Interner Diebstahl im Unternehmen erkennen.

Interner Diebstahl umfasst weit mehr als das physische Entwenden von Waren. In der Praxis reicht das Spektrum von kleinen, aber regelmässigen Materialentnahmen über Manipulationen an Kassen, Lagerbeständen oder Spesenabrechnungen bis hin zu systematischen Eingriffen in Bestellprozesse, Datenexporte oder Kundenstämme. Charakteristisch ist nicht der einzelne Vorgang, sondern die Wiederholung und die Anpassung an interne Kontrollen.

Aus der Erfahrung von Sicherheitsoperationen heraus zeigt sich ein wiederkehrendes Muster: Unternehmen erkennen interne Unregelmässigkeiten meist nicht durch klassische Sicherheitstechnik, sondern durch Auffälligkeiten in Zahlen, Lagerbeständen oder im Verhalten. Sicherheitstechnik liefert oft erst dann verwertbare Hinweise, wenn die strukturelle Frage bereits formuliert ist. Deshalb beginnt jede ernsthafte Abklärung nicht mit dem Verdacht gegenüber einer Person, sondern mit der nüchternen Beschreibung eines beobachteten Sachverhalts.

Wichtig ist eine klare begriffliche Trennung: Verdacht ist nicht gleich Beweis, Auffälligkeit ist nicht gleich Schuld, und ein Indikator allein begründet keine Massnahme gegenüber einer einzelnen Person. Diese Differenzierung schützt sowohl das Unternehmen als auch betroffene Mitarbeitende vor voreiligen Schlüssen — und ist die Grundlage jeder belastbaren internen Abklärung.

In Handel und Retail zeigt sich interner Diebstahl häufig durch Differenzen zwischen Wareneingang, Lagerstand und Verkauf, durch wiederkehrende Storni oder durch ungewöhnlich hohe Anteile an Rabatten und Gutschriften bei einzelnen Verkaufsstellen oder Personen. In Produktion und Logistik dominieren Materialschwund, Manipulationen an Wiegevorgängen, Differenzen zwischen Versand und Empfang sowie nicht erklärbare Lagerbewegungen ausserhalb der Kernzeiten.

In Büro- und Dienstleistungsumgebungen treten andere Muster auf: Spesenabrechnungen ohne nachvollziehbare Belege, regelmässige Privatnutzung von Firmenkarten, unbefugter Zugriff auf Kundendaten, Exporte von Informationen kurz vor einem Stellenwechsel oder ungewöhnliche Bestellvorgänge bei Lieferanten mit naher persönlicher Verbindung. Im Gastgewerbe stehen Kassendifferenzen, manipulierte Bons und systematische Eigenkonsumationen im Vordergrund.

Diese Aufzählung ist kein Verdachtskatalog. Sie beschreibt vielmehr, wo Unternehmen genauer hinsehen können, wenn sie ihre internen Kontrollsysteme auf Wirksamkeit prüfen wollen.

Frühindikatoren sind selten dramatisch. Sie sind in der Regel kleine Abweichungen, die sich wiederholen oder kumulieren. Belastbare interne Sicherheit baut deshalb auf systematische Wahrnehmung statt auf einzelne Verdachtsmomente.

Auf prozessualer Ebene zählen dazu: wiederkehrende, aber nicht erklärbare Inventardifferenzen, statistisch auffällige Häufungen bei einzelnen Personen oder Standorten, häufige Korrekturen in Buchhaltungs- oder Lagerprozessen, Zugriffsmuster ausserhalb der üblichen Arbeitszeiten und Lieferantenbeziehungen, die nicht durch nachvollziehbare Bedarfe gedeckt sind.

Auf verhaltensbezogener Ebene können punktuelle Beobachtungen ein Hinweis sein — sie ersetzen aber niemals eine strukturierte Abklärung. Erfahrungsgemäss tritt interner Diebstahl gehäuft in Lebensphasen mit besonderem finanziellem Druck oder in Phasen empfundener Ungerechtigkeit innerhalb des Unternehmens auf. Diese Hinweise sind nicht zur Beurteilung von Personen geeignet, sondern dienen ausschliesslich der Sensibilisierung verantwortlicher Stellen.

Interne Abklärungen bewegen sich in der Schweiz in einem dichten Rahmen aus arbeitsrechtlichen Grundsätzen, datenschutzrechtlichen Vorgaben (DSG, revDSG) und allgemeinen Persönlichkeitsrechten der Mitarbeitenden. Massnahmen müssen verhältnismässig, zweckgebunden und für die Betroffenen vorhersehbar sein. Dauerhafte und verdeckte Überwachung von Arbeitsplätzen ist nicht zulässig, soweit sie ausschliesslich der Leistungs- oder Verhaltenskontrolle dient.

Die konkrete Zulässigkeit einzelner Massnahmen — von der Auswertung von Logdaten über die Sichtung von E-Mail-Verläufen bis zu personenbezogenen Beobachtungen — muss im Einzelfall geprüft werden. Wesentlich ist, dass Unternehmen vor jeder einzelnen Massnahme dokumentieren, welches Ziel verfolgt wird, welche milderen Mittel geprüft wurden und warum die gewählte Massnahme angemessen erscheint.

Aus operativer Sicht bedeutet das: kein Schritt ohne dokumentierten Anlass, keine Massnahme ohne klare Zielsetzung, keine Auswertung ohne nachvollziehbare Grenze. Diese Disziplin schützt das Verfahren später vor arbeits- und zivilrechtlichen Anfechtungen und bewahrt das Unternehmen davor, durch eine an sich berechtigte Abklärung selbst in eine rechtliche Schieflage zu geraten.

Ein strukturiertes Vorgehen beginnt mit der schriftlichen Sachverhaltserfassung: Was wurde wann, wo und von wem beobachtet? Welche Datengrundlagen liegen vor? Welche internen Stellen sind eingebunden? Diese erste Festlegung schützt vor späteren Verzerrungen der Wahrnehmung.

Im zweiten Schritt wird der Umfang der Abklärung definiert. Dazu gehören: betroffene Bereiche, Zeitraum, einbezogene Datenquellen, Vertraulichkeitsstufe und Eskalationswege. Erst danach folgt die eigentliche Analyse — strukturiert, dokumentiert und mit klarer Trennung zwischen Beobachtung, Bewertung und Schlussfolgerung.

Operative Massnahmen wie diskrete Beobachtungen, Integritätsprüfungen oder gezielte Prozesssimulationen werden nur dort eingesetzt, wo sie erforderlich, verhältnismässig und intern abgestimmt sind. Sie ersetzen niemals den juristischen Entscheid; sie liefern den Verantwortlichen die Grundlage, um diesen Entscheid sauber treffen zu können.

Am Ende jeder Abklärung steht ein nachvollziehbarer Bericht: chronologisch, faktisch, ohne Wertungen, mit klarer Trennung von gesicherten Tatsachen und offenen Fragen. Dieser Bericht bildet die Grundlage für interne Entscheide, allenfalls für arbeitsrechtliche Schritte und — falls erforderlich — für die Übergabe an Strafverfolgungs- oder Aufsichtsbehörden.

Ein mittelständischer Handelsbetrieb beobachtet über mehrere Monate steigende Inventardifferenzen, die sich auf zwei Filialen konzentrieren. Eine strukturierte Abklärung kombiniert Datenanalyse, stille Begehungen und stichprobenartige Prozessbeobachtungen. Ergebnis: Eine technische Schwachstelle im Rabattprozess wird erkannt und behoben — ohne dass eine Person zu Unrecht in Verdacht gerät.

Ein Industrieunternehmen vermutet wiederholten Materialschwund in der Nachtschicht. Statt sofortiger Personalmassnahmen werden zunächst Schichtdaten, Zutrittslogs und Wiegevorgänge ausgewertet. Die Auswertung zeigt zeitliche Muster, die eine gezielte und verhältnismässige Folgemassnahme rechtfertigen.

Ein Dienstleister stellt nach Eintritt eines neuen Mitarbeitenden ungewöhnliche Datenexporte bei einer austretenden Person fest. Die Abklärung wird eng mit HR, Rechtsdienst und IT geführt. Das Ergebnis ist eine saubere Übergabe, die das Unternehmen rechtlich absichert und die geschäftliche Beziehung zur ausgetretenen Person trotzdem korrekt abschliesst.