Videoüberwachung DSGVO-konform: Leitfaden für Unternehmen (2026)

Für DSGVO-widrige Videoüberwachung verhängt die LDI NRW bei kleinen und mittleren Betrieben Bußgelder zwischen 5.000 und 50.000 Euro, in fast allen Fällen wegen derselben drei Fehler. Fehlende oder unvollständige Beschilderung, zu lange Speicherfristen und Kameras, die Bereiche erfassen, die nicht gefilmt werden dürfen: das sind Verstöße, die mit einer Stunde Planung vermeidbar wären. Hier ist, wie wir DSGVO-konforme Videoüberwachung bei unseren Kunden in NRW einrichten.

Wann Videoüberwachung im Unternehmen überhaupt erlaubt ist

Artikel 6 Absatz 1 lit. f DSGVO erlaubt Videoüberwachung, wenn ein berechtigtes Interesse vorliegt und dieses die Interessen der Betroffenen überwiegt. Im Klartext: Sie brauchen einen Grund, warum gefilmt wird, und der Grund muss schriftlich dokumentiert sein.

Zulässig sind typischerweise:

• Schutz des Eigentums vor Diebstahl und Vandalismus
• Sicherung von Zugängen, Lagerräumen, Tresorräumen
• Überwachung gefährlicher Produktionsanlagen zur Arbeitssicherheit
• Dokumentation von Unfällen oder Verkehrsbewegungen auf dem Firmengelände

Nicht erlaubt (oder nur mit sehr hohen Hürden):

• Pausen- und Sozialräume
• Toiletten und Umkleiden
• Arbeitsplätze (Ausnahme: konkreter Verdacht auf Straftaten, und das muss juristisch hart begründet sein)
• Öffentliche Straßen und Gehwege. Einen schmalen Streifen direkt vor der Tür, okay. Die ganze Straße, nein.
• Nachbargrundstücke. Auch keine Teile davon, auch nicht schräg, auch nicht aus Versehen.

Fünf Pflichten, die Sie als Unternehmer erfüllen müssen

1. Verzeichnis von Verarbeitungstätigkeiten

Jede Videoüberwachung gehört in Ihr Verzeichnis von Verarbeitungstätigkeiten (VVT). Was drinstehen muss: Zweck, betroffene Personengruppen, verwendete Technik, Speicherdauer, Löschkonzept, Schutzmaßnahmen. Ohne VVT-Eintrag droht ein eigenständiges Bußgeld, selbst wenn die Überwachung an sich zulässig wäre.

2. Beschilderung, die tatsächlich den Anforderungen genügt

Vor jedem überwachten Bereich muss ein Hinweisschild, sichtbar bevor jemand den Bereich betritt. Pflichtangaben:

• Piktogramm Kamera
• Name und Kontakt des Verantwortlichen (die Firma)
• Zweck der Verarbeitung, also warum gefilmt wird
• Rechtsgrundlage (in 99 Prozent der Fälle: Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse)
• Speicherdauer
• Betroffenenrechte (Auskunft, Löschung, Widerspruch)
• Kontakt des Datenschutzbeauftragten
• Verweis auf die ausführliche Datenschutzerklärung

Ein allgemeines Schild mit nur "Dieses Gelände wird videoüberwacht" reicht seit Inkrafttreten der DSGVO nicht mehr. Reicht wirklich nicht. Die LDI NRW hat das 2023 bei einer Kölner Kontrolle explizit festgestellt.

Die Aufsichtsbehörden bieten kostenlose Muster an, damit müssen Sie keine Anwälte für die Beschilderung beauftragen.

3. Speicherfrist: 72 Stunden, automatisch gelöscht

Die Faustregel, die sich in der Rechtsprechung durchgesetzt hat: maximal 72 Stunden. Danach muss automatisch gelöscht werden, sofern kein konkreter Anlass vorliegt. Längere Speicherfristen sind nur zulässig, wenn:

• Die Aufsichtsbehörde ausdrücklich zugestimmt hat (kommt selten vor)
• Ein konkreter Ermittlungsvorgang läuft
• Eine gesetzliche Aufbewahrungspflicht greift (noch seltener bei Video)

In der Praxis heißt das: der NVR oder Cloud-Service überschreibt ältere Aufnahmen automatisch. Die 72-Stunden-Einstellung gehört in die Erstinstallation und muss dokumentiert sein.

4. Zugriff dokumentieren

Nur namentlich bestimmte Personen dürfen auf die Aufnahmen zugreifen. Typisch in kleinen Betrieben: Geschäftsführer, IT-Verantwortlicher, Sicherheitsbeauftragter. Alle Zugriffe werden protokolliert. Wer hat wann welche Aufnahme gesichtet, wer hat exportiert, wer hat konfiguriert.

Moderne IP-Kamerasysteme machen das automatisch über Audit-Logs. Bei älteren Analog-Systemen müssen Sie ein manuelles Zugriffs-Logbuch führen. Klingt umständlich, ist aber seltener relevant, als man denkt (bei den meisten Kunden greift niemand aktiv auf die Aufnahmen zu, bis etwas passiert).

5. Datenschutzfolgenabschätzung bei Risikosystemen

Wenn Sie großflächig überwachen oder KI einsetzen (Gesichtserkennung, Verhaltensanalyse), brauchen Sie eine DSFA nach Art. 35 DSGVO. Für normale Eingangs- und Lagerüberwachung ist das meistens nicht Pflicht, aber im Zweifel schriftlich dokumentieren, warum Sie sie nicht gemacht haben. Dann haben Sie bei einer Prüfung etwas in der Hand.

Was sich 2024 bis 2026 rechtlich geändert hat

Die Aufsichtsbehörden prüfen strenger. Vier Entwicklungen, die wir bei Kunden gesehen haben:

• Die DSK-Orientierungshilfe Videoüberwachung wurde 2024 überarbeitet, mit konkreteren Anforderungen an Beschilderung und Speicherung.
• OLG Frankfurt 2024: Überwachung eines Mitarbeiterparkplatzes ohne vorherige Information der Mitarbeiter ist unzulässig.
• LDI NRW 2025: gezielte Kontrollen im Einzelhandel und in der Gastronomie, Schwerpunkt Bonn, Köln, Düsseldorf.
• EDPB-Leitlinien 2024: strengere Auslegung des "berechtigten Interesses", wenn mehrere Kameras kombiniert sind.

Praktische Konsequenz: Checklisten aus 2022 decken heute nicht mehr alles ab. Wir empfehlen eine Überprüfung alle zwei Jahre, durch Datenschutzbeauftragten oder einen Installateur, der den aktuellen Stand kennt.

Drei Fälle aus NRW, die teuer wurden

Einzelhandel Köln, 35.000 € Bußgeld. Ein Bekleidungsgeschäft filmte den Eingang und die Umkleiden mit demselben Kamera-Setup. Die Umkleidenüberwachung war unzulässig, weil sie in den Persönlichkeitsrechts-Kernbereich eingreift. Zusätzlich fehlten Beschilderung und Speicherkonzept. Die LDI NRW hat 2023 ein Bußgeld verhängt, das dem Jahresgewinn entsprach.

Arztpraxis Bonn, Unterlassungsklage. Die Praxis installierte Kameras im Wartezimmer, angeblich "zum Schutz der Patienten". Im VVT stand kein klarer Zweck, die Patienten wurden nicht schriftlich informiert. Eine Patientin klagte und gewann. Kameras mussten entfernt werden, Verfahrenskosten gingen zu Lasten der Praxis, zusätzlich 1.800 € Schadensersatz.

Mittelständischer Produktionsbetrieb Rhein-Sieg-Kreis, Betriebsrats-Konflikt. Kameras in der Produktionshalle, ohne Beteiligung des Betriebsrats installiert. Der Betriebsrat erwirkte eine einstweilige Verfügung, die Kameras mussten sofort abgeschaltet werden. Nachträgliche Betriebsvereinbarung, neue Beschilderung, Beratung: knapp 8.500 € Gesamtkosten. Wäre der Prozess von Anfang an sauber gelaufen, hätte es vielleicht 1.000 € gekostet.

Alle drei Fälle wären mit vorheriger Planung vermeidbar gewesen. In jedem davon.

Technische Anforderungen, die das System erfüllen muss

Eine DSGVO-konforme Videoüberwachung ist auch eine technische Frage:

Günstige Consumer-Kameras unter 100 € pro Stück erfüllen meistens nur zwei oder drei dieser Anforderungen. Für gewerbliche Nutzung in der Regel nicht geeignet.

Was es realistisch kostet

Für einen kleinen Gewerbebetrieb, vier bis sechs Kameras, typische Positionen (Eingang, Kasse, Lager, Außen):

• 4 bis 8 IP-Kameras, 600 bis 1.600 €
• NVR mit 4 bis 8 TB Speicher, 400 bis 900 €
• Netzwerk und PoE-Switch, Verkabelung, 300 bis 700 €
• DSGVO-konforme Konfiguration plus Dokumentation, 400 bis 800 €
• Hinweisschilder, genormt und wetterfest, 50 bis 150 €
• Einweisung und Datenschutz-Check, 200 bis 400 €

Gesamtkosten für eine 6-Kamera-Installation: 2.500 bis 4.500 €. Preisbeispiele für größere Installationen finden Sie in unserem Artikel Videoüberwachung Kosten.

Unterhalt: Festplatten alle drei bis fünf Jahre tauschen (100 bis 200 € pro Platte), Software-Updates (bei Business-Herstellern im Wartungsvertrag, 100 bis 300 € pro Jahr), jährliche Konfigurationsprüfung (200 bis 400 €).

Häufige Fragen

Reicht ein "Dies Gelände wird videoüberwacht"-Schild?

Nein. Allgemeine Hinweise ohne die Pflichtangaben sind seit DSGVO nicht mehr zulässig. Sie brauchen Verantwortlicher, Zweck, Speicherdauer, DSB-Kontakt, alles davon.

Darf ich den Parkplatz meiner Firma filmen?

Den eigenen Parkplatz ja, wenn Sie ein berechtigtes Interesse belegen können (Diebstahl, Sachbeschädigung). Mitarbeiter-Parkplätze nur mit vorheriger Information, bei vorhandenem Betriebsrat meistens nur mit Betriebsvereinbarung. Angrenzende öffentliche Flächen nicht oder höchstens ein Meter über die Grundstücksgrenze.

Wie lange dürfen Aufnahmen gespeichert werden?

Normalfall 72 Stunden. Bei konkretem Anlass (Einbruch, Unfall) bis zur Klärung, danach Löschung. Längere generelle Speicherfristen sind fast nie zulässig.

Müssen Mitarbeiter über die Videoüberwachung informiert werden?

Ja, und zwar bevor sie den überwachten Bereich zum ersten Mal betreten. Bei Arbeitsplatzüberwachung zusätzlich eine Betriebsvereinbarung (wenn Betriebsrat da ist) oder schriftliche Einwilligung jedes Mitarbeiters.

Was passiert bei einem Verstoß?

Art. 83 DSGVO erlaubt Bußgelder bis 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. In der Praxis bei kleinen Unternehmen: meistens 5.000 bis 50.000 €. Dazu zivilrechtliche Schadensersatzansprüche der Betroffenen, pro Fall oft 500 bis 2.000 €.

Rechtssichere Installation in NRW

Die Mehrkosten für eine rechtssichere Einrichtung liegen meistens bei 400 bis 800 €, zusätzlich zur reinen Technik. Ein einziges Bußgeldverfahren kostet das Zehnfache, ein Reputationsschaden noch mehr.

Wir planen und installieren DSGVO-konforme Videoüberwachungssysteme in Bonn, Köln, Düsseldorf und den übrigen NRW-Städten. Bei komplexeren Fällen arbeiten wir mit spezialisierten Datenschutzbeauftragten zusammen. Termin für eine unverbindliche Prüfung vereinbaren.

Dieser Leitfaden ersetzt keine individuelle Rechtsberatung. Für konkrete Fragen zum Datenschutz wenden Sie sich an einen Datenschutzbeauftragten oder Fachanwalt.