Brauche ich eine Datenschutz-Folgenabschätzung (DSFA) für Videoüberwachung?

Eine DSFA ist erforderlich, wenn die Videoüberwachung öffentlich zugängliche Bereiche in großem Umfang erfasst, KI-gestützte Verhaltensanalyse einsetzt oder besonders sensible Bereiche (Umkleiden, Sanitäranlagen) betrifft. Für einfache Einzel-Kamera-Installationen in nicht-öffentlichen Bereichen ist sie in der Regel nicht zwingend.

Muss der Betriebsrat bei Videoüberwachung mitbestimmen?

Ja. Videoüberwachung am Arbeitsplatz unterliegt gemäß § 87 Abs. 1 Nr. 6 BetrVG dem erzwingbaren Mitbestimmungsrecht des Betriebsrats. Ohne Zustimmung des Betriebsrats oder eine Einigungsstellenentscheidung ist die Einführung von Überwachungstechnik rechtswidrig und führt zu Unterlassungsansprüchen.

Gilt die DSGVO auch für private Videoüberwachung am Haus?

Nein, für rein privaten Hausgebrauch gilt die Haushaltsausnahme (Art. 2 Abs. 2 lit. c DSGVO). Sobald die Kamera aber öffentlichen Bereich, Gehweg oder Nachbargrundstück erfasst, fällt die Überwachung unter die DSGVO und bedarf einer Rechtsgrundlage.

Wie lange gilt die Meldepflicht bei Datenpannen aus Videoüberwachung?

Datenpannen, die aus Videoüberwachungssystemen entstehen (z.B. unberechtigter Zugriff auf Aufnahmen), müssen innerhalb von 72 Stunden nach Bekanntwerden bei der zuständigen Aufsichtsbehörde gemeldet werden (Art. 33 DSGVO). Betroffene Personen sind zu benachrichtigen, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht.

DSGVO-konforme Videoüberwachung 2025/2026: Der vollständige Leitfaden

1. Rechtsgrundlage: Wann ist Videoüberwachung erlaubt?

Die Zulässigkeit von Videoüberwachung in Deutschland folgt einem mehrstufigen Rahmen: Europäische DSGVO, Bundesdatenschutzgesetz (BDSG) und spezifische Landesdatenschutzgesetze. Die DSGVO gilt unmittelbar, der Verordnungstext braucht keine nationale Umsetzung, hat aber Öffnungsklauseln, die Deutschland über das BDSG ausgefüllt hat.

Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse

Die wichtigste Rechtsgrundlage für betriebliche Videoüberwachung ist das berechtigte Interesse des Verantwortlichen (Art. 6 Abs. 1 lit. f DSGVO). Dieses muss drei Tests bestehen:

Zwecklegitimität: Der Zweck muss legitim sein (z.B. Einbruchsprävention, Schutz von Mitarbeitern und Vermögenswerten).
Erforderlichkeit: Videoüberwachung muss das mildeste Mittel sein, das den Zweck erfüllt, nicht nur bequem, sondern notwendig.
Verhältnismäßigkeit (Interessenabwägung): Das Interesse des Betreibers muss das Interesse der betroffenen Personen überwiegen.

§ 4 BDSG: Videoüberwachung öffentlich zugänglicher Räume

§ 4 BDSG regelt spezifisch die Videoüberwachung öffentlich zugänglicher Räume. Die Norm erlaubt solche Überwachung durch öffentliche Stellen, Hausrechtsinhaber und für Sicherheitszwecke, wenn ein schutzwürdiges Interesse besteht und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

Kritisch: "Öffentlich zugänglich" umfasst auch Eingangsbereiche, Ladengeschäfte, Restaurants und Tiefgaragen, nicht nur Plätze im Freien.

Besondere Kategorien: Biometrische Daten

Sobald KI-Systeme Gesichter erkennen, Emotionen analysieren oder Personen identifizieren, werden biometrische Daten nach Art. 9 DSGVO verarbeitet . eine besonders sensible Kategorie mit erhöhten Anforderungen. Die Verarbeitung ist grundsätzlich verboten, außer bei einer der eng gefassten Ausnahmen (z.B. ausdrückliche Einwilligung, Notwehr, öffentliches Interesse).

2. Hinweisschildpflicht: Was muss draufstehen?

Die Hinweispflicht ergibt sich aus Art. 13 DSGVO (Informationspflicht bei Direkterhebung) und § 4 Abs. 2 BDSG. Das Schild muss für Betroffene erkennbar sein, bevor sie den überwachten Bereich betreten.

Pflichtangaben auf dem Schild

Klarer Hinweis auf Videoüberwachung (Piktogramm + Text)
Name und Kontaktdaten des Verantwortlichen
Zweck der Überwachung
Rechtsgrundlage (Kurzform; z.B. "Art. 6 (1) f DSGVO")
Kontakt des Datenschutzbeauftragten (falls vorhanden)
Hinweis auf Betroffenenrechte (Auskunft, Löschung)

Für detaillierte Datenschutzinformationen kann auf eine "zweite Ebene" verwiesen werden, z.B. eine URL oder einen QR-Code, der zur vollständigen Datenschutzerklärung führt.

Positionierung

Das Schild muss auf Augenhöhe, gut beleuchtet und gut lesbar angebracht werden. Bei großflächigen Installationen (z.B. Einkaufszentrum, Industriegelände) sind mehrere Schilder an allen Zugangspunkten erforderlich. Eine versteckte Kamera ohne Hinweis ist stets rechtswidrig.

3. Speicherfristen: Wie lange dürfen Aufnahmen gespeichert werden?

Die DSGVO selbst gibt keine konkreten Speicherfristen vor, das Prinzip der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) verlangt, dass Daten nur so lange gespeichert werden, wie es für den Zweck erforderlich ist.

Orientierungswerte der Aufsichtsbehörden

Szenario	Empfohlene Speicherfrist
Routineüberwachung ohne Vorfall	24–72 Stunden
Verdachtsfall / Auswertungsbedarf	Bis zur Klärung, max. 30 Tage
KRITIS-Betreiber (begründet)	Bis zu 30 Tage
Strafverfolgungsrelevante Aufnahmen	Bis zur Übergabe an Behörden

Praxis-Hinweis: Systeme sollten so konfiguriert sein, dass Aufnahmen automatisch nach der definierten Frist überschrieben oder gelöscht werden. Eine manuelle Löschung auf Anfrage muss jederzeit möglich sein (Art. 17 DSGVO).

4. Datenschutz-Folgenabschätzung (DSFA)

Eine DSFA gemäß Art. 35 DSGVO ist verpflichtend, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Die Aufsichtsbehörden haben Listen erlassen, bei welchen Verarbeitungen eine DSFA immer erforderlich ist (Art. 35 Abs. 4 DSGVO).

DSFA ist erforderlich bei:

Systematischer Überwachung öffentlich zugänglicher Bereiche in großem Umfang
KI-gestützter Verhaltensanalyse und -erkennung
Biometrischer Identifizierung oder Gesichtserkennung
Überwachung sensibler Bereiche (Krankenhäuser, Schulen, Gebetsstätten)
KRITIS-Anlagen mit umfangreicher Videoerfassung

Was eine DSFA enthält

Systematische Beschreibung der Verarbeitungsvorgänge
Bewertung der Notwendigkeit und Verhältnismäßigkeit
Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen
Abhilfemaßnahmen (technische und organisatorische Maßnahmen)

5. Mitbestimmungsrecht: Die Rolle des Betriebsrats

§ 87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat ein erzwingbares Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.

Videoüberwachung fällt grundsätzlich darunter, auch wenn der primäre Zweck der Diebstahlschutz ist, nicht die Mitarbeiterüberwachung. Die Geeignetheit zur Überwachung (nicht die Absicht) ist entscheidend.

Folge: Ohne Betriebsvereinbarung oder Einigungsstellenentscheidung kann der Betriebsrat Installation und Betrieb der Kameras vor dem Arbeitsgericht untersagen lassen. Aufnahmen, die ohne Mitbestimmung gewonnen wurden, sind in der Regel nicht verwertbar.

6. KI-Kameras und EU AI Act

Der EU AI Act (Verordnung (EU) 2024/1689) ist seit August 2024 in Kraft und wird bis August 2026 vollständig anwendbar. Er schafft neue Pflichten für KI-gestützte Videoüberwachungssysteme, über die DSGVO hinaus.

Verbotene KI-Praktiken (ab Februar 2025)

Art. 5 EU AI Act verbietet bestimmte KI-Systeme vollständig, darunter:

Echtzeit-Fernidentifizierung anhand biometrischer Daten in öffentlich zugänglichen Räumen (mit engen Ausnahmen für Strafverfolgung)
Systeme zur Bewertung des sozialen Verhaltens von Personen ("Social Scoring")
Manipulation durch unterschwellige Techniken

Hochrisiko-KI-Systeme (Hochlauffristen bis August 2026)

Videoüberwachungssysteme für kritische Infrastrukturen gelten als Hochrisiko-KI (Anhang III, Nr. 2 EU AI Act). Für sie gelten:

Technische Dokumentation nach Anhang IV
Protokollierungspflichten (automatische Logs)
Transparenz gegenüber Nutzern (klare Informationen über Fähigkeiten und Grenzen)
Menschliche Aufsicht (Mensch-in-der-Schleife oder Mensch-über-der-Schleife)
Genauigkeit, Robustheit, Cybersicherheit
Konformitätsbewertung vor Inbetriebnahme

Was das für Darlot-Systeme bedeutet

Darlots KI-Videoanalyse (Bewegungserkennung, Objektklassifizierung, Anomalieerkennung) ist für KRITIS-Betreiber als Hochrisiko-KI einzustufen. Alle Systeme werden EU AI Act-konform konfiguriert geliefert, inklusive technischer Dokumentation und Audit-Logs.

7. Datenpannen und Meldepflichten

Eine Datenpanne im Videoüberwachungskontext liegt vor, wenn Unbefugte Zugriff auf Aufnahmen erlangen, Aufnahmen unbeabsichtigt öffentlich werden oder Systeme kompromittiert werden. Die Meldepflicht nach Art. 33 DSGVO gilt innerhalb von 72 Stunden nach Bekanntwerden.

Betroffene Personen sind nach Art. 34 DSGVO unverzüglich zu informieren, wenn die Datenpanne voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten verursacht. Bei Videoüberwachungsdaten ist das Risiko regelmäßig hoch, wenn Aufnahmen von Privat- oder Intimsphären betroffen sind.

8. Checkliste für Betreiber

Diese Checkliste ersetzt keine Rechtsberatung, gibt aber einen schnellen Überblick über die wichtigsten Handlungspflichten.

Pflicht	Rechtsgrundlage	Status
Rechtsgrundlage dokumentiert	Art. 6 DSGVO / § 4 BDSG	☐
Interessenabwägung durchgeführt und dokumentiert	Art. 6 Abs. 1 lit. f DSGVO	☐
Hinweisschilder an allen Zugangspunkten	Art. 13 DSGVO / § 4 BDSG	☐
Datenschutzerklärung (2. Ebene) vorhanden	Art. 13/14 DSGVO	☐
Speicherfrist konfiguriert und automatisch durchgesetzt	Art. 5 Abs. 1 lit. e DSGVO	☐
Verarbeitungsverzeichnis aktualisiert	Art. 30 DSGVO	☐
DSFA durchgeführt (falls erforderlich)	Art. 35 DSGVO	☐
Betriebsrat informiert / Betriebsvereinbarung geschlossen	§ 87 Abs. 1 Nr. 6 BetrVG	☐
Auftragsverarbeitungsvertrag mit Dienstleister	Art. 28 DSGVO	☐
Datenpannen-Prozess definiert (72h-Meldung)	Art. 33/34 DSGVO	☐
KI-Systeme auf EU AI Act-Konformität geprüft	Verordnung (EU) 2024/1689	☐

FAQ: Häufige Fragen zur DSGVO-konformen Videoüberwachung

Ist Videoüberwachung am Arbeitsplatz nach DSGVO erlaubt?

Ja, unter strengen Voraussetzungen. Die Rechtsgrundlage ist § 26 BDSG (berechtigtes Interesse des Arbeitgebers) kombiniert mit Art. 6 Abs. 1 lit. f DSGVO. Offen ausgelegte Überwachung zur Diebstahlprävention ist bei verhältnismäßiger Umsetzung und Betriebsratsanhörung zulässig. Verdeckte Überwachung ist nur bei konkretem Anfangsverdacht erlaubt.

Wie lange dürfen Videoaufnahmen gespeichert werden?

Die Aufsichtsbehörden empfehlen 48 bis maximal 72 Stunden für Routineaufnahmen ohne Vorfall. Bei konkreten Vorfällen kann die Speicherfrist verlängert werden, muss aber dokumentiert und verhältnismäßig sein.

Welche Pflichthinweise brauche ich für Videoüberwachung?

Pflicht ist ein gut sichtbares Hinweisschild vor dem überwachten Bereich mit Zweck, Verantwortlichem und Kontaktdaten des Datenschutzbeauftragten.

Was verändert der EU AI Act für KI-Kameras?

KI-Systeme für Echtzeit-Fernidentifizierung in öffentlichen Räumen sind unter dem EU AI Act grundsätzlich verboten. Systeme zur Verhaltenserkennung in kritischen Infrastrukturen gelten als Hochrisiko-KI mit erweiterten Dokumentations- und Transparenzpflichten. Die vollständigen Pflichten gelten ab August 2026.