Mehr als die Hälfte der deutschen Handelsunternehmen wurde 2025 nachweislich Opfer von Ladendiebstahl — das zeigt eine aktuelle Studie von Ibi Research und der DIHK. Viele Händler sehen KI-gestützte Kamerasysteme als sinnvolle Antwort: Sie erkennen verdächtige Verhaltensweisen automatisch, entlasten Mitarbeitende und liefern im Ernstfall Beweismaterial. Doch die Praxis ist ernüchternder: Die DSGVO begrenzt die Videospeicherung auf 48 bis 72 Stunden — und genau das macht den Einsatz für viele Betriebe wirkungslos.
Was die Studie von Ibi Research und DIHK zeigt
Die gemeinsame Untersuchung von Ibi Research und dem Deutschen Industrie- und Handelskammertag zeichnet ein deutliches Bild: Ladendiebstahl ist kein Randphänomen. Mehr als jedes zweite Unternehmen verzeichnete im vergangenen Jahr einen nachgewiesenen Verlust durch Diebstahl.
Händler erhoffen sich von KI-Kamerasystemen drei konkrete Vorteile: Die Systeme sollen auffällige Verhaltensmuster — etwa wiederholtes Aufsuchen bestimmter Regalzonen ohne Einkauf — automatisch erkennen und das Personal diskret alarmieren. Sie sollen die Personalplanung an Kassenzonen optimieren, indem Warteschlangenanalysen in Echtzeit laufen. Und sie sollen Mitarbeitenden in schwierigen Situationen psychologische Sicherheit geben, weil eine KI das Kamerabild permanent auswertet.
Das Kernproblem: Professionelle Tätergruppen operieren so geschickt, dass Verluste häufig erst bei der Inventur auffallen — also Wochen oder Monate nach dem Vorfall. Zu diesem Zeitpunkt sind die Aufnahmen nach geltendem Recht längst automatisch gelöscht.
Warum das für den Mittelstand zählt
Für mittelständische Einzelhändler — Apotheken, Fachmärkte, Modegeschäfte, Baumärkte — ist das Thema besonders spürbar. Große Handelsketten haben eigene Rechtsabteilungen und können individuelle datenschutzrechtliche Einschätzungen einholen. Kleinere Betriebe stehen dagegen vor einem praktischen Dilemma: Der Schaden durch Diebstahl ist real, der juristische Aufwand für DSGVO-konforme KI-Überwachung erscheint unverhältnismäßig groß.
Die aktuelle Rechtslage erlaubt klassische Videoüberwachung unter klar definierten Bedingungen. Sobald aber eine KI ins Spiel kommt, die Gesichter erkennt, Verhaltensprofile anlegt oder automatische Warnmeldungen generiert, gelten erheblich strengere Anforderungen. Dieser Unterschied ist vielen Händlern nicht bewusst — und führt dazu, dass entweder zu viel oder zu wenig investiert wird.
„KI-Kameras können präventiv wirken — aber die DSGVO schreibt einen Rahmen vor, der bei professionellem Ladendiebstahl systematisch zu kurz greift."
Use-Cases aus der Praxis
Selbstbedienungskassen und Kassenzone
Verhaltensanalyse an Selbstbedienungskassen ist ein vergleichsweise DSGVO-freundlicher Einsatz, weil keine Gesichtsdaten gespeichert werden müssen. KI-Systeme erkennen auffällige Handlungsmuster — etwa nicht gescannte Waren oder ungewöhnlich schnelle Abläufe — ohne biometrische Identifikation. Diese Anwendung fällt nicht unter die besonders strengen Anforderungen für biometrische Daten nach Art. 9 DSGVO.
Warenwirtschaft und Inventurhilfe
Wo KI-Kameras mit Warenwirtschaftssystemen verknüpft werden, entstehen interessante Anwendungen: automatische Regalscannungen, Bestandsabgleich in Echtzeit, Hinweise auf Fehlmengen. Hier ist der Personenbezug gering, der Nutzen aber hoch. Diese Anwendungen sind datenschutzrechtlich deutlich unkritischer, weil keine Personen, sondern Waren erfasst werden.
Gesichtserkennung zur Täteridentifikation
Dieser Bereich ist der rechtlich heikelste. Der EU AI Act stuft Echtzeit-Gesichtserkennung im öffentlichen Raum als Hochrisiko-KI ein — mit strengen Anforderungen an Transparenz, menschliche Kontrolle und Folgenabschätzung. Für Einzelhändler ohne eigene Compliance-Abteilung ist dieser Weg in der Praxis kaum gangbar und bleibt vorerst großen Filialnetzen mit dedizierten Rechtsteams vorbehalten.
warningKurzfristige Speicherung ist kein Bußgeld-Schutz Wer Videomaterial länger als 48 bis 72 Stunden speichert, riskiert Bußgelder durch Datenschutzbehörden — unabhängig davon, ob ein legitimer Grund vorliegt. Die Löschpflicht gilt auch dann, wenn noch kein Diebstahl bemerkt wurde. Wer KI-Kameras einführt, braucht ein dokumentiertes Löschkonzept und eine Datenschutz-Folgenabschätzung (DPIA) nach Art. 35 DSGVO — vor der Inbetriebnahme, nicht danach.
Was DSGVO und EU AI Act konkret vorschreiben
Die DSGVO erlaubt Videoüberwachung, wenn ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f vorliegt, das die Interessen der betroffenen Personen nicht überwiegt, und wenn technische sowie organisatorische Maßnahmen den Eingriff auf das Notwendige begrenzen. Eine Hinweispflicht durch gut sichtbare Schilder besteht in jedem Fall.
Bei Gesichtserkennung und biometrischer Analyse greift Art. 9 DSGVO: Diese Daten gelten als besonders schutzwürdig und dürfen in der Regel nur mit ausdrücklicher Einwilligung erhoben werden — eine Anforderung, die im Einzelhandel mit anonymem Laufkundenpublikum strukturell nicht erfüllbar ist.
Der EU AI Act fügt eine weitere Ebene hinzu: KI-Systeme zur biometrischen Identifikation gelten als hochriskant. Sie erfordern Konformitätsbewertungen, Protokollierungspflichten und menschliche Aufsicht. Für Echtzeit-Erkennung im öffentlichen Raum gilt in der EU ein grundsätzliches Verbot mit eng definierten Ausnahmen, die für den privaten Handel nicht greifen.
| Kamera-Einsatz | DSGVO-Risiko | Empfehlung |
|---|
| Verhaltensanalyse ohne Biometrie | Gering | DPIA empfehlenswert, umsetzbar |
| Gesichtserkennung zur Täteridentifikation | Sehr hoch | Für KMU derzeit nicht empfohlen |
| KI-Inventarscan (keine Personen erfasst) | Sehr gering | Rechtlich unproblematisch |
| Kassenzonen-Analyse ohne Gesichtsdaten | Mittel | Mit Datenschutzkonzept umsetzbar |
Fazit
Die Ibi-Research-Studie macht einen echten Bedarf sichtbar — und eine echte Lücke: Der Handel braucht längere Aufbewahrungsfristen, um professionelle Täter identifizieren zu können. Datenschutzbehörden und Gesetzgeber bewegen sich in die entgegengesetzte Richtung, gestützt durch den EU AI Act und seine Risikoklassifizierung biometrischer Systeme.
Für Mittelständler, die KI-Kameras einführen wollen, gibt es einen gangbaren Weg: Verhaltensanalyse ohne biometrische Identifikation, verbunden mit klaren Löschkonzepten und einer Datenschutz-Folgenabschätzung. Dieser Ansatz ist rechtlich vertretbar und bringt messbaren Nutzen — vor allem an Selbstbedienungskassen und in der Warenwirtschaft. Gesichtserkennung zur Täteridentifikation bleibt dagegen für die meisten Betriebe vorerst kein praxistauglicher Weg. ATLAS Consulting berät Handelsunternehmen bei der datenschutzkonformen Einführung von KI-Kamerasystemen — von der Systementscheidung bis zur DPIA-Dokumentation.
A
ATLAS Consulting Redaktion
Wir kuratieren jede Woche die wichtigsten KI-News für Entscheider im deutschen Mittelstand — ohne Hype, immer auf Deutsch.
Diese Technologie in Ihrem Unternehmen nutzen?
ATLAS Consulting begleitet Sie vom ersten Use-Case bis zur produktiven Integration — ohne Hype, ohne Blackbox, mit klaren Zahlen.
More than half of German retail companies were demonstrably hit by shoplifting in 2025 — that's according to a recent study by Ibi Research and the DIHK. Many retailers see AI-powered camera systems as a sensible answer: they detect suspicious behavior automatically, take pressure off staff, and deliver evidence when things get serious. Yet practice is more sobering: the GDPR limits video retention to 48 to 72 hours — and that is exactly what renders the use case ineffective for many businesses.
What the Ibi Research and DIHK study shows
The joint study by Ibi Research and the Association of German Chambers of Industry and Commerce paints a clear picture: shoplifting is not a fringe phenomenon. More than one in two companies recorded a documented loss from theft in the past year.
Retailers expect three concrete benefits from AI camera systems: they should automatically detect suspicious patterns — for instance, repeated visits to certain shelf zones without purchase — and alert staff discreetly. They should optimize workforce planning at checkout areas by running queue analytics in real time. And they should give employees a degree of psychological safety in difficult situations, because an AI is permanently analyzing the camera feed.
The core problem: professional thieves operate so skillfully that losses often only become visible during inventory checks — weeks or months after the incident. By that time, the footage has long since been automatically deleted under current law.
Why this matters for SMEs
For mid-sized retailers — pharmacies, specialty stores, fashion shops, DIY markets — the topic is particularly tangible. Large retail chains have their own legal departments and can obtain individual data-protection assessments. Smaller businesses, by contrast, face a practical dilemma: theft damage is real, yet the legal effort for a GDPR-compliant AI surveillance setup seems disproportionately high.
Current law allows classic video surveillance under clearly defined conditions. But as soon as an AI comes into play that recognizes faces, builds behavioral profiles or generates automatic alerts, significantly stricter requirements apply. Many retailers are not aware of this distinction — which leads them to either over- or under-invest.
"AI cameras can work preventively — but the GDPR sets a framework that systematically falls short against professional shoplifting."
Use cases from practice
Self-checkout and checkout zones
Behavior analysis at self-checkout terminals is a comparatively GDPR-friendly use case because no facial data needs to be stored. AI systems detect suspicious patterns — items that weren't scanned, unusually fast processes — without biometric identification. This application does not fall under the especially strict requirements for biometric data under Art. 9 GDPR.
Inventory and stock management
Where AI cameras are tied into inventory systems, interesting applications emerge: automatic shelf scanning, real-time stock reconciliation, alerts for shortages. Here the personal reference is low but the benefit is high. These use cases are significantly less critical from a data-protection perspective because they capture goods, not people.
Facial recognition for offender identification
This is the legally most sensitive area. The EU AI Act classifies real-time facial recognition in public spaces as high-risk AI — with strict requirements for transparency, human oversight and impact assessment. For retailers without a dedicated compliance team, this path is barely viable in practice and will for now remain reserved for large store networks with dedicated legal capacity.
warningShort retention is not a shield against fines Storing video material for longer than 48 to 72 hours risks fines from data protection authorities — regardless of whether there is a legitimate reason. The deletion obligation applies even when a theft hasn't yet been noticed. Anyone introducing AI cameras needs a documented deletion concept and a Data Protection Impact Assessment (DPIA) under Art. 35 GDPR — before go-live, not after.
What the GDPR and EU AI Act actually require
The GDPR permits video surveillance when there is a legitimate interest under Art. 6(1)(f) that is not outweighed by the interests of the data subjects, and when technical and organizational measures limit the intrusion to what is necessary. A duty to inform via clearly visible signs applies in any case.
For facial recognition and biometric analysis, Art. 9 GDPR kicks in: this data is considered especially sensitive and as a rule may only be collected with explicit consent — a requirement that is structurally impossible to meet in retail environments with anonymous walk-in customers.
The EU AI Act adds a further layer: AI systems for biometric identification are classified as high-risk. They require conformity assessments, logging obligations and human oversight. For real-time recognition in public spaces, the EU imposes a general prohibition with narrowly defined exceptions that do not apply to private retail.
| Camera use case | GDPR risk | Recommendation |
|---|
| Behavior analysis without biometrics | Low | DPIA recommended, feasible |
| Facial recognition for offender ID | Very high | Not recommended for SMEs today |
| AI inventory scanning (no persons captured) | Very low | Legally unproblematic |
| Checkout analytics without facial data | Medium | Feasible with a data-protection concept |
Bottom line
The Ibi Research study reveals both a real need and a real gap: retail needs longer retention periods to identify professional perpetrators. Data protection authorities and lawmakers are moving in the opposite direction, supported by the EU AI Act and its risk classification of biometric systems.
For SMEs looking to introduce AI cameras, there is a viable path: behavior analysis without biometric identification, combined with clear deletion concepts and a Data Protection Impact Assessment. This approach is legally defensible and delivers measurable value — especially at self-checkout and in stock management. Facial recognition for offender identification, by contrast, remains impractical for most businesses for the time being. ATLAS Consulting advises retail companies on the data-protection-compliant introduction of AI camera systems — from the system decision through to DPIA documentation.
A
ATLAS Consulting Editorial Team
Every week we curate the most important AI news for decision-makers in the German mid-market — no hype, written for practitioners.
Bring this technology into your business?
ATLAS Consulting guides you from the first use case all the way to productive integration — no hype, no black box, clear numbers.