Aufklärung der Datenschutzaffäre bei der Deutschen Bahn AG (Nachfrage zu Bundestagsdrucksache 17/2229)
der Abgeordneten Sabine Leidig, Jan Korte, Herbert Behrens, Ulla Jelpke, Wolfgang Neskovic, Petra Pau, Jens Petermann, Raju Sharma, Halina Wawzyniak und der Fraktion DIE LINKE.
Vorbemerkung
„Das gab es in der Geschichte der Bundesrepublik noch nie: einen Staatskonzern, der mit illegalen Methoden in großem Ausmaß gegen Datenschutzgesetze und Persönlichkeitsrechte verstößt.“ So lauten die einleitenden Sätze zum Kapitel „Besser als die Stasi – wie die Bahn ihre Mitarbeiter ausspähte“ im Schwarzbuch Deutsche Bahn von Christian Esser und Astrid Randerath (München 2010, S. 133 ff.). In den Jahren 1998 bis Anfang 2009 wurden bei der Deutschen Bahn AG (DB AG) Hunderttausende persönliche Daten von 170 000 Mitarbeiterinnen und Mitarbeitern illegal erhoben. Vordergründig ging es um Korruptionsbekämpfung. Faktisch sprechen das Ausmaß der Bespitzelung und viele einzelne Aktivitäten im Rahmen dieser Flächenrasterung für eine andere Interpretation.
Es sollten auch die Masse der Bahnmitarbeiter eingeschüchtert und diszipliniert und Kritiker der Bahnprivatisierung in der Belegschaft und Kontakte von Bahnmitarbeitern mit Kritikern des Bahnbörsengangs identifiziert werden. „Bei der Aktion ,leakage‘ wollten die konzerninternen Sicherheitsleute wissen, ob Bahnmitarbeiter Journalisten oder Kritiker des geplanten Bahnbörsengangs mit Informationen versorgten […]. Von März 2005 bis Oktober 2008 wurden täglich rund 145 000 Mails automatisch auf bestimmte Adressaten hin kontrolliert.“ (stern vom 2. April 2009).
Der Vertreter der KPMG Deutsche Treuhand-Gesellschaft, Frank M. Hülsberg, konkretisierte am 27. Mai 2009 auf der Sitzung des Ausschusses für Verkehr, Bau und Stadtentwicklung des Deutschen Bundestages sinngemäß, es habe in der Zeit von 2004 bis 2008 eine sogenannte E-Mail-Logfile-Filterung gegeben, wo anlassbezogen diese Logfiles nach bestimmten Schlagworten durchsucht worden seien. Bei der Schlagwortliste sei es zu Hinzufügungen und auch Streichungen gekommen.
Der neue Bahnchef Dr. Rüdiger Grube teilte auf derselben Sitzung mit, dass er über eine Liste mit den Namen, nach denen der E-Mail-Verkehr durchsucht wurde, verfügen würde. Er schlug dort vor, vorab diejenigen zu kontaktieren, die auf der Filterliste stehen, bevor man mit der Liste möglicherweise an die Öffentlichkeit gehe.
Der Journalist Günter Wallraff berichtete in der Wochenzeitung „DIE ZEIT“ (Ausgabe vom 23. April 2009) darüber, dass die Anzahl von Kündigungen gegen Mitarbeiterinnen und Mitarbeiter der Bahn ab dem Zeitpunkt anstieg, als „Hartmut Mehdorn den großen strategischen Plan durchsetzen wollte, die Bahn an die Börse zu bringen“. Eine größere Zahl von Bahnbeschäftigten, die den Bahnbörsengang kritisch sahen, seien „nach der Ausforschung ihrer Arbeitscomputer entlassen“ worden. Die Personalabteilung der Bahn habe dabei Kündigungen „häufig mit E-Mails [begründet], die die Betroffenen verfasst haben sollen – entweder sei der Inhalt des elektronischen Briefes gegen die Bahnprivatisierung gerichtet gewesen oder der Adressat sei als Gegner der Bahnprivatisierung bekannt, sei womöglich gar Journalist gewesen.“
Bei einigen derjenigen, denen – zum Teil erfolglos – gekündigt wurde, hätten sich auf deren Arbeitscomputer tierpornografische Inhalte bzw. Adolf Hitlers „Mein Kampf“ befunden, Material, das mutmaßlich durch Manipulationen Dritter auf die PCs der Betroffenen gelangte.
Auf der angeführten Ausschusssitzung vom 27. Mai 2009 erklärte ein Vertreter der Kanzlei Baum, Reiter & Collegen, in technischer Hinsicht habe sich der Wallraff-Bericht bestätigt. Die Sonderermittler hätten die Akten dazu angefordert, diese jedoch bis Ende ihrer Ermittlungen nicht erhalten.
15 Monate nach dem Wechsel an der Bahnspitze spricht Einiges dafür, dass das Ausmaß der Bespitzelungen weit größer war, als bisher bekannt ist, dass die Weiterungen des Skandals auch von der neuen Führung des Konzerns nicht öffentlich gemacht werden und dass Topmanager, die für die illegalen Maßnahmen mitverantwortlich waren, im Bahnkonzern weiter Führungspositionen innehaben und zum Teil Karrierestufen nach oben rückten.
Im Juni 2010 bestätigte die Bundesregierung in ihrer Antwort auf eine Kleine Anfrage der Fraktion DIE LINKE. (Bundestagsdrucksache 17/2229) erstmals, dass bei der DB AG mehrere Räume einer „Datenquarantäne“ eingerichtet wurden, in denen „alle unzulässig erhobenen Daten (…) verbracht“ worden sind.
Daniela Kuhr berichtete in der „Süddeutschen Zeitung“ (SZ) über die Kleine Anfrage und die Antwort der Bundesregierung auf dieselbe unter der Überschrift „Die Geheimräume der Bahn“ (Süddeutsche Zeitung vom 2. Juli 2010). Daniela Kuhr schrieb dabei über „acht Räume“ in der Bahnzentrale mit „geheimen Akten und Unterlagen, die keiner der Sonderermittler je zu Gesicht bekommen hat“, und darüber, dass „diese Daten in Kürze gelöscht zu werden [drohen]“. Die Autorin bzw. die Zeitung geht davon aus, dass „eine vollumfängliche Aufarbeitung der Affäre, wie Grube sie immer versprach, dann nicht mehr möglich“ sein würde.
Zitiert werden in dem Bericht auch Aussagen, wonach nach Auffassung des Bahnvorstands „nur der Staatsanwalt oder Opfer der Datenaffäre Zutritt“ zu den Räumen mit dem Material zur Datenaffäre, nicht aber die Sonderermittler haben sollten.
In ihrer Antwort zu den Fragen 20 bis 25 der Kleinen Anfrage führte die Bundesregierung aus: „Aus datenschutzrechtlichen Gründen ist darauf verzichtet worden, ein Inhaltsverzeichnis der eingelieferten Daten und Unterlagen zu führen.“
Inwieweit die Staatsanwaltschaft über die Kapazität verfügt, das Material in der Datenquarantäne zu sichten, ist unklar. Das fehlende Inhaltsverzeichnis (Register) verunmöglicht eine gezielte Einsichtnahme in jedem Fall. Opfer wiederum haben keine Möglichkeit, einen Zutritt zu den Datenquarantäneräumen zu verlangen, da sie keine Kenntnis davon haben können, dass in diesen Unterlagen zu ihrer Person gelagert sind. Im Übrigen wäre es offenkundig nicht möglich für Außenstehende nachzuvollziehen, wenn Unterlagen vernichtet bzw. Daten gelöscht wären bzw. würden.
Wir fragen die Bundesregierung:
Fragen42
Ist die Berichterstattung von Daniela Kuhr in der „Süddeutschen Zeitung“ vom 2. Juli 2010 zum Thema „Die Geheimräume der Bahn“ nach Ansicht der Bundesregierung in ihren Grundaussagen zutreffend?
Wenn nein, welche Passagen entsprechen nach Ansicht der Bundesregierung nicht der Wahrheit?
Trifft die Information zu, wonach die in den „acht Räumen“ lagernden „Tausende Seiten geheime Akten und Unterlagen“ (SZ-Artikel) – zusammenfassend als „Datenquarantäne“ bezeichnet – einen Umfang haben, der rund dem Dreifachen dessen entspricht, was die Sonderermittler je zu Gesicht bekommen haben?
Wenn nein, in welchem Umfang verhält sich nach Erkenntnissen der Bundesregierung das bisher von den Sonderermittlern nicht gesichtete, in der Datenquarantäne eingelagerte Material mit illegal erhobenen Daten etc. zu demjenigen Material, das die Sonderermittler eingesehen haben?
Ist es zutreffend, dass die Sonderermittler erst Anfang Mai 2009, also wenige Tage vor ihrer Berichterstellung, durch die Deutsche Bahn AG eine große Menge ergänzenden und neuen Materials mit illegal erhobenen Daten erhalten haben?
Wenn ja, wodurch ist diese Verspätung entstanden?
Trifft es zu, dass die Sonderermittler darauf hingewiesen haben, dass sie diese Unterlagen in der Berichterstellung nicht berücksichtigen könnten und dass beide Sonderermittler dringend empfohlen haben, auch diese Unterlagen dringend auszuwerten, und wenn ja, warum wurde dem nicht Folge geleistet?
Aus welchen Gründen und in wessen Verantwortung ist die Auswertung dieser zusätzlichen Unterlagen bis heute unterblieben?
Ist es zutreffend, dass sich inzwischen erweist, dass keineswegs alle Unterlagen über illegal erhobene Daten im Mai 2009 vorgelegen haben und dass zumindest bis zum Frühjahr 2010 immer neue solcher Unterlagen auftauchten, die in die Datenquarantäneräume überführt wurden bzw. werden?
Tauchen auch jetzt noch neue Unterlagen auf, die in den Datenquarantäneraum verbracht werden, bzw. wann wurden die letzten Unterlagen dahin verbracht?
Haben alle Mitglieder des Vorstands der Deutschen Bahn AG die abverlangte „Vollständigkeitserklärung“ (die Erklärung darüber, dass alle von den Sonderermittlern angeforderten Unterlagen zur Verfügung gestellt wurden) abgegeben, und trifft dies insbesondere inzwischen auch auf Diethelm Sack, den Verantwortlichen für Finanzen im Vorstand, zu, der ausweislich der Aussage des Abgeordneten Horst Friedrich (FDP) der Sitzung des Ausschusses für Verkehr, Bau und Stadtentwicklung des Deutschen Bundestages am 27. Mai 2009 eine solche Erklärung zu diesem Zeitpunkt noch nicht unterzeichnet hatte?
Wie bewertet die Bundesregierung die Tatsache, dass die Mitglieder des Vorstandes der DB AG (möglicherweise mit Ausnahme des für Finanzen Verantwortlichen) eine Vollständigkeitserklärung der beschriebenen Art unterzeichnet hatten, vor dem Hintergrund des in den Fragen 4 bis 7 abgefragten Sachverhaltes weiterhin aufrecht (Begründung)?
Hält die Bundesregierung ihre Antwort zu den Fragen 17 und 18, nach der den Sonderermittlern „alle Dokumente zur Verfügung gestellt“ wurden, vor dem Hintergrund des in den Fragen 4 bis 7 abgefragten Sachverhaltes weiterhin aufrecht (Begründung)?
Ist es zutreffend, dass die Sonderermittler und Vertreter von KPMG im Februar 2010 den Bahnvorstand darauf hinwiesen, dass sich aus den nicht vollständig zur Verfügung gestellten Akten Ansätze für illegale Kfz-Halter-Datenermittlungen, Kontoabgleichen von BahnCard-Kunden und Einzelverbindungsnachweiskontrollen im Telefonverkehr ergaben, und wenn ja, welche Konsequenzen wurden daraus gezogen, insbesondere in juristischer Hinsicht?
Ging der Bahnvorstand respektive der Aufsichtsrat der Bahn diesen Hinweisen nach, und wenn ja, mit welchen Ergebnissen?
Ist es zutreffend, dass die Kenntnis über die unzulässige Erhebung und Verwendung von Krankendaten bei DB Sicherheit GmbH aus Einzelfallermittlungen resultiert, die die Sonderermittler zusammen mit KPMG auch nach dem 13. Mai 2009 durchführten, und dass demnach die Antwort der Bundesregierung zu den Fragen 12 bis 14, wonach „nach Mai 2009 […] die Sonderermittler im Zusammenhang mit der Datenaffäre keine Ermittlungen mehr durchgeführt“ und lediglich noch die „DB AG […] bei der Aufarbeitung der Ermittlungsergebnisse unterstützt“ hätten, nicht zutreffend oder zumindest zu ergänzen ist (Begründung)?
Kann, wie in der Antwort der Bundesregierung zu Frage 19 erfolgt, der damalige Konzerndatenschutzbeauftragte Jürgen Sack, der als Verantwortlicher für die Einrichtung des „Datenquarantäneraums“ genannt wird, als „neutrale Instanz“ und als „Vertrauensperson der Mitarbeiter“ bezeichnet werden, nachdem dieser durch den Bahnvorstand im März 2010 abgelöst und dies damit begründet wurde, dass die Deutsche Bahn „mit ihrer Vergangenheit aufräumen (will) und verspricht, künftig sensibler mit den Daten ihrer Mitarbeiter umzugehen“ (SPIEGEL ONLINE vom 22. März 2010) (Begründung)?
Bleibt die Bundesregierung bei ihrer Aussage, wonach das Projekt „Datenquarantäne“ mit dem Datenschutzbeauftragten des Landes Berlin, Dr. Alexander Dix, „abgestimmt“ worden sei (Antwort zu den Fragen 20 bis 25), und inwiefern war Dr. Alexander Dix über die bloße Information hinaus in die konkrete Umsetzung und Kontrolle des Projekts eingebunden?
Hatte und hat der Datenschutzbeauftragte des Landes Berlin Zugang zu den Datenquarantäneräumen, und wird ihm in Zukunft auf Anforderung Zugang ermöglicht (Begründung)?
Hatten und haben die Sonderermittler Zugang zu den Datenquarantäneräumen, und wird ihnen in Zukunft auf Anforderung der Zugang ermöglicht (Begründung)?
Worauf beruht die Einschätzung der Bundesregierung, dass „zur Wahrung der Interessen Betroffener“ die genannten Daten im Datenquarantäneraum „dem Zugriff der DB AG entzogen“ (Antwort zu Frage 19) waren bzw. sind?
Kann die Bundesregierung garantieren, dass Verantwortliche der Deutschen Bahn AG seit Einrichtung des Datenquarantäneraums keinen Zugang zu diesen Räumen hatten und diesen nicht betreten haben?
Wie genau ist der Zugang zu den Datenquarantäneräumen gestaltet – welche Art Schlüssel oder welche andere Art der Zugangssicherung existiert für die Datenquarantäneräume, und wer hat die Kontrolle über den Zugang (bzw. wer hat die Schlüsselgewalt)?
Mit welchen datenschutzrechtlichen Bestimmungen begründet die Bundesregierung respektive die Deutsche Bahn AG den „Verzicht“ auf das Anlegen eines Inhaltsverzeichnisses respektive eines Registers für die Datenschutzräume (Antwort zu den Fragen 20 bis 25)?
Ist es zutreffend, dass Dr. Alexander Dix sowie die Sonderermittler Rechtsanwältin Dr. Herta Däubler-Gmelin und Rechtsanwalt Gerhart Baum von der Deutschen Bahn AG gefordert hatten, dass ein Register (ein Verzeichnis) der Inhalte des Datenquarantäneraums erstellt werden müsse?
Wie will die Bundesregierung der Anforderung des Bundesdatenschutzgesetzes (BDSG) Genüge tun, wonach im Fall der Löschung von Daten über diesen Vorgang ein Protokoll zu führen ist, wenn es von den zu löschenden Daten im Datenquarantäneraum kein Register gibt?
Wie könnte der abverlangte Protokolltext über die Löschung von Daten unbekannten Inhalts aussehen, z. B. „Daten, Bahntower Stock XYZ, eingelagert in den acht Räumen mit den Nummern ZYX, Inhalte unbekannter Art, Umfang: Millionen Seiten; nachhaltig gelöscht“?
Wann wird das Verfahren des Bundesdatenschutzbeauftragten voraussichtlich abgeschlossen sein?
Gab es Disziplinarverfahren gegen Beamte auf Grundlage von, nach heutigen Erkenntnissen, rechtswidrig durch die Deutsche Bahn beschafften Daten bzw. Informationen?
Wenn ja, wie viele waren das, und wie geht die Bundesregierung mit diesen Fällen um?
Sieht die Bundesregierung bezüglich der von der Ausspähung betroffenen Beamten eine besondere Schwere der Verstöße vorliegen vor dem Hintergrund der schärferen Datenschutzbestimmungen für Beamte?
Haben sich die Vorwürfe über Kündigungen von Bahnbeschäftigten aufgrund deren Kritik am Bahnbörsengang, die der Journalist Günter Wallraff (DIE ZEIT, 23. April 2009) erhob, bestätigt?
Wenn ja, wie viele solcher Fälle sind dokumentiert?
Wurden die Akten über diese Fälle, die von den Sonderermittlern verlangt, diesen jedoch bis zum Ende von deren Ermittlungen nicht zur Verfügung gestellt wurden, dem Datenschutzbeauftragten des Landes Berlin, Dr. Alexander Dix, der Staatsanwaltschaft und/oder den Sonderermittlern zugeleitet?
Wenn ja, mit welchem Ergebnis?
Wenn nein, warum nicht?
Bleibt die Bundesregierung bei ihrer Antwort, wonach der Aufsichtsrat der DB AG auf seiner Sitzung vom 13. Mai 2009 die PricewaterhouseCoopers (PwC) AG „mit der Durchführung einer externen Prüfung zur möglichen aktienrechtlichen Verantwortung des Vorstands [in Sachen Ausspähaffäre DB AG] beauftragt“ habe, oder stimmt sie der Auffassung zu, wonach PwC lediglich einen Auftrag zur Untersuchung einer möglichen Haftung von Aufsichtsratsmitgliedern selbst erteilt hat (Begründung)?
Wieso bewertet die Bundesregierung diese Prüfung durch PwC hinsichtlich der aktienrechtlichen Verantwortung des Vorstands respektive der Aufsichtsratsmitglieder als „externe“ Prüfung und als eine unvoreingenommene Untersuchung angesichts der Tatsache, dass PwC der offizielle Bilanzprüfer der Deutschen Bahn AG ist?
Ist es zutreffend, dass sich noch im Jahr 2010 in mehreren Personalakten bzw. Disziplinarakten von Bahnbeschäftigten, etwa in denen eines Beamten aus dem Bereich DB Netz, Material feststellen ließ, das sich im Datenquarantäneraum befinden sollte und das in jedem Fall illegal erhoben wurde?
Wieso gibt die Bundesregierung eine Anzahl von 635 Mitarbeiterinnen und Mitarbeitern an, die als durch die illegale Ausspähaktion der Bahn Betroffene bezeichnet werden können?
Warum zählt die Bundesregierung die bis zu 170 000 Beschäftigten, bei denen illegal Daten erhoben wurden, anscheinend nicht zu Betroffenen, obwohl dort „Millionen Seiten“ Material die illegalen Maßnahmen dokumentieren (Antwort zu den Fragen 31 bis 34)?
Liegt der Erkenntnis der Bundesregierung, es gebe keine „belastbare Aussage über die Anzahl der Betroffenen“, nicht darin begründet, dass ein großer Teil der illegal erhobenen Daten bisher noch gar nicht gesichtet wurde (Begründung)?
Kann die Bundesregierung ausschließen, dass ein Teil der Daten bereits gelöscht wurde bzw. ein Teil der Unterlagen vernichtet wurde (Begründung)?
Wurden die Schlagwortverzeichnisse und die Namenslisten, nach denen täglich die E-Mails gefiltert wurden, jemals öffentlich gemacht?
Wenn ja, wann und wo?
Wenn nein bzw. wenn diese Liste nur einem kleinen Kreis von Abgeordneten zugänglich gemacht wurde, warum wird ein öffentlicher Zugang verwehrt?
Wurden alle rund 300 Personen informiert, die auf den unterschiedlichen Listen zur Filterung des E-Mail-Verkehrs aufgeführt waren?
Wenn nein, warum nicht?
Wenn ja, in welchem Zeitraum ist dies erfolgt, und haben Personen, die auf dieser Liste standen, Einwände gegen die Veröffentlichung der Liste geltend gemacht (bitte ggf. Anzahl der Personen angeben)?
Gibt es Erkenntnisse der Bundesregierung über die aktuelle Tätigkeit von Dr. Josef Bähr, den ehemaligen Leiter der Internen Revision der Deutschen Bahn AG, bei dem der Verdacht einer maßgeblichen Beteiligung an der Bahn-Ausspähaffäre nahe liegt und der sich allen Vorladungen vor den Ausschuss für Verkehr, Bau und Stadtentwicklung durch Krankmeldungen und Beurlaubung entziehen und der auch durch die Sonderermittler und die KPMG zu dem Skandal nicht befragt werden konnte?
Wie bewertet die Bundesregierung die Tatsache, dass Jürgen Illing, der ehemalige Bereichsleiter Politische Beziehungen bei der Deutschen Bahn AG, der im Bespitzelungsskandal der Bahn ebenfalls als stark belastet gelten kann, zunächst durch den neuen Bahnchef Dr. Rüdiger Grube zum Konzernbevollmächtigten in Thüringen ernannt, dann Anfang 2010 von der hessischen Landesregierung als neuer Geschäftsführer der Hessen-Agentur eingesetzt wurde, wobei der hessische Wirtschaftsminister Dieter Posch (FDP) dies damit begründete, dass Jürgen Illing „eine ideale Persönlichkeit“ sei, um in der Öffentlichkeit für das Land Hessen zu werben (ddp vom 17. Dezember 2009)?
Inwieweit kann vor dem Hintergrund des Daten- und Bespitzelungsskandals von einem Neuanfang im Bahnmanagement gesprochen werden, wenn Dr. Alexander Hedderich, der ehemalige Chefstratege der Bahn und zugleich ein weiterer Bahnmanager, der im Bespitzelungsskandal als stark belastet gilt, zum 1. September 2009 die Gesamtverantwortung über das europäische Geschäftsfeld von DB Schenker Rail Deutschland AG übertragen wurde und zu diesem Anlass Bahnchef Dr. Rüdiger Grube davon sprach, Dr. Alexander Hedderich sei „ein exzellenter Know-how-Träger“ – was vor dem Hintergrund der bahnweiten Ausspähaktion eine besondere Konnotation hat –, der „mein persönliches […] volles Vertrauen […] genießt“ (Pressemitteilung der Deutschen Bahn AG vom 23. Juli 2009)?
Gab es eine umfangreiche Darlegung seitens des neuen Bahnvorstands gegenüber allen Mitarbeiterinnen und Mitarbeitern über die Bilanz der Bespitzelungsaffäre und eine begründete, der Tragweite des Skandals angemessene Entschuldigung für die Bespitzelungsaktivitäten, von denen so gut wie alle Bahnbeschäftigten betroffen waren?
Gab es eine Entschuldigung dafür, dass der Bahnvorstand in mehreren Briefen an die Mitarbeiterinnen und Mitarbeiter mitgeteilt hatte, dass „die DB nie und zu keiner Zeit Bespitzelungsmaßnahmen durchführte“, dass „der Berliner Datenschutzbeauftragte unser Vorgehen nicht prinzipiell kritisiert, sondern nur formale Fragen beanstandet hat“, dass „gesetzliche Bestimmungen“ nicht „übertreten oder missachtet“ worden wären, womit die Bahnbeschäftigten vom Bahnvorstand offenkundig bewusst irregeleitet und belogen wurden (Zitate aus dem Brief des Vorsitzenden des Vorstands vom 30. Januar 2009 „an alle Mitarbeiterinnen und Mitarbeiter“)?