Drucksache 17/5200
– 134 –
– Problematisch ist auch die vorgesehene sehr weitgehende Zulassung der Verwendung von Beschäftigtendaten zur Verhaltens- und Leistungskontrolle. So
wurde in § 32i Absatz 3 BDSG-E, der vornehmlich
E-Mail-Daten betrifft, eine entsprechende Formulierung aufgenommen. Auch dies halte ich für zu weitgehend.
– Die vorgesehene Erlaubnis zur offenen Videoüberwachung ist ebenfalls viel zu weitgehend und würde gegenüber dem rechtlichen Status Quo eher zu einer Verschlechterung führen. So soll die Videoüberwachung
sogar zur „Qualitätskontrolle“ zulässig sein, was immer man darunter verstehen mag.
– Es fehlt eine klare Regelung für Fälle, in denen die
„gemischte“ dienstliche und private Nutzung von Telekommunikationsdiensten erlaubt ist. Eine solche Regelung könnte auch im Telekommunikationsgesetz
verankert werden, allerdings mit dem Nachteil, dass
die Regelungen zur Nutzung der dienstlichen E-Mail
in diesem Fall in unterschiedlichen Gesetzen geregelt
wären.
– Die Regelung, wonach ein Beschäftigter zunächst den
Arbeitgeber über Datenschutzverstöße informieren
muss, bevor er sich an die Datenschutzaufsichtsbehörde wendet (§ 32l Absatz 4 BDSG-E), beschneidet
die Rechte des Beschäftigten unverhältnismäßig.
Der Entwurf befindet sich derzeit in der parlamentarischen Diskussion, in der ich mich weiterhin dafür einsetzen werde, dass der Schutz personenbezogener Daten von
Beschäftigten in einer Weise berücksichtigt wird, die den
technischen Entwicklungen und den aktuellen Veränderungen in der Arbeitswelt angemessen Rechnung trägt
(vgl. zuletzt 22. TB Nr. 11.1).
Die Hoffnung bleibt, dass wir nach Abschluss des Gesetzgebungsverfahrens zum Beschäftigtendatenschutz
noch in dieser Legislaturperiode feststellen können: „Was
lange gewährt hat, ist endlich gut.“
12.2
Datenschutzkontrolle bei der Deutschen
Bahn AG – ein Jahrzehnt Arbeitnehmerüberwachung
Der von der Deutschen Bahn AG in den Jahren 2002 bis
2005 durchgeführte heimliche Datenabgleich bei verdächtigen Mitarbeiterinnen und Mitarbeitern („Datenscreening-Verfahren“) führte zu der Verhängung eines
Rekordbußgeldes durch den Berliner Beauftragten für
Datenschutz und Informationsfreiheit. Aufgrund meiner
gesetzlich eingeschränkten Sanktionsgewalt konnte ich
lediglich eine förmliche Beanstandung aussprechen.
Die Deutsche Bahn AG ist zwar nach der Privatisierung
eine nicht-öffentliche Stelle, für deren datenschutzrechtliche Beratung und Kontrolle grundsätzlich der Berliner
Beauftragte für Datenschutz und Informationsfreiheit zuständig ist. Soweit die Deutsche Bahn AG allerdings die
von der Bundesbahn übernommenen Beamten in ihrem
Geschäftsbereich einsetzt, ist sie weiterhin öffentliche
BfDI 23. Tätigkeitsbericht 2009-2010
Deutscher Bundestag – 17. Wahlperiode
Stelle des Bundes und unterliegt meiner datenschutzrechtlichen Zuständigkeit.
Deshalb habe ich zusammen mit dem Berliner Beauftragten für Datenschutz und Informationsfreiheit eine gemeinsame datenschutzrechtliche Kontrolle bei der Deutschen
Bahn AG durchgeführt. Schwerpunkt war die unrechtmäßige Durchführung und Speicherung der Ergebnisse anlassloser heimlicher Datenabgleichverfahren („Datenscreening-Verfahren“) in den Jahren 2002 bis 2005, bei
denen Daten von einer Vielzahl von Beschäftigten und deren Angehörigen mit Daten von Lieferanten abgeglichen
wurden. In einzelnen Trefferfällen wurden Mitarbeiterinnen und Mitarbeiter von der Deutschen Bahn AG oder in
ihrem Auftrag durch Detekteien vollständig durchleuchtet.
Dazu wurden deren Festplatten und die im Netz gespeicherten Dateien kopiert, Büros durchsucht, die Lebensgewohnheiten durch ein privates Ermittlungsbüro überprüft,
private Geld- und Kontobewegungen aufgelistet und die
Reisetätigkeit und Familienverhältnisse festgehalten.
Selbst nachdem sich der Korruptionsverdacht nicht bestätigt hatte, blieben die Ermittlungsberichte und die darin
enthaltenen personenbezogenen Daten jahrelang gespeichert. Weiterhin nahm die Deutsche Bahn AG eine systematische Überwachung der E-Mails von Beschäftigten
und deren Kontakten vor, um beispielsweise bei kritischen
Presseberichten herauszufinden, ob und von wem unternehmensinterne Informationen weitergegeben worden waren. Insbesondere Kontakte zu Journalistinnen und Journalisten, zu Beschäftigten von Bundestagsabgeordneten und
zu bekannten Kritikern der Deutschen Bahn AG wurden
überwacht.
In dem gegen die Deutsche Bahn AG erlassenen Bußgeldbescheid setzte der Berliner Beauftragte für Datenschutz
und Informationsfreiheit ein Bußgeld in der Rekordhöhe
von 1,123 Mio. Euro fest. Bei dem diesem Bußgeldbescheid zugrunde liegenden Kontrollbesuch habe ich festgestellt, dass von den Überwachungsmaßnahmen auch beamtete Mitarbeiterinnen und Mitarbeiter der Deutschen
Bahn AG betroffen waren. Diese datenschutzrechtlichen
Verstöße konnte ich allerdings nur förmlich nach § 25
BDSG i. V. m. § 90 Bundesbeamtengesetz alter Fassung
(BBG) beanstanden, weil ich im Gegensatz zu den Datenschutzaufsichtsbehörden der Länder rechtlich keine Möglichkeit habe, Bußgelder zu verhängen (vgl. auch Nr. 2.1).
In einer Folgekontrolle im Jahr 2010 habe ich wiederum
Verstöße gegen die §§ 90 ff. BBG a. F. festgestellt. Diese
betrafen insbesondere die unzulässige Erhebung, Verarbeitung und Nutzung der Personalaktendaten beamteter
Beschäftigter innerhalb des Konzerns. Die Übermittlung
der Daten – darunter auch Gesundheitsdaten – erfolgte
zum Teil ohne Rechtsgrundlage. Zudem waren die gesetzlichen Löschungsfristen nicht eingehalten worden. Da sich
diese Vorfälle auf einen Zeitraum vor meinem ersten Kontrollbesuch im Jahr 2009 bezogen und ich den Umgang der
Deutschen Bahn AG mit Personalaktendaten ihrer beamteten Mitarbeiterinnen und Mitarbeiter bereits im damaligen Kontrollbericht beanstandet hatte, habe ich unter
Berücksichtigung der Stellungnahme der Deutschen Bahn
AG und der ergriffenen Maßnahmen zur Verbesserung des