Weil wir Datenschutz lieben: Anstehende Aufräumarbeiten bei der BVG

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Aufgrund einer Pressemitteilung der vereinten Dienstleistungsgewerkschaft ver.di vom 18. August 2017 wurde die Berliner Beauftragte für Datenschutz und Informationsfreiheit auf den Vorwurf einer Ausspähung der Beschäftigtenvertretung bei den Berliner Verkehrsbetrieben (BVG) aufmerksam. Um die Vorwürfe zu prüfen, nahm die Aufsichtsbehörde umgehend eine Betriebsprüfung bei der BVG vor.

Tatsächlich hatte eine angehende Bereichsleiterin des Unternehmens im Zeitraum vom 22. März 2017 bis zum 4. April 2017 Zugriff auf sämtliche auf einem Laufwerk des Unternehmens hinterlegte Unterlagen des Personalrats, der Schwerbehindertenvertretung und der Frauenbeauftragten. Die BVG räumte ein, dass sich darunter auch sensitive Daten, wie z. B. Angaben über den Gesundheitszustand einzelner Beschäftigter und zur Strategie des Personalrates befanden. Es steht fest, dass die Führungskraft mindestens ein Dokument aus diesem Verzeichnis geöffnet, angesehen und ausgedruckt hat. Ob und inwieweit es zu weiteren unberechtigten Zugriffen auf die Daten gekommen ist, konnte nicht geklärt werden, da die BVG entgegen ihrer gesetzlichen Verpflichtung keine Lese- und Zugriffsprotokolle geführt hat.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit stellte im Rahmen der Prüfung fest, dass es sich nicht um ein bloßes Mitarbeiterversehen handelt. Vielmehr wurden erhebliche Mängel in der Datenschutzorganisation des Unternehmens aufgedeckt, die ursächlich für den gravierenden Vorfall sind:

– die betrieblichen Daten des Unternehmens waren nicht von denen der Beschäftigtenvertretung auf unterschiedlichen Laufwerken getrennt abgelegt,
– die erfolgten Zugriffe auf personenbezogene Daten sind mangels ausreichender Protokollierung nicht kontrollierbar und
– die Prozesse, nach denen die Zugriffsrechte auf Verzeichnisse vergeben werden, sind veraltet, ungeeignet und nicht überprüfbar.

Nicht zuletzt bemängelt die Aufsichtsbehörde, dass die Gremien der Beschäftigtenvertretung und der Datenschutzbeauftragte des Unternehmens gar nicht bzw. erst Monate nach Bekanntwerden des Vorfalls informiert wurden. Auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit wurde nicht in Kenntnis gesetzt.

Maja Smoltczyk:
„Bei den festgestellten Problemen handelt es sich leider nicht um einen Einzelfall. In unseren Prüfungen stellen wir häufig strukturelle Mängel in der Datenschutzorganisation fest, die mitunter zu fatalen Datenschutzverstößen führen können, wie das Beispiel der BVG zeigt. Unternehmen sollte bewusst sein, dass sie sich bei solchen Verstößen künftig nicht mehr auf Fehler einzelner Mitarbeiter berufen können. Nach der Datenschutzgrundverordnung, die im Mai 2018 wirksam wird, können mangelhafte technisch-organisatorische Vorkehrungen mit hohen Geldbußen geahndet werden.“