Datenschutz war der BVG egal
Bereichsleiterin der Verkehrsbetriebe mit Zugriff auf Daten von Arbeitnehmervertretern
Veraltete Systeme, praktisch nicht existente Sicherheitsvorkehrungen. Die Datenschutzbeauftragte stellt der BVG ein verheerendes Zeugnis aus. Betroffene erwägen eine Klage gegen das Landesunternehmen. Dicke Luft bei Arbeitnehmervertretern der Berliner Verkehrsbetriebe (BVG). Der Grund sind eklatante Verstöße gegen den Datenschutz. Eine angehende Bereichsleiterin hatte im Frühjahr für zwei Wochen Zugriff auf sämtliche auf einem Laufwerk des Landesunternehmens hinterlegte Unterlagen des Personalrats, der Schwerbehindertenvertretung und der Frauenbeauftragten. »Es wurde sogar mindestens ein Dokument ausgedruckt«, sagt ein betroffener Gewerkschafter von ver.di dem »neuen deutschland«. Der Informant will seinen Namen nicht in der Zeitung lesen. Herausgekommen sei der unberechtigte Zugriff auf sensible Daten dadurch, dass Gewerkschafter ein ausgedrucktes Dokument in einem Papierkorb gesehen haben wollen. Ver.di hat den Vorfall schließlich öffentlich gemacht. »Die unbefugte Einsichtnahme in vertrauliche Daten von Arbeitnehmervertretungen ist keine Bagatelle. Es ist ein Unding, dass anscheinend die Sicherheitsmechanismen nicht gegriffen haben oder umgangen wurden«, sagt der für die BVG zuständige ver.di-Sekretär Jeremy Arndt.
Der Betroffene findet nicht nur den Zugriff skandalös, er ist auch über den Umgang der betreffenden Person damit befremdet: »Die Frau ist Bereichsleiterin. Als Führungskraft hätte sie doch wissen müssen, dass sie keinen Zugriff auf das Dokument haben darf.« Der ganze Vorgang sei ihm nur durch den Dokumentenfund im Papierkorb bekannt geworden, berichtet das ver.di-Mitglied. Von Seiten der BVG-Führung habe ihn niemand unterrichtet.
»Bereits unmittelbar nachdem der Sachverhalt im Frühjahr bekannt wurde, hat der zuständige Fachvorstand alle nötigen internen Schritte zur lückenlosen Aufklärung eingeleitet«, heißt es in einer schriftlichen Stellungnahme der BVG.
Die Vorwürfe von ver.di veranlassten die Berliner Datenschutzbeauftragte Maja Smoltczyk zu einer Betriebsprüfung bei der BVG. »Es steht fest, dass die Führungskraft mindestens ein Dokument aus diesem Verzeichnis geöffnet, angesehen und ausgedruckt hat. Ob und inwieweit es zu weiteren unberechtigten Zugriffen auf die Daten gekommen ist, konnte nicht geklärt werden, da die BVG entgegen ihrer gesetzlichen Verpflichtung keine Lese- und Zugriffsprotokolle geführt hat«, heißt es in einer Mitteilung. Es handele sich bei dem Vorfall um kein bloßes Mitarbeiterversehen. »Vielmehr wurden erhebliche Mängel in der Datenschutzorganisation des Unternehmens aufgedeckt.« Letztlich gab es praktisch kaum entsprechende Vorkehrungen. Über Monate seien weder die Beschäftigtenvertretungen noch Datenschutzbeauftragte informiert worden, wird weiter bemängelt.
»Es gab zwar eine Entschuldigung durch die Bereichsleiterin. Aber bis heute habe ich keine schriftliche Bestätigung, dass alle unrechtmäßig erlangten Daten vernichtet worden sind«, berichtet der Betroffene. Er behält sich rechtliche Schritte vor.
Man arbeite »intensiv und mit höchster Priorität daran, mögliche Ursachen in unseren Prozessen zu identifizieren und umgehend sowie dauerhaft zu beheben«, erklärt die BVG. Ergänzend habe das Unternehmen eine namhafte Wirtschaftskanzlei damit beauftragt, »unabhängig die Sachverhalte zu prüfen und Handlungsempfehlungen zu erarbeiten«. Der BVG sei »in besonderem Maße an Transparenz und kooperativer Zusammenarbeit mit der Beauftragten für Datenschutz und Informationsfreiheit gelegen«.
»Mich hat der Vorgang leider nicht total überrascht«, sagt der betroffene Gewerkschafter. »In dem Bereich ist Einiges im Argen.« Auch Jens Wieseke vom Fahrgastverband IGEB hat den Eindruck, dass der BVG »manchmal grundsätzlich die Sensibilität für solche Themen fehlt«.
»Unternehmen sollte bewusst sein, dass sie sich bei solchen Verstößen künftig nicht mehr auf Fehler einzelner Mitarbeiter berufen können«, sagt Smoltczyk. Denn ab Mai 2018 können nach der dann wirksam werdenden Datenschutzgrundverordnung mangelhafte technisch-organisatorische Vorkehrungen mit hohen Geldbußen geahndet werden.«