DSGVO und Videoüberwachung: Anforderungen für die Compliance erklärt
DSGVO und Videoüberwachung: Rechtsgrundlagen, Beschilderung, Speicherfristen, DSFA, Betroffenenrechte und Anonymisierung im Überblick.
Den Betrieb einer Kamera in einem öffentlichen oder halböffentlichen Raum zählt zu den häufigsten Arten der Erhebung personenbezogener Daten durch Organisationen — und zugleich zu den am häufigsten fehlerhaft gehandhabten unter der DSGVO. Aufnahmen identifizierbarer Personen sind ab dem Moment ihrer Erfassung personenbezogene Daten, auf die alle Grundsätze der Verordnung anwendbar sind.
Dieser Leitfaden zeigt auf, welche spezifischen DSGVO-Pflichten bei der Videoüberwachung gelten: der rechtliche Rahmen, Anforderungen an Kennzeichnung und Transparenz, Speicherfristen, wann eine DSFA verpflichtend ist, wie mit Auskunftsersuchen umzugehen ist und wann Anonymisierung das richtige Mittel zur dauerhaften Reduzierung des Compliance-Risikos ist.
Rechtlicher Hinweis: Dieser Inhalt dient ausschließlich allgemeinen Informationszwecken und stellt keine Rechtsberatung dar. Vorschriften und Leitlinien der Aufsichtsbehörden variieren je nach Rechtsordnung und ändern sich im Laufe der Zeit. Wenden Sie sich stets an einen qualifizierten Rechts- oder Datenschutzexperten, um situationsspezifischen Rat zu erhalten.
Kurzfassung
- Videoüberwachungsaufnahmen sind personenbezogene Daten: die Erfassung identifizierbarer Personen aktiviert den vollständigen DSGVO-Rahmen — Art. 5, 6, 13/14 und 35 gelten allesamt.
- Vor Inbetriebnahme der Kamera brauchen Sie eine Rechtsgrundlage: berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) ist der häufigste Weg, erfordert aber eine dokumentierte Interessenabwägung.
- Speicherfristen müssen festgelegt und automatisch durchgesetzt werden: die meisten Datenschutzbehörden halten 30 Tage für eine angemessene Faustregel; Vorfall-Aufnahmen können bei entsprechender Dokumentation länger aufbewahrt werden.
- Anonymisierung vor der Weitergabe ist der zuverlässigste Weg, nachgelagerte DSGVO-Risiken auszuschalten — CCTV-Aufnahmen automatisch anonymisieren oder jetzt eine Datei testen.
Warum Videoüberwachung vollständig unter die DSGVO fällt
Art. 4 Nr. 1 DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Aufnahmen einer Kamera, die das Gesicht, den Gang, das Kfz-Kennzeichen oder ein anderes identifizierendes Merkmal einer Person erfassen können, sind personenbezogene Daten. Erwägungsgrund 51 hebt hervor, dass genetische, biometrische und Gesundheitsdaten besonderen Schutz erfordern; biometrische Daten, die zur eindeutigen Identifizierung einer Person verwendet werden — einschließlich der aus Video extrahierten Gesichtsgeometrie — sind besondere Kategorien nach Art. 9 DSGVO und bedürfen einer gesonderten Rechtfertigung.
Die praktische Konsequenz: Jedes in der EU betriebene (oder auf EU-Einwohner ausgerichtete) Videoüberwachungssystem muss alle sechs Grundsätze des Art. 5 DSGVO einhalten:
| Grundsatz | Art. 5 DSGVO | Bedeutung für die Videoüberwachung |
|---|---|---|
| Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz | Abs. 1 lit. a | Rechtsgrundlage erforderlich; Personen müssen über die Aufzeichnung informiert werden |
| Zweckbindung | Abs. 1 lit. b | Für Sicherheitszwecke erhobene Aufnahmen dürfen nicht ohne neue Rechtsgrundlage für HR-Überwachung genutzt werden |
| Datenminimierung | Abs. 1 lit. c | Kamerawinkel sollten nur das Notwendige erfassen; nicht erforderliche Bereiche sind zu vermeiden |
| Richtigkeit | Abs. 1 lit. d | Zeitstempel und Metadaten müssen korrekt sein; beschädigte Aufnahmen sind zu löschen |
| Speicherbegrenzung | Abs. 1 lit. e | Speicherfrist muss festgelegt, dokumentiert und automatisch durchgesetzt werden |
| Integrität und Vertraulichkeit | Abs. 1 lit. f | Aufnahmen müssen vor unbefugtem Zugriff, Diebstahl und Manipulation geschützt sein |
Art. 5 Abs. 2 — die Rechenschaftspflicht — verlangt, dass Sie die Einhaltung aller oben genannten Grundsätze nachweisen können, nicht nur behaupten.
Festlegung einer Rechtsgrundlage
Vor Beginn der Aufzeichnung muss eine Rechtsgrundlage nach Art. 6 DSGVO bestimmt werden. Die drei relevantesten für die Videoüberwachung sind:
-
Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): die am häufigsten genutzte Grundlage für die CCTV im Privatsektor. Erfordert eine Interessenabwägung (Legitimate Interests Assessment), die dokumentiert: (i) das verfolgte berechtigte Interesse (z. B. Verbrechensvorbeugung, Schutz von Vermögenswerten), (ii) ob die Aufzeichnung notwendig und verhältnismäßig ist, und (iii) eine Abwägung zwischen Ihrem Interesse und den berechtigten Datenschutzerwartungen der aufgezeichneten Personen. Wenn Personen an dem betreffenden Ort nicht mit einer Aufzeichnung rechnen würden, kann die Abwägung zu Ihren Ungunsten ausfallen.
-
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): greift, wenn Branchenvorschriften eine Überwachung vorschreiben — etwa in bestimmten Finanzdienstleistungsräumlichkeiten oder Verkehrsknotenpunkten. In diesem Fall stellt die Verpflichtung selbst die Grundlage dar, aber alle anderen DSGVO-Grundsätze bleiben anwendbar.
-
Wahrnehmung öffentlicher Aufgaben (Art. 6 Abs. 1 lit. e DSGVO): steht öffentlichen Stellen bei der Ausübung gesetzlicher Aufgaben zur Verfügung, z. B. Verkehrsüberwachung oder Strafverfolgungsbehörden.
Eine Einwilligung ist für die allgemeine Bereichsüberwachung in der Regel ungeeignet. Einwilligungen müssen freiwillig, spezifisch und widerrufbar sein. Personen, die einen überwachten Bereich passieren müssen, um Dienstleistungen oder ihren Arbeitsplatz zu erreichen, erteilen kaum freiwillig eine Einwilligung.
Besondere Kategorien und Art. 9 DSGVO
Wenn Kameras so eingesetzt werden, dass biometrische Daten zur eindeutigen Identifizierung von Personen verarbeitet werden — etwa Gesichtserkennungssysteme, die Gesichter mit einer Datenbank abgleichen —, werden besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeitet. Dafür brauchen Sie sowohl eine Grundlage nach Art. 6 als auch eine der Bedingungen des Art. 9 (am häufigsten Art. 9 Abs. 2 lit. g — erhebliches öffentliches Interesse — mit einer geeigneten Rechtsgrundlage im nationalen Recht). Die Anforderungen sind wesentlich höher und stehen in mehreren EU-Mitgliedstaaten unter behördlicher Aufsicht.
Transparenz: Beschilderung und Datenschutzhinweise
Art. 13 und 14 DSGVO verlangen, dass Betroffene zum Zeitpunkt der Erhebung informiert werden. Bei Videoüberwachung bedeutet das klare, sichtbare Hinweisschilder an allen Zugängen zu überwachten Bereichen, bevor Personen diese betreten. Die Beschilderung muss mindestens folgende Angaben enthalten:
- Identität des Verantwortlichen und Kontaktdaten
- Kontaktdaten des Datenschutzbeauftragten (falls nach Art. 37 DSGVO bestellt)
- Zweck der Überwachung und herangezogene Rechtsgrundlage
- Speicherfrist (oder die zur Bestimmung verwendeten Kriterien)
- Recht auf Auskunft über eigene Aufnahmen (Art. 15 DSGVO) und Hinweis auf die Ausübung dieses Rechts
- Verweis auf den vollständigen Datenschutzhinweis (per URL oder QR-Code) für eine mehrschichtige Compliance
Die Leitlinien 3/2019 des Europäischen Datenschutzausschusses zur Videoüberwachung (angenommen 2020) enthalten detaillierte Vorgaben zu Format und Inhalt rechtskonformer Beschilderung. Einige nationale Aufsichtsbehörden (darunter die deutschen Landesbehörden und der Bundesbeauftragte für den Datenschutz) haben eigene ergänzende Orientierungshilfen veröffentlicht.
Speicherfristen und Speicherbegrenzung
Vor der Inbetriebnahme muss eine konkrete Speicherfrist festgelegt, im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) dokumentiert und durch automatische Löschung durchgesetzt werden. Manuelle Prozesse gelten bei den meisten Datenschutzbehörden als nicht ausreichend verlässlich.
| Szenario | Allgemein anerkannter Speicherrahmen |
|---|---|
| Allgemeine Sicherheit / Verbrechensvorbeugung | Bis zu 30 Tage (Richtwert der Aufsichtsbehörden) |
| Aktiver Vorfall unter Untersuchung | Dauer der Untersuchung plus angemessener Puffer |
| Regulatorische Anforderung (branchenspezifisch) | Wie vorgeschrieben; Rechtsgrundlage dokumentieren |
| Auskunftsersuchen ausstehend | Bis zur Erledigung des Ersuchens |
Aufnahmen, die ohne Begründung über die dokumentierte Frist hinaus gespeichert werden, stellen einen direkten Verstoß gegen Art. 5 Abs. 1 lit. e DSGVO dar und sind ein häufiger Befund bei Behördenprüfungen.
Wann eine DSFA erforderlich ist
Art. 35 DSGVO schreibt eine Datenschutz-Folgenabschätzung vor, wenn die Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" zur Folge hat. Die vom Artikel-29-Datenschutzgremium erarbeitete und vom EDSA übernommene Liste der Verarbeitungstypen, die im Regelfall eine DSFA erfordern (WP248), nennt:
- Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche
- Einsatz innovativer Technologien (z. B. Gesichtserkennung, Verhaltensanalyse)
- Verarbeitung in großem Umfang
Auch wenn Ihr System nicht alle diese Kriterien erfüllt, wird eine DSFA als Nachweis der Rechenschaftspflicht dringend empfohlen. Eine gut dokumentierte DSFA sollte:
- Die Verarbeitung und ihre Zwecke beschreiben
- Notwendigkeit und Verhältnismäßigkeit bewerten
- Risiken für Betroffene und deren Schwere identifizieren
- Abhilfemaßnahmen dokumentieren (Zugriffskontrollen, Verschlüsselung, Speicherfristdurchsetzung, Beschilderung)
- Den Datenschutzbeauftragten konsultieren (sofern bestellt)
- Aufbewahrt und bei Systemänderungen aktualisiert werden
Verbleiben nach Abschluss der DSFA hohe Restrisiken, die nicht gemindert werden können, verlangt Art. 36 DSGVO eine vorherige Konsultation der Aufsichtsbehörde.
Umgang mit Betroffenenrechten
Personen, deren Bild in Aufnahmen erscheint, verfügen über durchsetzbare Rechte nach der DSGVO. Die im CCTV-Kontext häufigsten sind:
Auskunftsrecht (Art. 15 DSGVO): Betroffene können eine Kopie der Aufnahmen anfordern, auf denen sie erscheinen. Die Antwortfrist beträgt einen Monat (verlängerbar auf drei Monate bei komplexen Fällen). Die Herausforderung: Ein einzelner Clip kann weitere identifizierbare Personen zeigen, deren Daten dem Antragsteller nicht offenbart werden dürfen. Vor Herausgabe der Aufnahmen müssen alle Dritten unkenntlich gemacht werden — andernfalls verletzt die Herausgabe die DSGVO-Rechte aller anderen im Clip sichtbaren Personen.
Recht auf Löschung (Art. 17 DSGVO): kann greifen, wenn Aufnahmen nicht mehr erforderlich sind, eine Einwilligung widerrufen wird oder kein überwiegendes berechtigtes Interesse vorliegt. Weniger eindeutig, wenn berechtigte Interessen oder rechtliche Verpflichtungen die Grundlage bilden.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): der Betroffene kann verlangen, dass die Verarbeitung eingeschränkt wird, während ein Streit über Richtigkeit oder Rechtsgrundlage geklärt wird.
Die Bearbeitung dieser Ersuchen im größeren Maßstab — insbesondere die Unkenntlichmachung Dritter vor der Herausgabe — ist ohne automatisierte Werkzeuge operativ sehr aufwendig.
Anonymisierung vor der Weitergabe: das praktische Risikoreduzierungsinstrument
Die häufigste DSGVO-Komplikation im CCTV-Bereich ist nicht die Speicherung oder Beschilderung — es ist die Weitergabe von Aufnahmen an Dritte: Versicherer, Anwälte, Medien oder die öffentliche Veröffentlichung von Clips. Jede neue Offenlegung ist ein eigenständiger Verarbeitungsvorgang, der eine eigene Rechtsgrundlage erfordert.
Anonymisierung umgeht dieses Problem. Wenn Sie vor der Weitergabe alle Gesichter, Kfz-Kennzeichen und andere identifizierenden Details unkenntlich machen, handelt es sich bei den resultierenden Aufnahmen nicht mehr um personenbezogene Daten (Erwägungsgrund 26 DSGVO) — und die DSGVO-Pflichten für den Empfänger entfallen weitgehend. Dies ist der rechtssicherste Ansatz bei:
- Weitergabe eines Vorfallclips an einen Versicherer oder ein Anwaltsteam
- Beantwortung eines Auskunftsersuchens (Unkenntlichmachung Dritter)
- Veröffentlichung von Aufnahmen zur Sicherheitsaufklärung oder Schulung
- Bereitstellung von Material für Forscher oder Journalisten
Automatisierung ist hier entscheidend, da manuelles Unkenntlichmachen langsam, inkonsistent und schwer zu prüfen ist. CCTV-Aufnahmen automatisch anonymisieren mit KI, die Gesichter und Kennzeichen in jedem Frame lokalisiert und sie irreversibel entfernt — mit einem generierten Prüfprotokoll, das dokumentiert, was wann entfernt wurde. Die Verarbeitungskette ist von Grund auf prüfbar, was Ihre Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO stärkt.
Hintergründe dazu, warum Irreversibilität wichtig ist — und wie Anonymisierung sich von Pseudonymisierung unterscheidet — finden Sie unter Anonymisierung vs. Pseudonymisierung.
Compliance-Checkliste für Betreiber von Videoüberwachungsanlagen
Nutzen Sie diese Liste als Ausgangspunkt vor oder während einer CCTV-Prüfung:
- Rechtsgrundlage ermittelt und in einer Interessenabwägung oder gleichwertigem Dokument festgehalten
- Eintrag im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) für das Videoüberwachungssystem angelegt
- Datenschutzhinweise / Beschilderung an allen Zugängen zu überwachten Bereichen angebracht
- Speicherfrist festgelegt, dokumentiert und durch automatische Löschung durchgesetzt
- DSFA abgeschlossen (erforderlich bei großflächiger oder öffentlich zugänglicher Überwachung)
- Zugriffskontrollen für die Aufnahmenspeicherung auf benannte Rollen beschränkt
- Prozess zur Bearbeitung von Auskunfts- und Löschersuchen vorhanden
- Verfahren zur Unkenntlichmachung Dritter vor der Beantwortung von Auskunftsersuchen implementiert
- Externe Auftragsverarbeiter (Cloud-Speicher, VMS-Anbieter) durch Verträge nach Art. 28 DSGVO abgedeckt
- Datenschutzbeauftragten konsultiert (sofern bestellt)
- Regelmäßiger Überprüfungszyklus geplant (mindestens jährlich oder bei Systemänderungen)
Jetzt CCTV-Aufnahmen anonymisieren, bevor Sie sie weitergeben
Videoüberwachung ist ein legitimes und weit verbreitetes Sicherheitsinstrument. Die Compliance-Anforderungen der DSGVO sind real, aber beherrschbar — mit klaren Richtlinien, dokumentierten Rechtsgrundlagen, automatisch durchgesetzten Speicherfristen und Werkzeugen, die die schwierigste Aufgabe übernehmen: Aufnahmen zu anonymisieren, bevor sie Ihr Unternehmen verlassen.
Häufig gestellte Fragen
- Gilt die DSGVO für Videoüberwachungsaufnahmen?
- Ja. Videoaufnahmen, auf denen identifizierbare Personen zu sehen sind, stellen personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO dar. Das bedeutet, dass alle Grundsätze der DSGVO — Rechtsgrundlage, Zweckbindung, Datensparsamkeit, Speicherbegrenzung und Betroffenenrechte — für den Betrieb, die Speicherung und die Weitergabe dieser Aufnahmen gelten. Anonym gemachte Aufnahmen, aus denen keine Person mehr identifiziert werden kann, fallen grundsätzlich nicht in den Anwendungsbereich der DSGVO.
- Was ist die Rechtsgrundlage für Videoüberwachung nach der DSGVO?
- Die meisten Organisationen stützen sich auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO), was eine dokumentierte Interessenabwägung erfordert, die den Sicherheitsbedarf gegen den Eingriff in die Privatsphäre der aufgezeichneten Personen abwägt. Öffentliche Stellen können sich auf die Wahrnehmung öffentlicher Aufgaben (Art. 6 Abs. 1 lit. e DSGVO) berufen. Eine Einwilligung ist für die allgemeine Bereichsüberwachung selten geeignet, da sie freiwillig erteilt werden muss — was in Bereichen, die Personen passieren müssen, kaum gewährleistet ist.
- Wie lange dürfen Videoüberwachungsaufnahmen nach der DSGVO gespeichert werden?
- Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) verlangt, dass Aufnahmen nicht länger als für den angegebenen Zweck erforderlich gespeichert werden. Die meisten Datenschutzbehörden betrachten 72 Stunden bis 30 Tage als angemessene Faustregel für allgemeine Sicherheitsaufnahmen; konkrete Vorfälle können eine längere Speicherung rechtfertigen. Branchenregulatoren (z. B. Banken, Verkehr) können eigene Fristen vorschreiben. Die Speicherfrist muss dokumentiert und durch automatische Löschung durchgesetzt werden.
- Wann ist eine Datenschutz-Folgenabschätzung (DSFA) für Videoüberwachungssysteme erforderlich?
- Eine DSFA ist nach Art. 35 DSGVO erforderlich, wenn die Verarbeitung 'voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen' zur Folge hat. Die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche wird ausdrücklich als Verarbeitungstyp genannt, der in der Regel eine DSFA erfordert. Auch bei kleineren Systemen gilt die DSFA als gute Praxis und belegt die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
- Welche Rechte haben Personen in Bezug auf Videoaufnahmen, auf denen sie zu sehen sind?
- Betroffene können Auskunftsersuchen (Art. 15 DSGVO) stellen, um eine Kopie der Aufnahmen zu erhalten, auf denen sie erscheinen. Sie haben außerdem das Recht auf Löschung (Art. 17 DSGVO) und auf Einschränkung der Verarbeitung (Art. 18 DSGVO) unter bestimmten Umständen. Die Bearbeitung dieser Ersuchen ist komplex, wenn ein Clip mehrere Personen enthält — vor der Herausgabe müssen alle anderen Personen unkenntlich gemacht werden, um die Rechte Dritter zu wahren.
- Kann ich Videoüberwachungsaufnahmen weitergeben oder veröffentlichen, ohne die DSGVO zu verletzen?
- Die Weitergabe identifizierbarer Aufnahmen — an Versicherer, Anwälte, Medien oder über soziale Plattformen — ist ein eigenständiger Verarbeitungsvorgang, der eine eigene Rechtsgrundlage erfordert. Vor der Weitergabe an Dritte, die nicht im Rahmen einer rechtlichen Verpflichtung handeln, sollten Aufnahmen durch Unkenntlichmachung von Gesichtern, Kennzeichen und anderen Merkmalen anonymisiert werden. Dadurch entfällt für den Empfänger weitgehend das DSGVO-Risiko.