Is CCTV in the workplace legal under GDPR?

Yes, but only with a documented lawful basis (typically Article 6(1)(f) legitimate interest), a Data Protection Impact Assessment (DPIA) under Article 35 because workplace CCTV is systematic monitoring on a large scale, employee transparency under Articles 13–14, defined retention (typically 7–30 days), visible pictogram signage at every entry point, and — in jurisdictions with strong worker representation (Germany, France, Italy, the Netherlands) — formal consultation with the works council or trade union before deployment.

Where can workplace CCTV NOT be installed under EU law?

Toilets, locker rooms, changing areas, dedicated rest areas, designated breastfeeding rooms and any space where employees have a reasonable expectation of privacy. Multiple DPAs have fined employers six-figure sums for cameras in these zones, even when the recording was claimed to be 'mistakenly active'. The minimisation principle (Article 5(1)(c)) makes these installs unlawful by default, regardless of consent.

Do I need works council approval before installing workplace CCTV?

In Germany under BetrVG §87(1)(6), workplace surveillance technology requires the works council's co-determination — the employer cannot install or expand it without works council consent. France (Article L2312-38 Code du travail) requires consultation. Poland's RODO regime requires regulation in the workplace rules of order. The UK ICO Employment Practices Code recommends but does not legally require consultation. Failing to consult where required can void the entire deployment retroactively.

How long can I keep workplace CCTV recordings?

EU DPA guidance converges on 30 days as the default cap unless a specific incident triggers extended retention for investigation. Anything beyond 30 days requires explicit justification in the DPIA. Polish UODO has fined employers for indefinite retention; Italian Garante for 90-day defaults without specific basis. The German Länder DPAs treat 72 hours as the generic ceiling absent a documented stronger interest.

GDPR / Compliance · Aktualisiert 2026-05-05

Videoüberwachung am Arbeitsplatz gemäß GDPR / RODO / DSGVO

Ein Compliance-Fahrplan bis 2026 für Personal-, Betriebs- und Sicherheitsverantwortliche, die in der EU Überwachungssysteme am Arbeitsplatz einführen. Die rechtliche Untergrenze bildet GDPR ; die Obergrenze bilden das nationale Arbeitsrecht und die Mitbestimmung zwischen Betriebsräten, die sich zwischen den Mitgliedstaaten erheblich unterscheiden.

Die sieben Pflichten zur Videoüberwachung am Arbeitsplatz gemäß GDPR

Rechtliche Grundlage. Artikel 6 Absatz 1 Buchstabe f) berechtigtes Interesse ist die einzig realistische Option – die Einwilligung scheitert, da die Arbeitnehmer nicht frei ablehnen können, und Artikel 6 Absatz 1 Buchstabe b) (Vertragserfüllung) ist zu eng gefasst. Die Abwägung der berechtigten Interessen muss dokumentiert und jährlich überprüft werden.
Datenschutz-Folgenabschätzung (Artikel 35). Die Videoüberwachung am Arbeitsplatz gilt als „systematische Überwachung in großem Umfang“ und löst in allen EU-Mitgliedstaaten eine obligatorische Datenschutz-Folgenabschätzung (DSFA) aus. Die DSFA dokumentiert den Zweck, die Verhältnismäßigkeitsprüfung, die geprüften Alternativen (und deren Ablehnung) sowie die Maßnahmen zur Minimierung der Auswirkungen.
Transparenz (Artikel 13–14). Jeder Mitarbeiter muss vor seinem Einsatz darüber informiert werden, was, wo, warum, von wem und wie lange aufgezeichnet wird und wie er seine Rechte ausüben kann. Ein Datenschutzhinweis im Mitarbeiterhandbuch sowie Hinweisschilder am Gebäuderand genügen dieser Anforderung.
Zurückbehaltung. Das erforderliche Minimum beträgt in der Regel 7–30 Tage. Die meisten Zahlungsvereinbarungen betrachten 30 Tage als vorläufige Zahlungsfrist; eine längere Frist bedarf einer gesonderten Begründung.
Sichtbare Beschilderung. Piktogramm + Name des Verantwortlichen + Kontaktperson + Rechtsgrundlage + Aufbewahrungsfrist + Kontaktperson des Datenschutzbeauftragten. An jedem Eingang und auf jeder Etage in mehrstöckigen Gebäuden anbringen.
Auskunftsrecht der betroffenen Person. Jeder Mitarbeiter kann eine Kopie des Videomaterials anfordern, in dem er zu sehen ist. Es gilt eine Frist von 30 Tagen für die Beantwortung der Anfrage.
Minimierung. FOV der Kamera muss so klein wie möglich sein, um den Sicherheitszweck zu erfüllen. Kameras, die auf Schreibtische, in ausgewiesene Ruhebereiche oder einen größeren öffentlichen Bereich als für das Sicherheitsziel erforderlich gerichtet sind, erfüllen diese Anforderung standardmäßig nicht.

Länderspezifische Zusatzoptionen

Deutschland (DSGVO + BDSG + BetrVG). Die Mitbestimmung des Betriebsrats gemäß § 87 Abs. 1 Nr. 6 BetrVG ist für jede Form der Mitarbeiterüberwachung, einschließlich Videoüberwachung, zwingend erforderlich. Der Arbeitgeber darf das System ohne Zustimmung des Betriebsrats weder installieren, erweitern noch verändern. Die Landesdatenschutzbehörden (16 Länder) verhängen regelmäßig Bußgelder bei fehlender Konsultation. § 26 BDSG sieht strengere Aufbewahrungsfristen als die allgemeine GDPR vor – die übliche Höchstdauer beträgt 72 Stunden.

Polen ( RODO + Kodeks pracy). Artikel 22² des Arbeitsgesetzbuches erlaubt den Einsatz von Videoüberwachung am Arbeitsplatz, jedoch nur zur Gewährleistung der Sicherheit, zum Schutz von Eigentum, zur Produktionsüberwachung oder zur Wahrung der Vertraulichkeit. Die Installation muss in der Betriebsordnung geregelt und den Beschäftigten mindestens 14 Tage vor der Inbetriebnahme angekündigt werden. Die UODO (Uganda Department of Operating Standards) ist zunehmend aktiv – Bußgelder für unzureichende Beschilderung und unberechtigte Videoaufzeichnungen sind an der Tagesordnung.

Frankreich (CNIL-Leitlinien + Code du travail). Eine Betriebsratssitzung gemäß Artikel L2312-38 ist erforderlich. Die CNIL hat verbindliche Richtlinien veröffentlicht, die die Aufbewahrungsdauer von Aufnahmen auf 30 Tage beschränken, sofern keine spezifischen Vorfälle vorliegen. Kameras dürfen Arbeitsplätze von Mitarbeitern nicht durchgehend filmen und müssen Pausenräume vollständig aussparen. Die Bußgelder der CNIL für Verstöße gegen die Vorschriften zur Videoüberwachung am Arbeitsplatz reichen von 1.000 € bis über 600.000 €.

Italien (Garante + Statuto dei Lavoratori Artikel 4). Eine der strengsten Regelungen. Artikel 4 des Arbeitnehmerstatuts verbietet die Installation von Überwachungsanlagen zur direkten Überwachung von Arbeitnehmern und verlangt eine kollektive Vereinbarung (mit dem Betriebsrat oder, falls keine solche vorliegt, die Genehmigung der regionalen Arbeitsaufsichtsbehörde), bevor ein System eingesetzt werden darf, das beiläufig die Aktivitäten von Arbeitnehmern erfasst.

Vereinigtes Königreich (britische GDPR + Datenschutzgesetz 2018 + Verhaltenskodex des ICO für Beschäftigungspraktiken). Die Konsultation des Betriebsrats wird empfohlen, ist aber nicht verpflichtend. Der Verhaltenskodex für Beschäftigungspraktiken des ICO gilt als maßgebliche Richtlinie und wird von der Datenschutzbehörde häufig zitiert. Die Aufbewahrungsfrist beträgt standardmäßig 30 Tage; eine längere Aufbewahrungsfrist erfordert einen dokumentierten Vorfall.

Häufige Verstöße gegen die Compliance-Richtlinien (und ihre Kosten)

Kameras in Toiletten, Umkleideräumen oder Ruhezonen – automatische sechsstellige Geldstrafen in der gesamten EU.
Unbefristete oder länger als 90 Tage andauernde Aufbewahrung ohne dokumentierte Begründung – häufig Geldstrafen im niedrigen fünfstelligen Bereich.
Keine Beschilderung oder Beschilderung nur in einer Sprache an mehrsprachigen Arbeitsplätzen — typischerweise 5.000 € – 25.000 €.
Liegt keine Datenschutz-Folgenabschätzung vor – wird zunehmend als erschwerender Umstand angesehen, der die zugrunde liegende Strafe vervielfacht.
Keine Betriebsratsbefragung in DE / FR / IT – die gesamte Umsetzung kann rückwirkend für ungültig erklärt werden.
Der Livestream, auf den Manager ohne Zugriffsprotokollierung zugreifen können, verstößt sowohl gegen das Prinzip der Datenminimierung als auch gegen das Prinzip der Rechenschaftspflicht.
Audioaufzeichnung ohne gesonderte Begründung – Audioaufnahmen von Gesprächen am Arbeitsplatz werden strenger behandelt als Videoaufnahmen.

Eine Checkliste vor dem Einsatz, die standhält

Vor der ersten Kabelverlegung: (1) Erstellung einer Datenschutz-Folgenabschätzung (DSFA) zu Zweck, Verhältnismäßigkeit, Alternativen, Minimierung FOV und Aufbewahrung; (2) Aktualisierung der Datenschutzerklärung und des Mitarbeiterhandbuchs mit den neuen Verarbeitungsrichtlinien; (3) Konsultation des Betriebsrats/der Gewerkschaft, falls zutreffend, und Einholung einer schriftlichen Zustimmung; (4) Erstellung einer FOV mit exakter Abdeckung und Angabe des Verhältnismäßigkeitstests pro Kamera; (5) Anfertigung von Hinweisschildern in allen relevanten Sprachen; (6) Definition von Aufbewahrungsregeln und deren technischer Durchsetzung; (7) Benennung eines Verantwortlichen für die Zugriffsprotokolle; (8) Schulung des Sicherheitsteams zum Workflow für den Personenzugriff.

CCTVplanner erstellt (4) direkt – die Kamerapositionen werden im Grundriss platziert, die FOV fixiert, eine beschriftete PDF mit dem Proportionalitätstest-Hinweis pro Kamera exportiert und dem DPIA-Anhang beigefügt. Der DPA-Prüfer liest dasselbe Dokument, das Sie geprüft haben.

Erstellen Sie die FOV des Arbeitsplatzes für Ihre Datenschutz-Folgenabschätzung.

Platzieren Sie Kameras auf Ihrem Grundriss, fixieren Sie die FOV und exportieren Sie die PDF für den DPIA-Anhang. Die kostenlose Version deckt 1 Standort ab.

RODO GDPR Referenz →

Unser vollständiges Nachschlagewerk für CCTV-Betreiber in der EU.

Anwendungsfall für industrielle Videoüberwachung →

Videoüberwachung auf Werksebene mit betriebsaufsichtlicher FOV.