische Maßnahmen sicherstellen: Verschlüsselung der Aufzeichnungen, Zugriffskontrollen, automatisierte Löschfristen und Schutz vor unbefugtem Zugriff sind technisch und organisatorisch umzusetzen

Rechtliche Grundlagen der Videoüberwachung

Die DSGVO als zentrale Rechtsgrundlage

Videoüberwachung stellt eine Verarbeitung personenbezogener Daten im Sinne der DSGVO dar. Aufgezeichnet werden visuelle Informationen, die Rückschlüsse auf identifizierte oder identifizierbare natürliche Personen zulassen. Damit greifen sämtliche Grundprinzipien der DSGVO, insbesondere:

Rechtmäßigkeit der Verarbeitung: Jede Videoüberwachung benötigt eine Rechtsgrundlage. In der betrieblichen Praxis kommt vor allem Art. 6 DSGVO zum Tragen – die Verarbeitung aufgrund berechtigter Interessen. Der Verantwortliche muss nachweisen, dass er ein berechtigtes Interesse an der Überwachung hat und dass dieses Interesse die Grundrechte der betroffenen Personen überwiegt.

Zweckbindung: Die erhobenen Videodaten dürfen nur für den ursprünglich festgelegten Zweck verwendet werden. Eine nachträgliche Zweckänderung ist nur unter engen Voraussetzungen möglich. 

Datenminimierung: Es dürfen nur so viele Bereiche überwacht werden, wie für den Zweck unbedingt erforderlich sind. Besonders sensible Bereiche wie Umkleiden, Toiletten oder Pausenräume sind grundsätzlich tabu.

Speicherbegrenzung: Aufzeichnungen müssen nach angemessener Zeit gelöscht werden. 

Prüfung der Zulässigkeit: Die Interessenabwägung

Berechtigte Interessen des Verantwortlichen

Als berechtigte Interessen für eine Videoüberwachung kommen verschiedene Zwecke in Betracht. Zu den häufigsten gehören:

Aufklärung von Straftaten: Die Hilfe bei der Aufklärung von Diebstahl, Einbruch, Raub, Vandalismus oder Sachbeschädigung stellt ein anerkannt berechtigtes Interesse dar. Dies gilt besonders für Bereiche mit hohem Gefährdungspotenzial wie Kassenbereiche, Lagerhallen oder Eingangsbereiche.

Wahrnehmung des Hausrechts: Die Überwachung kann zur Durchsetzung des Hausrechts erforderlich sein, etwa um Hausverbote zu kontrollieren oder unbefugtes Betreten zu verhindern.

Schutz von Personen: In bestimmten Bereichen kann der Schutz von Mitarbeitern oder Besuchern vor Übergriffen die Überwachung rechtfertigen, beispielsweise in Notaufnahmen von Krankenhäusern oder bei Arbeitsplätzen mit Publikumsverkehr.

Beweissicherung: Die Möglichkeit, im Schadensfall Beweise zu sichern, kann Teil des berechtigten Interesses sein, reicht aber allein nicht zur Rechtfertigung aus.

Gegenläufige Interessen der Betroffenen

Auf der anderen Seite stehen gewichtige Grundrechte der überwachten Personen:

Recht auf informationelle Selbstbestimmung: Jeder hat das Recht, selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Videoüberwachung schränkt dieses Recht erheblich ein, da die Betroffenen kaum Einfluss auf die Aufzeichnung haben.

Recht auf Schutz der Privatsphäre: Selbst in öffentlich zugänglichen Räumen besteht ein Schutzbereich der Privatsphäre. Menschen haben ein berechtigtes Interesse daran, sich unbefangen und ohne permanente Beobachtung zu bewegen.

Besondere Schutzbedürftigkeit: Kinder, vulnerable Personen oder Menschen in sensiblen Situationen (etwa beim Arztbesuch) genießen erhöhten Schutz.

Durchführung der Abwägung

Die Interessenabwägung muss dokumentiert werden und folgende Faktoren berücksichtigen:

  1. Gibt es konkrete Anhaltspunkte für die Gefährdung (z.B. zurückliegende Vorfälle)?
  2. Wie intensiv ist die Überwachung (Auflösung, Erfassungsbereich, Dauerhaftigkeit)?
  3. Werden besonders schützenswerte Bereiche erfasst?
  4. Gibt es mildere, gleich geeignete Mittel (z.B. physische Sicherungsmaßnahmen)?
  5. Wie lange werden Daten gespeichert?
  6. Wer hat Zugriff auf die Aufnahmen?

Transparenzpflichten: Hinweisschilder und Informationspflichten

Gestaltung der Hinweisschilder

Die DSGVO verlangt, dass Betroffene erkennbar vor Betreten des überwachten Bereichs über die Videoüberwachung informiert werden. Dies erfolgt durch gut sichtbare Hinweisschilder, die folgende Mindestangaben enthalten müssen:

  • Deutlich erkennbares Kamera-Piktogramm 
  • Name und Kontaktdaten des Verantwortlichen
  • Zweck der Videoüberwachung
  • Rechtsgrundlage 
  • Hinweis auf weitere Informationen (z.B. Verweis auf Website oder Aushang)

Die Schilder müssen so platziert sein, dass Personen vor Betreten des überwachten Bereichs davon Kenntnis erlangen können. Bei mehreren Eingängen sind entsprechend mehrere Hinweise anzubringen. 

Umfassende Informationspflichten nach Art. 13 DSGVO

Zusätzlich zu den Hinweisschildern müssen die vollständigen Informationen nach Art. 13 DSGVO zur Verfügung gestellt werden. Dies kann über einen Aushang, einen QR-Code auf dem Hinweisschild oder einen Verweis auf die Website erfolgen. Folgende Informationen sind bereitzustellen:

  • Name und Kontaktdaten des Verantwortlichen und ggf. seines Vertreters
  • Kontaktdaten des Datenschutzbeauftragten
  • Zwecke und Rechtsgrundlage der Verarbeitung
  • Berechtigte Interessen des Verantwortlichen 
  • Empfänger oder Kategorien von Empfängern der Daten
  • Speicherdauer oder Kriterien für deren Festlegung
  • Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Beschwerde)
  • Freiwilligkeit oder Verpflichtung zur Bereitstellung der Daten
  • Ggf. Informationen über automatisierte Entscheidungsfindung

Technische und organisatorische Maßnahmen (TOMs)

Zugriffskontrollen

Der unbefugte Zugriff auf Videoaufzeichnungen muss wirksam verhindert werden. Dies erfordert ein mehrstufiges Berechtigungskonzept:

Nur Personen, die aus dienstlichen oder betrieblichen Gründen Zugriff benötigen, dürfen Aufnahmen einsehen. Die Zugriffsberechtigungen sind zu dokumentieren und regelmäßig zu überprüfen. Jeder Zugriff sollte protokolliert werden (wer hat wann auf welche Aufnahmen zugegriffen).

Speicherfristen und Löschkonzepte

Videodaten dürfen nur so lange gespeichert werden, wie dies für den verfolgten Zweck erforderlich ist. Nach herrschender Auffassung und Praxis der Aufsichtsbehörden gelten folgende Orientierungswerte:

Bei reiner Beweissicherung ohne konkreten Anlass: maximal 72 Stunden, in begründeten Fällen bis zu 10 Tage. Längere Speicherfristen bedürfen einer besonderen Rechtfertigung, etwa wenn regelmäßig erst verzögert Schäden entdeckt werden (z.B. bei Inventuren).

Datensicherheit und Verschlüsselung

Um die Integrität und Vertraulichkeit der Videodaten zu gewährleisten, sind folgende technische Maßnahmen zu implementieren:

Verschlüsselung: Sowohl die Übertragung als auch die Speicherung der Daten sollten verschlüsselt erfolgen. 

Schutz vor Manipulation: Die Systeme müssen so konfiguriert sein, dass nachträgliche Veränderungen der Aufnahmen ausgeschlossen oder zumindest erkennbar sind. Digitale Signaturen oder Blockchain-Technologien können hier Abhilfe schaffen.

Regelmäßige Updates: Firmware und Software der Überwachungssysteme müssen auf aktuellem Stand gehalten werden, um Sicherheitslücken zu schließen.

Netzwerksegmentierung: Videoüberwachungssysteme sollten in einem separaten Netzwerksegment betrieben werden, getrennt vom restlichen Unternehmensnetzwerk.

Backup-Konzepte: Falls Aufnahmen länger aufbewahrt werden müssen, sind sichere Backup-Lösungen zu implementieren, die ebenfalls verschlüsselt und zugriffsgeschützt sind.

Praktische Tipps für die Umsetzung

Schritt 1: Bedarfsanalyse und Risikoabschätzung

Bevor Sie ein Videoüberwachungssystem installieren, führen Sie eine systematische Bedarfsanalyse durch:

  • Welche konkreten Risiken bestehen
  • Welche Bereiche sind besonders schutzbedürftig?
  • Gibt es mildere Maßnahmen (z.B. bessere Beleuchtung, Alarmanlagen, physische Barrieren)?
  • Ist eine Aufzeichnung erforderlich oder reicht eine reine Echtzeitüberwachung?
  • Wie lange müssen Aufnahmen vorgehalten werden, um den Zweck zu erfüllen?

Schritt 2: Interessenabwägung dokumentieren

Erstellen Sie eine schriftliche Interessenabwägung, die alle relevanten Faktoren berücksichtigt. Nutzen Sie folgende Struktur:

Berechtigte Interessen des Verantwortlichen: Führen Sie konkret aus, welche Zwecke Sie verfolgen und warum diese legitim sind. Nennen Sie wenn möglich konkrete Vorfälle oder objektive Risikofaktoren.

Interessen der Betroffenen: Beschreiben Sie, welche Personengruppen betroffen sind (Kunden, Mitarbeiter, Besucher) und welche Grundrechte eingeschränkt werden.

Erforderlichkeit: Erläutern Sie, warum die Videoüberwachung das geeignete Mittel ist und warum mildere Maßnahmen nicht ausreichen.

Verhältnismäßigkeit: Beschreiben Sie, durch welche Maßnahmen Sie den Eingriff minimieren (z.B. Beschränkung auf bestimmte Bereiche, kurze Speicherfristen, Verpixelung sensibler Bereiche).

Ergebnis der Abwägung: Kommen Sie zu dem Schluss, dass Ihre Interessen überwiegen, und begründen Sie dies nachvollziehbar.

Schritt 3: Technische Umsetzung planen

Wählen Sie Kameramodelle und -positionen sorgfältig aus:

  • Richten Sie Kameras so aus, dass nur der erforderliche Bereich erfasst wird
  • Nutzen Sie Privacy-Masking-Funktionen, um sensible Bereiche auszublenden
  • Achten Sie auf ausreichende Bildqualität, um den Zweck zu erfüllen, aber vermeiden Sie übermäßig hohe Auflösungen
  • Implementieren Sie die beschriebenen technischen Sicherheitsmaßnahmen
  • Konfigurieren Sie automatische Löschfristen

Schritt 4: Organisatorische Regelungen treffen

Erstellen Sie klare interne Richtlinien:

Zugriffsberechtigung: Legen Sie fest, wer unter welchen Voraussetzungen auf Aufnahmen zugreifen darf. Erstellen Sie ein Berechtigungskonzept und dokumentieren Sie die vergebenen Zugänge.

Sicherungsprotokolle: Führen Sie ein Protokoll darüber, wann wer auf welche Aufnahmen zugegriffen hat und aus welchem Grund.

Vorfallmanagement: Definieren Sie, wie im Falle eines Vorfalls (Diebstahl, Einbruch) zu verfahren ist und wer die Aufnahmen sichert.

Schulung der Mitarbeiter: Weisen Sie alle Personen, die mit dem System arbeiten, in die datenschutzrechtlichen Anforderungen ein. Dokumentieren Sie diese Schulungen.

Betriebsvereinbarung: Schließen Sie, falls erforderlich, eine Betriebsvereinbarung mit dem Betriebsrat ab, die alle relevanten Aspekte regelt.

Schritt 5: Informationspflichten erfüllen

Bringen Sie vor Inbetriebnahme des Systems die erforderlichen Hinweisschilder an. Stellen Sie sicher, dass alle Informationen nach Art. 13 DSGVO leicht zugänglich sind, etwa über Aushänge, QR-Codes oder Ihre Website.

Schritt 6: Regelmäßige Überprüfung

Führen Sie regelmäßige Überprüfungen durch:

  • Sind die ursprünglichen Zwecke noch aktuell?
  • Haben sich die Risiken verändert?
  • Funktionieren die technischen Maßnahmen ordnungsgemäß (Verschlüsselung, automatische Löschung)?
  • Sind die Zugriffsberechtigungen noch aktuell?
  • Entsprechen die Informationen auf den Hinweisschildern noch der Realität?

Checkliste: Videoüberwachung datenschutzkonform umsetzen

Vor der Installation

  • Bedarfsanalyse durchführen: Welche konkreten Risiken bestehen? Welche Bereiche sollen geschützt werden?
  • Alternative Maßnahmen prüfen: Gibt es mildere Mittel (bessere Beleuchtung, Alarmanlagen, Sicherheitspersonal)?
  • Interessenabwägung dokumentieren: Schriftliche Darstellung der berechtigten Interessen und der Interessen der Betroffenen
  • Zweck festlegen: Klar definieren, wozu die Videoüberwachung dient (Einbruchschutz, Diebstahlprävention, etc.)
  • Erfasste Bereiche festlegen: Nur die notwendigen Bereiche überwachen, sensible Bereiche ausschließen
  • Betriebsrat informieren/beteiligen: Bei Mitarbeiterüberwachung Mitbestimmungsrechte beachten

Bei der Installation

  • Kamerapositionierung: Ausrichtung nur auf erforderliche Bereiche, Privacy-Masking für sensible Bereiche
  • Technische Sicherheit: Verschlüsselung, Zugriffsschutz, sichere Passwörter, Netzwerksegmentierung
  • Automatische Löschung: Einrichtung einer automatisierten Löschfrist (Faustregel: 72 Stunden bis max. 10 Tage)
  • Auftragsverarbeitung: Falls Cloud-Dienste genutzt werden: Vertrag nach Art. 28 DSGVO abschließen

Informationspflichten

  • Hinweisschilder: Gut sichtbar vor Betreten des überwachten Bereichs anbringen mit Kamera-Piktogramm, Verantwortlichem, Zweck, Rechtsgrundlage
  • Umfassende Informationen: Bereitstellung aller Informationen nach Art. 13 DSGVO 
  • Verzeichnis von Verarbeitungstätigkeiten: Videoüberwachung im Verzeichnis dokumentieren

Organisatorische Maßnahmen

  • Zugriffsberechtigung: Festlegen, wer auf Aufnahmen zugreifen darf, Berechtigungskonzept erstellen
  • Zugriffsprotokolle: Dokumentation aller Zugriffe auf Videoaufnahmen
  • Mitarbeiterschulung: Einweisung der zugriffsberechtigten Personen in datenschutzrechtliche Anforderungen
  • Betriebsvereinbarung: Falls erforderlich, Vereinbarung mit dem Betriebsrat treffen
  • Vorfallmanagement: Regelungen für den Umgang mit Aufnahmen bei konkreten Vorfällen

Laufender Betrieb

  • Regelmäßige Überprüfung: Sind Zweck und Umfang der Überwachung noch aktuell und erforderlich?
  • Technische Kontrollen: Funktionieren Verschlüsselung, Löschfristen und Zugriffsschutz?
  • Aktualität der Berechtigungen: Haben noch alle berechtigten Personen Zugriff, die diesen benötigen?
  • Informationspflichten: Sind die Hinweisschilder und Informationen noch aktuell?
  • Datenschutz-Folgenabschätzung: Bei hohem Risiko für Betroffene nach Art. 35 DSGVO durchführen

Betroffenenanfragen

  • Auskunftsrecht: Vorbereitet sein, Auskunftsersuchen nach Art. 15 DSGVO zu beantworten
  • Löschung: Aufnahmen bei Widerspruch oder nach Wegfall des Zwecks löschen
  • Beweissicherung: Bei konkreten Vorfällen Aufnahmen rechtzeitig sichern, längere Aufbewahrung dokumentieren

Datenschutz als Erfolgsfaktor

Videoüberwachung ist ein wirksames Mittel zur Erhöhung der Sicherheit in Unternehmen, Geschäften und öffentlich zugänglichen Räumen. Gleichzeitig stellt sie einen erheblichen Eingriff in die Persönlichkeitsrechte der Betroffenen dar. Die DSGVO und das BDSG setzen klare Grenzen und fordern eine sorgfältige Abwägung aller Interessen.

Wer Videoüberwachung datenschutzkonform umsetzen möchte, muss bereits in der Planungsphase alle rechtlichen Anforderungen berücksichtigen. Eine systematische Vorgehensweise anhand einer Checkliste hilft dabei, nichts zu übersehen und Haftungsrisiken zu minimieren.

Die Investition in eine rechtssichere Lösung zahlt sich aus: Sie vermeiden empfindliche Bußgelder, schützen sich vor Schadensersatzansprüchen und stärken das Vertrauen von Kunden und Mitarbeitern. Gleichzeitig stellen Sie sicher, dass im Falle eines Sicherheitsvorfalls die Aufnahmen auch tatsächlich verwertbar sind.

Häufig gestellte Fragen 

Ist eine Videoüberwachung ohne Aufzeichnung zulässiger als mit Aufzeichnung?

Ja, eine reine Echtzeitüberwachung ohne Aufzeichnung stellt einen geringeren Eingriff dar und ist daher eher zu rechtfertigen. Allerdings unterliegt auch eine reine Beobachtung der DSGVO, da personenbezogene Daten verarbeitet werden. Die Informationspflichten gelten uneingeschränkt. In vielen Fällen macht die Videoüberwachung jedoch nur mit Aufzeichnung Sinn, etwa wenn Beweissicherung bezweckt wird.

Darf ich meinen Parkplatz videoüberwachen?

Die Videoüberwachung eines Privatparkplatzes ist grundsätzlich möglich, wenn Sie ein berechtigtes Interesse haben (Schutz vor Vandalismus, unbefugtem Parken). Sobald aber auch öffentliche Bereiche oder Nachbargrundstücke erfasst werden, sind die datenschutzrechtlichen Anforderungen zu beachten. Bei Firmenparkplätzen, auf denen auch Mitarbeiter parken, gelten strengere Maßstäbe.

Wie lange darf ich Videoaufnahmen speichern?

Als Faustregel gelten 72 Stunden. Längere Speicherfristen bedürfen einer besonderen Rechtfertigung. Wenn ein konkreter Vorfall eingetreten ist und die Aufnahmen als Beweismittel benötigt werden, dürfen sie auch länger aufbewahrt werden – dies ist jedoch zu dokumentieren.

Darf ich Mitarbeiter am Arbeitsplatz per Video überwachen?

Eine dauerhafte Videoüberwachung von Mitarbeitern ist in der Regel unzulässig, insbesondere wenn sie zur Verhaltens- oder Leistungskontrolle dient. Nur in Ausnahmefällen, etwa bei konkretem Verdacht einer Straftat, kann eine vorübergehende Überwachung gerechtfertigt sein. Der Betriebsrat hat bei technischer Überwachung ein Mitbestimmungsrecht.

Was muss auf den Hinweisschildern stehen?

Mindestens: Kamera-Piktogramm, Name und Kontaktdaten des Verantwortlichen, Zweck der Überwachung, Rechtsgrundlage, Betroffenenrechte und ein Hinweis darauf, wo weitere Informationen erhältlich sind. Die Schilder müssen gut sichtbar angebracht sein, bevor man den überwachten Bereich betritt.

Benötige ich für Videoüberwachung einen Datenschutzbeauftragten?

Unternehmen mit mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, benötigen einen Datenschutzbeauftragten. Videoüberwachung allein löst diese Pflicht nicht aus, kann aber im Gesamtkontext der Datenverarbeitungen relevant werden. 

Muss ich eine Datenschutz-Folgenabschätzung durchführen?

Nach Art. 35 DSGVO ist eine Datenschutz-Folgenabschätzung erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Bei systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche ist dies regelmäßig der Fall.

Was droht bei Verstößen gegen die DSGVO im Bereich Videoüberwachung?

Aufsichtsbehörden können hohe Bußgelder verhängen. Hinzu kommen mögliche Schadensersatzansprüche Betroffener. Auch strafrechtliche Konsequenzen sind denkbar, etwa bei Überwachung höchstpersönlicher Lebensbereiche.

Kann ich die Videoüberwachung auch auf Mitarbeiter eines Dienstleisters übertragen?

Wenn ein externer Dienstleister (z.B. Sicherheitsdienst) die Videoüberwachung für Sie betreibt, liegt in der Regel eine Auftragsverarbeitung nach Art. 28 DSGVO vor. Sie bleiben Verantwortlicher und müssen einen schriftlichen Auftragsverarbeitungsvertrag abschließen. Der Dienstleister darf nur nach Ihren Weisungen handeln und muss die technischen und organisatorischen Maßnahmen der DSGVO einhalten.

Kontakt aufnehmen
Nach oben scrollen