Sign In

Welcome, Login to your account.

Wirtschaft | Fr, 12.09.2008 11:43

Datenschutzaufsichtsbehörden verhängen gegen Lidl-Vertriebsgesellschaften hohe Bußgelder wegen schwerwiegender Datenschutzverstöße

Für 35 Vertriebsgesellschaften jeweils Bußgelder zwischen 10.000 und 310.000 Euro verhängt / Lidl lässt Datenschutzkonzept ausarbeiten


Die für die 35 Lidl-Vertriebsgesellschaften in Deutschland zuständigen zwölf Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich haben ihre unter anderem wegen des Verdachts unzulässiger Überwachung von Mitarbeitern eingeleiteten datenschutzrechtlichen Überprüfungs- und Bußgeldverfahren inzwischen abgeschlossen. Da die Aufsichtsbehörden bei den Lidl-Vertriebsgesellschaften zum Teil schwerwiegende oder zumindest erhebliche Datenschutzverstöße festgestellt haben, haben sie gegen die 35 Lidl-Vertriebsgesellschaften Bußgelder in einer Gesamthöhe von 1.462.000 Euro festgesetzt. Die gegen die einzelnen Gesellschaften verhängten Bußgelder bewegen sich dabei zwischen10.000 und 310.000 Euro. Dies gab die für die Koordinierung der Aufsichtsbehörden zuständige baden-württembergische Aufsichtbehörde für den Datenschutz im nichtöffentlichen Bereich am 11. September 2008 in Stuttgart bekannt.

Die Aufsichtsbehörden gehen aufgrund entsprechender Ankündigungen der Lidl-Dienstleistung GmbH & Co KG davon aus, dass die Lidl-Vertriebsgesellschaften keine Rechtsbehelfe gegen die Bußgeldbescheide einlegen werden. Einige Vertriebsgesellschaften haben bereits entsprechende Verzichtserklärungen abgegeben. Ende März 2008 hatten Medien bundesweit berichtet, Lidl-Mitarbeiter würden systematisch durch Detekteien und andere Sicherheitsunternehmen (nachfolgend: Sicherheitsunternehmen) überwacht. Als Belege wurden Auszüge aus Einsatzberichten veröffentlicht, in denen unter anderem Informationen aus dem Privatleben, zum Beispiel über Beziehungsprobleme oder finanzielle Schwierigkeiten, sowie über das Verhalten der Kollegen und Kolleginnen bei der Arbeit und im Umgang miteinander protokolliert waren. Auftraggeber der Sicherheitsunternehmen, die diese Einsatzberichte angefertigt hatten, waren die rechtlich selbstständigen Lidl-Vertriebsgesellschaften. Daher leiteten die für die Unternehmenssitze zuständigen Datenschutzaufsichtsbehörden der Länder Baden-Württemberg, Bayern, Brandenburg, Hessen, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein- Westfalen, Rheinland-Pfalz, Saarland, Sachsen, Sachsen-Anhalt und Schleswig-Holstein zur Aufklärung der Geschehnisse jeweils datenschutzrechtliche Überprüfungsverfahren ein. Da die unternehmensintern mit der bundesweiten Aufklärung der Vorgänge beauftragte Lidl Dienstleistung GmbH & Co. KG ihren Sitz in Neckarsulm hat, übernahm die baden-württembergische Aufsichtsbehörde die Koordinierung der Datenschutzüberprüfungen. Aufgrund der von der Lidl Dienstleistung GmbH & Co. KG und den Lidl-Vertriebsgesellschaften angeforderten Stellungnahmen, der Auswertung der schriftlichen Unterlagen, insbesondere der noch vorhandenen mehr als 170 Einsatzberichte sowie einer Reihe von Vor-Ort-Kontrollen und Gesprächen mit der Lidl Dienstleistung GmbH & Co. KG, Lidl-Vertriebsgesellschaften und Sicherheitsunternehmen stellten die Aufsichtsbehörden unter anderem fest:

1. (Video-) Beobachtung von Mitarbeitern durch einen Ladendetektiv mit Kamera (sog. LDK-Einsätze)
Rund 30 Lidl-Vertriebsgesellschaften haben im Untersuchungszeitraum1. Januar 2006 bis Ende März 2008 vor allem „zur Verringerung inventurrelevanter Verluste“ Sicherheitsunternehmen in mehr als 900 Fällen meist- 3 -mündlich und zumeist ohne exakte Formulierung des Auftrags mit der Durchführung kameragestützter Einsätze in Lidl-Filialen beauftragt (so genannter„Ladendetektiv mit Kamera“). In der Regel erfolgte der Einsatz so, dass ein Mitarbeiter des Sicherheitsunternehmens (nachfolgend: Detektiv)für die Mitarbeiter erkennbar für eine Woche in eine Lidl Filiale kam. Der Detektiv nutzte in dieser Zeit teilweise die im öffentlichen Verkaufsraum bereits vorhandenen Kameras mit Monitor. Sofern keine Kameras vorhanden waren oder diese ungeeignet erschienen, installierte das Sicherheitsunternehmen eigene, in der Regel versteckt angebrachte Miniaturkameras. Die Videodaten wurden in der Regel nicht aufgezeichnet, vielmehr verfolgte der Detektiv das Geschehen aus einem im Aufenthaltsraumbefindlichen Kontrollmonitor. Insbesondere drei der bei den Lidl-Vertriebsgesellschaften seit 2006 für die unterschiedlichsten Aufgaben eingesetzten Sicherheitsunternehmen erstellten im Rahmen ihrer Aufträge umfassende Revisionsberichte. Die Detektive achteten sowohl auf Kundendiebstahl als auch auf das Verhalten der Mitarbeiter. Die Videobeobachtung spielt dabei wohl nur eine geringe Rolle. Die Detektive beobachteten die Mitarbeiter vor allem ohne Videogeräte, die Mitarbeiterbeobachtung wurde heimlich durchgeführt. Gegenüber den Filialmitarbeitern wurde der Einsatz mit der Aufklärung von inventurrelevanten Verlusten bzw. der Aufdeckung von Kundendiebstählen begründet. Auf Nachfrage von Mitarbeitern bestritten die Detektive, wie einzelne Einsatzberichte belegen, dass sie Informationen über Mitarbeiter erheben und in einem Bericht verarbeiten, hörten deren Gespräche und (privaten) Telefonate mit, führten mit ihnen Gespräche über sich und Dritte (Vorgesetzte und Kollegen) und legten alles in schriftlichen Einsatzberichten nieder. Die Einsatzberichte enthielten neben nichtpersonenbezogenen Angaben zur jeweiligen Filiale unter anderem folgende mitarbeiterbezogenen Feststellungen und Bewertungen:

- Mitteilungen mit Bezug zu Inventurdifferenzen,
- Einschätzungen der Arbeitsleistung, -fähigkeit und -motivation der Mitarbeiter,
- Informationen zum Mitarbeiterverhalten gegenüber Kunden,
- Informationen, die sich auf die Einhaltung organisatorischer oder arbeitsvertraglicher  Pflichten beziehen,
- Informationen zum Führungsverhalten und zu den Führungsqualitäten der Vorgesetzten in den Filialen,
- Informationen über das Pausenverhalten einzelner Mitarbeiter,
- Informationen über persönliche Problemlagen einzelner Mitarbeiter,
- Informationen über Zwischenmenschliches und daran anknüpfende Beurteilungen,
- Informationen zum Gesundheitszustand sowie zu (möglichen)Schwangerschaften,
- Informationen über die finanzielle Situation der Mitarbeiter und ihrer Familien,
- Informationen über Ereignisse, die aus Sicht des Detektivs einen wie auch  immer gearteten Verdacht gegen einen oder mehrere Mitarbeiter begründen,
- Informationen über die (vermutete) Stimmungslage und Wesensart der Mitarbeiter,
- sonstige sehr persönliche Informationen.

Die drei Sicherheitsunternehmen sandten ihre Einsatzberichte jeweils an die sie beauftragende Lidl-Vertriebsgesellschaft, die diese entgegennahm, las und anschließend - teilweise zeitlich begrenzt - aufbewahrte. Nach den Angaben der Lidl-Vertriebsgesellschaften haben sich diese für die in den Berichten enthaltenen mitarbeiterbezogenen Daten nicht interessiert und diese auch nicht gezielt ausgewertet. Die in den Einsatzberichten enthaltenen Markierungen, Unterstreichungen, Randnotizen sowie weitere auf den Berichten notierte Anmerkungen machen jedoch deutlich, dass die mitarbeiterbezogenen Anmerkungen bewusst zur Kenntnis und zum Teil auch zum Anlass genommen wurden, um weitere Rückfragen, Prüfungen oder sonstige Konsequenzen in die Wege zu leiten. In einem Fall führte der Protokollinhalt nachweisbar zur Kündigung einer Mitarbeiterin. Ob Protokollinhalte darüber hinaus Konsequenzen für einzelne Mitarbeiter hatten, ließ sich im Nachhinein nicht mehr feststellen.

Die drei Sicherheitsunternehmen führten im Untersuchungszeitraum für mehr als 20 Lidl-Vertriebsgesellschaften rund 350 LDK-Einsätze durch und erstellten darüber Einsatzberichte. Davon standen den Datenschutzaufsichtsbehörden noch etwa 170 zur Auswertung zur Verfügung. Die meisten derartigen Berichte wurden bei Lidl-Vertriebsgesellschaften in Niedersachsen und mit weiterem Abstand in Brandenburg, Nordrhein-Westfalen, Bayern, Schleswig-Holstein, Sachsen-Anhalt, Rheinland-Pfalz und Mecklenburg-Vorpommern festgestellt. In Hessen und Baden-Württembergwaren bei Beginn der datenschutzrechtlichen Überprüfung bereits alle Einsatzberichte vernichtet. Die Datenschutzaufsichtsbehörden sind der Auffassung, dass bei etwa der Hälfte der noch vorhandenen Protokolle die Grenzen des rechtlich Zulässigen überschritten wurden. Lidl-Vertriebsgesellschaften, die immer wieder die drei Sicherheitsunternehmen beauftragten, von denen sie wussten, dass sie Berichte mit solchen unzulässigen Inhalten anfertigen, tragen dafür die datenschutzrechtliche Verantwortung. Indem die Lidl-Vertriebsgesellschaften die von den Detektiven verfassten Berichte entgegennahmen, lasen und aufbewahrten, verstießen sie gegen § 28 Abs. 1des Bundesdatenschutzgesetzes. Die mit den datenschutzwidrigen Einsatzberichten verbundenen Datenschutzverstöße waren vielfachschwerwiegend und wurden von den Datenschutzaufsichtsbehörden der Länder, die solche Verstöße feststellten, gegenüber zwölf Lidl-Vertriebsgesellschaften mit einem Bußgeld zwischen 3.000 und 15.000 Euro je Protokoll geahndet.

2. Heimliche Beobachtung von Mitarbeitern durch Kameraeinsatz (sog.OBK)
In rund 80 Fällen haben Lidl-Vertriebsgesellschaften in nahezu allen Bundesländern im wesentlichen die bereits oben angesprochenen drei Sicherheitsunternehmen damit beauftragt, in den Verkaufsräumen von Lidl-Filialen zumeist oberhalb der Kasse, mitunter aber auch in den Mitarbeitern vorbehaltenen Nebenräumen, beispielsweise im Bereich der Mitarbeiterspinde oder von Türen und Fenstern oder im Pausenraum eine verdeckte Observation mit Kamera (OBK) durchzuführen. Dabei wurden ohne Kenntnis der Filialmitarbeiter meist mehrere Minikameras so in der Filiale angebracht, dass sie von diesen in der Regel nicht entdeckt wurden. Die von den Kameras erfassten Daten wurden – da während des Einsatzes kein Detektiv in der Filiale vor Ort war – für den Zeitraum des gesamten, in der Regel eine Woche dauernden Einsatzes aufgezeichnet. Anschließend wurden die Videodaten von den Sicherheitsunternehmen nach Auffälligkeiten, zum Beispiel aufgezeichneten Diebstählen oder anderen Straftaten durch Kunden oder Mitarbeitern oder Verstößen gegenüberbetriebliche Vorschriften ausgewertet. Für die auftraggebende Lidl-Vertriebsgesellschaft wurde sodann ein Bericht gefertigt, dem belegende Videosequenzen beigefügt waren. 29 derartiger Berichte sowie eine größere Zahl von Videoaufzeichnungen lagen den Datenschutzaufsichtsbehörden vor. Begründet wurden diese Maßnahmen von den Lidl-Vertriebsgesellschaften vor allem mit „permanent schlechten Inventurergebnissen“, deren Gründe durch andere Maßnahmen nicht geklärt werden konnten, zum Teil auch mit einem Diebstahlsverdacht gegen einen oder mehrere Mitarbeiter. Nach Einschätzung der Aufsichtsbehörden wurde die Maßnahme vor allem eingesetzt, wenn eine Lidl-Vertriebsgesellschaft Mitarbeiter verdächtigte, eine (Mit-)Schuld an zu hohen Inventurverlusten zu tragen. Nach Auffassung der Datenschutzaufsichtsbehörden ließ sich die heimliche Videoüberwachung der Mitarbeiter nur in einem Teil der Fälle rechtfertigen. In anderen Fällen fehlte dafür eindeutig die Rechtsgrundlage oder es konnte nicht der Nachweis erbracht werden, dass die rechtlichen Voraussetzungen für die heimliche Mitarbeiterüberwachung vorlagen. In diesen Fällen wurden Daten von Mitarbeitern unbefugt erhoben, verarbeitet oder genutzt. Die Datenschutzaufsichtsbehörden haben dies gerügt und in Einzelfällen auch mit einem Bußgeld geahndet.

3. Nichtbestellung betrieblicher Datenschutzbeauftragter
Alle Lidl-Vertriebsgesellschaften hatten bis Anfang Juni 2008 keinen betrieblichen Datenschutzbeauftragten bestellt, obwohl sie nach § 4 f des Bundesdatenschutzgesetzes hierzu verpflichtet gewesen wären. Die Datenschutzaufsichtsbehördenhaben dies beanstandet. Es handelt sich insoweit nicht um einen Formalverstoß. Betriebliche Datenschutzbeauftragte haben die Aufgabe, in den Unternehmen auf die Einhaltung des Datenschutzes hinzuwirken. Angesichts des Umfangs und der Art der Erhebung, Verarbeitung und Nutzung personenbezogener Daten wäre es beiden Lidl-Vertriebsgesellschaften besonders dringlich gewesen, über betriebliche Datenschutzbeauftragte zu verfügen. Durch deren Einsatz hätte es möglicherweise vermieden werden können, dass es zu so schwerwiegenden Verstößen kam. Die Datenschutzaufsichtsbehörden haben daher jede der 35 Lidl-Vertriebsgesellschaften mit einem Bußgeld in Höhe von10.000 Euro belegt.

4. Weitere Verstöße
Die Aufsichtsbehörden haben darüber hinaus einige weitere Datenschutzverstöße der Lidl-Vertriebsgesellschaften festgestellt, jedoch nicht mit einem Bußgeld geahndet. Gerügt haben die Datenschutzaufsichtsbehörden auch, dass in den Lidl-Vertriebsgesellschaften keine ausreichenden Vorkehrungen gegen die(Video-)beobachtung der PIN-Eingabe an den Kassen der Lidl-Filialen getroffen waren. Die Datenschutzaufsichtsbehörden haben jedoch bei ihren- 8 -Überprüfungen keine Anhaltspunkte dafür gewonnen, dass PIN-Nummern mit Hilfe der eingesetzten Videogeräte festgestellt wurden oder überhauptlesbar waren.

Fazit:
Zusammenfassend lässt sich sagen, dass die Lidl-Vertriebsgesellschaften dem Datenschutz in der Vergangenheit einen zu geringen Stellenwertbeigemessen haben. Immerhin rund 30 der 35 Lidl-Vertriebsgesellschaften, die mit den oben angesprochenen drei Sicherheitsunternehmen zusammenarbeitet haben, haben mit Hilfe der Detektive in erheblichem Umfang und unzulässig sensible Daten über Mitarbeiter erhoben, verarbeitet und genutzt. Auch wenn insgesamt keine flächendeckende, also alle Filialen betreffende Überwachung vorgenommen wurde, kann angesichts der Zahl der durchgeführten Einsätze auch nicht nur von Einzelfällen gesprochen werden. Zumindest einige Lidl-Vertriebsgesellschaften haben vielmehr regelmäßig derartige Einsätze in Auftrag gegeben. Dass die Mitarbeiterüberwachung von der Lidl Dienstleistung GmbH & Co. KG in Neckarsulm gesteuert wurde, konnten die Datenschutzaufsichtsbehörden nicht feststellen. Die Datenschutzaufsichtsbehörden halten es für erforderlich, dass die Lidl-Vertriebsgesellschaften für den Fall, dass sie künftig wieder Sicherheitsunternehmen beauftragen oder Videoüberwachungsanlagen nutzenwollen, ein Datenschutzkonzept erarbeiten. Es muss sicherstellen, dass personenbezogene Daten über Mitarbeiter und Kunden nur noch in dem zulässigen Umfang erhoben, verarbeitet und genutzt werden. Aufträge an Dritte, zum Beispiel an Sicherheitsunternehmen dürfen nur noch schriftlich erteilt werden. Die beauftragten Maßnahmen müssen exakt festgelegt werden. Auch müssen die Verantwortlichen die Zulässigkeit einer Maßnahme in jedem Einzelfall sorgfältig unter Beteiligung des betrieblichen Datenschutzbeauftragten prüfen und die Prüfung schriftlich dokumentieren.

Dass neue Wege eingeschlagen werden müssen, haben auch die LidlDienstleistung GmbH & Co. KG sowie die Lidl-Vertriebsgesellschaften erkannt. Sie haben auf die Presseberichte im März sofort reagiert, die Videoüberwachungsgeräte abgebaut und den Einsatz von Detektiven gestoppt. Die Lidl Dienstleistung GmbH & Co. KG hat zudem zwei Datenschutzexperten damit beauftragt, ein Datenschutzgesamtkonzept für Lidl zu erarbeiten, das mit den Datenschutzaufsichtsbehörden abgestimmt wird. Erste Schritte sind bereits eingeleitet. Positiv ist zudem anzumerken, dass sowohl die Lidl Dienstleistung GmbH & Co. KG in Neckarsulm als auch die 35 Lidl-Vertriebsgesellschaften kooperativ an der Aufklärung des Sachverhalts mitgewirkt haben.

Den Datenschutzaufsichtsbehörden ist bekannt, dass auch andere Discounter Sicherheitsunternehmen damit beauftragt hatten, Daten über Mitarbeiter zu erheben und ihnen zur Verfügung zu stellen. Die Datenschutzaufsichtsbehörden werden daher auf diese Unternehmen zugehen, um sicherzustellen, dass auch sie personenbezogene Daten nur noch indem gesetzlich zulässigen Umfang erheben, verarbeiten und nutzen. Ferner werden Datenschutzaufsichtsbehörden mit Sicherheitsunternehmen Gespräche führen. Die für die Lidl-Vertriebsgesellschaften angefertigten Protokolle haben deutlich gemacht, dass zumindest einzelnen Sicherheitsunternehmen nicht bekannt ist, dass das Datenschutzrecht ihrem Handeln Grenzen setzt.

Quelle: Innenministerium Baden-Württemberg - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich