EDPB veröffentlicht einheitliche Vorlage für Video-Überwachungsprüfungen

April 2026 erstmals eine harmonisierte Vorlage für Datenschutz-Folgenabschätzungen (DPIA) veröffentlicht. Unternehmen, die Webcams oder Videoüberwachung einsetzen, stehen damit vor neuen, einheitlichen Bewertungsstandards. Die öffentliche Konsultation dazu läuft noch bis Anfang Juni.

Die neue Vorlage kommt zu einem kritischen Zeitpunkt. Remote-Arbeit und Hybridmodelle haben den Spagat zwischen Mitarbeiterprivatsphäre und Unternehmenssicherheit verschärft. Zwar sind die technischen Möglichkeiten zur Überwachung per Webcam ausgefeilter denn je – die rechtlichen Hürden dafür bleiben jedoch extrem hoch.

Eine fehlende oder fehlerhafte Datenschutz-Folgenabschätzung bei Videoüberwachung kann Unternehmen teuer zu stehen kommen. Dieser kostenlose Leitfaden bietet eine praxisnahe Anleitung und eine bearbeitbare Muster-Vorlage, um Ihre Dokumentationspflichten rechtssicher zu erfüllen. Rechtssichere Muster-DSFA jetzt kostenlos herunterladen

Einheitliche Bewertung für risikoreiche Überwachung

Die DPIA-Vorlage des EDPB gibt Unternehmen eine klare Struktur für die Bewertung hochriskanter Überwachungstechnologien. Nach der Datenschutz-Grundverordnung (DSGVO) ist eine formelle Prüfung immer dann Pflicht, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt – etwa bei systematischer Überwachung öffentlich zugänglicher Bereiche oder dem Einsatz invasiver „Bossware".

Die Vorlage zwingt Unternehmen, die konkrete Rechtsgrundlage für ihre Überwachung zu dokumentieren. Die Aufsichtsbehörden betonen: Die Einwilligung der Mitarbeiter ist wegen des Machtungleichgewichts im Arbeitsverhältnis kaum je zulässig. Stattdessen müssen Unternehmen ein „berechtigtes Interesse" nachweisen, das nicht durch die Privatsphärenrechte der Betroffenen überlagert wird.

Der Fokus der EDPB liegt 2026 auf Transparenz und Informationspflichten. Eine bloße DPIA in der Schublade reicht nicht mehr. Unternehmen müssen nachweisen, dass sie Mitarbeiter und Kunden klar, verständlich und in einfacher Sprache über Umfang, Zweck und Dauer der Video-Datenerhebung informieren. Das passt zur koordinierten Durchsetzungsaktion (CEA) 2026, die sich auf die Artikel 12 bis 14 der DSGVO konzentriert.

Rechtliche Grenzen der Remote-Überwachung

Die Aufsichtsbehörden warnen im Frühjahr 2026 verstärkt vor permanenter Webcam-Überwachung im Homeoffice. Aktuelle Berichte stellen klar: Echtzeit-Screenshots, Keylogger und dauerhafte Webcam-Aktivierung gelten grundsätzlich als unverhältnismäßig. Solche Praktiken dringen unnötig in die Privatsphäre ein – besonders wenn Arbeitsergebnisse auch mit weniger invasiven Mitteln wie Systemzugriffslogs oder Projektmanagement-Tools messbar sind.

Ein historischer Präzedenzfall prägt weiterhin die Durchsetzungspraxis: Die 32 Millionen Euro schwere Geldstrafe gegen einen großen E-Commerce-Anbieter wegen sekundengenauer Scanner-Überwachung. Die Aufsichtsbehörden warnen: Erfasst eine Remote-Überwachung private Informationen – etwa ein Kinderbettchen oder medizinische Geräte im Hintergrund des Homeoffice – können unbeabsichtigt besondere Kategorien sensibler Daten verarbeitet werden. Das verschärft die Compliance-Anforderungen drastisch.

Die aktualisierte EDPB-Leitlinie zu Videogeräten vom 1. April 2026 betont zudem: Überwachungsdaten müssen in der Regel nach wenigen Tagen gelöscht werden. Unternehmen brauchen daher automatisierte Löschprotokolle und „Privacy by Design"-Funktionen, etwa Maskierungssoftware, die nicht relevante Bereiche des Webcam-Bildes unkenntlich macht.

Technische Standards und neue KI-Beschränkungen

Auch die technische Seite der Webcam-Sicherheit hat 2026 große Updates erfahren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seinen Kriterienkatalog BSI C5:2026 veröffentlicht – die Nachfolgeversion von 2020. Der neue Standard für Cloud-Computing-Compliance enthält verfeinerte Anforderungen an Container-Management und adressiert erstmals Post-Quanten-Kryptografie und vertrauliches Rechnen (Confidential Computing). Für Unternehmen mit cloudbasierten Videokonferenz- und Webcam-Diensten ist der C5:2026 ein entscheidender Maßstab zur Bewertung ihrer Dienstleister.

Parallel dazu verändert die EU-KI-Verordnung, die Anfang 2025 schrittweise in Kraft trat, den Webcam-Markt grundlegend. Eine zentrale Neuerung: Das Verbot von Emotionserkennungssystemen am Arbeitsplatz. Jede Webcam-Software oder „Produktivitätsanalyse", die den emotionalen Zustand eines Mitarbeiters aus biometrischen Daten ableitet, ist nun nach Artikel 5 der KI-Verordnung verboten. Viele Technologieanbieter haben Gesichtserkennungsfunktionen aus ihren Unternehmensprodukten entfernt, um hohe Strafen zu vermeiden.

Die neuen Anforderungen der EU-KI-Verordnung stellen viele Unternehmen vor große Herausforderungen bei der Risikodokumentation. Erhalten Sie mit diesem kostenlosen E-Book einen kompakten Überblick über alle Fristen, Pflichten und Risikoklassen des AI Acts. EU AI Act Umsetzungsleitfaden gratis sichern

Aktuelle Sicherheitslücken unterstreichen die Notwendigkeit erhöhter Wachsamkeit. Im April 2026 veröffentlichten große Hersteller Patches für kritische Schwachstellen, darunter CVE-2026-28865 – ein Authentifizierungsfehler, der unbefugten Zugriff auf Gerätefunktionen ermöglicht hätte. Webcam-Privatsphäre ist daher nicht nur eine Frage der Unternehmenspolitik, sondern auch rigorosen Patch-Managements und der Einhaltung aktuellster Cybersicherheitsstandards.

Durchsetzungsausblick und Verfahrensfristen

Das Verfahrensrecht für grenzüberschreitende Durchsetzung befindet sich 2026 im Umbruch. Die DSGVO-Verfahrensverordnung (Verordnung EU 2025/2518) ist zwar am 1. Januar 2026 in Kraft getreten. Unternehmen und Behörden sollten jedoch beachten: Die Verordnung wird erst am 2. April 2027 wirksam anwendbar.

Ab dann werden die Regeln die Zusammenarbeit nationaler Datenschutzbehörden bei grenzüberschreitenden Beschwerden vereinheitlichen – etwa bei Fällen, die die Webcam-Richtlinien eines multinationalen Technologiekonzerns betreffen. Die Verordnung führt strenge Fristen ein: Die federführende Aufsichtsbehörde muss binnen 15 Monaten nach Bestätigung ihrer Zuständigkeit einen Entscheidungsentwurf vorlegen. Zudem gibt es einen „Frühbeilegungsmechanismus" für Fälle, in denen ein Unternehmen einen Verstoß nach einer Beschwerde schnell behebt.

Bis diese Regeln 2027 vollständig greifen, sollten sich Unternehmen an den Durchsetzungsprioritäten des EDPB für 2026 orientieren. Der aktuelle Fokus auf Transparenz deutet darauf hin, dass die Aufsichtsbehörden Datenschutzerklärungen und die Zugänglichkeit von Betroffenenrechten genau prüfen werden. Unternehmen müssen mit Fragebögen nationaler Behörden rechnen, die detaillierte Erklärungen zur Information der Betroffenen über die Video-Datenverarbeitung verlangen.

Ausblick für die Unternehmens-Compliance

Die zweite Jahreshälfte 2026 verspricht ein reiferes, aber auch anspruchsvolleres regulatorisches Umfeld. Die Konvergenz von KI-Regulierung und harmonisierten Datenschutzprüfungen macht deutlich: Allgemeine Datenschutzerklärungen zur Webcam-Nutzung reichen nicht mehr. Die DPIA-Vorlage vom 14. April und der BSI C5:2026-Standard liefern die Werkzeuge für einen „Privacy-First"-Ansatz – die Umsetzungslast bleibt jedoch bei den Datenverantwortlichen.

Zu beobachten sind künftig neue Ortungsfunktionen in großen Office-Softwarepaketen, die Datenschützer bereits als potenzielle Überwachungsrisiken eingestuft haben. Während die Regulierungsbehörden von der Leitlinien-Erstellung zur aktiven Durchsetzung übergehen, wird die Fähigkeit eines Unternehmens, die Notwendigkeit und Sicherheit seiner Webcam-Technologie nachzuweisen, zum entscheidenden Erfolgsfaktor. Wer seine Überwachungspraktiken nicht an die neuen Standards anpasst, riskiert nicht nur Geldstrafen, sondern auch erhebliche Reputationsschäden in einer Zeit, in der Mitarbeiter- und Verbraucherprivatsphäre unter ständiger öffentlicher Beobachtung stehen.

de | boerse | 69245802 |