Videoüberwachung im Unternehmen DSGVO-konform (Hamburg)

Inhalt in Kürze

• Jede Kamera braucht eine Rechtsgrundlage: im Laden, am Eingang oder auf dem Parkplatz (öffentlich zugänglich) § 4 BDSG, im rein internen Bereich Art. 6 Abs. 1 lit. f DSGVO — immer mit dokumentierter Interessenabwägung.
• Hinweisschild ist Pflicht: ein vorgelagertes Schild nach Art. 13 DSGVO vor dem überwachten Bereich, plus vollständige Restinformationen über ein Zwei-Stufen-Modell.
• Speicherdauer 48 bis 72 Stunden als von den Aufsichtsbehörden anerkannter Richtwert — danach automatische Löschung, längere Speicherung nur mit Begründung.
• Mitarbeiterüberwachung ist heikel: § 26 BDSG setzt enge Grenzen, der Betriebsrat hat zwingendes Mitbestimmungsrecht — und das teuerste deutsche Video-Bußgeld lag bei 10,4 Millionen Euro.

Stand: Mai 2026 · Autor: Nils Oehmichen · Lesezeit: 10 Minuten

Sie wollen eine Kamera am Lagereingang, an der Kasse oder auf dem Mitarbeiterparkplatz installieren — und fragen sich, was die DSGVO dazu sagt? Berechtigt. Videoüberwachung ist einer der häufigsten Anlässe für Bußgelder und für Beschwerden beim HmbBfDI. Dieser Artikel zeigt Ihnen, welche Rechtsgrundlage gilt, was meist zulässig ist und was nie, welche Pflichten Sie treffen (Schild, Speicherdauer, DSFA, VVT) und wie Sie eine Überwachung Schritt für Schritt rechtssicher aufsetzen.

Videoüberwachung im Unternehmen DSGVO-konform: die Rechtsgrundlage

Bevor die erste Kamera hängt, brauchen Sie eine Antwort auf eine einzige Frage: Worauf stützen Sie die Überwachung rechtlich? Welche Norm gilt, hängt davon ab, wo Sie filmen.

Öffentlich zugängliche Bereiche — also Räume und Flächen, die jeder betreten kann, ohne dass es individuell kontrolliert wird: Verkaufsraum, Empfang, Kassenbereich, Parkplatz mit Kundenverkehr — fallen unter § 4 BDSG. Die Norm erlaubt Videoüberwachung, soweit sie zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist — und keine überwiegenden schutzwürdigen Interessen der Betroffenen entgegenstehen.

Rein interne, nicht öffentlich zugängliche Bereiche — Lager ohne Kundenverkehr, Serverraum, Innenhof hinter verschlossenem Tor — laufen über das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Auch hier gilt: berechtigtes Interesse benennen, Erforderlichkeit prüfen, Interessen abwägen.

Erforderlichkeit und Verhältnismäßigkeit — das milderere Mittel

Erforderlich heißt: Es gibt kein milderes, gleich wirksames Mittel. Wollen Sie nur verhindern, dass nachts jemand auf den Hof gelangt, ist vielleicht ein besseres Schloss, ein Zaun oder eine Bewegungsmelder-Beleuchtung das mildere Mittel — dann ist die Kamera nicht erforderlich. Wollen Sie wiederkehrenden Ladendiebstahl an der Kasse dokumentieren, für den es konkrete Anhaltspunkte gibt, ist die Kamera ein angemessenes Mittel. Die Behörden verlangen eine echte Abwägung, keine pauschale Begründung „aus Sicherheitsgründen”.

Wo Videoüberwachung meist zulässig ist — und wo nie

In der Beratung läuft fast jede Diskussion auf dieselbe Landkarte hinaus. Was geht in der Regel, was geht mit guter Begründung, und was ist tabu.

Die rote Linie ist eindeutig: Höchstpersönliche Bereiche wie Toiletten, Umkleiden und Sanitärräume dürfen niemals überwacht werden — auch nicht mit Einwilligung und auch nicht „nur kurz wegen eines Vorfalls”. Ebenso tabu ist der öffentliche Gehweg vor Ihrem Geschäft: Den dürfen Sie nicht mitfilmen, weil Sie dort kein Hausrecht haben. Richten Sie die Kamera so aus, dass nur Ihr eigenes Gelände im Bild ist.

Ihre Pflichten als Betreiber

Eine zulässige Rechtsgrundlage ist die halbe Miete. Damit die Überwachung DSGVO-konform läuft, kommen mehrere Pflichten dazu — und genau hier fallen die meisten Betriebe durch.

Das Hinweisschild — Transparenz nach Art. 13 DSGVO

Wer einen überwachten Bereich betritt, muss das vorher erkennen können. Die Aufsichtsbehörden — etwa die LDI NRW und die Behörde in Niedersachsen — verlangen ein Zwei-Stufen-Modell nach Art. 13 DSGVO:

Stufe 1 — das vorgelagerte Schild, gut sichtbar vor dem Bereich. Es muss die wesentlichen Angaben tragen. Stufe 2 — die vollständigen Restinformationen, die Sie über einen Aushang in der Nähe oder einen QR-Code/eine URL bereitstellen.

• Kamerasymbol (Piktogramm). Macht die Überwachung auf einen Blick erkennbar.
• Name und Kontaktdaten des Verantwortlichen. Wer betreibt die Kamera?
• Kontakt des Datenschutzbeauftragten. Falls bestellt — bei Videoüberwachung oft der Fall.
• Zweck der Überwachung. Konkret, z. B. „Schutz vor Diebstahl und Vandalismus".
• Rechtsgrundlage. § 4 BDSG bzw. Art. 6 Abs. 1 lit. f DSGVO — die Behörden verlangen nach Art. 13 Abs. 1 lit. c die Nennung.
• Berechtigtes Interesse. Wenn Sie sich auf lit. f stützen, muss es benannt sein.
• Speicherdauer. Wie lange werden die Aufnahmen aufbewahrt?
• Verweis auf die Betroffenenrechte. Auskunft, Löschung, Beschwerde bei der Aufsichtsbehörde (Stufe 2).

Speicherdauer — der 72-Stunden-Korridor

Wie lange dürfen die Aufnahmen liegen bleiben? Die Aufsichtsbehörden geben einen klaren Richtwert: In der Regel 48 bis 72 Stunden, danach automatische Löschung. Die activeMind AG fasst die behördliche Linie zusammen, dass eine Dauer von 48 bis 72 Stunden empfohlen wird, sofern keine besonderen Umstände eine längere Speicherung rechtfertigen (activemind.de). Die LDI NRW formuliert es so, dass die maximale Speicherdauer von 72 Stunden ohne Vorfall grundsätzlich nicht überschritten werden darf (ldi.nrw.de).

Das heißt praktisch: Stellen Sie die Anlage so ein, dass sie nach spätestens drei Tagen automatisch überschreibt. Nur wenn es zu einem konkreten Vorfall kommt — Einbruch, Diebstahl, Sachbeschädigung — dürfen Sie die betreffende Sequenz sichern und länger aufbewahren, bis der Fall geklärt ist. Diese Ausnahme muss dokumentiert sein.

Datenschutz-Folgenabschätzung (DSFA)

Bei einer „systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche” ist nach Art. 35 Abs. 3 lit. c DSGVO eine Datenschutz-Folgenabschätzung Pflicht. Viele Aufsichtsbehörden führen Videoüberwachung zusätzlich auf ihren sogenannten Muss-Listen. Für eine einzelne Türkamera im Kleinbetrieb wird man oft argumentieren können, dass keine DSFA nötig ist — bei mehreren Kameras im Verkaufsraum, im Lager und auf dem Parkplatz ist sie der sichere Weg. Die DSFA dokumentiert ohnehin genau das, was Sie ohnehin brauchen: Zweck, Erforderlichkeit, Risiken und Schutzmaßnahmen.

VVT-Eintrag und Zugriffskonzept

Jede Kamera ist eine Verarbeitungstätigkeit und gehört ins Verzeichnis von Verarbeitungstätigkeiten — mit Zweck, Rechtsgrundlage, Speicherdauer und Empfängern. Dazu kommt ein Zugriffskonzept: Wer darf das Live-Bild sehen, wer die Aufzeichnungen, und wird jeder Zugriff protokolliert? Ein offener Monitor, auf den jeder im Betrieb schaut, ist bereits ein Mangel.

Mitarbeiter per Video überwachen — der heikelste Punkt

Hier wird es ernst. Sobald Kameras Beschäftigte erfassen können — und das tun sie an Kasse, Empfang oder Lager fast immer — gilt zusätzlich der Beschäftigtendatenschutz nach § 26 BDSG. Und der ist streng.

Eine dauerhafte, lückenlose Beobachtung des Arbeitsplatzes ist unzulässig. Sie erzeugt einen permanenten Überwachungsdruck und verstößt gegen die Verhältnismäßigkeit. Die Landesbehörde Bremen stellt klar, dass zur Aufdeckung von Straftaten nach § 26 Abs. 1 Satz 2 BDSG Beschäftigtendaten nur verarbeitet werden dürfen, wenn ein konkreter, dokumentierter Verdacht besteht (datenschutz.bremen.de).

Heimliche Videoüberwachung ist nach der Rechtsprechung des Bundesarbeitsgerichts nur in extremen Ausnahmefällen zulässig — bei konkretem Verdacht auf eine Straftat, wenn mildere Mittel ausgeschöpft sind. Als Dauermittel ist sie tabu. Die Details zu erlaubten und verbotenen Kontrollmaßnahmen lesen Sie in unserem Beitrag zum Beschäftigtendatenschutz — was Arbeitgeber dürfen.

Betriebsrat: zwingende Mitbestimmung

Existiert ein Betriebsrat, kommen Sie an ihm nicht vorbei. Die Einführung technischer Einrichtungen, die das Verhalten oder die Leistung der Beschäftigten überwachen können, unterliegt nach § 87 Abs. 1 Nr. 6 BetrVG der zwingenden Mitbestimmung. Schon das Bundesarbeitsgericht hat in einer Grundsatzentscheidung vom 14.12.2004 festgehalten, dass eine Videoüberwachung im Betrieb ohne Zustimmung des Betriebsrats unzulässig ist (datenschutz.eu). In der Praxis regeln Sie Zweck, Standorte, Speicherdauer und Zugriffe in einer Betriebsvereinbarung — die zugleich ein sauberer Nachweis Ihrer Compliance ist.

Viele Unternehmer denken, ich bin doch zu klein für das ganze Thema Datenschutz. Wir haben Mandanten mit drei, vier, fünf Mitarbeitern – die arbeiten für große Kunden mit enormen Ansprüchen an den Datenschutz. Gerade bei Kameras gilt: Eine Stunde Planung am Anfang erspart Ihnen den Brief von der Behörde.

Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Was unzulässige Überwachung kostet — Bußgelder aus der Praxis

Die teuerste Lektion in Deutschland kostete 10,4 Millionen Euro. Die Landesbeauftragte für den Datenschutz Niedersachsen verhängte 2021 dieses Bußgeld gegen die notebooksbilliger.de AG, weil das Unternehmen seine Beschäftigten und Kunden über mindestens zwei Jahre anlasslos und dauerhaft per Video überwacht hatte — ohne dass dafür ein konkreter Anlass oder eine Rechtsgrundlage vorlag (Pressemitteilung LfD Niedersachsen).

Aber Sie müssen kein Großhändler sein, um getroffen zu werden. Auch kleinere Verstöße werden geahndet: dokumentierte Fälle reichen von einigen tausend Euro für fehlende oder unzureichende Hinweise bis zu mehreren zehntausend Euro, etwa wenn Kameras Kunden und Passanten auf einem Parkplatz dauerhaft erfassten (datenschutz-prinz.de). Die häufigsten Auslöser: anlasslose Dauerüberwachung, fehlendes Hinweisschild, falsch ausgerichtete Kameras und zu lange Speicherung.

Schritt für Schritt: Videoüberwachung rechtssicher aufsetzen

So gehen wir mit Hamburger Mandanten vor, bevor die erste Kamera hängt.

1. Schritt 1 — Zweck und Erforderlichkeit: Definieren Sie konkret, was Sie schützen wollen (Eigentum, Personen, Beweissicherung). Prüfen Sie ehrlich, ob ein milderes Mittel reicht — Schloss, Zaun, Alarmanlage, Beleuchtung.
2. Schritt 2 — Interessenabwägung: Stellen Sie Ihr berechtigtes Interesse den Interessen der Gefilmten gegenüber und halten Sie das Ergebnis schriftlich fest. Das ist Ihr Kerndokument.
3. Schritt 3 — DSFA-Schwellwert: Bei systematischer Überwachung öffentlich zugänglicher Bereiche eine Datenschutz-Folgenabschätzung nach Art. 35 durchführen.
4. Schritt 4 — Technik und Kameraausrichtung: Wählen Sie Standorte und Bildausschnitte so, dass nur Ihr Bereich erfasst wird. Fremde Flächen per Privatzonen-Maskierung ausblenden. Keine Tonaufzeichnung ohne separate, hohe Rechtfertigung.
5. Schritt 5 — Beschilderung: Vorgelagertes Hinweisschild nach Art. 13 anbringen, vollständige Restinformationen als zweite Stufe bereitstellen.
6. Schritt 6 — Speicherdauer und Löschung: Automatische Löschung nach 48 bis 72 Stunden konfigurieren; Vorfall-Sequenzen nur dokumentiert länger aufbewahren.
7. Schritt 7 — VVT und Zugriffskonzept: Kamera als Verarbeitungstätigkeit ins Verzeichnis eintragen, Zugriffsrechte und Protokollierung festlegen.
8. Schritt 8 — Betriebsrat: Falls vorhanden, vor Inbetriebnahme die Mitbestimmung einholen und eine Betriebsvereinbarung schließen.

Muster-Hinweisschild: das gehört drauf

Damit Sie nicht bei null anfangen, hier die Inhalte für ein DSGVO-konformes vorgelagertes Schild als Checkliste zum Abhaken:

• Piktogramm „Videoüberwachung". Sofort erkennbar, auch ohne Lesen.
• Verantwortlicher. Firmenname, Anschrift, Telefon/E-Mail.
• Datenschutzbeauftragter. Kontaktweg (E-Mail genügt).
• Zweck. Z. B. „Wahrnehmung des Hausrechts, Schutz vor Straftaten".
• Rechtsgrundlage. § 4 BDSG bzw. Art. 6 Abs. 1 lit. f DSGVO.
• Speicherdauer. Z. B. „Löschung nach 72 Stunden, sofern kein Vorfall".
• Verweis auf weitere Informationen. Aushang in der Nähe oder URL/QR-Code mit den vollständigen Betroffenenrechten.

Für E-Commerce-Betriebe mit Lager, Warenausgang und Versand gelten dieselben Regeln plus die Besonderheiten des Online-Handels — die haben wir auf unserer Branchenseite für E-Commerce gebündelt. Und wenn Sie ohnehin gerade Ihren Datenschutz aufräumen, hilft die Datenschutz-Audit-Checkliste für KMU, Videoüberwachung gleich im richtigen Kontext mitzunehmen.

Fazit / Ihr nächster Schritt

Videoüberwachung ist erlaubt — aber nur mit Hausaufgaben. Die richtige Rechtsgrundlage (§ 4 BDSG oder Art. 6 Abs. 1 lit. f), eine dokumentierte Interessenabwägung, ein vorgelagertes Hinweisschild, eine Speicherdauer von 48 bis 72 Stunden, der VVT-Eintrag und — bei Mitarbeiterbezug — der Betriebsrat. Wer das vorab sauber aufsetzt, hat bei einer Prüfung durch den HmbBfDI nichts zu befürchten. Wer erst die Kamera aufhängt und dann fragt, riskiert eine Beschwerde und ein Bußgeld.

Häufige Fragen (FAQ)

Ist Videoüberwachung im Unternehmen ohne Weiteres erlaubt?

Nein. Sie brauchen für jede Kamera eine tragfähige Rechtsgrundlage — bei öffentlich zugänglichen Bereichen wie Laden oder Eingang § 4 BDSG, im rein privaten Betriebsbereich Art. 6 Abs. 1 lit. f DSGVO. In beiden Fällen müssen Sie Erforderlichkeit und Verhältnismäßigkeit prüfen und die Interessenabwägung schriftlich dokumentieren. Ohne dokumentierte Abwägung ist die Überwachung formal angreifbar.

Welche Angaben muss das Hinweisschild zur Videoüberwachung enthalten?

Das vorgelagerte Schild muss vor dem überwachten Bereich gut sichtbar hängen und nach Art. 13 DSGVO mindestens enthalten: Kamerasymbol, Name und Kontaktdaten des Verantwortlichen, Kontakt des Datenschutzbeauftragten, Zweck der Überwachung, Rechtsgrundlage, berechtigtes Interesse, Speicherdauer und einen Verweis auf die vollständigen Betroffenenrechte. Die Restinformationen liefern Sie auf einem zweiten Aushang oder online (Zwei-Stufen-Modell).

Wie lange darf ich Videoaufnahmen speichern?

Als Richtwert nennen die Aufsichtsbehörden 48 bis 72 Stunden. Ohne konkreten Vorfall sollten die Aufnahmen danach automatisch gelöscht werden. Eine längere Speicherung ist nur mit besonderer Begründung und Dokumentation zulässig, etwa wenn ein dokumentierter Vorfall noch ausgewertet wird.

Darf ich meine Mitarbeiter per Video überwachen?

Nur sehr eingeschränkt. Maßstab ist § 26 BDSG. Eine dauerhafte, lückenlose Beobachtung des Arbeitsplatzes ist unzulässig, heimliche Überwachung praktisch nie zulässig. Existiert ein Betriebsrat, hat er nach § 87 Abs. 1 Nr. 6 BetrVG ein zwingendes Mitbestimmungsrecht — ohne seine Zustimmung dürfen Sie keine Kamera in Betrieb nehmen, die Verhalten oder Leistung erfassen kann.

Wann brauche ich für die Videoüberwachung eine Datenschutz-Folgenabschätzung?

Bei systematischer Überwachung öffentlich zugänglicher Bereiche in großem Umfang ist nach Art. 35 Abs. 3 lit. c DSGVO eine DSFA Pflicht. Viele Aufsichtsbehörden führen Videoüberwachung zudem auf ihrer Muss-Liste. Im Zweifel ist die DSFA der sichere Weg — sie dokumentiert zugleich Ihre Interessenabwägung.

Was kostet eine unzulässige Videoüberwachung im schlimmsten Fall?

Sehr viel. Die LfD Niedersachsen verhängte 2021 gegen notebooksbilliger.de 10,4 Millionen Euro wegen anlassloser Dauerüberwachung von Beschäftigten und Kunden. Auch kleinere Verstöße werden geahndet — dokumentierte Fälle reichen von einigen tausend bis zu mehreren zehntausend Euro, etwa für fehlende Hinweise oder Kameras, die fremde Bereiche erfassen.

Recherche-Stand: verifiziert am 31.05.2026 über gesetze-im-internet.de (§ 4 BDSG), dsgvo-gesetz.de (Art. 6/13/35 DSGVO), LfD Niedersachsen, LDI NRW, activeMind AG, datenschutz.bremen.de und datenschutz.eu (BAG-Urteil 14.12.2004).