Videoüberwachung ist heute allgegenwärtig - von CCTV-Systemen in Einzelhandelsgeschäften und Smart Cities über Zutrittskontrollsysteme bis hin zu Dashcams. Obwohl die Technologien weltweit ähnlich sind, unterscheiden sich die gesetzlichen Vorschriften erheblich. Große Datenschutzgesetze wie die EU-DSGVO, die britische UK GDPR, das kalifornische CCPA/CPRA, Brasiliens LGPD und Südafrikas POPIA behandeln Videoaufnahmen als personenbezogene Daten, wenn Personen identifizierbar sind [1][6][7][8]. Diese Übersicht beschreibt, wie die einzelnen Rechtsrahmen Videoüberwachung regulieren und welche Anforderungen Verantwortliche erfüllen müssen. Der Text dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar.
Alle modernen Datenschutzgesetze basieren auf dem gleichen Grundsatz: Wenn eine Person auf einer Aufnahme erkannt werden kann, handelt es sich um personenbezogene Daten, die unter den Datenschutz fallen.
Die DSGVO definiert personenbezogene Daten als alle Informationen über eine identifizierte oder identifizierbare natürliche Person, einschließlich Bilder, anhand derer eine Person erkannt werden kann [1]. Die UK GDPR folgt diesem Ansatz. Die britische ICO stellt klar, dass die meisten CCTV- und Bodycam-Aufnahmen personenbezogene Daten enthalten, wenn Personen identifizierbar sind [2][3]. Ähnliche Definitionen finden sich im brasilianischen LGPD und im südafrikanischen POPIA [7][8].
Zu den häufigsten Anwendungsfällen gehören feste CCTV-Kameras in Geschäften und Einkaufszentren, automatisierte Nummernschilderkennung (ANPR/LPR) auf Parkplätzen, Video-Türsprechanlagen und Zugangskontrolle, Bodycams von Sicherheitspersonal sowie integrierte städtische Sensorsysteme. Auch wenn Videoüberwachung primär der Sicherheit dient, betrachten Aufsichtsbehörden sie als vollwertige Datenverarbeitung, die Zweckbindung, Datenminimierung, Transparenz und Betroffenenrechte erfüllen muss.
Die DSGVO und ihre britische Entsprechung gehören zu den detailliertesten Datenschutzregelungen weltweit. Europäische Behörden veröffentlichen umfangreiche Leitlinien zur CCTV-Überwachung.
Verantwortliche müssen eine Rechtsgrundlage bestimmen, z. B. berechtigtes Interesse an der Diebstahlprävention oder der Gewährleistung der Sicherheit, die Erfüllung einer rechtlichen Verpflichtung oder - seltener - Einwilligung [1]. Einwilligung gilt bei kontinuierlicher Videoüberwachung in öffentlich zugänglichen Bereichen meist als ungeeignet.
Artikel 35 DSGVO verlangt eine Datenschutz-Folgenabschätzung (DPIA), wenn eine Verarbeitung voraussichtlich ein hohes Risiko birgt, darunter systematische Überwachung öffentlich zugänglicher Bereiche [1].
Die ICO verlangt deutlich erkennbare Hinweisschilder, eine leicht zugängliche Datenschutzerklärung und Verfahren zur Bearbeitung von Auskunfts-, Widerspruchs- und Löschanfragen [2][3].
Das CCPA und das CPRA regulieren Videoaufnahmen als „personal information“, wenn diese mit einem Verbraucher oder Haushalt verknüpft werden können [4][5].
Das CCPA definiert personenbezogene Informationen weit und umfasst Videoaufnahmen mit sichtbaren Gesichtern, Körpermerkmalen oder Kennzeichen [4]. Das CPRA betont zudem „sensitive personal information“ wie präzise Standortdaten oder biometrische Merkmale [5].
Unternehmen müssen offenzulegen, welche Kategorien personenbezogener Daten sie erheben und zu welchen Zwecken. Dies schließt Videoüberwachung zu Sicherheits- oder Analysezwecken ein [4][5].
Unter CCPA/CPRA haben Verbraucher das Recht auf Auskunft und Löschung personenbezogener Informationen. Bei Videoaufnahmen müssen Unternehmen jedoch Drittpersonen unkenntlich machen [4][5].
Brasiliens LGPD und Südafrikas POPIA erweitern DSGVO-ähnliche Konzepte auf zwei schnell wachsende Märkte.
LGPD gilt für jegliche Verarbeitung personenbezogener Daten in Brasilien oder mit Bezug zu Personen in Brasilien [7]. Für Videoüberwachung kann ein „data protection impact report“ erforderlich sein, ähnlich einer DPIA.
Aufnahmen aus CCTV fallen unter die POPIA-„conditions for lawful processing“, darunter Zweckbindung, Offenheit, Sicherheit und Teilnahme der betroffenen Personen [8][9].
Behörden in Brasilien und Südafrika stützen sich zunehmend auf europäische Datenschutzlogik [7][8][9].
Trotz unterschiedlicher Terminologie weisen die wichtigsten Datenschutzgesetze viele Parallelen auf.
Alle Systeme verlangen klare Zwecke und rechtliche Rechtfertigungen [1][7][8]. CCPA/CPRA betont hingegen Transparenz statt formeller Rechtsgrundlagen [4][5].
Diese Rechte gelten unter DSGVO, LGPD und POPIA sowie funktional unter CCPA/CPRA. Die Herausforderung besteht in der Schwärzung von Drittpersonen [1][4][7][8].
DSGVO und LGPD bewerten Einwilligungen von Beschäftigten kritisch, und POPIA fordert Fairness und Angemessenheit [1][7][8]. Das CPRA erweitert Arbeitnehmerrechte in Kalifornien [5].
Die praktische Umsetzung ist oft schwieriger als das Verständnis der Regeln.
Behörden erwarten vollständige Dokumentation von Kameras, Zwecken, Speicherorten und Aufbewahrungsfristen [1][7][8].
Behörden wie ICO und EDPB verlangen die Unkenntlichmachung von Dritten [2][3]. Unternehmen setzen hierfür häufig Tools wie Gallio PRO ein, die automatische Unschärfe für Gesichter, Kennzeichen und sensible Objekte ermöglichen.
Behörden verlangen schriftliche Richtlinien, Protokolle über Zugriffe, DPIA-Berichte und regelmäßige Audits [1][2][7][8].
In den meisten Fällen ja, sofern Personen identifizierbar sind.
Nein, in der Regel wird berechtigtes Interesse oder eine gesetzliche Verpflichtung genutzt.
Es gibt keinen globalen Standard; die Speicherfrist muss zweckgebunden sein.
Ja, meist mit Unkenntlichmachung Dritter.
Ja, insbesondere Gesichtserkennung und Emotionserkennung gelten oft als Hochrisiko.
