Mitarbeiterüberwachung von Lidl im Kontext von IT-GRC

Inhaltsverzeichnis

1. Definition von IT-GRC

2. Eckdaten zu Lidl

3. Rechtliche Regelungen
3.1 Bundesdatenschutzgesetz (BDSG)
3.2 Datenschutzgrundverordnung (DSGVO)

4. Überwachungsskandal von Lidl
4.1 Abschnitte aus den Protokollen
4.2 Die Konsequenzen

5. Aktuelle Lage
5.1 Sicherheitskonzept
5.2 Verpflichtung der Mitarbeiter auf das Datengeheimnis
5.2 Compliance bei Lidl

6. Fazit

Literaturverzeichnis

1. Definition von IT-GRC

Abbildung in dieser Leseprobe nicht enthalten

2. Eckdaten zu Lidl

Diese Abbildung wurde aus urheberrechtlichen Gründen von der Redaktion entfernt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Lidl Co. KG

Lidl Co. KG ist ein Unternehmen im Lebensmitteleinzelhandel und wurde im Jahre 1973 gegründet. Heute ist Lidl ein Teil der Unternehmensgruppe Schwarz mit Sitz in Neckarsulm. Es hat in weltweit 29 Ländern über 10.800 Filialen. Davon 3.200 Filialen nur in Deutschland mit über 83.000 Mitarbeitern. Die Lidl Co. KG erzielte im Jahr 2018 einen Umsatz von 81,2 Milliarden Euro (vgl. Lidl, 2020).

Solch ein großes und erfolgreiches Unternehmen hatte sich in der Vergangenheit mit dem vorsätzlichen Missbrauch personenbezogener Daten nicht an die Gesetze gehalten, bis das Bespitzelungsskandal im Jahre 2008 ans Licht kam und Lidl deswegen schwerwiegende Konsequenzen tragen musste. Darunter fällt auch das Bundesdatenschutzgesetz.

3. Rechtliche Regelungen

3.1 Bundesdatenschutzgesetz (BDSG)

Die Befugnisse des Arbeitgebers, Leistungen und Verhalten der Arbeitnehmer zu kontrollieren, unterliegen Beschränkungen durch verschiedene Gesetze. Beispielsweise das Bundesdatenschutzgesetz (BDSG):

Das Bundesdatenschutzgesetz trat erstmals am 1. Januar 1978 in Kraft. Dieses Gesetz greift dann, wenn mit der Leistungs- und Verhaltenskontrolle (bspw. der Mitarbeiter) auch eine Erhebung, Nutzung oder Speicherung personenbezogener Daten eines Arbeitnehmers ohne eine Einwilligung der betroffenen Person verbunden ist. Oft wird mit der Erhebung von Daten Vertragsmanagement oder Werbemaßnahmen (z.B. Gewinnspiele) assoziiert, jedoch spielen personenbezogene Daten (d.h. Angaben über persönliche oder sachliche Verhältnisse einer Person) bei der Aufklärung von Compliance-Verstößen eine bedeutende Rolle. Das Bundesdatenschutzgesetz ist bei fast allen alltäglichen Kontrollmaßnahmen (Videoüberwachung, Taschenkontrollen) einschlägig (vgl. Rudkowski & Schreiber, 2015:3).

Personenbezogene Daten im Sinne des BDSG:

Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Eine Person wird als bestimmbar angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind (vgl. Dr.Datenschutz, 2013).

3.2 Datenschutzgrundverordnung (DSGVO)

Datenschutz ist für alle Webseitenbetreiber, Unternehmer sowie Shopbetreiber und Dienstleister ein wichtiges Thema. „Die Datenschutzgrundverordnung vereinheitlicht das Datenschutzrecht innerhalb der EU, da bisher überall verschiedene Datenschutzgesetze und damit unterschiedliche Standards galten. Unternehmer können also zukünftig darauf vertrauen, dass innerhalb der EU ein (überwiegend) einheitliches Datenschutzrecht gilt. Die Verordnung gilt auch für Unternehmen mit Sitz außerhalb der EU, wenn diese Daten von Personen aus der EU verarbeiten“ (Siebert, et al., 2020).

In Artikel 13 der Datenschutzgrundverordnung geht es um die Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person. In diesem Artikel geht es darum, dass wenn personenbezogene Daten bei der betroffenen Person erhoben werden, so muss der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung Folgendes mitteilen:

- Den Namen und die Kontaktdaten des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten
- Die Zwecke, für die die personenbezogenen Daten verarbeitet werden
- Die Rechtsgrundlage für die Verarbeitung
- Die berechtigten Interessen, die von dem Verantwortlichen verfolgt werden
- Die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
- Die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln (vgl. Art. 13 Abs. 1 DSGVO)

4. Überwachungsskandal von Lidl

Diese Abbildung wurde aus urheberrechtlichen Gründen von der Redaktion entfernt.

Abbildung 2: Überwachungstools von Lidl (eigene Darstellung)

Kameras, Sprachaufnahmegeräte und Detektive wurden ohne Wissen der Beschäftigten zum Zweck der Mitarbeiterüberwachung eingesetzt. Die Überwachung der Mitarbeiter erfolgte immer nach dem gleichen Muster:

Montagmorgen installierten von Lidl beauftragte Detektive in der jeweiligen Filiale meist zwischen fünf und zehn Kameras. Dem Filialleiter wurde erzählt, es gehe darum „Ladendiebe aufzuspüren“, denn jährlich entstanden 80 Millionen Euro Schaden durch Diebstahl. Der wahre Grund war jedoch, dass auch die Lidl- Beschäftigten unter einem generellen Diebstahlverdacht standen, denn in der Vergangenheit war es gängig, dass die Spinde, Kittel Taschen und sogar die privaten PKWs der Beschäftigten regelmäßig durchsucht wurden (Grill & Arnsperger, 2008).

Aussage einer Mitarbeiterin im Jahre 2004: „Lidl hat ständig Angst, dass die Verkäuferinnen klauen. Einmal wöchentlich soll der Filialleiter deshalb einige Spinde des Personals untersuchen. Wir nutzen inzwischen für unsere persönlichen Sachen offene Körbe, da kann jederzeit jeder reinschauen. Dann gibt es auch noch die Spätkontrollen: Das Personal verlässt die Filiale, woraufhin Kontrolleure Vorfahren, die in alle Taschen und Körbe der Beschäftigten gucken. Schlecht für die, die ausgerechnet an solchen Tagen in der Filiale eingekauft haben; da wird dann jeder Artikel mit dem Kassenbon verglichen““ (Hamann & Giese, 2004).

Tatsächlich notierten die Detektive ihre genauen Beobachtungen der Lidl-Mitarbeiter. Sowas stellt einen klaren Verstoß gegen Artikel zwei Grundgesetz dar, der die freie Entfaltung der Persönlichkeit schützt, denn es ging hierbei eher um eine Verhaltenskontrolle anstatt um eine Arbeitskontrolle (vgl. Grill & Arnsperger, 2008).

Neben Sprachaufnahmegeräten und Detektiven wurden sogar quasi unsichtbare Kameras eingesetzt, um Vorgänge sehr konkret zu dokumentieren. In insgesamt 219 Filialen wurden Detektive eingesetzt und es liegen Überwachungsprotokolle aus 150 Einzelhandelsfilialen. Dabei entstanden Protokolle und Berichte mit Tag und Uhrzeit über das Privatleben und Verhalten der Mitarbeiter, die von Privatdetektiven geführt wurden. In diesen wurde dokumentiert wann und wie häufig die Mitarbeiter auf die Toilette gingen, wer mit wem ein Liebesverhältnis hat oder wer unfähig wirkt. Auch Gespräche im Pausenraum über Gehälter und Überstunden und private Lebenssituationen wurden aufgezeichnet und dokumentiert (vgl. Grill & Arnsperger, 2008). „Die Minikameras wurden dabei nicht nur an Türen und Fenster installiert, sondern auch in den Pausenräumen der Mitarbeiter, neben den Mitarbeiterspinden und über den Kassen. Zudem wurden auch private Gespräche von Mitarbeitern und Kunden aufgezeichnet und gespeichert. Das Unternehmen konnte auf Nachfrage überdies nicht ausschließen, dass in Einzelfällen auch die PIN-Eingabe von Kunden, die mittels EC-Karte bezahlten, aufgezeichnetwurde“ (cambuy, 2020).

4.1 Abschnitte aus den Protokollen

Hier sind einige Abschnitte aus dem mehrere hundert Seiten umfassenden internen Lidl-Bericht. Angestellte wurden offensichtlich abgehört und intime Details wurden protokolliert.

"Mittwoch, 14.05 Uhr: Frau M. möchte in ihrer Pause ein Telefonat mit ihrem Handy führen, es erfolgt die automatische Ansage, dass das Guthaben auf ihrem Prepaid-Handy nur noch 85 Cent beträgt. Schließlich erreicht sie telefonisch eine Freundin, mit welcher sie heute Abend gerne gemeinsam kochen würde, dieses setzt aber voraus, so Frau M., dass ihr Gehalt bereits gutgeschrieben wurde, da sie ansonsten kein Geld mehr hätte, um einzukaufen." (Amann, 2008).

"Mittwoch, 16.45 Uhr: Obwohl Frau N. bis jetzt im Bereich Non-Food/Aktionsware immer noch nicht allzu viel geschafft hat, macht sie pünktlich ihre Pause. Sie sitzt zusammen mit Frau L. im Pausenraum; die Kräfte unterhalten sich über Gehälter, Zuschläge und bezahlte Überstunden. Frau N. hofft ebenfalls, dass ihr Gehalt bereits heute gutgeschrieben wurde, da sie für heute Abend dringend Geld benötigt (Grund = ?)" (Amann, 2008).

Abbildung in dieser Leseprobe nicht enthalten

Das sind sehr detaillierte, personenbezogene Informationen, die überhaupt nicht relevant dafür sind, um angeblich Diebstähle aufzudecken. Lidl bestätigte die Existenz dieser Protokolle, jedoch dienten sie dem Konzern zufolge nicht der Mitarbeiterüberwachung, sondern der Feststellung eventuellen Fehlverhaltens (vgl. Amann, 2008), obwohl die Kameras ursprünglich offiziell eingesetzt wurden, um Informationen zur Aufklärung von Diebstählen zu gewinnen. Hierbei erkennt man zwei paradoxe Antworten. Im Endeffekt distanzierte sich das Unternehmen von diesem Vorgehen der Detektive und entschuldigte sich bei den Mitarbeitern.

4.2 Die Konsequenzen

Nachdem dieser Skandal in die Öffentlichkeit geriet musste Lidl für den Datenmissbrauch ein Bußgeld von 1,5 Millionen Euro zahlen und reagierte zusätzlich mit dem Abbau aller Kameras in allen Filialen (vgl. Preuss, 2017). Lidl habe dem Datenschutz in der Vergangenheit einen zu geringen Stellenwert beigemessen, rügte das baden-württembergische Innenministerium. Die

Gesamtsumme ergibt sich aus den Einzelstrafen, welche die Datenschutzbehörden aus zwölf betroffenen Bundesländern festgelegt hatten (Grill & Arnsperger, 2008).

- Gegen alle 35 Lidl-Vertriebsgesellschaften wurden wegen zum Teil schwerwiegender Datenschutzverstöße Bußgelder zwischen 10.000 und 310.0 Euro festgesetzt.
- Insgesamt gegen 35 Lidl-Vertriebsgemeinschaften in Deutschland wurden Überprüfungen eingeleitet.
- Zwölf Vertriebsgesellschaften wurden wegen datenschutzwidriger Einsatzberichte mit Bußgeldern zwischen 3000 und 15.000 Euro belegt.
- Gerügt und teilweise mit Bußgeldern geahndet wurde außerdem die Tatsache, dass in rund 80 Fällen Vertriebsgesellschaften in nahezu allen Bundesländern ihre Mitarbeiter mit Kameras verdeckt observieren ließen. Nur in einem Teil der Fälle ließ sich diese Tat rechtfertigen.
- Alle 35 Lidl-Vertriebsgesellschaften wurden mit einem Bußgeld von jeweils

10.0 Euro belegt, da sie bis Anfang Juni 2008 keinen betrieblichen Datenschutzbeauftragten hatten, obwohl sie dazu verpflichtet waren.

Zudem verwies das Unternehmen darauf, dass ein ganzheitliches Datenschutz- und Sicherheitskonzept schrittweise umgesetztwerde (vgl. Süddeutsche Zeitung, 2010).

„Vor allem in den Fällen von Gesetzesverletzungen ist davon auszugehen, dass die betroffenen Unternehmen neben Schadensersatzzahlungen und gesetzlich vorgesehenen Strafen in der Öffentlichkeit eine Schädigung ihrer Reputation, verbunden mit Vertrauensverlust und Kundenbindung, erlitten haben“ (Klotz, 2009).

5. Aktuelle Lage

5.1 Sicherheitskonzept

Seit 2017 haben einige Filialen wieder Überwachungskameras eingerichtet. Die Gründe für den punktuellen Einsatz der Videotechnik sind die vermehrten Einbrüche in die Filialen und Überfälle auf Mitarbeiter. Bis zu zwölf Kameras werden pro Filiale installiert, je nach Gefährdungslage nur im Außenbereich oder auch in der Filiale sowie am Tresor.

[...]