Aufklärung der Datenschutzaffäre bei der Deutschen Bahn AG
der Abgeordneten Sabine Leidig, Jan Korte, Herbert Behrens, Ulla Jelpke, Thomas Lutze, Wolfgang Neskovic, Petra Pau, Jens Petermann, Raju Sharma, Halina Wawzyniak und der Fraktion DIE LINKE.
Vorbemerkung
Unter dem Vorstandsvorsitzenden der Deutschen Bahn AG (DB AG) Hartmut Mehdorn „unterzog (…) die Bahn im Zuge von Korruptionsbekämpfung ihre Beschäftigten systematisch einer Rasterfahndung“ (stern vom 2. April 2009). Die Daten von mehr als 170 000 Mitarbeiterinnen und Mitarbeitern wurden mit Tausenden Partner-Firmen abgeglichen. Dabei gab es im Zeitraum 2000 bis 2008 „mehrere Wellen solcher Screenings – ohne Wissen von Belegschaft und Betriebsrat“ (WELT KOMPAKT vom 26. März 2009). Der größte Teil dieser Ausspähaktionen wurde von dem Unternehmen Network Deutschland GmbH durchgeführt, das lediglich auf Basis von mündlichen Vereinbarungen aktiv war (Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 28. Oktober 2008).
Es ging bei den verschiedenen Bespitzelungen in einigen Fällen auch darum, Kritiker der Bahnprivatisierung zu identifizieren. ,Bei der Aktion „leakage“ wollten die konzerninternen Sicherheitsleute wissen, ob Bahnmitarbeiter Journalisten oder Kritiker des geplanten Bahnbörsengangs mit Informationen versorgten (…). Von März 2005 bis Oktober 2008 wurden täglich rund 145 000 Mails automatisch auf bestimmte Adressaten hin kontrolliert. Eine elektronische Streikinfo der Gewerkschaft Deutscher Lokomotivführer (GDL) fischte das Unternehmen aus dem Verkehr.‘ (stern vom 2. April 2009). Im Mai 2009 wurde bekannt, dass die Bahn im gleichen Zeitraum mindestens 1,3 Mio. Euro für versteckte Werbung zugunsten des Bahnbörsengangs in Medien, für Blogs und Internetforen ausgab. In diesem Zusammenhang wurde durch die von der DB AG bezahlte Agentur EPPA die Website „meinebahndeinebahn.de“ aufgebaut, die sich als Bürgerinitiative für die Bahnprivatisierung und faktisch als börsenfreundliches Gegenstück zur Website www.deinebahn.de der Kritikerinnen und Kritiker des Bahnbörsengangs, dem Bündnis „Bahn für Alle“, ausgab (ap vom 28. Mai 2009).
Die letztgenannten manipulativen Maßnahmen waren – so Bahnchef Rüdiger Grube – „mit dem Grundsatz eines transparenten (…) Dialogs mit der Öffentlichkeit in keiner Weise vereinbar“ (ap vom 28. Mai 2009). Die zuvor skizzierten Ausspähaktivitäten waren offensichtlich gesetzeswidrig. Die Verantwortlichen bei der DB AG waren sich dessen bewusst und versuchten Belege zu vernichten: ,Im Verkehrsausschuss des Bundestages erklärten KPMG-Sonderermittler, dass Wolfgang Schaupensteiner (Anm.: der damalige Korruptionsbeauftragte der DB AG) (…) am 20. Januar (2009) die Vernichtung der „Ereignisdatenbank Ermittlungen“ angeordnet (habe), in der seit 2001 alle Fälle von Verstößen gegen Unternehmensrichtlinien erfasst wurden.‘ (Stuttgarter Zeitung vom 29. Mai 2009).
Da der damalige Vorstand der Deutschen Bahn AG nicht gewillt war, die erforderliche Aufklärung zu organisieren, entzog der Aufsichtsrat des Konzerns am 18. Februar 2009 dem Vorstand diese Aufgabe und beschloss eine Sonderermittlung unter Führung des Aufsichtsrats, ausgeführt durch die Wirtschaftsprüfungsgesellschaft KPMG AG sowie die beiden ehemaligen Bundesminister und Juristen Gerhard Baum und Herta Däubler-Gmelin. Ende März 2009 trat Hartmut Mehdorn als Folge der Datenaffäre als Vorstandsvorsitzender der DB AG zurück.
Am 13. Mai 2009 stellte der Aufsichtsrat die Empfehlungen der Sonderermittler zur Abstimmung. Unter anderem wurde dabei beschlossen, dass der neue Vorstand in Verantwortung des Vorstandsvorsitzenden Rüdiger Grube die umfassende und vollständige Aufklärung aller Aspekte der Affäre übernimmt und abschließt. Die Sonderermittler hatten mitgeteilt, dass sie zum Stichtag der Berichtsabfassung sehr viele Unterlagen noch nicht gesehen hatten. Im Ausschuss für Verkehr, Bau und Stadtentwicklung des Deutschen Bundestages konstatierte der neue Bahnchef Rüdiger Grube am 20. Mai 2009, dass noch viele Unterlagen ungesichtet sind und dringend weiterer Aufklärungsbedarf besteht. Auf der Sitzung desselben Ausschusses vom 24. Februar 2010 äußerte Rüdiger Grube die Hoffnung, dass die Untersuchungen in der Datenaffäre „möglichst schnell abgeschlossen werden“.
Wir fragen die Bundesregierung:
Fragen46
Betrachtet die Bundesregierung die Datenaffäre bei der Deutschen Bahn AG, als vollständig aufgeklärt und aufgearbeitet (Begründung)?
Was hat die Bundesregierung, vermittelt über ihre Vertreter im Aufsichtsrat, getan, um sicherzustellen, dass der Vorstand und der Aufsichtsrat die Beschlüsse vom 13. Mai 2009 nach weiterer Aufklärung in der Ausspähaffäre umsetzen?
Wann hat sich der Aufsichtsrat der Deutschen Bahn AG nach dem 13. Mai 2009 mit der Aufarbeitung und den Konsequenzen aus der Datenaffäre befasst?
Wer hat auf Grundlage welcher Erkenntnisse geprüft, ob einzelne Mitglieder des alten Vorstandes schadensersatzpflichtig sind, und wem gegenüber wurde in welcher Höhe der Schadensersatzpflicht nachgekommen?
Ist die Aussage von Gerd Becht, Vorstandsmitglied der Deutschen Bahn AG in der Zeitung „DER TAGESSPIEGEL“ vom 25. Mai 2010, dass es keinen Beleg dafür gäbe, dass sich der Vorstand etwas zuschulden hätte kommen lassen, so zu verstehen, dass die Prüfung der Schadensersatzhaftung des alten Vorstandes abgeschlossen ist?
Wenn ja, warum wird dies vor dem Hintergrund noch laufender Ermittlungen (ebd.) so gesehen?
Wenn nein, wann ist mit einer abschließenden Bewertung zu rechnen?
Fühlt sich der im April 2010 neu bestimmte Aufsichtsrat der Deutschen Bahn AG der vollständigen Aufklärung der Datenaffäre verpflichtet, und welche Schritte hat er dazu bislang unternommen?
Gibt es Aussagen des neuen Aufsichtsratsvorsitzenden, welche Schritte er in dieser Angelegenheit zu unternehmen gedenkt?
Welche Ermittlungen in welchen konkreten Verdachtsfällen laufen derzeit noch (siehe Interview mit dem Bahnvorstandsmitglied Gerd Becht in der Zeitung „DER TAGESSPIEGEL“ vom 25. Mai 2010)?
Werden die Ergebnisse der Aufarbeitung der Datenaffäre bei der Deutschen Bahn AG in einem Endbericht öffentlich gemacht, analog zu den Zwischenberichten vom Mai 2009 (Begründung)?
Wann hat die Deutsche Bahn AG das vom Berliner Beauftragten für Datenschutz und Informationsfreiheit verhängte Bußgeld in Höhe von 1,1 Mio. Euro bezahlt?
Laufen weitere Ermittlungen des Berliner Beauftragten für den Datenschutz und die Informationsfreiheit und/oder des Bundesbeauftragten für Datenschutz und die Informationsfreiheit, und wenn ja, welche?
In welchen Fällen ermitteln die Sonderermittler der KPMG AG derzeit?
Führen auch die beiden Anwälte Gerhard Baum und Herta Däubler-Gmelin weitere Ermittlungen durch?
Wenn ja, bis wann voraussichtlich?
Wenn nein, wann endete das Mandat?
Auf der Basis welcher Beschlüsse oder Vereinbarungen haben die Sonderermittler seit Mai 2009 weitere Ermittlungen durchgeführt?
Haben die Sonderermittler nach dem Mai 2009 von weiteren „Überwachungsmethoden“ im Prüfungszeitraum ab 1995 bei der Deutschen Bahn AG erfahren?
Hat der neue Vorstand der Deutschen Bahn AG einen umfassenden Überblick über sämtliche die Datenaffäre betreffenden Unterlagen in Papier- und elektronischer Form?
Haben die Sonderermittler sämtliche die Datenaffäre betreffenden Unterlagen – in Papier- und elektronischer Form – zur Bewertung eingesehen?
Um welche Quantität von relevanten Unterlagen handelt es sich?
Ist gesichert, dass zwischenzeitlich alle Unterlagen (Personalakten, Verfahrensakten, Disziplinarakten etc.), die mit illegal erhobenen Daten versehen waren, um diese Daten „bereinigt“ sind?
Wenn ja, wer hat die Bereinigung und Löschung vorgenommen?
Wenn nein, warum nicht?
Ist die Information zutreffend, dass es bei der Deutschen Bahn AG einen Datenquarantäneraum gibt, und wenn ja, wie ist er gesichert, und welchen Zweck erfüllt er?
Welche und wie viele Unterlagen, Akten und elektronische Daten, werden in diesem Quarantäneraum gelagert?
Wer kennt den genauen Inhalt und die genaue Menge der erfassten Unterlagen in dem Datenquarantäneraum, und gibt es für diesen ein detailliertes Verzeichnis?
Ist der zuständige Berliner Beauftragte für Datenschutz und Informationsfreiheit über den genauen Bestand des Quarantäneraums informiert?
Sind die Sonderermittler über den Datenquarantäneraum informiert, und haben diese sämtliche in diesem Raum befindlichen Unterlagen durchsehen können?
Existiert ein Verzeichnis, wer, wann und mit wem den Datenquarantäneraum betritt, um Akten herein- und herauszunehmen?
Gibt es inzwischen nähere Erkenntnisse über das Abhören von Mitarbeitern der Deutschen Bahn AG, die Rüdiger Grube in der Sitzung des Ausschusses für Verkehr, Bau und Stadtentwicklung am 24. Februar 2010 weiterhin „nicht ausschließen“ konnte?
Welcher Art sind diese Erkenntnisse ggf. (z. B. Zeitraum, Umfang)?
Ist es zutreffend, dass bei einzelnen Unternehmen der Deutschen Bahn AG „seit Mitte der neunziger Jahre fortlaufend Krankheitsdiagnosen von Mitarbeitern in EDV-Systemen erfasst wurden“ (Süddeutsche Zeitung vom 19. März 2010), und wenn ja, bei wie vielen Mitarbeitern wurden solche Daten erfasst, um welche Unternehmen handelt es sich, und auf welchen Wegen sind die Unternehmen an die Krankheitsdiagnosen gelangt?
Wurden diese Diagnosedaten inzwischen in allen relevanten Personalakten und sonstigen Systemen gelöscht respektive geschwärzt?
Wer hat diese Löschungen ggf. wann veranlasst und durchgeführt?
Wurden alle von der Datenaffäre Betroffenen über den Bestand von sie betreffenden, unrechtmäßig erhobenen personenbezogenen Daten informiert?
Wenn ja, auf welche Weise, und in welchem Umfang?
Wenn nein, warum nicht?
Wurden alle diejenigen, die von unrechtmäßigen Maßnahmen betroffen waren und über die Dokumente im Quarantäneraum vorliegen, hierüber informiert?
Wenn ja, von wem, und auf welche Weise?
Wenn nein, warum nicht?
Wie viele Personen waren außer bei den Screenings insgesamt von besonderen unrechtmäßigen Einzelüberwachungsmethoden betroffen?
Wie viele betroffene Mitarbeiter/-innen haben sich bei den Sonderermittlern gemeldet, damit ihre jeweiligen Einzelfälle aufgearbeitet werden?
An wie viele Betroffene wurden Entschädigungen gezahlt, und in welcher Gesamthöhe?
Hat der neue Vorstand oder haben die Sonderermittler Verantwortliche für die Datenverstöße respektive Rechtsverstöße identifizieren können, und wurden diesen gegenüber Schadenersatzforderungen geltend gemacht?
Wenn ja, gegenüber wie vielen Personen, und in welcher Höhe?
Wenn nein, warum nicht?
Gegen wie viele Verantwortliche hat die Deutsche Bahn AG Strafanzeige gestellt, und in welchem Verfahrensstand befinden sich diese ggf.?
Gegen wie viele Verantwortliche wurde von anderer Seite Strafanzeige gestellt, wie viele wurden davon durch die zuständigen Datenschutzbeauftragten und wie viele durch Mitarbeiter der Deutschen Bahn AG veranlasst, und in welchem Verfahrensstand befinden sich diese ggf.?
Wie ist der Hinweis zu der neuen Datenschutzbeauftragten der Deutschen Bahn AG Chris Newiger zu verstehen: „Wenn künftig etwas schiefläuft beim Datenschutz, trägt sie die Verantwortung. Grube ist dann fein raus.“ (FINANCIAL TIMES DEUTSCHLAND vom 23. März 2010)?
Warum soll die neue wirksame Konzernbetriebsvereinbarung zum Schutz der Persönlichkeitsrechte der Mitarbeiter/-innen des DB Konzerns zum Arbeitnehmerdatenschutz erst im Herbst 2010 abgeschlossen werden (siehe „DER TAGESSPIEGEL“ vom 25. Mai 2010)?
Wird diese für die Nutzung sämtlicher IT (wie BKU-Rechner, E-Mail-Accounts etc.) gelten (Begründung)?
Welche Aspekte sind im Eckpunktepapier zum Arbeitnehmerdatenschutz zwischen der Deutschen Bahn AG und Arbeitnehmervertretern benannt, und wann wurden diese vereinbart?
Wurde bereits ein neues Ombudssystem oder ein vergleichbares System bei der Deutschen Bahn AG eingerichtet?
Wenn nein, warum nicht?
Wenn ja, inwiefern sind diese Systeme neu oder wie wurden die Erfahrungen aus den Datenmissbräuchen bei der Konzeption, Struktur und sonstigen Ausgestaltung berücksichtigt und umgesetzt?
Wurde ein neues Compliance-System implementiert?
Wenn nein, warum nicht?
Wenn ja, inwiefern sind diese Systeme neu oder wie wurden die Erfahrungen aus den Datenmissbräuchen bei der Konzeption, Struktur und sonstigen Ausgestaltung berücksichtigt und umgesetzt?
Gehört die Einrichtung eines Systems oder Verfahrens des „Whistle- blowings“ zu einer der umgesetzten Erfahrungen bzw. ist dieses vorgesehen?
In welchen Abteilungen haben wann wie viele Fortbildungen zu rechtlichen Grundlagen und betrieblicher Praxis des Datenschutzes stattgefunden?