bahn datenklau spionage rasterfahndung daten
bahn datenklau spionage rasterfahndung daten bahn datenklau spionage rasterfahndung daten
Übersicht Letzte Beiträge SEO Shop DL Templates DL   SEO Anbieter Presse Impressum

 

Spionage Affäre DB Bahn - Mehdorn - Abmahnung und verlorene Dokumente !

Febuar , 06, 2009

Gespräch mit der Deutschen Bahn AG über die Geschäftsbeziehungen des 
Unternehmens mit der Network Deutschland GmbH am 28. Oktober 2008

 


Teilnehmer:
Herr Dr. Bähr - Leiter Konzernrevision
Herr Wabnitz - Mitarbeiter Revision
Herr Dr. Sack - Konzerndatenschutzbeauftragter
Herr Holzapfel - BlnBDI
Frau Saager - BlnBDI
Herr Hinc - Referendar beim BlnBDI

1. Hinweis nach § 38 Abs. 3 Satz 2 und 3 Bundesdatenschutzgesetz (BDSG)
Die Vertreter der Deutschen Bahn AG wurden nach § 38 Abs. 3 Satz 3 BDSG über das Auskunftsverweigerungsrecht gegenüber der Aufsichtsbehörde nach § 38 BDSG informiert. Danach kann der Auskunftspflichtige die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in § 383 Abs. 1 Nr. 1 bis 3 Zivilprozessordnung (ZPO) bezeichneten Angehörigen der Gefahr strafrechtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde.

2. Verhältnis Bekämpfung von Wirtschaftskriminalität und Korruption zum Datenschutz
In ihrer Eingangserklärung stellte die Aufsichtsbehörde nicht in Zweifel, dass die Deutsche Bahn AG wie alle anderen verantwortlichen Stellen auch ein berechtigtes Interesse daran hat, Wirtschaftskriminalität und Korruption zu bekämpfen. Dies ändert aber nichts daran, dass die Maßnahmen zur Verhinderung und Aufdeckung von Kriminalität datenschutzkonform sein, also die schutzwürdigen Interessen der Betroffenen in ausreichender Form berücksichtigen müssen.

3. Arbeitsweise der Network Deutschland GmbH (allgemein)
Die Network Deutschland GmbH ist nach Aussage der Vertreter der Deutschen Bahn AG ein kleines Unternehmen mit vier bis sechs Mitarbeitern, die von der Ausbildung her Mathematiker oder Informatiker seien. Das Unternehmen sei für die Deutsche Bahn AG insbesondere aufgrund ihrer internationalen Kontakte interessant gewesen, so habe die Muttergesellschaft der Network Deutschland GmbH ihren Sitz in Großbritannien, hierdurch sei das verhältnismäßig kleine Unternehmen auch in der Lage gewesen, internationale Ermittlungen durchzuführen. Die Network Deutschland GmbH habe je nach Auftrag weitere Stellen für Unterstützungsdienste eingeschaltet. Hierbei könne es sich um Arbeiten von Detektiven, aber auch von Spezialisten wie Sprachwissenschaftler usw. gehandelt haben.

Die Network Deutschland GmbH wurde von der Deutschen Bahn AG für die verschiedensten Fälle eingeschaltet, ihr Leistungsspektrum war sehr groß.

4. Wie kam der Geschäftskontakt zur Network Deutschland GmbH 1998 zustande?
Der Kontakt zur Network Deutschland GmbH kam im Rahmen eines Seminars zustande, in welchem Herr Großmann, der Vorgänger von Herrn Dr. Bähr, Herrn Krause von der Network Deutschland GmbH kennen lernte. Hauptgrund für den Beginn der Zusammenarbeit waren die internationalen Kontakte und Möglichkeiten der Network Deutschland GmbH (s. o.). Bei dem ersten Auftrag ging es um die Prüfung des Verfahrens bei der Vergabe eines Neuauftrags für den Bau eines Schiffes. Hier bestand der Verdacht auf Manipulationen.

5. Auftragserteilung
Die Aufträge wurden ausschließlich mündlich erteilt, entsprechend der Praxis bei der Deutschen Bahn AG gibt es auch kein kaufmännisches Bestätigungsschreiben. Nach Auffassung der Vertreter der DB AG seien auch keine schriftlichen Aufträge erforderlich gewesen, da die Aufträge nicht ausgeschrieben wurden. Die Vertreter der Aufsichtsbehörde waren überrascht darüber, dass die Deutsche Bahn AG Aufträge im Wert von über 800.000 Euro nur mündlich erteilt. Die Vertreter der Deutschen Bahn AG haben auch dann keine schriftlichen Aufzeichnungen gefertigt, wenn vor einem Großprojekt ein Workshop stattgefunden hatte. Aufzeichnungen wurden dann nur von den Vertretern der Network Deutschland GmbH gemacht. Bei den Großprojekten und bei kleineren Projekten, die zu Verdachtsfällen führten, wurden von der Network Deutschland GmbH Gutachten erstellt. Diese enthielten eine Aufgabenbeschreibung und die Zielsetzung des Auftrages. Bei kleineren Projekten, die ergebnislos blieben oder zu einer Entlastung des Betroffenen führten, wurde kein schriftlicher Bericht erstellt. Dies sei nach Aussage der Vertreter der Deutschen Bahn AG aus Fürsorgegesichtspunkten gegenüber den Betroffenen erfolgt, eine Aussage, die von der Aufsichtsbehörde in Zweifel gezogen wird. Für einen Betroffenen kann es auch hilfreich sein, wenn bei einem unbegründeten Verdacht seine Unschuld schriftlich dokumentiert wird.

6. Datenübermittlung an die Network Deutschland GmbH bei Auftragserteilung
Bei der Auftragserteilung oder auch im Laufe der Auftragsbearbeitung wurden personenbezogene Daten von der Deutschen Bahn AG an die Network Deutschland GmbH übermittelt. Der Umfang der übermittelten Datensätze richtete sich nach den jeweiligen Aufträgen. Hierzu führte Herr Dr. Bähr aus, die Datenübermittlung sei je nach Verdachtsmomenten und in angemessener Menge erfolgt, bei der Revision sei eine ausreichende Sensibilität im Umgang mit Daten vorhanden. Von der Möglichkeit, in geeigneten Fällen Daten zu anonymisieren, hat die Revision allerdings keinen Gebrauch gemacht.

7. Wie viele und welche Personen waren von den jeweiligen Ermittlungen betroffen?
Bei den Großprojekten waren teilweise mehr als Tausend Personen, insbesondere Mitarbeiter betroffen, bei den Kleinprojekten insgesamt ca. 500. Genauere Zahlen gebe es nach Mitteilung der Vertreter der DB AG nicht. Es wurden Mitarbeiter, Ehepartner von Mitarbeitern, Lieferanten und sonstige Vertragspartner überprüft, nicht jedoch Fahrgäste.

8. Konkrete Verdachtsmomente
Die Network Deutschland GmbH wurde eingeschaltet, wenn ein konkreter Verdacht für eine Tat vorlag. Die Überprüfung betraf dann aber auch Personen, gegen die kein konkreter Verdacht vorlag. Verdachtsmomente waren somit tat- und nicht täterbezogene.

9. Einzelne Berichte
a) Projekt Rubens/TOPRO
Verdacht: Vorteilsannahme
Überprüft wurden vier Mitarbeiterinnen und Mitarbeiter. Dazu wurden die Festplatten der PCs und deren im Netz gespeicherten Dateien kopiert. Die Maßnahme erfolgte ohne Kenntnis der Betroffenen. Zusätzlich wurden deren Büros nach entsprechendem Beweismaterial durchsucht (Seite 2).

Rechercheergebnis waren u. a.
- kein auffallender Lebensstil,
- Vielzahl von Konten sowie
- Ermittlungen innerhalb des dienstlichen Bereichs der Betroffenen (Zitat von Äußerungen wie z. B.: „Setzt sich für Projekt X ein“ - Seite 40). Untersucht wurden ferner private Geld- und Kontenbewegungen (Seite 3 8) sowie Reisetätigkeiten und Familienverhältnisse (ebenso Seite 3 8) und Analyse der im Internet besuchten Seiten der Überprüften (Seite 34).

Projekt Babylon
Verdacht auf Lieferantenaffinität
Zu diesem Zweck wurden Adressvergleiche durchgeführt. Mitarbeiterdaten (Anschriften, Name und Personalnummer, Kontonummer und Kreditinstitut) wurden auf Übereinstimmungen überprüft. Die Mitarbeiterdaten wurden nach sogenannten Bewertungsgraden aufgeführt (Anlage 1 zu dem Projekt).

Bewertungsgrad 1 - 220 Mitarbeiter
Bewertungsgrad 2 - 96
Bewertungsgrad 3 - 94
Bewertungsgrad 4 - 249
Bewertungsgrad 5 - 83

Mit Kontonummer und Kreditinstitut wurden 125 Mitarbeiterdaten überprüft. Im Berichtsauftrag findet sich der Passus: „Nach Abschluss dieses Teils wurde der Auftrag dahingehend erweitert, neben Adressen auch die Bank- und Telefonverbindungen in die Untersuchungen einzubeziehen“ (Seite 1)

Nach Mitteilung von Herrn Dr. Bähr wurden jedoch keine Telefonverbindungen überprüft.

c) Projekt Theodor Heuss / Fährschiff
Verdacht: Unregelmäßigkeiten bei Vergabe und Ausschreibung
Es wurden Vertragsdaten wie Datum und Tageszeit dokumentiert.

d) Projekt Thymian
Verdacht auf Vorteilsannahme
Übermittlung der Deutschen Bahn AG an die Network Deutschland GmbH von folgenden Daten: Name, Funktion und Anschrift sowie bei zwei Mitarbeitern die Gehaltsgruppe. Insgesamt wurden vier Mitarbeiterinnen und Mitarbeiter überprüft.

Die Berichte von Network geben Auskunft zu:
- Familienstand,
- finanzielle Verhältnisse, insbesondere zu Immobilien, Fahrzeugen
- beruflichen Werdegang sowie
- über Ermittlungen zum Ehegatten (Seite 2, 3 und 5).

e) Projekt Twister
Hier wurden offensichtlich keine personenbezogenen Daten bzw. Mitarbeiterdaten verwendet.

f) Projekt Uhu
Verdacht: Urkundsdelikt, falsche Verdächtigung, üble Nachrede
Ein Mitarbeiter hatte unter einem falschen Namen Herrn Mehdorn eines Steuerdelikts bezichtigt und sich in einem Schreiben an mehrere Finanzbehörden gewandt. Dabei offenbarte er Informationen, zu denen etwa 40 Mitarbeiter Zugang hatten. Es wurden der Name, der Vorname und die Personalnummer der Betroffenen übermittelt, außerdem wurden zahlreiche dienstliche E-Mails der Betroffenen ohne ihr Wissen an die Network Deutschland GmbH 
übermittelt. Diese Schreiben enthielten auch personenbezogene Daten Dritter, die Revision hat auf eine Anonymisierung dieser Daten verzichtet.

Die Network Deutschland GmbH ließ ein Schriftstilgutachten durchführen, dieses führte zu dem Ergebnis, dass ein bestimmter Mitarbeiter mit großer Wahrscheinlichkeit die Strafanzeige verfasst hatte. Allerdings wurde das Prüfergebnis von den Arbeitsgerichten nicht anerkannt. Die Kündigung wurde von den Arbeitsgerichten als unwirksam angesehen. Alle überprüften Mitarbeiter wurden sprachlich bewertet, einem Mitarbeiter wurde ein niedriges Sprachniveau attestiert, er würde wohl nicht besonders gerne schreiben. Da die Revision wahllos E-Mails der Betroffenen an die Network Deutschland GmbH übermittelt hat, enthielten die Schreiben auch Informationen wie die Kontonummer der Ehefrau, Schreiben an den Betriebsrat, Besprechung beim Betriebsrat etc..

g) Projekt Altmühl
Hier wurden ehemalige Mitarbeiter kontrolliert, die zu einem ehemaligen Tochterunternehmen wechselten, nachdem sie vorher für den Verkauf dieses Unternehmens zuständig waren.

h) Projekt Eichhörnchen
Zielgruppe waren die Top-Tausend-Führungskräfte der Deutschen Bahn AG und ihre Ehepartner. Geprüft wurden 774 Mitarbeiter und 500 Ehepartner. Ziel der Überprüfung war es, dass wirtschaftliche Engagement dieses Personenkreises außerhalb der Deutschen Bahn Gruppe zu untersuchen. Für die Überprüfung wurden der Network Deutschland GmbH folgende personenbezogene Daten übergeben: Name, Personalnummer, Anschrift, Telefonnummer, Name des Ehepartners (die Daten über die Partner stammen aus einer Datei für verbilligte Fahrkarten). Die Network Deutschland GmbH recherchierte in Handelsregistern, Firmendatenbanken etc.. Im Ergebnis erhielt die Deutsche Bahn AG eine tabellarische Zusammenstellung folgender Daten: Name, Vorname, Art der Zuordnung, Funktion, Personalnummer. Außerdem erhielt die Deutsche Bahn AG detaillierte Angaben zu den erzielten Treffern, also Position, Firmensitz, Gründungsdatum, Stammkapital, Jahresumsatz, Bonität, Mitarbeiterzahl, bei Gesellschaften auch Name und Vorname der Gesellschafter sowie Zweck und Ausrichtung des Unternehmens.

i) Projekt Traviata
Ziel war die Feststellung des Verbleibs aller Triebfahrzeuge aus dem Fehlbestand. Untersucht wurden 26 Excel- und Word-Dateien, u. a. Listen von Recyclingfirmen mit Adressen und Ansprechpartnerdaten, Schreiben an Recyclingunternehmen, Schreiben mit der Liste gültiger Lieferanschriften von Zerlegfirmen, Liste eines Mitarbeiters, der u. a. mit dem Verkauf von Fahrzeugen beschäftigt war. Als Ergebnis erhielt die Deutsche Bahn AG einen Bericht über die Orte, in denen die meisten Triebfahrzeuge verschwunden sind.

10. Telefonverbindung, Bank- und Steuerdaten
Die Deutsche Bahn AG legte Wert auf die Feststellung, dass Telefon-, Bank- und Steuerdaten anders als im Telekom-Fall nicht ausgewertet worden seien. Allerdings räumten die Vertreter der Deutschen Bahn AG auf Nachfrage ein, dass sie bezüglich der Umsetzung der Aufträge keine Vorgaben gemacht haben, entscheidend war nur das Ergebnis. Insofern kann die Deutsche Bahn AG zumindest nicht ausschließen, dass die Network Deutschland GmbH auch Telefonverbindungen, Bank- und Steuerdaten ausgewertet hat. So ist ihr auch nicht bekannt, ob und wenn ja in welchen Fällen Unteraufträge verteilt wurden, hierzu war die Network Deutschland GmbH jedenfalls unbeschränkt berechtigt.

11. Verfahrensverzeichnis
Die Zusammenarbeit mit der Network Deutschland GmbH findet keinen Niederschlag in dem Verfahrensverzeichnis nach § 4 g i. V. m. § 4 e BDSG.

12. Informationen an den betrieblichen Datenschutzbeauftragten
Der betriebliche Datenschutzbeauftragte wurde über die Zusammenarbeit mit der Network Deutschland GmbH und die Datenflüsse zwischen der Deutschen Bahn AG und der Network Deutschland GmbH nicht informiert. Es wurde auch nicht überprüft, ob eine Vorabkontrolle nach § 4 d Abs. 5 BDSG erforderlich ist.

13. Beteiligung des Betriebsrats
Der Betriebsrat wurde in keinem der Fälle der Zusammenarbeit mit der Network Deutschland GmbH beteiligt. Zur Begründung wurde vorgetragen, man habe Zweifel an der Zuverlässigkeit bzw. Diskretion des (zu geschwätzigen) Betriebsrats.

14. Rechtsgrundlagen
Die Aufsichtsbehörde geht davon aus, dass die Network Deutschland GmbH teils Datenerhebung, -verarbeitung und -nutzung für eigene Zwecke betrieb, teils eine geschäftsmäßige Datenerhebung und -speicherung zum Zwecke der Übermittlung (Detekteitätigkeit). Die Datenübermittlung an die Network Deutschland GmbH erfolgte nach Aussage von Herrn Dr. Sack nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG. Die Aufsichtsbehörde räumt ein, dass dies die einzige in Frage kommende Norm sei. Allerdings sei etwa kein berechtigtes Interesse der verantwortlichen Stelle an Datenübermittlungen anzunehmen, wenn die Daten auch anonym hätten übermittelt werden können. Bei den schutzwürdigen Interessen der Betroffenen sei auch zu berücksichtigen, dass das arbeitsrechtliche Schutzrecht die Einschaltung des Betriebsrats oder datenschutzrechtliche Schutzrechte wie die Vorabkontrolle des betrieblichen Datenschutzbeauftragten nicht umgesetzt wurden, auch habe die Deutsche Bahn AG personenbezogene Daten an eine Stelle übermittelt, deren Arbeitsweise ihr unbekannt war.

15. Umsetzung des § 33 BDSG bei der Network Deutschland GmbH und/oder der Deutschen Bahn AG
Weder die Network Deutschland GmbH noch die Deutsche Bahn AG haben nach Abschluss des Verfahrens die Betroffenen, deren Täterschaft sich nicht bestätigt hat, nach § 33 BDSG benachrichtigt. Dies habe man laut Mitteilung der Vertreter der DB AG für nicht erforderlich gehalten, da die zu Unrecht Verdächtigten anschließend nicht benachteiligt worden wären.

16. Zusammenarbeit mit Creditreform
Die Deutsche Bahn AG arbeitet im Bedarfsfall mit der Creditreform zusammen. Die Gesprächspartner waren sich darin einig, dass Datenflüsse zwischen der Deutschen Bahn AG und der Creditreform nur dann datenschutzrelevant sind, wenn die Crefo-Auskunft Informationen über natürliche Personen enthält. Die Übermittlung erfolgt im automatisierten Abrufverfahren, eine Aufzeichnung des berechtigten Interesses, wie es § 29 Abs. 2 letzter Satz BDSG fordert, wird nicht durchgeführt. Man könne allerdings anhand der Aktenlage feststellen, aus welchem Grunde die Abfrage bei Creditreform erfolgte. Zum berechtigten Interesse führte Herr Dr. Bähr aus, dass die Deutsche Bahn AG für die Auskunft bezahlen würde, also könne man davon ausgehen, dass ein berechtigtes Interesse vorhanden sei.

17. Bekämpfung der Korruption und Wirtschaftskriminalität heute
Die Compliance-Abteilung hat die Aufgabe der Bekämpfung der Wirtschaftskriminalität und der Korruption übernommen. Die Aufsichtsbehörde bat darum, ihr zu diesem Bereich das Verfahrensverzeichnis zuzuleiten.

BAHN - AFFÄRE - DATENKLAU - SPIONAGE - DATENMISSBRAUCH
Quick Links

VEYTON 4.0 - Funktionsumfang
xt-Commerce Chronologie der Klage
Bildung krimineller Vereinigungen
Hilfe! Datenwachschutz.de
Bundestrojaner selber Testen!
Gambio GX Security Fix 24.11.2008
Firefox 3 -  schneller Surfen
GPL Urteil 2004 - Störer der GPL

 
Andere Empfehlungen

http://www.ecombase.de/Bilder/Designnerd-3D-RSS-preview.jpg
   Gully RSS News : Ecomdev News

   Mein Name gehört mir ! 
   Marketing Zielgruppe 50+
    Gast durch Gottes Hand ?

Copyright (C) 2008 eComBASE Shop Software - Community  - bei Volker Bellendorf - 59077 Hamm - +49-2381-402621
SHOPcommuniy (R) ist eingetragene Wort + Bildmarke
Alle Texte & Bilder sind Eigentum der Betreiber der Webseite eCombase.de
Vervielfältigung - Verwendung auf eigenen Webseiten nicht ohne schriftliche Genehmigung