Zum Inhalt
Videoüberwachung in der Hotellerie
Rechtsinfo

Videoüberwachung in der Hotellerie

Videoüberwachung schützt Gäste und Mitarbeiter:innen, hilft bei der Aufklärung von Diebstählen oder Vandalismus und kann im Ernstfall entscheidende Beweise liefern. Gleichzeitig gilt: Die Kamera ist kein Freifahrtschein – Datenschutzrecht, aktuelle Judikatur und strenge Behördenpraxis setzen enge Grenzen. Wer diese nicht kennt, riskiert hohe Strafen und Imageschäden.

Lesezeit: 

Zwischen Sicherheit, Datenschutz und Stolperfallen

Der wichtigste Grundsatz lautet: So wenig wie möglich, so viel wie nötig!
Jede Kamera muss einen klaren Zweck erfüllen, verhältnismäßig eingesetzt werden und transparent erkennbar sein.

Rechtliche Basis – was erlaubt ist und was nicht

Die DSGVO liefert den allgemeinen Rahmen, in Österreich konkretisiert durch die §§ 12 und 13 DSG. In der Hotellerie stützt sich eine zulässige Videoüberwachung in der Regel ausschließlich auf ein berechtigtes Interesse – etwa den Schutz vor Diebstahl, Vandalismus oder unbefugtem Zutritt. Andere Rechtsgrundlagen wie eine rechtliche Verpflichtung oder eine ausdrückliche Einwilligung spielen in der Praxis so gut wie keine Rolle und kommen nur in Ausnahmefällen vor (z. B. behördliche Anordnung für einen sensiblen Bereich oder klar abgegrenzte, einwilligungsbasierte Sonderprojekte).

Unzulässig sind Kameras in Bereichen, die zum höchstpersönlichen Lebensbereich gehören: Gästezimmer, Wellnessbereiche, Umkleideräume, Duschen und Toiletten sind tabu. In halböffentlichen Hotelzonen wie Lobby, Restaurant oder Schwimmbad muss vorher geprüft werden, ob der Zweck nicht auch durch mildere Mittel erreicht werden kann.

Eine Überwachung zur Kontrolle von Verhalten oder Leistung von Mitarbeiter:innen ist unzulässig. Eine Videoüberwachung am Arbeitsplatz ist nur in absoluten Ausnahmefällen erlaubt, wenn ein konkreter, dokumentierter Verdacht auf eine Straftat besteht und keine milderen Mittel zur Aufklärung zur Verfügung stehen. In einem solchen Fall muss die Maßnahme eng begrenzt, befristet und vorab rechtlich geprüft werden.

Strenge Auslegung durch DSB und BVwG

Die österreichische Datenschutzbehörde (DSB) und das Bundesverwaltungsgericht (BVwG) legen Videoüberwachung streng aus. Rechtfertigungen müssen gut dokumentiert sein – bloße Sicherheitsgefühle reichen nicht. Zulässig sind etwa:

  • konkrete Vorfälle in der Vergangenheit (Diebstähle, Vandalismus)
  • unübersichtliche Eingangsbereiche mit erhöhtem Risiko
  • Sicherung besonders sensibler Hotelzonen (z.B. Tiefgarage)

Bereiche wie Lobby oder Zugänge können überwacht werden, wenn das Ziel nicht mit gelinderen Mitteln erreicht werden kann – zum Beispiel durch bessere Beleuchtung oder Zutrittskontrollen.

Planung, Dokumentation und Transparenz

Bevor die erste Kamera installiert wird, braucht es eine sorgfältige Planung. Kernstück der Datenschutzdokumentation ist das Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO. Hier werden alle Kameras einzeln dokumentiert – mit Standort, technischen Daten, Zweck, Speicherdauer, Zugriffsberechtigten und Installationsdatum. Ein Lageplan hilft, den Überblick zu behalten.

Bei großflächiger oder sensibler Überwachung ist zusätzlich eine Datenschutz-Folgenabschätzung (DSFA) nötig. Wer Cloud-Speicher nutzt, muss sicherstellen, dass die Daten in der EU/EWR liegen und mit dem/der Anbieter:in ein Auftragsverarbeitungsvertrag besteht. 

Auch die Information der Mitarbeiter:innen ist ein wesentlicher Teil der Planung:

  • Datenschutzrechtlich müssen alle Beschäftigten vor Inbetriebnahme schriftlich informiert werden. Die Information muss Zweck, Rechtsgrundlage, Speicherdauer, Zugriffsberechtigte sowie Hinweise zu den Betroffenenrechten enthalten und kann in Form eines eigenen Infoblattes oder eines internen Datenschutzhinweises erfolgen.
  • Kennzeichnungspflicht: Alle überwachten Bereiche, die von Mitarbeiter:innen betreten werden können, sind deutlich sichtbar zu beschildern – auch Personalräume.
  • Arbeitsrechtlich gilt: Gibt es einen Betriebsrat, ist eine Betriebsvereinbarung erforderlich. Gibt es keinen, sind Einzelvereinbarungen nötig – wobei Einwilligungen im Arbeitsverhältnis rechtlich kritisch sind und nach Möglichkeit vermieden werden sollten.

Eine klare, transparente Kommunikation verhindert Missverständnisse und stärkt das Vertrauen der Belegschaft in die Maßnahme.

Kennzeichnungspflicht – Gäste müssen es wissen

Gemäß § 13 Abs. 5 DSG muss jede Videoüberwachung klar erkennbar sein! Hinweisschilder gehören vor den überwachten Bereich und enthalten mindestens:

  • Piktogramm „Videoüberwachung“
  • Name und Kontaktdaten des Verantwortlichen
  • Zweck der Überwachung
  • Hinweis auf weiterführende Informationen (z.B. Link zur Datenschutzerklärung)

Die Datenschutzerklärung des Hotels muss die Überwachung ebenfalls aufführen: überwachte Bereiche, Zweck, Rechtsgrundlage, Speicherdauer, Empfänger:innen der Daten und Hinweise auf Betroffenenrechte.

Speicherdauer, Zugriff und Auskunftsrechte

Die gesetzlich vorgesehene Speicherdauer gemäß § 13 Abs. 3 DSG beträgt grundsätzlich maximal 72 Stunden. Eine längere Aufbewahrung ist nur zulässig, wenn ein konkreter Anlassfall besteht (z.B. Vorfallsaufklärung) – dieser muss dokumentiert werden. Jeder Zugriff auf Aufnahmen ist zu protokollieren, und nur autorisierte Personen dürfen Zugang haben. Betroffene haben das Recht, Auskunft zu erhalten und Kopien von Aufnahmen zu bekommen. Sind andere Personen auf den Bildern, müssen diese verpixelt werden oder das Geschehen wird inhaltlich beschrieben.

Neue Erkenntnisse aus der Praxis

Die Behörden gehen konsequent vor:

  • 2024 stellte der OGH klar, dass bereits die bloße Ausrichtung einer Kamera auf einen überwachten Bereich – auch wenn sie noch nicht in Betrieb ist – einen Eingriff in die Privatsphäre darstellen kann. Dies gilt insbesondere, wenn Personen die berechtigte Befürchtung haben, gefilmt zu werden. Hoteliers müssen daher auch bei inaktiven oder rein abschreckend angebrachten Kameras sicherstellen, dass keine Bereiche erfasst werden, in denen sich Gäste, Mitarbeiter:innen oder Nachbar:innen aufhalten könnten.
    [OGH 06 Ob 184/24p, 10.11.2024]
  • Immer wieder gibt es Untersagungen bei Überwachung öffentlicher oder halböffentlicher Flächen (z.B. Parkplätze) ohne ausreichende Begründung.

Moderne Systeme – Chancen und Risiken

Viele Hotels setzen heute auf moderne Technologien wie IP-Kameras, Cloud-Speicherung und sogar KI-gestützte Auswertungen. Diese Systeme bieten mehr Komfort und oft eine bessere Bildqualität – bringen jedoch auch neue Datenschutzrisiken mit sich.

IP-Kameras sollten ausschließlich mit verschlüsselter Datenübertragung (z. B. TLS/SSL) betrieben werden. Werkseitige Standardeinstellungen, insbesondere Standardpasswörter, müssen sofort geändert werden, um unbefugten Zugriff zu verhindern.

Cloud-Speicherung ist nur dann datenschutzkonform, wenn der Anbieter seine Server im EU/EWR-Raum betreibt und mit dem Hotel ein Auftragsverarbeitungsvertrag abgeschlossen wird. Zudem sollte die Speicherung immer verschlüsselt erfolgen – sowohl beim Übertragen („in transit“) als auch beim Ablegen der Daten („at rest“).

KI-Funktionen wie automatische Bewegungs- oder Objekterkennung können in bestimmten Bereichen nützlich sein, z.B. zur automatischen Erkennung von Aktivitäten in sensiblen Zonen. Biometrische Gesichtserkennung ist hingegen datenschutzrechtlich besonders heikel und in der Hotellerie praktisch nicht umsetzbar – sie ist nur mit einer ausdrücklichen, freiwilligen und jederzeit widerrufbaren Einwilligung aller Betroffenen zulässig, was im Hotelalltag kaum realistisch ist.

Praxisempfehlungen für die Hotellerie

  1. Rechtsgrundlage sauber prüfen
    Stützen Sie jede Videoüberwachung ausschließlich auf ein berechtigtes Interesse (Schutz von Gästen, Eigentum, Sicherheit). Überwachen Sie niemals zur Leistungs- oder Verhaltenskontrolle von Mitarbeiter:innen – das ist nur in eng begrenzten Ausnahmefällen mit konkretem Straftatverdacht zulässig.
  2. Datenschutzdokumentation lückenlos führen
    Erfassen Sie jede Kamera einzeln im Verzeichnis der Verarbeitungstätigkeiten mit allen technischen Details, Standort, Zweck und Speicherdauer. Ergänzen Sie einen Lageplan mit den Standorten der Kameras und führen Sie bei größeren oder sensiblen Bereichen eine Datenschutz-Folgenabschätzung durch.
  3. Kennzeichnung und Information transparent gestalten
    Bringen Sie vor jedem überwachten Bereich gut sichtbare Hinweisschilder mit den Pflichtangaben an und verweisen Sie auf die ausführlichen Informationen in Ihrer Datenschutzerklärung. Informieren Sie auch Ihre Mitarbeiter:innen schriftlich und vor Inbetriebnahme der Kameras.
  4. Speicherdauer strikt einhalten
    Beachten Sie die gesetzliche Maximalfrist von 72 Stunden (§ 13 Abs. 3 DSG). Verlängern Sie die Aufbewahrung nur bei dokumentiertem Anlassfall und protokollieren Sie jeden Zugriff auf die Aufnahmen.
  5. Moderne Technik sicher einsetzen
    Betreiben Sie IP-Kameras nur mit verschlüsselter Übertragung und geänderten Standardpasswörtern. Nutzen Sie Cloud-Speicher ausschließlich bei EU/EWR-Anbietern mit Auftragsverarbeitungsvertrag und Verschlüsselung. Verzichten Sie in der Hotellerie auf biometrische Gesichtserkennung – sie ist praktisch nicht rechtssicher umsetzbar.

Ihre Ansprechpartnerin

Mag. Maria Wottawa

Mag. Maria Wottawa

Leitung Mitgliederservice E-Mail senden +43 1 5330952-14
Zur Hauptnavigation
Print Share

Diesen Artikel teilen

Das geistige Eigentum an allen Texten, Bildern und Videos auf dieser Website liegt bei der Österreichischen Hotelvereinigung oder wurde mit Genehmigung des jeweiligen Inhabers der entsprechenden Rechte verwendet. Es ist gestattet, diese Website zu betrachten, Extrakte auszudrucken, auf die Festplatte Ihres Computers zu speichern und an andere Personen weiterzuleiten. Es ist jedoch nicht gestattet, die Inhalte kommerziell zu nutzen oder Inhalte – auch in Teilen – in Publikationen zu verwenden. Weitergehende Rechte sind mit der Nutzung dieser Website nicht verbunden. Die Österreichische Hotelvereinigung ist nicht verantwortlich für fremde Inhalte von Websites, auf die von dieser Seite verwiesen wird.