Was ist die Speicherdauer von CCTV-Aufnahmen?

Speicherdauer von CCTV-Aufnahmen – Definition

Die Speicherdauer von CCTV-Aufnahmen ist der im Voraus festgelegte Zeitraum, in dem Videomaterial aus der Videoüberwachung gespeichert wird – vom Zeitpunkt der Aufzeichnung bis zu seiner Löschung, Überschreibung oder dauerhaften Anonymisierung. In der Compliance-Praxis handelt es sich dabei nicht um einen rein technischen Parameter, der beliebig festgelegt werden kann, sondern um das Ergebnis einer Analyse des Verarbeitungszwecks, der Rechtsgrundlage, des Risikos für die Rechte und Freiheiten betroffener Personen sowie der Pflichten aus sektorspezifischen Vorschriften. Im Kontext der DSGVO ist insbesondere der Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e der Verordnung (EU) 2016/679 maßgeblich. Danach dürfen personenbezogene Daten nur so lange in einer Form gespeichert werden, die die Identifizierung einer Person ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist.

Bei der Videoüberwachung enthält eine CCTV-Aufnahme in der Regel personenbezogene Daten, da sie die Identifizierung einer Person anhand des Gesichts, der Körperstatur, des Verhaltens sowie des Orts und Zeitpunkts eines Ereignisses ermöglichen kann – und mitunter auch anhand des Kfz-Kennzeichens. Deshalb sollte die Aufbewahrungsfrist für Videoüberwachung kurz, begründet und dokumentiert sein. Soll das Material weiterverwendet werden, etwa zur Weitergabe an die Polizei, ein Gericht, einen Versicherer oder zur Veröffentlichung, ist gesondert zu prüfen, ob vor einer solchen Nutzung Gesichter und Kfz-Kennzeichen unkenntlich gemacht werden müssen. In Umgebungen, in denen Tools wie Gallio PRO eingesetzt werden, betrifft die Speicherung von Überwachungsvideos sowohl die Quelldateien als auch anonymisierte Dateien, Arbeitskopien und für die Weitergabe vorbereitete Exporte.

Rechtsgrundlage und Positionen der Aufsichtsbehörden

Die Speicherdauer von Videoüberwachungsaufnahmen ist in der DSGVO nicht als einheitliche, allgemeingültige Anzahl von Tagen festgelegt. Der europäische Gesetzgeber hat ein Modell gewählt, das auf Erforderlichkeit und Rechenschaftspflicht basiert. Das bedeutet, dass der Verantwortliche darlegen können muss, warum er Aufnahmen für einen bestimmten Zeitraum speichert und wann sowie auf welche Weise sie gelöscht oder anonymisiert werden.

Die in diesem Bereich am häufigsten herangezogenen Quellen sind die DSGVO, die Leitlinien des EDSA zur Verarbeitung personenbezogener Daten durch Videogeräte sowie nationale sektorspezifische Regelungen. In Polen sind außerdem die Positionen der UODO sowie besondere Vorschriften für Schulen, Arbeitgeber oder den öffentlichen Verkehr relevant.

Quelle

Geltungsbereich

Schlussfolgerung für die Speicherdauer

 

DSGVO, Art. 5 Abs. 1 lit. e, 2016/679

Grundsatz der Speicherbegrenzung

Keine starre Frist, sondern Erforderlichkeit und Löschung nach Zweckfortfall

EDSA, Guidelines 3/2019 on processing of personal data through video devices, angenommen am 29. Januar 2020

Leitlinien für Videoüberwachung

Grundsätzlich sollte die Speicherdauer kurz sein, oft nur wenige Tage; längere Fristen erfordern eine besondere Begründung

UODO – Materialien und Stellungnahmen zur Videoüberwachung

Nationale Praxis

Der Verantwortliche sollte die Speicherdauer auf das für den Zweck notwendige Minimum beschränken und Aufnahmen nach Fristablauf unverzüglich löschen

Arbeitsgesetzbuch, Art. 222 § 3

Überwachung von Beschäftigten

Aufnahmen werden grundsätzlich bis zu 3 Monate ab dem Tag der Aufnahme gespeichert, es sei denn, sie stellen ein Beweismittel in einem Verfahren dar

Bildungsrecht, Art. 108a Abs. 4

Überwachung in Schulen und Bildungseinrichtungen

Aufnahmen grundsätzlich bis zu 3 Monate, außer in Beweissituationen

Der EDSA weist darauf hin, dass mit zunehmender Speicherdauer auch die Begründung stärker ausfallen muss. In der Praxis der Aufsichtsbehörden gilt für eine standardmäßige Sicherheitsüberwachung eine Speicherdauer von wenigen Tagen bis höchstens einigen Wochen als typisch. Die Frist von 3 Monaten im Arbeits- und Bildungsrecht ist kein allgemeiner Standard für jedes CCTV-System, sondern ein Grenzwert aus sektorspezifischen Vorschriften.

Minimale und maximale Speicherdauer von CCTV-Aufnahmen

Es gibt keine einheitlich gesetzlich festgelegte Mindestaufbewahrungsfrist für Aufnahmen, die für alle Verantwortlichen gilt. Die Mindestdauer sollte dem tatsächlichen betrieblichen Bedarf entsprechen, etwa der Zeit, die benötigt wird, um einen Schaden festzustellen, einen Vorfall zu melden oder Beweismaterial zu sichern. Werden Vorfälle in der Regel innerhalb von 48 bis 72 Stunden erkannt, kann eine Speicherdauer von Überwachungskameras von 30 oder 90 Tagen unverhältnismäßig sein, wenn der Verantwortliche dies nicht begründen kann.

Aus Sicht der UODO und des EDSA ist der Ausgangspunkt einfach: Aufnahmen sollten nicht länger gespeichert werden, als erforderlich. In der Praxis kann folgendes Bewertungsmodell angewendet werden.

  • 1–3 Tage – häufig ausreichend für eine einfache Überwachung von Eingängen, Rezeptionen oder Parkplätzen mit geringer Zahl an Vorfällen.
  • 7–14 Tage – häufig organisatorisch gerechtfertigt, wenn Vorfallmeldungen mit Verzögerung eingehen.
  • 30 Tage und mehr – erfordert eine konkrete Begründung auf Basis einer Risikoanalyse, der Besonderheiten des Objekts oder einer speziellen Rechtsvorschrift.
  • Bis zu 3 Monate – zulässig dort, wo dies aus sektorspezifischen Vorschriften folgt, etwa aus dem Arbeitsgesetzbuch oder dem Bildungsrecht.

Wurde eine Aufnahme als Beweismittel gesichert, greift der übliche Überschreibungsplan nicht mehr. In diesem Fall ist das Beweismaterial von dem laufenden Bestand an Aufnahmen zu trennen, der Zugriff zu beschränken und eine neue Aufbewahrungsfrist festzulegen, die vom jeweiligen Verfahren abhängt. Dies sollte in einem Verfahren bzw. einer internen Richtlinie beschrieben sein.

Bedeutung der Speicherdauer für die Anonymisierung von Fotos und Videos

In Systemen zur Bildverarbeitung betrifft die Speicherdauer nicht nur die rohe CCTV-Datei. Sie umfasst auch bearbeitete Dateien, Exporte für externe Empfänger und für die Veröffentlichung vorbereitete Versionen. Möchte der Verantwortliche einen Ausschnitt der Aufnahme außerhalb des ursprünglichen Sicherheitszwecks nutzen, zum Beispiel zu Schulungs-, Beweis- oder Informationszwecken, sollte geprüft werden, ob Gesichter und Kfz-Kennzeichen unkenntlich gemacht werden müssen.

Das automatische Verpixeln oder Unkenntlichmachen von Gesichtern und Kfz-Kennzeichen basiert in der Regel auf Deep-Learning-Modellen, die zunächst das Objekt in den Einzelbildern erkennen und anschließend eine Anonymisierungsmaske darüberlegen. Ein solches KI-Modell ändert jedoch nicht automatisch die Regeln für die Speicherdauer. Es reduziert lediglich die Exposition identifizierender Daten in sekundär genutztem Material. In Gallio PRO bezieht sich die automatische Anonymisierung ausschließlich auf Gesichter und Kfz-Kennzeichen. Andere Elemente wie Logos, Tätowierungen, Ausweise oder auf dem Bildschirm sichtbare Dokumente erfordern eine manuelle Bearbeitung im Editor.

Wichtige Parameter und operative Praxis

Für Datenschutzbeauftragte und Verantwortliche sind nicht nur die Anzahl der Speichertage wichtig, sondern auch die Parameter, die kontrolliert und bei einem Audit nachgewiesen werden können. Die Speicherdauer von CCTV-Aufnahmen sollte mit der Systemkonfiguration, der Speicherkapazität und dem Löschverfahren verknüpft sein.

Parameter

Bedeutung

Beispiel für die Kontrolle

 

Nominale Speicherdauer

Im System eingestellte Anzahl von Tagen

7 Tage, 14 Tage, 90 Tage

Tatsächliche Speicherdauer

Reale Verfügbarkeit der Aufnahme

Prüfung, ob die Überschreibung gemäß Zeitplan erfolgt

Dauer der Beweissicherung

Speicherzeit nach Ausschluss von der Überschreibung

Bis zum Abschluss des Verfahrens oder bis zum Ablauf einer gesetzlichen Frist

Dauer der nachträglichen Anonymisierung

Zeit für die Erstellung einer freigabefähigen Version

Interne SLA, z. B. 24–72 Stunden ab Antrag

Audit-Trail

Nachweis, wer wann Material gesichert, kopiert oder gelöscht hat

Verzeichnis administrativer Tätigkeiten, angemessen in Bezug auf Zweck und Umfang der Verarbeitung

Eine hilfreiche Formel für eine Aufbewahrungsrichtlinie kann wie folgt beschrieben werden: Speicherdauer = Mindestzeit zur Erkennung eines Vorfalls + Zeit für dessen Meldung und Sicherung. Überschreitet das Ergebnis den branchenüblichen Standard, sollte der Verantwortliche über eine dokumentierte Begründung verfügen.

Herausforderungen, Auslegungsunterschiede und DSGVO-Konformität

Das häufigste Problem besteht darin, Fristen von anderen Organisationen ohne Analyse des Zwecks zu übernehmen. Ein zweites Problem ist die Speicherung von Exporten außerhalb des zentralen Aufbewahrungsplans. Ein drittes ist die fehlende Unterscheidung zwischen Quellmaterial und anonymisiertem Material. Eine anonymisierte Kopie darf nur dann länger gespeichert werden als das Quellmaterial, wenn sie tatsächlich keine Identifizierung der Person mehr ermöglicht oder wenn eine gesonderte Rechtsgrundlage für die weitere Verarbeitung besteht.

Im Bereich der Kfz-Kennzeichen gibt es Auslegungsunterschiede. In Polen wurde in der Rechtsprechung des Obersten Verwaltungsgerichts mitunter die Auffassung vertreten, dass ein Kennzeichen nicht immer schon für sich genommen ein personenbezogenes Datum darstellt. Andererseits sprechen die Praxis der UODO und die Leitlinien des EDSA für einen vorsichtigen Ansatz, wonach ein Kennzeichen eine Person mittelbar identifizieren kann, insbesondere in Verbindung mit anderen Daten. Für Compliance-Zwecke ist es daher sicherer, Kennzeichen als schutzbedürftige Daten in Material zu behandeln, das zur Weitergabe bestimmt ist.