Vom 3. Juni 2010
Deutscher Bundestag Drucksache 17/1916
17. Wahlperiode 03. 06. 2010
Kleine Anfrage
der Abgeordneten Sabine Leidig, Jan Korte, Herbert Behrens, Ulla Jelpke,
Thomas Lutze, Wolfgang Neskovic, Petra Pau, Jens Petermann, Raju Sharma,
Halina Wawzyniak und der Fraktion DIE LINKE.
Aufklärung der Datenschutzaffäre bei der Deutschen Bahn AG
Unter dem Vorstandsvorsitzenden der Deutschen Bahn AG (DB AG) Hartmut
Mehdorn „unterzog (…) die Bahn im Zuge von Korruptionsbekämpfung ihre Be-
schäftigten systematisch einer Rasterfahndung“ (stern vom 2. April 2009). Die
Daten von mehr als 170 000 Mitarbeiterinnen und Mitarbeitern wurden mit Tau-
senden Partner-Firmen abgeglichen. Dabei gab es im Zeitraum 2000 bis 2008
„mehrere Wellen solcher Screenings – ohne Wissen von Belegschaft und
Betriebsrat“ (WELT KOMPAKT vom 26. März 2009). Der größte Teil dieser
Ausspähaktionen wurde von dem Unternehmen Network Deutschland GmbH
durchgeführt, das lediglich auf Basis von mündlichen Vereinbarungen aktiv war
(Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit vom
28. Oktober 2008).
Es ging bei den verschiedenen Bespitzelungen in einigen Fällen auch darum,
Kritiker der Bahnprivatisierung zu identifizieren. ,Bei der Aktion „leakage“
wollten die konzerninternen Sicherheitsleute wissen, ob Bahnmitarbeiter Jour-
nalisten oder Kritiker des geplanten Bahnbörsengangs mit Informationen ver-
sorgten (…). Von März 2005 bis Oktober 2008 wurden täglich rund 145 000
Mails automatisch auf bestimmte Adressaten hin kontrolliert. Eine elektroni-
sche Streikinfo der Gewerkschaft Deutscher Lokomotivführer (GDL) fischte
das Unternehmen aus dem Verkehr.‘ (stern vom 2. April 2009). Im Mai 2009
wurde bekannt, dass die Bahn im gleichen Zeitraum mindestens 1,3 Mio. Euro
für versteckte Werbung zugunsten des Bahnbörsengangs in Medien, für Blogs
und Internetforen ausgab. In diesem Zusammenhang wurde durch die von der
DB AG bezahlte Agentur EPPA die Website „meinebahndeinebahn.de“ aufge-
baut, die sich als Bürgerinitiative für die Bahnprivatisierung und faktisch als
börsenfreundliches Gegenstück zur Website www.deinebahn.de der Kritikerin-
nen und Kritiker des Bahnbörsengangs, dem Bündnis „Bahn für Alle“, ausgab
(ap vom 28. Mai 2009).
Die letztgenannten manipulativen Maßnahmen waren – so Bahnchef Rüdiger
Grube – „mit dem Grundsatz eines transparenten (…) Dialogs mit der Öffent-
lichkeit in keiner Weise vereinbar“ (ap vom 28. Mai 2009). Die zuvor skizzierten
Ausspähaktivitäten waren offensichtlich gesetzeswidrig. Die Verantwortlichen
bei der DB AG waren sich dessen bewusst und versuchten Belege zu vernich-
ten: ,Im Verkehrsausschuss des Bundestages erklärten KPMG-Sonderermittler,
dass Wolfgang Schaupensteiner (Anm.: der damalige Korruptionsbeauftragte
der DB AG) (…) am 20. Januar (2009) die Vernichtung der „Ereignisdatenbank
Ermittlungen“ angeordnet (habe), in der seit 2001 alle Fälle von Verstößen ge-
gen Unternehmensrichtlinien erfasst wurden.‘ (Stuttgarter Zeitung vom 29. Mai
2009).
Drucksache 17/1916 – 2 – Deutscher Bundestag – 17. Wahlperiode
Da der damalige Vorstand der Deutschen Bahn AG nicht gewillt war, die erfor-
derliche Aufklärung zu organisieren, entzog der Aufsichtsrat des Konzerns am
18. Februar 2009 dem Vorstand diese Aufgabe und beschloss eine Sonder-
ermittlung unter Führung des Aufsichtsrats, ausgeführt durch die Wirtschafts-
prüfungsgesellschaft KPMG AG sowie die beiden ehemaligen Bundesminister
und Juristen Gerhard Baum und Herta Däubler-Gmelin. Ende März 2009 trat
Hartmut Mehdorn als Folge der Datenaffäre als Vorstandsvorsitzender der
DB AG zurück.
Am 13. Mai 2009 stellte der Aufsichtsrat die Empfehlungen der Sonderermitt-
ler zur Abstimmung. Unter anderem wurde dabei beschlossen, dass der neue
Vorstand in Verantwortung des Vorstandsvorsitzenden Rüdiger Grube die um-
fassende und vollständige Aufklärung aller Aspekte der Affäre übernimmt und
abschließt. Die Sonderermittler hatten mitgeteilt, dass sie zum Stichtag der Be-
richtsabfassung sehr viele Unterlagen noch nicht gesehen hatten. Im Ausschuss
für Verkehr, Bau und Stadtentwicklung des Deutschen Bundestages konstatierte
der neue Bahnchef Rüdiger Grube am 20. Mai 2009, dass noch viele Unter-
lagen ungesichtet sind und dringend weiterer Aufklärungsbedarf besteht. Auf
der Sitzung desselben Ausschusses vom 24. Februar 2010 äußerte Rüdiger
Grube die Hoffnung, dass die Untersuchungen in der Datenaffäre „möglichst
schnell abgeschlossen werden“.
Wir fragen die Bundesregierung:
1. Betrachtet die Bundesregierung die Datenaffäre bei der Deutschen Bahn AG,
als vollständig aufgeklärt und aufgearbeitet (Begründung)?
2. Was hat die Bundesregierung, vermittelt über ihre Vertreter im Aufsichtsrat,
getan, um sicherzustellen, dass der Vorstand und der Aufsichtsrat die Be-
schlüsse vom 13. Mai 2009 nach weiterer Aufklärung in der Ausspähaffäre
umsetzen?
3. Wann hat sich der Aufsichtsrat der Deutschen Bahn AG nach dem 13. Mai
2009 mit der Aufarbeitung und den Konsequenzen aus der Datenaffäre be-
fasst?
4. Wer hat auf Grundlage welcher Erkenntnisse geprüft, ob einzelne Mitglieder
des alten Vorstandes schadensersatzpflichtig sind, und wem gegenüber
wurde in welcher Höhe der Schadensersatzpflicht nachgekommen?
5. Ist die Aussage von Gerd Becht, Vorstandsmitglied der Deutschen Bahn AG
in der Zeitung „DER TAGESSPIEGEL“ vom 25. Mai 2010, dass es keinen
Beleg dafür gäbe, dass sich der Vorstand etwas zuschulden hätte kommen
lassen, so zu verstehen, dass die Prüfung der Schadensersatzhaftung des
alten Vorstandes abgeschlossen ist?
Wenn ja, warum wird dies vor dem Hintergrund noch laufender Ermittlun-
gen (ebd.) so gesehen?
Wenn nein, wann ist mit einer abschließenden Bewertung zu rechnen?
6. Fühlt sich der im April 2010 neu bestimmte Aufsichtsrat der Deutschen
Bahn AG der vollständigen Aufklärung der Datenaffäre verpflichtet, und
welche Schritte hat er dazu bislang unternommen?
7. Gibt es Aussagen des neuen Aufsichtsratsvorsitzenden, welche Schritte er in
dieser Angelegenheit zu unternehmen gedenkt?
8. Welche Ermittlungen in welchen konkreten Verdachtsfällen laufen derzeit
noch (siehe Interview mit dem Bahnvorstandsmitglied Gerd Becht in der
Zeitung „DER TAGESSPIEGEL“ vom 25. Mai 2010)?
Deutscher Bundestag – 17. Wahlperiode – 3 – Drucksache 17/1916
9. Werden die Ergebnisse der Aufarbeitung der Datenaffäre bei der Deutschen
Bahn AG in einem Endbericht öffentlich gemacht, analog zu den Zwischen-
berichten vom Mai 2009 (Begründung)?
10. Wann hat die Deutsche Bahn AG das vom Berliner Beauftragten für Daten-
schutz und Informationsfreiheit verhängte Bußgeld in Höhe von 1,1 Mio.
Euro bezahlt?
11. Laufen weitere Ermittlungen des Berliner Beauftragten für den Daten-
schutz und die Informationsfreiheit und/oder des Bundesbeauftragten für
Datenschutz und die Informationsfreiheit, und wenn ja, welche?
12. In welchen Fällen ermitteln die Sonderermittler der KPMG AG derzeit?
13. Führen auch die beiden Anwälte Gerhard Baum und Herta Däubler-Gmelin
weitere Ermittlungen durch?
Wenn ja, bis wann voraussichtlich?
Wenn nein, wann endete das Mandat?
14. Auf der Basis welcher Beschlüsse oder Vereinbarungen haben die Sonder-
ermittler seit Mai 2009 weitere Ermittlungen durchgeführt?
15. Haben die Sonderermittler nach dem Mai 2009 von weiteren „Überwa-
chungsmethoden“ im Prüfungszeitraum ab 1995 bei der Deutschen Bahn
AG erfahren?
16. Hat der neue Vorstand der Deutschen Bahn AG einen umfassenden Über-
blick über sämtliche die Datenaffäre betreffenden Unterlagen in Papier-
und elektronischer Form?
17. Haben die Sonderermittler sämtliche die Datenaffäre betreffenden Unter-
lagen – in Papier- und elektronischer Form – zur Bewertung eingesehen?
18. Um welche Quantität von relevanten Unterlagen handelt es sich?
19. Ist gesichert, dass zwischenzeitlich alle Unterlagen (Personalakten, Verfah-
rensakten, Disziplinarakten etc.), die mit illegal erhobenen Daten versehen
waren, um diese Daten „bereinigt“ sind?
Wenn ja, wer hat die Bereinigung und Löschung vorgenommen?
Wenn nein, warum nicht?
20. Ist die Information zutreffend, dass es bei der Deutschen Bahn AG einen
Datenquarantäneraum gibt, und wenn ja, wie ist er gesichert, und welchen
Zweck erfüllt er?
21. Welche und wie viele Unterlagen, Akten und elektronische Daten, werden
in diesem Quarantäneraum gelagert?
22. Wer kennt den genauen Inhalt und die genaue Menge der erfassten Unter-
lagen in dem Datenquarantäneraum, und gibt es für diesen ein detailliertes
Verzeichnis?
23. Ist der zuständige Berliner Beauftragte für Datenschutz und Informations-
freiheit über den genauen Bestand des Quarantäneraums informiert?
24. Sind die Sonderermittler über den Datenquarantäneraum informiert, und
haben diese sämtliche in diesem Raum befindlichen Unterlagen durchsehen
können?
25. Existiert ein Verzeichnis, wer, wann und mit wem den Datenquarantäne-
raum betritt, um Akten herein- und herauszunehmen?
Drucksache 17/1916 – 4 – Deutscher Bundestag – 17. Wahlperiode
26. Gibt es inzwischen nähere Erkenntnisse über das Abhören von Mitarbeitern
der Deutschen Bahn AG, die Rüdiger Grube in der Sitzung des Ausschus-
ses für Verkehr, Bau und Stadtentwicklung am 24. Februar 2010 weiterhin
„nicht ausschließen“ konnte?
27. Welcher Art sind diese Erkenntnisse ggf. (z. B. Zeitraum, Umfang)?
28. Ist es zutreffend, dass bei einzelnen Unternehmen der Deutschen Bahn AG
„seit Mitte der neunziger Jahre fortlaufend Krankheitsdiagnosen von Mitar-
beitern in EDV-Systemen erfasst wurden“ (Süddeutsche Zeitung vom
19. März 2010), und wenn ja, bei wie vielen Mitarbeitern wurden solche
Daten erfasst, um welche Unternehmen handelt es sich, und auf welchen
Wegen sind die Unternehmen an die Krankheitsdiagnosen gelangt?
29. Wurden diese Diagnosedaten inzwischen in allen relevanten Personalakten
und sonstigen Systemen gelöscht respektive geschwärzt?
30. Wer hat diese Löschungen ggf. wann veranlasst und durchgeführt?
31. Wurden alle von der Datenaffäre Betroffenen über den Bestand von sie be-
treffenden, unrechtmäßig erhobenen personenbezogenen Daten informiert?
Wenn ja, auf welche Weise, und in welchem Umfang?
Wenn nein, warum nicht?
32. Wurden alle diejenigen, die von unrechtmäßigen Maßnahmen betroffen
waren und über die Dokumente im Quarantäneraum vorliegen, hierüber
informiert?
Wenn ja, von wem, und auf welche Weise?
Wenn nein, warum nicht?
33. Wie viele Personen waren außer bei den Screenings insgesamt von beson-
deren unrechtmäßigen Einzelüberwachungsmethoden betroffen?
34. Wie viele betroffene Mitarbeiter/-innen haben sich bei den Sonderermittlern
gemeldet, damit ihre jeweiligen Einzelfälle aufgearbeitet werden?
35. An wie viele Betroffene wurden Entschädigungen gezahlt, und in welcher
Gesamthöhe?
36. Hat der neue Vorstand oder haben die Sonderermittler Verantwortliche für
die Datenverstöße respektive Rechtsverstöße identifizieren können, und
wurden diesen gegenüber Schadenersatzforderungen geltend gemacht?
Wenn ja, gegenüber wie vielen Personen, und in welcher Höhe?
Wenn nein, warum nicht?
37. Gegen wie viele Verantwortliche hat die Deutsche Bahn AG Strafanzeige
gestellt, und in welchem Verfahrensstand befinden sich diese ggf.?
38. Gegen wie viele Verantwortliche wurde von anderer Seite Strafanzeige ge-
stellt, wie viele wurden davon durch die zuständigen Datenschutzbeauf-
tragten und wie viele durch Mitarbeiter der Deutschen Bahn AG veranlasst,
und in welchem Verfahrensstand befinden sich diese ggf.?
39. Wie ist der Hinweis zu der neuen Datenschutzbeauftragten der Deutschen
Bahn AG Chris Newiger zu verstehen: „Wenn künftig etwas schiefläuft
beim Datenschutz, trägt sie die Verantwortung. Grube ist dann fein raus.“
(FINANCIAL TIMES DEUTSCHLAND vom 23. März 2010)?
40. Warum soll die neue wirksame Konzernbetriebsvereinbarung zum Schutz
der Persönlichkeitsrechte der Mitarbeiter/-innen des DB Konzerns zum
Arbeitnehmerdatenschutz erst im Herbst 2010 abgeschlossen werden (siehe
„DER TAGESSPIEGEL“ vom 25. Mai 2010)?
Deutscher Bundestag – 17. Wahlperiode – 5 – Drucksache 17/1916
41. Wird diese für die Nutzung sämtlicher IT (wie BKU-Rechner, E-Mail-
Accounts etc.) gelten (Begründung)?
42. Welche Aspekte sind im Eckpunktepapier zum Arbeitnehmerdatenschutz
zwischen der Deutschen Bahn AG und Arbeitnehmervertretern benannt,
und wann wurden diese vereinbart?
43. Wurde bereits ein neues Ombudssystem oder ein vergleichbares System bei
der Deutschen Bahn AG eingerichtet?
Wenn nein, warum nicht?
Wenn ja, inwiefern sind diese Systeme neu oder wie wurden die Erfahrun-
gen aus den Datenmissbräuchen bei der Konzeption, Struktur und sonstigen
Ausgestaltung berücksichtigt und umgesetzt?
44. Wurde ein neues Compliance-System implementiert?
Wenn nein, warum nicht?
Wenn ja, inwiefern sind diese Systeme neu oder wie wurden die Erfahrun-
gen aus den Datenmissbräuchen bei der Konzeption, Struktur und sonstigen
Ausgestaltung berücksichtigt und umgesetzt?
45. Gehört die Einrichtung eines Systems oder Verfahrens des „Whistle-blow-
ings“ zu einer der umgesetzten Erfahrungen bzw. ist dieses vorgesehen?
46. In welchen Abteilungen haben wann wie viele Fortbildungen zu rechtlichen
Grundlagen und betrieblicher Praxis des Datenschutzes stattgefunden?
Berlin, den 3. Juni 2010
Dr. Gregor Gysi und Fraktion