Der Suizid der deutschen Bahn AG
Feb 03
Update vom 06.02.09:
Die Bahn hat mittlerweile die hat die Abmahnung zurückgenommen und verzichtet auf weitere Konsequenzen gegen Netzpolitik.org
Nach der Veröffentlichung eines brisanten Memos zur Rasterfahndung bei der Bahn am Sonnabend (31.01.09) erhielt Markus Beckedahl heute (03.02.09) eine Abmahnung aufgrund von:
“Verrat von Betriebs- und Geschäftsgeheimnissen”
Das Resultat: Ein riesen Medienecho, hunderte Kommentare und noch viel mehr Tweets. Der Versuch einen Blogger Mundtod zu machen führte in diesem Fall zum sog. Streisand-Effekt.
Ca. 2 Stunden nach der Abmahnung erschien in in der Online-Ausgabe der Süddeutschen Zeitung ein Brief Mehdorns, in dem es um die Bespitzelungsaffäre geht.
Darin heißt es u.A.:
[...]“Liebe Kolleginnen und Kollegen,
in den vergangenen Tagen ist in der Öffentlichkeit ein Bild von unserem Unternehmen gezeichnet worden, das mich zutiefst bestürzt.[...]“
Ich vermute, dass es in den nächsten Tagen nicht besser wird.
Mehdorn schrieb 1:
“[...]Auch das in den vergangenen Tagen heftig diskutierte Screening-Verfahren – also der sogenannte Datenabgleich von Personalstammdaten mit Lieferantendaten – kann solche Vorwürfe nicht belegen. Niemand ist dabei ausspioniert, abgehört oder bespitzelt worden. Zur Feststellung von Personen ist es nur gekommen, wenn es Übereinstimmungen zwischen Mitarbeiterdaten und
Lieferantendaten gab.[...]“
Im Memo zur Rasterfahndung heißt es u.A 2:
[...]“Dazu wurden die Fest-
platten der PCs und deren im Netz gespeicherten Dateien kopiert. Die Maßnahme
erfolgte ohne Kenntnis der Betroffenen.[...]“
“[...]Für die Überprüfung wur-
den der Network Deutschland GmbH folgende personenbezogene Daten überge-
ben: Name, Personalnummer, Anschrift, Telefonnummer, Name des Ehepartners
(die Daten über die Partner stammen aus einer Datei für verbilligte Fahrkarten)[...]“
“[...]Der Betriebsrat wurde in keinem der Fälle der Zusammenarbeit mit der Network
Deutschland GmbH beteiligt. Zur Begründung wurde vorgetragen, man habe
Zweifel an der Zuverlässigkeit bzw. Diskretion des (zu geschwätzigen) Betriebs-
rats.[...]“
Mehdorn in seinem Brief 1:
“[...]Für die Zukunft greife ich gerne die Anregung der Gewerkschaften auf, in einem intensiven Dialog mit den Beschäftigten verbindliche und transparente Regelungen zu vereinbaren.[...]“
Man darf gespannt auf weitere Reaktionen der Bahn AG sein. Die Unternehmensführung hat hier ganz klar versagt und gezeigt wie man mit solchen Themen nicht umgehen sollte.
1:Quelle: http://www.sueddeutsche.de/wirtschaft/393/457055/text/
2: Quelle: http://netzpolitik.org/wp-upload/datenschutz_bei_der_bahn.pdf
Feb 03 at 22:46
[...] Bahn macht sich gerade beliebt und die Kirche will auch etwas vom Kuchen aber irgendwie ist das in den letzten Tagen ein wenig [...]
Feb 04 at 00:39
[...] aufgegriffen haben seitdem unter anderem dhaunsch, Off the Record, ein taz-Blog, mari*us.zierold, Christian Rieger, das Upload-Magazin und – ach – eigentlich alle.
Beckedahls Hilferuf auf Twitter verbreitete [...]
Feb 07 at 19:59
Vorwort an die Freischalter: Ich bin mir nicht sicher, ob mein Kommentar an dieser Stelle richtig ist. Aber ich bin so empört über das was sich Bahn und Network Deutschland leisten, dass es einfach raus muss. Ich habe zu dem Protokoll noch eine Menge mehr zu sagen. Ich werde das in weiteren Kommentaren aufarbeiten. Ich hoffe Ihr seid nicht sauer, wenn der Kommentar an dieser Stelle nicht so richtig ist. Ihr könnt ihn gern auch an eine andere passendere Stelle verschieben. Da würde ich dann auch meine weiteren Bemerkungen zum Protokoll einstellen wollen. Ihr müsstet mir dann nur sagen wo. Jetzt aber zum Thema:
Der Auszug des Gesprächsprotokolls, der dankenswerter Weise veröffentlicht wurde, zeigt mehr als deutlich: Hier wird mit krimineller Energie der Datenschutz ausgehebelt. Die Fragen, die der Berliner Datenschutzbeauftragte gestellt hat, kratzen ja erst an der Oberfläche. Es gibt zahllose rechtliche Fragen, die geklärt werden müssen. Insofern ist es begrüßenswert, dass jetzt seitens eines Mitarbeiters der Bahn AG Strafanzeige gestellt worden ist. Ich erlaube mir auf einige immanente Datenschutzprobleme hinzuweisen.
1.) Bei der Beauftragung der Network Deutschland wurde wahrscheinlich bewusst nicht von der Möglichkeit der Auftragsdatenverarbeitung Gebrauch gemacht. Dies hat zur Folge, dass die Network Deutschland nach der Übermittlung der Daten selber verantwortliche Stelle geworden ist. Sie hat, ganz offensichtlich die Daten an weitere Dritte übermittelt. Es ist davon auszugehen, dass auf diese Weise die Daten auch in Länder mit niedrigem oder gar keinem Datenschutzniveau gelangt sind. Es ist dringend und zwingend zu klären, welche Wege die Daten nach der Übermittlung durch die Bahn AG zur Network Deutschland genommen haben. Diese Frage wird im Protokoll überhaupt nicht angesprochen. Wichtig ist also auch zu erfahren, ob die Daten gelöscht wurden. Dabei kann man sich nicht einfach auf die Aussage der Mitarbeiter der Network Deutschland verlassen.
2.)Bei diesen handelt es sich nämlich ganz offensichtlich um eine kriminelle Vereinigung. Diese zugegebener Massen deutliche Aussage ist gerechtfertigt. Bei einem dem Datenschutzgesetz korrekten Verfahren hätte die Bahn AG nämlich allenfalls einige Datensätze übermitteln dürfen und dem entsprechend die Network Deutschland auch nur einzelne Datensäte, wenn überhaupt, erheben dürfen.
Zum Übermittlungstatbestand
Es ist nämlich wie folgt: Die Bahn AG muss, bevor Sie Daten übermittelt, prüfen, ob sie Daten übermitteln darf. Diese Prüfung, die zum Kernbereich der Aufgaben eines betrieblichen Datenschutzbeauftragten gehört, ist eingestandener Massen seitens der Bahn AG unterblieben. die lapidare Aussage, bei der Revision sei eine ausreichende Sensibilität mit dem Umgang personenbezogener Daten ist angesichts der Tatsachen eine glatte Lüge oder wie man politisch korrekt glatt gebügelt auch sagen würde: Eine Schutzbehauptung. Angeblich soll die Rechtsgrundlage der Übermittlung § 28 Abs.1 Nr.2 BDSG gewesen sein. Danach ist die Übermittlung zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.
Es ist mit unerklärlich, wieso offensichtlich auch die Aufsichtsbehörde diese Norm als Rechtfertigung für die Übermittlung überhaupt in Betracht zieht. Jedenfalls wird die Berufung auf die Norm nicht hinreichend problematisiert. Es muss aber mit Fug und Recht bezweifelt werden, ob die Übermittlung zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich war. Die Frage der Aufsichtsbehörde, ob auch eine anonyme Übermittlung möglich gewesen wäre ist läppisch. Auch wenn das Tatbestandsmerkmal “Übermittlung zur Wahrung berechtigter Interessen der verantwortlichen Stelle”
weit auszulegen ist, muss vorliegend bezweifelt werden, ob allein schon dieses Tatbestandsmerkmal in jedem Einzelfall der Übermittlung erfüllt gewesen sein dürfte. Das soll die Bahn doch erst einmal darlegen! Aber, und dies macht die juristische Einordnung der Übermittlung der Mitarbeiterdaten der Bahn AG an die Network Deutschland als schlicht rechtswidrig relativ einfach, rechtfertigt ja das Vorliegen eines berechtigten Interesses allein nicht schon die Übermittlung. Vielmehr müssen die schutzwürdigen Interessen der Betroffen, und zwar in jedem Einzelfall, abgewogen werden mit den berechtigten Interessen der verantwortlichen Stelle. Nur wenn diese Abwägung ergibt, dass die berechtigten Interessen der verantwortlichen Stelle die schutzwürdigen Interessen der Betroffen überwiegen, ist die Übermittlung zulässig. Dass eine solche zwingend vorgesehen Abwägung statt gefunden hat, wird nicht einmal behauptet. Insoweit dürfte also die Übermittlung der Mitarbeiterdaten der Bahn AG an sich schon rechtwidrig sein.
Es geht hier aber erst einmal um die wahrscheinlich kriminelle Vereinigung die unter dem Namen Network Deutschland ihr anrüchiges Geschäft betreibt.
Zur Erhebung von Personaldaten der Bahn AG durch die
Network Deutschland
Was seitens der Bahn AG sich als Übermittlung darstellt, ist nämlich seitens der Network Deutschland eine Datenerhebung. Die Network Deutschland muss prüfen, ob sie die Daten erheben darf. Von dieser Verpflichtung kommt sie nur frei, wenn und soweit sie als Auftragsdatenverarbeiter tätig wird. So soll sie aber gerade nicht tätig geworden sein. Sie wurde für die Drecksarbeit speichernde Stelle. Das kennen wir in anderen Politik/Kriegsfällen ja schon zur Genüge: Die verbotenen Verhörmethoden werden von privaten
Sicherheitsfirmen durchgeführt, damit der Schein des Rechts in staatlichen Stellen gewahrt bleibt. So wurde hier agiert. Alles andere ist eine bloße Beschönigung die eben auch die Tatsache verdeckt, dass dem einen (Mehdorn, pars pro toto)der Rechtsstaat mit seinen Regularien scheissegal ist und der Network Deutschland welch gefährlicher hochtrabender an die Stasi erinnernder Name, die Instrumente bereithält, rechtstaatliche Verfahren außer Kraft zu setzen.
Die Network Deutschland musste also prüfen, ob sie zur Erhebung berechtigt war. Eine simple Prüfung hatte ergeben, dass die Übermittlung durch die Bahn AG rechtswidrig gewesen wäre. Dazu aber waren die gewieften Mathematiker nicht in der Lage. Oh wie schön! Wir können uns, einmal zu rechtswidrigem Tun entschlossen, doch den Rechtsstaat zu Recht basteln! Wir müssen die Unternehmensgrösse nur klein genug halten, dann brauchen wir auch keinen Datenschutzbeauftragten, der die Rechtmäßigkeit der Erhebung hätte prüfen müssen. Schon bei der Drecksarbeit für die Telekom hat dieses Unternehmen ja bewiesen, dass ihm Recht und Gesetz egal sind.
Aber es bleibt an Markt. Es steht zu befürchten, dass die Dienste dieses Unternehmens noch von ganz anderen Stellen in Anspruch genommen wurde oder wird oder werden wird. Der Bundestrojaner kann ja vielleicht auch fremd vergeben werden. Das würde auch den Namen erklären.
Jedenfalls fällt doch auf, dass bei der DTAG der Bund noch größter Einzelaktionär ist und bei der Bahn AG der Eigentümer. Insoweit trifft ihn eben auch Verantwortung für das Führungspersonal. Vielleicht hat ja der Genosse Putin dem Exkanzler Schröder einen dezenten Hinweis auf dieses leistungsfähige Unternehmen gegeben. Und der hat den Tipp an seinen Protegé Mehdorn brühwarm weitergegeben. Und die Bahngewerkschaften? Die geben sich mit einer Entschuldigung Herrn Mehdorns zufrieden.
Es ist alles traurig. Aber darf man resignieren? Nein! Was kann man tun? Es gibt den schwierigen Weg den wir alle gehen sollten. Soweit jemand Mitarbeiter der Bahn AG ist, sollte er Auskunft über die zu seiner Person gespeicherten Daten von der Network Deutschland verlangen. Dies könnten auch die Mitarbeiter der DTAG oder die Journalisten tun.
Unter 7. des Protokolls ist die Aussage vermerkt, das Fahrgäste nicht überprüft worden seien. Da die Bereitschaft an der Aufklärung von Skandalen seitens der Täter, wie die Erfahrung lehrt, begrenzt ist, muss auch dieser Aussage mit großer Skepsis begegnet werden. Daher sollten alle Inhaber einer Bahncard oder sonstige Kunden der Bahn, die ihr möglicherweise persönlich bekannt sind, eine offizielle Anfrage über die zu ihrer Person gespeicherten Daten an die Bahn AG richten. Auskunft sollte förmlich nach § 34 BDSG gestellt werden, um auch die Stellen zu erfahren, an die eventuell Daten übermittelt wurden.
Noch ein Wort zum Abschluss: Ich halte die Aufsichtsbehörde mit diesem Fall für überfordert. Es hätte von Anfang an eine Taskforce gebildet werden müssen. Insbesondere die Network Deutschland muss durchleuchtet werden. Aber bis staatliche Stellen aktiv werden, werden die “cleveren Mathematiker” ihren Laden clean manipuliert haben. Am Ende der DDR haben die Bürger die Stasibüros besetzt. Vielleicht ist das auch hier ein aus der Not heraus geborenes Mittel. Das wäre Mal eine Gewerkschaftsaktion.
Pankrätz
Sep 01 at 18:45
[...] das erinnert ein wenig an den Suizidversuch der deutschen Bahn, letzte kam jedoch recht schnell zur Vernunft. Share and [...]