Deutsche Bahn muss mehr als 1 Million Euro Strafe zahlen

Original Artikel von Rik Ferguson (Solutions Architect, Trend Micro)

Die Deutsche Bahn AG hat laut eines Berichts der Süddeutschen Zeitung einen Bußgeldbescheid über rund 1,1 Millionen Euro erhalten. Der Berliner Datenschutzbeauftragte erklärte, die Strafe sei wegen einer Reihe schwerer Verstöße gegen Datenschutzgesetze während der letzten zehn Jahre verhängt worden. In einer Presseerklärung der Berliner Datenschutzbehörde hieß es, dies sei „das höchste Bußgeld, das eine deutsche Datenschutzaufsichtsbehörde bisher festgesetzt hat“. Das Vergehen der Deutschen Bahn besteht in dem Massen-Screening von Mitarbeiterdaten, einschließlich deren Namen, Adressen, Telefonnummern und Dankdaten.

Deutsche Bahn HQ von Honza Soukup<br />
Deutsche Bahn HQ by Honza Soukup

Das Screening wurde mindestens drei Mal, 1998, 2002/3 und 2005/6 durchgeführt, um angeblich betrügerische Aktivitäten und Scheinfirmen von Mitarbeitern aufzudecken. Die Deutsche Bahn bediente sich dabei auch der Dienste einer Detektei, die Kontodaten von Mitarbeitern erhob, die laut der Presseerklärung unerlaubterweise „noch Jahre nach der Ausräumung des Verdachts aufbewahrt wurden“. Schwer wiegt auch der Vorwurf des Monitorings der gesamten externen E-Mail-Kommunikation aller Mitarbeiter während der Jahre 2006 und 2007, um angeblich herauszufinden, wer Informationen an Journalisten und Mitglieder des Bundestags weiter gegeben habe. All diese Aktionen wurden ohne der Zustimmung der betroffenen Mitarbeiter durchgeführt.

Die Presseerklärung erwähnt weiteren Aktivitäten nicht, die jedoch im Artikel der Süddeutschen Zeitung aufgeführt sind: Zum Beispiel sollen in zwei weiteren Fällen die Daten von Führungskräften ausgeschnüffelt und auch Krankendaten von Mitarbeitern erhoben worden sein. Die Zeitung will offensichtlich andeuten, dass dieses Bußgeld noch nicht alles sei.

Als Folge der Vorkommnisse mussten der CEO und mehrere Top-Führungskräfte zurücktreten. Die neue Führungsspitze schuf eine Position auf C-Ebene, die für „Compliance, Datenschutz und Recht“ zuständig ist und versprach zudem, mit dem Betriebsrat neue Personalrichtlinien für den Datenschutz auszuarbeiten. Die plumpe Taktik der Deutschen Bahn und das verhängte Bußgeld verdeutlichen die Notwendigkeit, Mitarbeiter, Betriebsrat und Gewerkschaften mit einzubeziehen, wenn Unternehmen Datenschutzrichtlinien ausarbeiten und vor allem dann, wenn es um sensible Nachforschungen geht.

Effektive Schulungsprogramme sollten die Mitarbeiter informieren, aber auch deren Verständnis und die Akzeptanz der Rechte und Pflichten zu überprüfen. Effiziente Sicherheitsrichtlinien und Technologien sollten Mitarbeitervertreter in den Entstehungsprozess mit einbeziehen und sie davon in Kenntnis setzen, wenn Untersuchungen stattfinden. Gleichzeitig muss sichergestellt sein, dass die Ergebnisse solcher Nachforschungen nicht den Mitarbeitervertretern bekannt werden, denn dies könnte schon an sich einen Datenmissbrauch darstellen.
Unternehmen in Europa sind gut beraten, den Datenschutz richtig aufzusetzen, denn die Datenschutzaufsichtsbehörden in allen Ländern werden immer mächtiger.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*