bauffirreiter&collegen

Transkript

1 bauffirreiter&collegen Geierweg 20,72144Dusslingen Fon: Leipziger Str. 48, Berlin Fax: Rechtsanwälte Schneider / Schwegler Unter den Linden 12, 1O'l17 Berlin daeubler-gmelin@schneider-schwegler. de Düsseldorf/Berlin, den Benrather Schlossallee 101 D Düsseldorf Fon: Fax: kanzlei@baum-reiter. de Gerhart R. Baum (Bundesministera. D.) Dr. iur. Julius F. Reiter Olaf Methner Heiko Müller Björn Wieg Jürgen Kuck, LL.M. Ursula Weber Andreas Yoon Andrea Hirsch, LL.M. Alexandra Grofik Christian Drißen Zusammenfassender Kurzbericht Dem Auftrag des Aufsichtsrats der DB AG vom ls.februar 2009 entsprechend haben die Anwälte Baum und Coll. und Däubler-Gmelin und Kollegen als unabhängige Anwälte - die Arbeiten der KPMG AG Wirtschaftsprüfungsgesellschaft (KPMG) begleitet und - deren Methoden, Arbeitsweise und ermittelten Ergebnisse insbesondere unter dem Blickwinkelder Rechte und Interessen der Betroffenen geprüft und bewertet. t. Die KPMG stellt ihrem umfassenden Bericht ein,,management Summary" voraus, dessen Feststellungen zu den bekannten und neuen Sachverhalten und rechtlichen Bewertungen wir auch als Folge der engen Zusammenarbeit mit KPMG den Erkenntnissen und Einschäf zungen im Wesentlichen bekräftigen. KPMG empfiehlt vier,,wesentliche Maßnahmenpakete, die wir hier der Einfachheit halber im Wortlaut wiedergeben:

2 bauffirreiter&collegen Rec h tsa nwä lte Seite 2 von 10 t,,kutztristig: Revision der bestehenden Administrationsrechte. lnsgesamt sollte eine Revision der lt-sicherheit erfolgen, die z. B. Benutzerberechtigungskonzepte und die Zugriffsicherheit sensibler Daten umfasst.. Compliance und Datenschutz sind Vorstandsthemen. Hier sollte die Etablierung eines entsprechenden Vorstandsressorts Compliance und Datenschutz in Betracht gezogen werden.. Es ist die permanente Einrichtung eines Compliance Committees zu prüfen, das dann zum Teil mit externen Experten besetzt sein sollte. o Neben den strukturellen Maßnahmen zur Stärkung der Complianceinschließlich des Datenschutzes ist ein ganzheitliches Compliance-Konzept erforderlich, das einen Regelkreislauf aus Setzen/Revidieren von Verhaltensstandards, lnformation und Schulungen sowie Einhaltungs-prüfung/Monitoring umfasst." II. Wir haben unseren Bericht im Umfang von ca. 190 Seiten am dem Aufsichtsrat der DB AG übergeben. Er beruht auf dem Beschluss des Aufsichtsrats der DB AG vom , der uns als unabhängigen Anwälten die Begleitung, Prüfung und Bewertung der Ermittlungsarbeit, der Feststellungen und Ergebnisse unter besonderer Berücksichtigung der Rechte und Interessen der Betroffenen aufgetragen hat. Das führt uns zu o einer Akzentuierung und Erweiterung der von KPMG vorgelegten Feststellungen und Bewertungen in einigen Punkten und zu

3 bauffirreiter&collegen Seite 3 von 10 erweiterten Empfehlungen, die wir aus zusätzlichen Gesprächen und der vertieften Bewertungen der vorgefundenen Dokumente im Hinblick auf strafrechtlich, datenschutzrechtlich, arbeitsrechtlich und aktienrechtlich relevante Verstöße gewonnen haben. So stellen wir zusätzlich fest, dass die vorgefundenen, zu prüfenden und zu bewertenden Akten und Dokumente sich in einem beklagenswerten Zustand befunden haben und dass Hinweise auf eine Vervollständigung der Aktenlage seit dem Sommer 2008 nur in wenigen Einzelfällen ersichtlich sind; dass wir aufgrund unserer Prüfungen und Bewertungen davon ausgehen müssen, dass bereits in einem Zeitraum v o r 2005 die private Nutzunq Intefnet und durch Mitaroei!91j119n gl9 V1]ilF_q!!g1-v_olseiten -""---*-"*%-...-".- des Arbeitsgebers geduldet oder sogar bewusst geduldet wurde; dass nahezu keiner der von den Screenings, Logfile- und - Überwachungsmaßnahmen bej1gflej,ej-mllarqgllgi de-r DB AG bis heute von Arbeitgeberseite über Anlass, Zweck, Umstände, Dauer oder Ergebnis dieser Maßnahmen informiert wurde, obwohl teilweise in sehr gravierender Weise in deren Rechte eingegriffen,nd.ggg"n R".!lg!g9tir*ung* verstoßen wurde; das ergibt sich aus den mehr als 800 direkten Briefkontakten und der sich daran anschließenden Bearbeitung der Rückläufe mit hunderten von Telefongesprächen mit Betroffenen und Betriebsräten; Dass diese zahlreichen Kontakte mit unmittelbar Betroffenen unseren aus der Prüfung der vorgelegten Dokumente gewonnenen Zweifel über das Bestehen eines Anfangsverdachtes bzw. eines ausreichender Anlasses für Ermittlungen in nahezu allen Fällen bestätigten;

4 bauj l r reiter & collegen Rechtsanwälte Seite 4 von 10 dass in bemerkenswert dauerhafter und zielgerichteter Weise einschlägige Konzernbetriebsvereinbarungen missachtet, Mitbestimmungsregelungen verletzt und auch dadurch in die Tätigkeit des Betriebsrates eingegriffen wurde; dass die Verpflichtung zur Einschaltung des betrieblichen Datenschutzbeauftragten ebenso dauerhaft und absichtlich verletzt wurde; dass die Möglichkeiten des betrieblichen Datenschutzbeauftragten aufgrund seiner ungenügenden Ausstattung in unzumutbarer Weise beschnitten sind; dass die organisatorische Aufspaltung der Kompetenzen zu Datenschutz und Datensicherheit Vorschub leistete, die Rechte der Rechte von Mitarbeitern zu verletzten und die Umsetzung von rechtskonformen Verfahrensweisen zu behindern; dass die Verletzung von Datenschutzbestimmungen, wie sie insbesondere vom Berliner Landesbeauftragten für Datenschutz und Informationsfreiheit festgestellt worden sind, durch unsere Prüfung und Bewertung voll bestätigt werden. Wir halten es auch für berichtenswert und der Bewertung bedürftig, dass Nachweise und Belege für die nötige Tiefe und Intensität der Aufklärung innerhalb der DB AG seit dem Bekanntwerden der Vorwürfe im Sommer 2008 weitestgehend fehlen; dabei war die Notwendigkeit dafür aus der öffentlichen Diskussion ebenso wie aus Gesprächen mit dem Berliner Landesbeauftragten für den Datenschutz und Informationsfreiheit, aus Anfragen und Diskussionen von Mitgliedern des Verkehrsausschusses des Deutschen Bundestages und aus internen Dokumenten der DB AG seit diesem Zeitpunkt erkennbar; l'j J dass der Eindruck eniveckt und aufrecht erhalten wurde, zur Überprüfung strafrechtlich relevanter Verstöße i. Z. mit der Fa. Network seien unabhängige

5 bauffirreiter&collegen Seite 5 von 10,,externe" Rechtsanwälte eingeschaltet worden, während im Juni/Juli 2008 ausschließlich eine Durchsicht der Akten durch einen dem Unternehmen seit Jahren verbundenen und mit den Vorgängen z. T. befassten Anwalt erfolgte; dass der Eindruck erweckt und aufrecht erhalten wurde, die DB habe die Staatsanwaltschaft Berlin zur Klärung der strafrechtlich relevanten Verstöße eingeschaltet, während gleichzeitig mit der Übergabe der vorhandenen und durch die Staatsanwalt nicht prüfbaren Unterlagen ausdrücklich mitgeteilt wurde, Strafanzeigen bzw. Strafanträge würden nicht gestellt; dass in den währen der Untersuchung geführten Interviews und Gesprächen mit Verantwortlichen der DB AG immer wieder behauptet wurde, dass nur wenige Informationen an die Verantwortlichen gelangt seien. Dies bezieht sich auf seit Jahren praktizierte rechtlich problematische Verfahren, auf Verstöße gegen Konzernbetriebsvereinbarungen und Mitbestimmungspflichten, sowie auf die permanente Nichteinschaltung des betrieblichen Datenschutzbeauftragten, aber auch auf außerordentlich spektakuläre Einzelfälle;,-'i. dass aus Interviews und Gesprächen mit Verantwortlichen immer wieder mit erschreckender Deutlichkeit hervorging, wie wenig diese Verantwortlichen der Offentlichkeit dazu jeder Anlass bestanden hätte. zu haben ron In III. Auf der Grundlage unserer Prüfungen und Bewertungen kommen wir zu folgenden Empfehlungen: A. Aufklärung

6 bauj l r reiter & collegen Seite 6 von 10 Wir empfehlen dem Aufsichtsrat, die wegen der Kürze der Zeit und der begrenzten zur Verfügung stehenden Aufklärungs- und Ermittlungsinstrumente, qre neeh_!.lehun allen Details Ende geführten,zu Prüfungen in Verantwortung des Vorstandes abzuschließen. Wir empfehlen dem Aufsichtsrat, die mögliche aktienrechtliche Verantwortlichkeit der Geschäftsf ührungsorgane Rechtskonformität zu prüfen. Wir empfehlen dem Aufsichtsrat die Einschaltung der Aufsichtsbehörden (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit; Der Berliner Beauftragte für Datenschutz und Informationsfreiheit) und der zuständigen Staatsanwaltschaft u.a. durch die Übergabe der Berichte von KPMG und Anwälten. Zur Vermeidung der Verletzung aktienrechtlicher Pflichten sollte die Stellung ggf. erforderlicher Strafanzeigen und -anträge insbesondere nach $$202a, 202b,2061, 20611, 303aStGB, S 88 TKG, SS 43, 44 BDSG, S 119 BetrVG geprüft werden. B. Verhinderung der Wiederholung Zur Verhinderung von Wiederholungen in der Zukunft empfehlen wir der DB AG ein Bündel unterschiedlicher Maßnahmen und Initiativen, die insgesamt dazu beitragen können, die unter den Mitarbeiterinnen und Mitarbeitern der DB AG vorgefundene verbreitete Stimmung einer Mischung aus Intransparenz und Druck, mangelndem Vertrauen und Übenrvachung durch eine Kultur der Motivation, der transparenten Unternehmensführung und der konstruktiven Zusammenarbeit zu ersetzen. Auf diese Weise kann die vorhandene besondere Bereitschaft der Bahn-mitarbeiter zur ldentifizierung mit der Deutschen Bahn wieder voll zur Geltung kommen:

7 bauj l r reiter & collegen Rec h tsa nwä lte Seite 7 von Neues Gesamtkonzept Wir empfehlen die Entwicklung und Umsetzung eines Gesamtkonzeptes, das unter Mitwirkung eines auch mit externen Beratern besetzten Gremiums und unter Nutzung der Empfehlungen u.a. der Aufsichtsbehörden des Bundes und des Landes Berlin die Bereiche Compliance unter Erarbeitung intelligenter Konzepte zur Korruptionsbekämpfung, Datenschutz, insbesondere auch unter Berücksichtigung des Mitarbeiter - bzw. Arbeitnehmerdatenschutzes und Datensicherheit zusammenführt. Hierzu sind im neuesten Bericht, den der Bundesbeauftragte für den Datenschutz und die lnformationsfreiheit am gegenüber dem Deutschen Bundestag abgegeben hat (s. S.122tt ), aber auch im Bericht des Berliner Beauftragter für Datenschutz und Informationsfreiheit vom 29. April 2009 (Abschlussbericht über die Kontrollen der Deutsche Bahn AG nach $ 38 Abs. 4 Bundesdatenschutzgesetz (BDSG) am 28. Oktober 2008 und vom 24. bis 27. Februar 2009), wie auch von den Bahngewerkschaften transnet und GDBA und dem Konzernbetriebsrat der DB AG wichtige Anregungen und Vorschläge vorgelegt worden. 2. Organisatorische Maßnahmen Wir empfehlen die Verankerung der Zuständigkeit für die Umsetzung dieses Konzeptes im Vorstand der DB AG durch Schaffung eines eigenständigen Vorstandsbereichs;

8 baurn. reiter & collegen Seite 8 von 10. die Schaffung eines besonderen Kontrollgremiums im Verantwortungsbereich des Aufsichtsrates: o die Zusammenführung der bisher aufgespaltenen Zuständigkeiten (Recht, Compliance, Konzernsicherheit, Datenschutz);. die Ablösung des vorhandenen Ombudsmann -Systems;. die personelle Verstärkung der bisher völlig unzureichenden Ausstattung des betrieblichen Datenschutzbeauftragten der DB AG unter besonderer Berücksichtigung der Notwendigkeiten, die sich aus dem Zusammentreffen von Datenschutzrecht und lt-sicherheit ergeben. 3. Ausbau der Konzernbetriebsvereinbarungen zum Arbeitnehmerdatenschutz Wir empfehlen. Verbesserungen der Konzernbetriebsvereinbarungen insbesondere im Bereich der verfahrensrechtlichen Sicherung im Zusammenwirken mit den zuständigen Mitbestimmungsorganen der DB AG 4. Sonstige Maßnahmen Wir empfehlen o die Uberprüfung der konzernweiten lt- Regelungen und ihrer praktischen Anwendung;

9 bauffirreiter&collegen Rec h tsa nwä lte Seite 9 von 10. die Uberprüfung der Administratoren- und Benutzerrechte;. die Schließung der aufgefundenen technischen Möglichkeiten zur regelwidrigen Überwachung von PC bzw. Daten der Mitarbeiterinnen und Mitarbeiter;. Verpflichtung der Führungskräfte und Mitarbeiter der DB AG auf die verbesserten Standards des neuen Gesamtkonzepts unter Einbeziehung der Mitbestimmungsorgane der DB AG. C. Wiedergutmachung Da unsere Ermittlungen und Bewertungen eine große Zahlvon Verstößen ganz unterschiedlicher Schwere gegen Persönlichkeits- und Mitbestimmungsrechte, gegen Gesetze und Regelungen ergeben haben, empfehlen wir der Unternehmensführung. die uneingeschränkte Information der betroffenen und geschädigten Mitarbeiterinnen und Mitarbeiter:. die Zusicherung der Unternehmensführung, dass die Wiederholung Verletzungen von Persönlichkeitsrechten und Datenschutzbestimmungen durch entsprechende Maßnahmen ausgeschlossen werden;. individuelle Angebote an die Betroffenen und Geschädigten zur Wiedergutmachung;. die festgestellte Missachtung von Rechten der Mitbestimmungsorgane durch eine neue Kultur der Zusammenarbeit zu ersetzen.

10 baum.reiter&collegen Seite 10 von 10 Mit freundlichen Grüßen l^n,niln \{lrr,/\kl[^ Gerhart R. Baum tt W- er: