Filial-Videoüberwachung — sechs Standorte, ein Bedienpult, kein Cloud-Vendor-Lock

Eine inhabergeführte Bäckerei mit sechs Filialen wollte raus aus dem alten Insel-Setup mit DVRs aus 2014 — und auf keinen Fall in eine Cloud-Lösung mit monatlichen Gebühren rein. Wir haben eine eigene PoE-Infrastruktur mit zentralem NVR und sicherem Fernzugriff aufgebaut.

Branche
Bäckerei · Filialbetrieb
Zeitraum
2024 · 6 Wochen Rollout
Rolle
Konzept, Beschaffung, Installation in 6 Filialen
Stack
Hikvision IP-Kameras, NVR mit 8 TB, PoE-Switches, WireGuard
Ausgangslage

Wie das angefangen hat.

Der Inhaber hatte mich angerufen, weil in einer Filiale nachts eingebrochen worden war und die DVR-Festplatte ausgerechnet in dieser Nacht volllief — zwei Stunden vor dem Vorfall. Aufnahme: weg. Versicherung: skeptisch. Polizei: zuckte mit den Schultern.

Sein Wunsch war klar formuliert: „Ich will nie wieder einen Anruf bekommen, der mit ‚Wir hatten was, aber leider…' anfängt." Außerdem sollte es kein Abo-System sein, weil die Bäckerei ihre IT bewusst eigentumsbasiert aufbaut — Server, Kassen, alles steht im eigenen Haus.

Herausforderung

Was wirklich auf dem Tisch lag.

Die sechs Filialen unterschieden sich stark: zwei in Innenstadtlagen mit Bistro-Bereich, drei klassische Verkaufsfilialen, eine kleine Backstube mit Auslieferungstor. Unterschiedliche Größen, unterschiedliche Internet-Anschlüsse, drei verschiedene Generationen Bestandsverkabelung. Außerdem:

  • Bewegung in der Backstube ist 16 Stunden am Tag — „Bewegung erkannt" als Trigger ist da nutzlos.
  • Das Verkaufspersonal sollte keinen Zugriff auf die Aufnahmen haben — DSGVO und Betriebsrat haben das so eingefordert.
  • Der Inhaber wollte vom Sofa aus reinschauen können, wenn nachts der Alarm ausgelöst wird.
  • Aufnahmen sollten 14 Tage lang vorgehalten werden, danach automatisch gelöscht — auch das eine harte Vorgabe der Datenschutzbeauftragten.
Vorgehen

Wie ich's angegangen bin.

  1. 01

    Pro Filiale ein eigenes Mini-Setup, zentraler NVR im Stammhaus

    Jede Filiale bekommt einen kleinen PoE-Switch und vier bis sechs IP-Kameras. Die Streams gehen verschlüsselt über die Internet-Verbindung der Filiale zu einem zentralen NVR im Stammhaus, wo die Aufzeichnung läuft. So kann der Inhaber alle Kameras aus einer einzigen Oberfläche überwachen.

  2. 02

    Kameraplatzierung mit Sichtfeld-Plan

    Vor dem Einkauf habe ich für jede Filiale einen Grundriss-Plan mit Sichtfeldern erstellt — 4 mm Weitwinkel an der Theke, 6 mm im Verkaufsraum, Vandalismus-resistente Domes draußen. Keine Kamera hängt zur Deko, jede hat einen klar definierten Zweck. Das ist auch für die DSGVO-Folgenabschätzung relevant: nur das überwachen, was nachweislich überwacht werden muss.

  3. 03

    Bewegungsfilter mit ROI-Bereichen

    In der Backstube wird Bewegung im Türbereich getriggert, nicht überall. In den Verkaufsräumen wird nur außerhalb der Öffnungszeiten getriggert. Diese Region-of-Interest-Logik im NVR spart bei der Sichtung nach einem Vorfall circa 90 % der Zeit — keine 16-Stunden-Tape-Reviews mehr.

  4. 04

    Zugriff per WireGuard, nicht per Cloud

    Der NVR ist nicht direkt aus dem Internet erreichbar. Der Inhaber hat auf seinem iPhone und einem privaten Tablet je eine WireGuard-Konfiguration, die bei Bedarf eine sichere Verbindung in das interne Netz aufbaut. Kein offener Port, keine Vendor-Cloud, keine Daten irgendwo bei Hikvision selbst.

  5. 05

    Rollenkonzept mit Audit-Logs

    Im NVR gibt es nur zwei Konten: ein Admin-Konto (nur der Inhaber) und ein Lese-Konto für die Datenschutzbeauftragte. Jede Sichtung wird mitprotokolliert, jede Löschung ebenso. Das Verkaufspersonal hat keinen Zugang — auch nicht nominell.

  6. 06

    Beschilderung und Mitarbeiterinformation

    In jeder Filiale hängen die vorgeschriebenen Hinweisschilder im Eingangsbereich. Die Mitarbeiter haben eine schriftliche Information bekommen und gegengezeichnet. Der Betriebsrat war einbezogen. Klingt nach Bürokratie — ist aber bei einem Datenschutz-Audit Gold wert.

Ergebnis

Was am Ende rauskam.

System läuft seit Frühjahr 2024 in allen Filialen. Bisher zwei Vorfälle (ein Diebstahl an der Kassentheke, ein Schaufensterschaden) — in beiden Fällen lag das Beweismaterial der Polizei innerhalb von 30 Minuten in 4K-Qualität vor.

Was den Inhaber besonders freut: er kommt nachts nicht mehr aus dem Bett. Wenn der Alarm losgeht, schaut er aus dem Schlafzimmer rein, ordnet's ein („nur die Putzkolonne") und schläft weiter. Vorher fuhr er in 80 % der Fälle um zwei Uhr früh in die Filiale.

6
Filialen mit zentralem Bedienpult
8 TB
Speicher im RAID-1, ca. 14 Tage Aufzeichnung
−90 %
Sichtungszeit dank Bewegungsfilter
0
offene Ports im Internet
Stack im Detail

Womit's gebaut wurde.

  • Hikvision IP-Kameras (4K, PoE): Modelle DS-2CD2386G2 für Innenbereich, DS-2CD2T87G2 für Außen — einheitlich, weil Ersatzteile so unkompliziert lagerbar sind.
  • Zentraler NVR DS-7716NXI mit zwei 8-TB-WD-Purple-Festplatten im RAID-1, betrieben in einem klimatisierten Serverraum im Stammhaus.
  • UniFi PoE-Switches in jeder Filiale, weil die im UniFi-Cockpit der Bäckerei sowieso schon eingebunden sind.
  • WireGuard auf einer pfSense als VPN-Gateway, mobile Apps für iOS/Android beim Inhaber.
  • Beschilderung & DSGVO-Doku: Hinweisschilder gemäß Landesdatenschutz, schriftliche Verfahrensbeschreibung mit Aufbewahrungsfristen, Verarbeitungsverzeichnis ergänzt.
Lessons learned

Was ich daraus mitnehme.

Videoüberwachung im Filialbetrieb ist erstaunlich oft eine Mischung aus 80 % Datenschutz-Doku und 20 % Technik. Wer das Verfahren sauber aufsetzt, hat hinterher weniger Stress mit der Aufsichtsbehörde — und ein System, das im Ernstfall auch wirklich liefert, statt im entscheidenden Moment auf einer vollen Festplatte zu enden.

Wenn du Filialen, Praxen oder eine Werkhalle betreibst und ein Kamerasystem brauchst, das dir gehört und nicht einem Cloud-Anbieter, kann ich dir das gerne mal zeigen — Vor-Ort-Termin im Umkreis von 60 km um Braunschweig kostenlos.

Ähnliches Projekt im Kopf?

Lass uns zwanzig Minuten drüber reden.

Du erklärst, was du brauchst — ich melde mich mit einer ehrlichen Einschätzung. Kein Pitch, kein Ticket-System.

Projekt anfragen Alle Projekte