KI-Videoanalyse und DSGVO: was Sie wirklich dürfen, nicht was Berater behaupten

Die DSGVO verbietet keine KI-gestützte Videoüberwachung auf Privatgelände. Wer das Gegenteil behauptet, verkauft Angst, nicht Recht.

Diese Aussage klingt schroff. Sie ist es auch. Sie ist es, weil im deutschen Markt seit Jahren eine Beratungspraxis entstanden ist, die sich aus der Unsicherheit ihrer Adressaten finanziert. Geschäftsführer hören, dass Videoanalyse riskant sei. Datenschutzbeauftragte hören, dass KI-Modelle besonders kritisch zu prüfen seien. Beide Aussagen sind nicht falsch, aber sie sind ohne Kontext wertlos. Der Kontext ist ein Rechtsrahmen, der seit 2018 stabil ist und der für den Betreiber eines Industriegeländes, einer Baustelle oder eines Logistikzentrums klare Antworten liefert, sobald die Fragen sauber gestellt werden.

Boswau + Knauer baut Videoanalyse für genau diese Anwendungen. Aus der täglichen Arbeit mit Betreibern, Versicherern und Datenschutzbeauftragten ergibt sich ein Bild, das von der Marktrhetorik abweicht. Die rechtlichen Hürden sind nicht der Engpass. Der Engpass ist die Bereitschaft, eine geordnete Dokumentation aufzubauen, in der jede Entscheidung im System auf eine Rechtsgrundlage zurückgeführt werden kann. Wer diese Dokumentation hat, betreibt Videoanalyse mit KI in einer Form, die Aufsichtsbehörden anerkennen. Wer sie nicht hat, scheitert nicht am Recht, sondern an seiner eigenen Unordnung.

Was die DSGVO tatsächlich regelt

Die Datenschutzgrundverordnung kennt keine Sondervorschrift für Videoüberwachung und keine Sondervorschrift für KI in der Videoanalyse. Das ist die erste und wichtigste Erkenntnis. Die DSGVO regelt die Verarbeitung personenbezogener Daten in allgemeinen Kategorien. Videoüberwachung ist eine Verarbeitung. KI-gestützte Auswertung von Videobildern ist ebenfalls eine Verarbeitung. Beide unterliegen denselben Grundsätzen: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht.

Was den meisten Beratungen entgeht, ist die einfache Konsequenz dieses Aufbaus. Wenn eine klassische Videoaufzeichnung auf Artikel 6 Absatz 1 lit. f DSGVO gestützt werden kann, dann kann auch eine KI-gestützte Analyse dieser Aufzeichnung auf dieselbe Rechtsgrundlage gestützt werden, sofern die Interessenabwägung das berechtigte Interesse trägt. Die KI macht die Verarbeitung nicht rechtswidrig. Sie macht sie technisch leistungsfähiger. Diese Leistungsfähigkeit kann sogar zugunsten des Betroffenen wirken, etwa wenn ein Modell darauf trainiert ist, Personen vom Hintergrund zu trennen und Bildausschnitte ohne Personenbezug für die weitere Auswertung gar nicht erst zu speichern.

Die Aufsichtsbehörden in Deutschland haben in den letzten Jahren eine Reihe von Orientierungshilfen veröffentlicht, die diese Linie bestätigen. Die Datenschutzkonferenz der Länder hat zur Videoüberwachung durch nicht öffentliche Stellen mehrfach Position bezogen. Diese Positionen verlangen Dokumentation, sie verlangen Verhältnismäßigkeit, sie verlangen Information der Betroffenen. Sie verlangen kein Verbot. Wer sich die Mühe macht, diese Dokumente zu lesen, statt sie sich von einem Berater referieren zu lassen, findet einen Rahmen, der weiter ist, als der Markt es nahelegt. Die Verwirrung ist organisiert, nicht zufällig.

Eine zweite häufige Verwechslung betrifft die Unterscheidung zwischen Verarbeitung im engeren Sinn und automatisierter Entscheidung im Einzelfall nach Artikel 22 DSGVO. Eine Videoanalyse, die einen Operator auf einen auffälligen Vorgang hinweist, ist keine automatisierte Entscheidung im Einzelfall. Die Entscheidung trifft der Operator. Die KI liefert eine Vorklassifizierung. Genau diese Architektur ist es, die wir in unseren Plattformen umsetzen. Sie entspricht nicht zufällig der rechtlichen Erwartung. Sie entspricht ihr, weil sie auch betrieblich die einzig sinnvolle Form ist.

Artikel 6 Absatz 1 lit. f als tragende Grundlage

Die berechtigten Interessen des Verantwortlichen oder eines Dritten sind im überwiegenden Teil der industriellen Anwendungen die tragende Rechtsgrundlage. Schutz von Eigentum, Schutz von Beschäftigten, Schutz von Geschäftsgeheimnissen, Verhinderung und Aufklärung von Straftaten. Diese Interessen sind in der deutschen Rechtsprechung seit Jahrzehnten anerkannt. Sie haben durch die DSGVO keine Schwächung erfahren, sondern eine Präzisierung.

Die Interessenabwägung verläuft in drei Schritten. Erstens ist ein berechtigtes Interesse zu benennen. Zweitens ist zu prüfen, ob die geplante Verarbeitung zur Wahrung dieses Interesses erforderlich ist, also ob es kein milderes gleich geeignetes Mittel gibt. Drittens sind die Interessen, Grundrechte und Grundfreiheiten der betroffenen Personen gegen das berechtigte Interesse abzuwägen. Diese drei Schritte sind dokumentationsfähig. Sie sind in vielen Unternehmen nicht dokumentiert, was nicht heißt, dass das Verfahren rechtswidrig ist. Es heißt, dass im Fall einer Prüfung die Rechtmäßigkeit nur mühsam belegt werden kann.

Boswau + Knauer liefert mit jedem System eine Vorlage für diese Dokumentation. Wir tun das nicht, weil wir Rechtsberatung leisten, sondern weil ohne diese Vorlage die Inbetriebnahme regelmäßig an einer Unklarheit scheitert, die nicht das System, sondern die Organisation des Kunden betrifft. Die Vorlage benennt das Interesse, beschreibt die technischen Maßnahmen, dokumentiert die Beschränkungen und gibt die Grundlage für die Information der Betroffenen. Sie ist kein Ersatz für die Prüfung durch den Datenschutzbeauftragten des Kunden. Sie ist die Grundlage, auf der diese Prüfung in Stunden abgeschlossen sein kann, statt in Wochen.

Die Abwägung fällt in industriellen Anwendungen regelmäßig zugunsten des Verantwortlichen aus. Eine Baustelle ist kein öffentlicher Raum. Ein Lagerhof ist kein öffentlicher Raum. Ein Werksgelände ist kein öffentlicher Raum. Personen, die diese Bereiche betreten, tun das in Kenntnis ihres Charakters oder unter rechtswidrigen Voraussetzungen. Beide Fälle verschieben die Abwägung. Der berechtigte Besucher kann durch Beschilderung informiert werden und sein Verhalten anpassen. Der unberechtigte Besucher hat kein schutzwürdiges Interesse an Anonymität in einem Bereich, den er rechtswidrig betritt. Diese Linie ist gefestigt und sie wird von keiner Aufsichtsbehörde ernsthaft bestritten.

Beschäftigtendatenschutz nach § 26 BDSG

An einer Stelle wird die rechtliche Lage komplexer, und genau hier liegt der Punkt, an dem Beratungsangst am häufigsten ansetzt. Sobald die Videoanalyse den Beschäftigtenkreis erfasst, gilt zusätzlich § 26 BDSG. Diese Vorschrift verlangt, dass die Verarbeitung für die Durchführung des Beschäftigungsverhältnisses erforderlich ist oder dass eine andere tragfähige Grundlage besteht. Die Hürden sind höher als bei externen Personen, und sie sind höher aus gutem Grund. Das Beschäftigungsverhältnis ist ein Verhältnis struktureller Ungleichheit, und das Gesetz schützt die schwächere Seite.

Was in der Beratungspraxis oft untergeht, ist die Tatsache, dass § 26 BDSG die Videoüberwachung in Arbeitsbereichen nicht verbietet. Er bindet sie an Voraussetzungen. Zu diesen Voraussetzungen gehört in der Regel die Beteiligung des Betriebsrats, soweit ein solcher besteht, nach § 87 Absatz 1 Nummer 6 BetrVG. Die Mitbestimmung in der Einführung technischer Einrichtungen, die das Verhalten oder die Leistung der Beschäftigten überwachen, ist eine harte Voraussetzung. Sie ist nicht verhandelbar. Sie ist aber auch nicht der Ausschluss der Technologie, sondern der Weg ihrer Einführung. Wer den Betriebsrat als Gegner behandelt, scheitert. Wer ihn als Mitgestalter ernst nimmt, erreicht regelmäßig eine Betriebsvereinbarung, die der Anlage einen langfristig stabilen Rahmen gibt.

In der praktischen Umsetzung trennt sich der Beschäftigtenraum vom Allgemeinraum oft sauberer, als die abstrakte Diskussion vermuten lässt. Eine Außenkamera auf einem Logistikhof erfasst Beschäftigte nur am Rand. Eine Innenkamera in einer Produktionslinie erfasst sie unmittelbar. Beide Anwendungen sind möglich, sie unterliegen aber unterschiedlichen Regimen. Wir bauen unsere Systeme so, dass sich Bereichsdefinitionen in der Konfiguration abbilden lassen. Eine KI-Erkennung kann auf bestimmte Zonen beschränkt werden. Eine Aufzeichnung kann in anderen Zonen abgeschaltet werden. Diese Granularität ist keine Marketingaussage, sondern eine technische Voraussetzung der Rechtmäßigkeit. Wer ein System einsetzt, das nur ganz oder gar nicht aufzeichnen kann, kommt in Beschäftigtenbereichen regelmäßig in Konflikt mit § 26 BDSG. Wer ein System einsetzt, das pro Zone, pro Zeitfenster und pro Ereigniskategorie konfigurierbar ist, gestaltet die Verarbeitung so, dass sie der Erforderlichkeit standhält.

Eine weitere Frage betrifft die Daten, die zur Modellverbesserung verwendet werden. Hier gilt eine klare Linie. Daten aus Beschäftigtenbereichen werden nicht zum Training fremder Modelle verwendet. Daten, die zum Training eigener Modelle verwendet werden, werden vorher anonymisiert, soweit das technisch möglich ist. Wo Anonymisierung nicht möglich ist, wird die Verwendung in einer Betriebsvereinbarung geregelt oder unterlassen. Diese Disziplin ist nicht überflüssig. Sie ist die Voraussetzung dafür, dass die Anlage in fünf Jahren noch in Betrieb ist, ohne dass eine Aufsichtsbehörde sie stilllegt.

Hausrecht und die Grenzen der DSGVO

Die DSGVO regelt nicht alles. Sie regelt die Verarbeitung personenbezogener Daten. Sie regelt nicht, ob ein Eigentümer sein Gelände betreten lassen muss oder nicht. Diese Frage entscheidet das Hausrecht, und das Hausrecht ist die zweite, oft unterschätzte Grundlage einer durchdachten Sicherheitsarchitektur. Wer Hausrecht ausübt, kann den Zutritt von Bedingungen abhängig machen, zu denen auch die Kenntnisnahme der Videoüberwachung gehört. Wer den Zutritt unter dieser Bedingung gewährt, hat die Information geleistet und die Akzeptanz hergestellt, soweit das rechtlich überhaupt verlangt wird.

Das Zusammenspiel von Hausrecht und Datenschutz ist in der Praxis das, was viele Anwendungen erst möglich macht. Die Beschilderung am Zugang erfüllt die Informationspflicht nach Artikel 13 DSGVO in der ersten Stufe. Die ausführliche Information im Internet oder im Empfangsbereich erfüllt sie in der zweiten Stufe. Die Verweigerung des Zutritts an Personen, die mit der Verarbeitung nicht einverstanden sind, ist Ausdruck des Hausrechts. Die Folge ist eine geordnete Lage, in der jeder, der das Gelände betritt, in der Verarbeitung mitgedacht ist und in der die Verarbeitung in einer Weise stattfindet, die der Aufsichtsbehörde standhält.

In Bereichen, die der Öffentlichkeit zugänglich sind, etwa Vorplätze von Geschäftsgebäuden oder Zufahrten, verschiebt sich die Lage. Hier ist die Erwartung der Allgemeinheit, sich frei bewegen zu können, stärker als auf einem reinen Werksgelände. Die Abwägung wird genauer, die Maßnahmen werden zurückhaltender. Es kann sinnvoll sein, in solchen Bereichen auf KI-Erkennung zu verzichten und nur klassische Aufzeichnung ohne automatisierte Auswertung vorzusehen, mit Speicherfristen, die deutlich unter den Werten liegen, die im geschützten Werksbereich vertretbar wären. Diese Differenzierung ist nicht juristische Spitzfindigkeit. Sie ist gelebte Verhältnismäßigkeit. Sie ist der Unterschied zwischen einer Anlage, die im Audit besteht, und einer Anlage, die im Audit fällt.

Im Buch "BOSWAU + KNAUER, Vom Bau zur Sicherheitstechnologie" ist die Trennung zwischen Geräteebene und Architekturebene ausführlich beschrieben. Sie ist hier in juristischer Form sichtbar. Wer eine Anlage als ein Gerät denkt, kommt in Konflikt mit dem Recht, weil er nicht differenzieren kann. Wer sie als Plattform denkt, kann die Verarbeitung so konfigurieren, dass jede Zone, jede Zeit und jede Funktion ihre eigene Rechtsgrundlage hat.

Datenschutzfolgenabschätzung und technische Maßnahmen

Eine Datenschutzfolgenabschätzung nach Artikel 35 DSGVO ist bei systematischer Überwachung öffentlich zugänglicher Bereiche in größerem Umfang verpflichtend. Sie ist auch bei der Verwendung neuer Technologien empfehlenswert, selbst wenn die Pflicht nicht eindeutig ausgelöst wird. KI-gestützte Videoanalyse fällt in der Praxis regelmäßig in den Bereich, in dem die Folgenabschätzung sinnvoll oder notwendig ist. Sie ist kein Hindernis. Sie ist ein Werkzeug, das den Verantwortlichen dazu bringt, die Verarbeitung vor der Inbetriebnahme zu Ende zu denken.

Die Folgenabschätzung folgt einer einfachen Logik. Sie beschreibt die Verarbeitung, sie identifiziert die Risiken für die Rechte und Freiheiten der Betroffenen, sie bewertet diese Risiken, und sie definiert Maßnahmen, mit denen die Risiken auf ein akzeptables Niveau reduziert werden. Diese Maßnahmen sind in der Sicherheitstechnologie weitgehend Standard. Verschlüsselung der Übertragung, Verschlüsselung der Speicherung, Trennung der Zuständigkeiten, Protokollierung der Zugriffe, automatische Löschung nach Ablauf der Speicherfrist, Maskierung von Bereichen außerhalb des berechtigten Beobachtungsfeldes. Wer ein System einsetzt, das diese Maßnahmen nicht nativ unterstützt, baut die Folgenabschätzung gegen sich selbst.

Boswau + Knauer hat seine Plattform so konstruiert, dass die technischen und organisatorischen Maßnahmen nach Artikel 32 DSGVO in der Standardkonfiguration enthalten sind. Verschlüsselung ist nicht optional. Protokollierung ist nicht optional. Löschfristen sind nicht optional. Sie sind Bestandteil der Inbetriebnahme. Diese Strenge erleichtert die Folgenabschätzung, weil viele Risiken bereits in der Architektur reduziert sind. Sie ist auch der Grund, warum wir mit Versicherern eine Sprache sprechen, die sich an BSI-Grundschutz, VdS-Richtlinien und den Anforderungen des GDV orientiert. Wer in dieser Sprache spricht, wird verstanden. Wer in einer eigenen Sprache spricht, muss bei jedem Audit neu erklären, was er gemeint hat.

Eine besondere Rolle spielt die Frage, wo die Modelle gerechnet werden. Eine Verarbeitung auf dem Gerät selbst, oft als Edge-Verarbeitung bezeichnet, ist datenschutzrechtlich häufig vorteilhaft, weil personenbezogene Daten das Gerät nicht verlassen, sofern kein Ereignis vorliegt. Erst wenn ein Vorfall klassifiziert wird, geht der relevante Ausschnitt an die zentrale Stelle. Diese Architektur reduziert die übertragene Datenmenge erheblich und sie reduziert die Angriffsfläche. Sie ist nicht in allen Fällen technisch sinnvoll, aber dort, wo sie umgesetzt werden kann, ist sie die saubere Lösung. Unsere Plattform ist auf diese Hybridarchitektur ausgelegt.

Was bleibt

Die DSGVO ist nicht das Problem. Sie ist der Rahmen, innerhalb dessen seriöse Sicherheitstechnologie betrieben wird. Wer in diesem Rahmen arbeitet, hat in der Praxis weniger Konflikte mit Aufsichtsbehörden, weniger Konflikte mit Betriebsräten und weniger Konflikte mit Versicherern als jemand, der sich auf die Beratungsangst eingelassen hat und seine Sicherheitsfrage nicht entscheidet. Recht ist in der Sicherheitstechnologie kein Risiko, sondern ein Werkzeug. Es ordnet, was sonst ungeordnet bliebe, und es stützt, was sonst angreifbar wäre.

Der Schritt vom Verständnis zur Umsetzung ist der eigentliche Engpass. Er gelingt nicht über ein weiteres Whitepaper. Er gelingt über eine Bestandsaufnahme der eigenen Lage und über eine geordnete Entscheidung, welche Verarbeitung an welchem Standort, mit welcher Zweckbindung und mit welcher Rechtsgrundlage geführt werden soll. Boswau + Knauer bietet drei Wege in diesen Schritt an. Ein vertrauliches Gespräch von sechzig Minuten, in dem die Lage gemeinsam strukturiert wird. Ein Audit über drei bis fünf Tage, das die Lage in einem schriftlichen Bericht festhält, der auch für die interne Prüfung durch den Datenschutzbeauftragten verwertbar ist. Ein Pilotbetrieb über neunzig Tage, der die geplante Verarbeitung unter realen Bedingungen erprobt und die Daten liefert, auf deren Grundlage die Skalierung entschieden werden kann.

Wer die rechtliche Frage geklärt hat, hat die Verarbeitung noch nicht eingeführt. Wer die Verarbeitung eingeführt hat, ohne die rechtliche Frage zu klären, wird sie später unter ungünstigeren Bedingungen klären müssen. Die Reihenfolge ist nicht beliebig.

Häufige Fragen

Ist KI-Videoanalyse auf Privatgelände DSGVO-konform?

KI-gestützte Videoanalyse auf Privatgelände ist DSGVO-konform, wenn die Verarbeitung auf einer tragfähigen Rechtsgrundlage beruht, in der Regel Artikel 6 Absatz 1 lit. f DSGVO, und wenn die Grundsätze der Verarbeitung eingehalten werden. Erforderlich sind eine dokumentierte Interessenabwägung, die Information der Betroffenen, angemessene technische und organisatorische Maßnahmen sowie eine Speicherbegrenzung. In Bereichen mit Beschäftigten kommt § 26 BDSG hinzu, was die Beteiligung des Betriebsrats nach § 87 Absatz 1 Nummer 6 BetrVG erforderlich macht. Die DSGVO selbst enthält kein Verbot der Technologie.

Welche Rechtsgrundlage gilt für Sicherheitskameras mit KI?

Für die meisten industriellen Anwendungen ist Artikel 6 Absatz 1 lit. f DSGVO die tragende Rechtsgrundlage. Die berechtigten Interessen umfassen den Schutz von Eigentum, Beschäftigten und Geschäftsgeheimnissen sowie die Verhinderung und Aufklärung von Straftaten. Erforderlich ist eine Interessenabwägung, die das berechtigte Interesse gegen die Rechte der Betroffenen abwägt. Bei der Verarbeitung von Beschäftigtendaten tritt § 26 BDSG hinzu. In Sonderfällen kann eine Einwilligung nach Artikel 6 Absatz 1 lit. a DSGVO als zusätzliche Grundlage dienen, sie ist aber selten die tragende Säule, weil Einwilligungen jederzeit widerrufbar sind.

Müssen Mitarbeiter und Besucher informiert werden?

Ja, die Information ist nach Artikel 13 DSGVO verpflichtend. In der Praxis erfolgt sie in zwei Stufen. Die erste Stufe ist eine Beschilderung am Eingang oder im überwachten Bereich, die in komprimierter Form auf die Verarbeitung, den Verantwortlichen, den Zweck und die Speicherdauer hinweist. Die zweite Stufe ist eine ausführliche Information, die im Empfangsbereich, in Personalunterlagen oder im Internet zugänglich gemacht wird. Bei Beschäftigten kommt die Information durch den Arbeitgeber und gegebenenfalls eine Betriebsvereinbarung hinzu. Fehlende Information ist einer der häufigsten Beanstandungsgründe in Aufsichtsverfahren.

Wie lange dürfen die Videoaufzeichnungen gespeichert werden?

Die Speicherdauer richtet sich nach dem Zweck der Verarbeitung und dem Grundsatz der Speicherbegrenzung nach Artikel 5 Absatz 1 lit. e DSGVO. Eine pauschale Frist gibt es nicht. In der Praxis hat sich für allgemeine Sicherheitsüberwachung eine Speicherdauer von 48 bis 72 Stunden als üblich etabliert, in besonders sensiblen Bereichen kürzer, in Fällen konkreter Vorfälle länger, soweit die Aufbewahrung zur Beweissicherung erforderlich ist. Aufsichtsbehörden akzeptieren regelmäßig Fristen bis zu 72 Stunden ohne besondere Begründung. Längere Speicherfristen erfordern eine dokumentierte Rechtfertigung im Einzelfall.