Wie würden Sie handeln, wenn Sie Bahn-Chef wären?

Auch heute noch spielt sich in vielen Unternehmen Screening so ab: Mitten am Tage überreicht ein Bote der IT-Abteilung eine kleine, unscheinbare DVD auf der bequem Personaldaten der gesamten Belegschaft Platz haben. Die Dame im dunklen Kostüm, welche die Daten an sich nimmt, ist Mitarbeiterin einer Firma, die sich auf die Aufdeckung von Betrugshandlungen mit Hilfe von Data-Mining und Screening spezialisiert hat. Ehrenwerte Absichten sind das, wenn nicht der auswertende Student am PC sich einen Jux mit persönlichen Auswertungen oder einen schnellen Euro durch Weitergabe von Informationen an Presse oder andere Interessenten machen würde, oder der Betriebsrat oder Datenschutzbeauftragte nicht informiert waren, oder keine schriftlichen Verträge oder gar Verschwiegenheitserklärungen für so brisante Geschäfte existieren, oder die Firma völlig überteuert arbeitet, weil es keine Ausschreibung gab, oder die kopierten Daten nicht nachhaltig gelöscht werden … Sehr viele berechtigte Einwände gegen eine unscheinbare Datenübergabe.

Zwischen 1998 und 2006, so räumte die Bahn am 13. Mai wieder ein, spionierte sie fünf mal alle 173.000 Mitarbeiter aus, um auf Basis vorhandener Personaldaten Anzeichen für Korruptionsverdacht in einem so genannten Screening zu ermitteln. Die Mehdorn-Salamitaktik der Kommunikation war als unglücklich zu bezeichnen, denn bis Anfang 2009 beharrte das Unternehmen noch darauf, lediglich Abgleiche von 774 Mitarbeitern sowie 400 Ehepartnern durchgeführt zu haben. Es ist durchaus verständlich, dass Bahnchef Rüdiger Grube zunächst einmal eine Law-and-Order Rolle einnimmt, die er bisher auch überzeugend vertritt [1].

Zeiten der Finanzkrise sind genau wie unsere Zeit der  neuen Überwachungstechnologie, zugleich eine schreckliche Zeit individueller Katastrophen aber auch ein Moment der Wahrheit, die uns vor Augen führen, wo Interessenkonflikte aufeinander prallen und Grauzonen der Ethik, Vernunft und Rationalität liegen. Das Pendel schlägt derzeit weit in Richtung der betrogenen Kunden und überwachten Mitarbeiter aus. Das ist gut so. Bei näherer Betrachtung sehen wir aber durchaus die derzeit unpopuläreren aber berechtigten Interessen der Arbeitgeber, die qualifizierte Arbeiter brauchen und Schlendrian und Korruption aktiv bekämpfen wollen. So kann es sein, dass ein Chef, der gestern noch eine mitfühlende Rede vor der Belegschaft hielt, heute schon Werkzeuge und Maßnahmen anwendet, die nüchtern und kaltschnäutzig die Mitarbeiter als gläsernen Besitzt und Produktionsfaktor begreifen. Ein gar nicht so modernes Tool ist die Datenanalyse – neudeutsch “Screening”.

Wie funktioniert Korruptions-Screening technisch?

Screening basiert auf den ohnehin vorhandenen Daten, die man auf Auffälligkeiten und Gemeinsamkeiten mit potentiellen Korruptionspartnern (z.B. Lieferanten) untersucht. Technisch lassen sich so Adressen, Position, Gehalt, Arbeitszeiten, “wann kontaktierte wer wen?”, Abweichungen im Geschäftsverhalten, etc. untersuchen. Auch werden Studienergebnisse wie “junge Männer mit Familie und hohen Schulden sind tendenziell am empfänglichsten für Bestechung” berücksichtigt, um die Daten zu filtern. Positiv gefilterte Mitarbeiter als “verdächtig” zu bezeichnen ist weit übertrieben, genauso wie der Umkehrschluß, dass herausgefilterte Männer und Frauen unschuldig sein müssen. Diese Verfahren sind heuristisch und statistisch also existieren wie in der Medizin “Falsche Positive” und “Falsche Negative”. Absolut sinnvoll bei Screening-Studien ist es, dem Analysten ein paar versteckte bereits überführte korrupte Angestellte einzustreuen, sowie einen großen Vorrat an Unschuldigen zu geben, um aufgrund von deren Verhaltens- und Datenmuster die Verdächtigen genauer bestimmen zu können.

Auch muss gesagt werden, dass große Unternehmen immer noch unter inkonsistenten, man könnte sagen “schmutzigen” Daten leiden. Datenbanksysteme, Dateien und Ordner liegen verstreut und unsystematisch in den Standorten, Abgänge und neue Mitarbeiter werden zeitversetzt erfasst oder verbleiben als Leichen in den Akten, Namensänderung führen zu Daten-Clones, etc. So kommt es Firmen als Kunden von Datenprofies auch gelegen, dass sie mit effizienten Verfahren die gelieferten Daten “vorreinigen” und in Beziehung bringen können.

Screening ergänzt die jahrelange Erfahrung von Experten einer internen Revision, die ihre Kollegen gut kennen, ersetzt aber keineswegs deren menschliche Intuition und die “normale” kriminalistische Arbeit. Bei relativ guten Daten kann Screening zudem bei akuten Fällen innerhalb von Sekunden Vorschläge machen, wo weiter zu Suchen ist, bevor alle Spuren von einem erfolgreichen Täter verfälscht oder beseitigt werden.

Immer mehr Verbrechen, hier dolose Handlung genannt, die mit Informationstechnologie begangen werden, können über digitale Stolperdrähte und “Honeypots” erschwert werden. Illegaler Datenklau, als ein Beispiel für ein anderes Delikt, ließe sich nachweisen und der betroffende Mitarbeiter befragen, maßregeln oder entlassen. Denn massiv Daten zu klauen, d.h. heimlich anderweitig zu nutzen verstößt gegen das Datenschutzrecht und ist zudem unmoralisch. Bleibt die Frage, ob so ein “kleiner mieser Datendieb” nicht sagen könnte, eine Firma würde mit Screening dasselbe Unrecht begehen.

Zehn Probleme für Sie, wenn Sie der neue Bahn-Chef wären:

Ein Verständnis wichtiger Interessenkonflikte, wie sie sich heute real darstellen, könnte helfen, vernünftige Grenzen zu ziehen. Wenn Sie Herr oder Frau Grube wären, müssten sie folgende Überlegungen anstellen, um Machbares von dem Vernünftigen zu trennen:

K-01: “dumm, faul und gefräßig” vs. “edel, hilfreich und gut”

Die große Diskussion der Menschenbilder: Ist ein Manager paranoid, wenn er den schmutzigen Laden sieht und die Belegschaft für tendenziell unsauber oder zumindest gleichgültig hält? Ist ein Boss unzeitgemäß naiv, wenn er seine Leute für treue Gefolgsleute hält und jegliche Korruption für das Werk der Teufel aus der Konkurrenzfirma verdammt? Jenseits der Binsenweisheit, dass nicht jeder Mitarbeiter gleich ist, wäre es doch interessant in den Kopf von Herrn Mehdorn hineinzusehen und sein generelles Menschenbild zu erfahren. Man kann nicht keine Meinung dazu haben, ob man sich als Chef gegen “die da unten” behaupten muss oder sich empatisch als Teil einer erfüllenden Gemeinschaft fühlt. Wo stehen sie?

Zeiten verändern auch die Anschauungen. Nach der Liberalisierung des Strommarkts wurden “Leistungsempfänger” auf wundersame Weise zu “Kunden”, nach der Lichtenstein-Affäre wurde Herr Zumwinkel vom geschätzten Top-Manager zum entlarvten Betrüger. Auch das Menschenbild vom Letzteren während seiner Zeit als Aufsichtsratchef bei der Telekom oder Post zu erfahren, wäre interessant. In einer perfekten Welt ohne Verteilungskonflikte kann jeder nett zum Anderen sein. Wie würden sie in einer Firma voller Spannungen und harter Entscheidungen über ihre “Schäfchen” denken? Mein Vorschlag: Wer sich erinnert, dass die korrupten schwarzen Schafe bei der Bahn im Promille-Bereich zu suchen sind, hat die Grundlage eines einigermaßen vernünftigen Menschenbilds.

K-02: Sauberer Ermittler vs. spielerischer Rastertool-Käufer

Bei der Anwendung neuer Überwachungstechnologie stellt sich oft die Frage, ob die Nachfrage ein wunderbares Werkzeug geschaffen hat, oder ob die Industrie, die solche Tools zur Verfügung stellt, einen aufgeblasenen Markt geschaffen hat. Ein realistischer Manager sucht sich Personen, Methoden und Werkzeuge, welche die nicht ausrottbare Krankheit der persönlichen Vorteilsnahme korrupter Angestellter bekämpfen können. Ein Unternehmen mit 50 Mitarbeitern an einem Standort läßt sich bereits nur schwer durchschauen – wie groß muss der unausgeleuchtete Bereich erst sein, wenn ein Konzern über tausende von Mitarbeitern und hunderte von Standorten verfügt?

Kriminalität im Fall von Bankraub erfolgt mit plumper Gewalt, Korruption dagegen erfolgt von intelligenten Betrügern, die keine Gewissensbisse haben, ihre persönliche Gier über das Wohl der Gemeinschaft in der Firma zu stellen. Eine Geisteshaltung die wir heute klarer als zuvor auch bei seriösen Bankern feststellen. Die reaktive Fahndung, d.h. nach Anzeigen, Ermittlungen der Staatsanwaltschaft oder z.B. nach entlarvenden Berichten engagierter Journalisten wirkt hier nicht effizient. Stark kontrollierte Prozesse bei der Vergabe von Aufträgen sowie Hören der schwachen Signale möglicher Verfehlungen ist die Grundlage der Ermittler, die berufsbedingt zunächst einmal alle Beteiligten als verdächtig vorverurteilen.

Wie verführerisch müssen da Aussagen der Data-Mining-Industrie klingen, welche die schöne neue Welt der Hörgeräte für schwache Signale in ihren Prospekten anpreisen? Input sind die Datenbanken auf ihrem Server, Output sind Erkenntnisse und eine Kontrolle, welche sie schon glaubten verloren zu haben, als ihr Unternehmen wuchs. Holen sie sich die Führung und Analyse zurück in die Konzernzentrale, nachdem ihre Filialen und Landesgesellschaften ihnen jahrelang auf der Nase getanzt haben. Fühlen sie sich angesprochen?

K-03: Machtbesessenheit vs. Gegner der Bahn erkennen

Sie haben einen Plan, wie das Unternehmen Bahn zum Erfolg geführt werden kann. Dieser Erfolg heisst wirtschaftlicher Erfolg, Penetrierung der Märkte, Ausschaltung von Konkurrenz mit legalen Mitteln, Reduktion der Steuerlast durch Nutzung der legalen Steuerlöcher, politisch-polemisches Schönreden der eigenen Leistungen und Abwerten der Gegner. Das Spiel, das sie spielen, ist weder nett noch großherzig. Kunden der Bahn sollten den Preis zahlen, der den Umsatz maximiert und das bei einer konkurrenzfähigen Leistung, die aber nur minimale Kosten tragen darf.

Wer gestalten will, muss starken Willen, Selbstliebe und ein Gespür für wirksame Steuerung und Kontrolle haben. Die Bahn hat nicht auf sie gewartet – im Gegenteil: hunderte von internen und externen Gegnern wünschen vieles, aber keineswegs ihre Nase an der Spitze. Sie können es nicht jedem Recht machen und pseudo-demokratisch alles ausdiskutieren. Handeln sie heute, zum Wohl der Bahn und ihrer abhängigen Bonuszahlungen!

Legitimes Klammern an eigenen Entscheidungen und der gewonnenen Macht hat zwei Grenzen. Erstere ist der Erfolg, der fast alle Mittel heiligt und zweitere ist die rechtlich-moralische Grenze, die aus einem leitenden Angestellten einen arroganten König macht. Überschreiten darf man die Linie nicht, weit von ihr entfernt stehen ebenso wenig. Unser globales Wirtschaftssystem ist nachweislich noch viel zu sehr ein Kampf unter Gegnern als ein Tanz mit Partnern.

K-04: “Nichts zu verbergen” vs. “No-Go für anständige Unternehmen”

Vergleicht man Datenschutz heutzutage mit der psychischen Krankheit dissoziative Identitätsstörung stellen wir fest, dass harte Anforderungen an Behörden und Unternehmen auf der einen Seite auf eine Web 2.0-Kultur treffen, die Spaß an der Veröffentlichung auch der peinlichsten Momente hat. Härteste Forderungen auf Marken- und Autorenschutz treffen auf eine Freeware und Datentausch-Gemeinde, die alles will aber auf keinen Fall digitale Schutzzertifikate. Die einen sagen “Big Brother” steht vor der Tür, die anderen “na dann lass ihn doch rein, den coolen Typ”. Politiker sagen als Folge des Bahn-Skandals reflexhaft, dass es verwerflich ist, Daten im Unternehmen auszuwerten, während sie bei Telco-Unternehmen über die Änderungen im TKG die Voraussetzung für ggf. noch sinnloseres Screening aller Telefonnutzer geschaffen haben.

Was im öffentlichen Bereich noch kristallklar schutzwürdig ist, muss im Unternehmen sicherlich anders und zwar weicher gesehen werden. Dokumente, die ein Angestellter für die Firma erstellt, gehören nun einmal der Firma, Arbeitszeitmessung kann auf Vertrauen basieren oder aber auf einer Stechuhr. Das Recht der Firma auf effektive Kontrolle existiert genau wie das Recht auf Analyse der Fähigkeiten der Mitarbeiter, um sie gezielt fördern zu können, so dass sie in 5 Jahren immer noch zur Wertsteigerung beitragen können.

Harte Grenzen, wie z.B. Datensammlungen die für Mobbing genutzt werden, sind wichtig aber eher hypothetisch. Hier wäre eher ein Screening der Mobber sinnvoll, dummerweise nicht gewollt wenn die Täter gleichzeitig Führungskräfte sind. Weiche Grenzen im unklaren Bereich des “informationelles Selbstbestimmungsrechts” sollten dem gegenüber auf jeden Fall dokumentiert und im Spiel der Kräfte z.B. mit dem Betriebsrat festgelegt worden sein. “Wo in Supermärkten sind Überwachungsvideos zulässig?”, “Welche Zeiten und Systeme dürfen PC-Nutzer für private Zwecke oder persönliche Fortbildung während der Arbeitszeit nutzen?”.

Neben gewissen intimen Einblicken kann man sich kaum Daten vorstellen, die ein Arbeitnehmer hinterläßt, die nicht auf dem ersten Blick auswertbar wären. “Ich habe nichts zu verbergen”, wird oft von Beteiligten gesagt, gerade wenn sie sich positiv mit ihren Job identifizieren. An welcher Stelle wird es also unanständig einen Schurken-Suchalgorithmus über alle Mitarbeiter laufen zu lassen, wenn man glaubhaft versichert, den Korrupten für die Ausnahme zu halten? Die Frage ist sicherlich zu eng und suggestiv gestellt. Denn eine “Glastnost”, also eine Transparenz und Offenheit, gilt im Grundsatz auch für die Offenlegung der Maßnahmen, die man durchführen möchte und die mageren Worte, die bisher auf www.bahn.de zu lesen waren, reichten nicht aus. Ergänzende Angaben über Screening und die genutzten Datentöpfe in der Sozialbilanz einer AG wäre bereits ausreichend. Hieran kann sich anschließend eine hoffentlich sachliche, interne Diskussion entzünden.

K-05: Screening-Abteilung vs. GSG9-Eingreiftruppe

Es gibt notwendige Abteilungen im Unternehmen, die – obwohl sehr beschäftigt – keinen direkten Beitrag zur Produkterstellung oder Dienstleistung beitragen. Durch Tester einer QA-Abteilung wird z.B. keine neue Zeile Code geschrieben und so mancher Entwickler betrachtet die Änderungswünsche als nörgelnd oder aufoktroyiert. Lackmustest für solche Abteilungen sind Begehrlichkeiten sie ganz abzuschaffen, auszulagern oder zu entmachten, weil sie angeblich nur wenig mit der Kernkompetenz des Unternehmens zu tun haben.

Wie sieht es jetzt mit der Ausgestaltung einer Organisation zur Bekämpfung sogenannter doloser – also unerwünschter – Handlungen aus? Wieviel Ressourcen und Kompetenzen erhalten die Mitarbeiter einer internen Revision? Wäre eine starke und teure Abteilung auch dann angemessen, wenn die Kosten die aufgedeckte Korruption übersteigen und man sich rühmt ein Beispiel an effektiver Prävention und Mitarbeiter-Disziplinierung zu sein? Realistisch betrachtet sind die Ausgaben für Revision vergleichsweise gering, auf jeden Fall günstiger als die Gesamtausgaben für externe Berater und Wirtschaftsprüfer. Ein brisanter Aspekt am Bahn-Skandal ist sicherlich die externe Beauftragung. Der Kauf eines Programms, das ein Mitarbeiter der Bahn anschließend einsetzt wäre sicherlich unbedenklicher gewesen.

Neben dem Vorurteil einer teuren internen Revision ist auch Idee einer schlagkräftigen Eingreiftruppe eher ein Wunschbild von Krimifans auch wenn Prüfer sicherlich flexibel und kreativ sein müssen, um den intelligenter werdenden Tätern folgen zu können. Im Konzern gelten sicherlich andere Prinzipien, die helfen das breite Spektrum von dummer Verschwendung bis zum ausgeklügelten Verbrechen abzudecken. Gleichzeitig ist Vertrauen die Währung, die Zugang zu brisanten Informationen über Flurfunk ebenso gewährleistet wie eine Selbstheilungskraft gegen inkompetente oder im Extremfall sogar korrupte intere Fahnder. Es ist nicht nur rechtlich erforderlich, sondern auch sehr praktisch, dass der Staat “die Truppe” schicken muss, welche Festnahmen und Verurteilungen durchführt. So kann sich die Unternehmensleitung mit arbeitsrechtlichen Sanktionen und Schadenersatzforderungen wirksam als Opfer begreifen und ihr Kultur unterstreichen, in der sie einen moralischen Führungsanspruch hat.  Ein Rambo-Image passt nicht zur internen Revision – Gefällt ihnen da Kevin Costner als unbestechlicher Prohibitions-Beamter besser?

K-06: Erklärungen auf Papier vs. gelebter Datenschutz

Am Anfang eines neuen Programms steht ein Dokument namens Spezifikation. Am Ende einer Katastrophe stehen Absichtserklärungen, neue Standards und Verpflichtungserklärungen. All diese auf Papier geschriebenen Anweisungen stellen eine Richtung dar, eine Wunschliste, wenn Sie so wollen, die aber durch die Implementierung und das Tagesgeschäft nie die Form annehmen wird, die sie heute lesen. Natürlich existieren immer-gültige Visionspapiere in der Form wie “Korruption wird energisch bekämpft” oder “ein Compliancy-Ausschuss wird alle Verstöße genau analysieren”. Alles wichtige Erklärungen aber für die Umsetzung spannender wird der nächste Schritt. “Procedures & Policies” also Vorgangsdefinitionen und Spielregeln aber auch Rundschreiben und zu unterschreibende “Datenerklärungen” sind beobachtbare Ausprägungen einer Umstrukturierung oder Bewusstseinswerdung einer Geschäftsleitung.

Die Frage, die sich hier stellt ist, wieviel Wert Datenschutz-Papiere sind. Ändert sich messbar die Situation und werden überhaupt geeignete Messinstrumente zur Aufdeckung weiteren Datenmissbrauchs eingeführt? Als Beispiel sollen die Verschwiegenheitserklärungen gelten, die heutzutage oft standardmäßig neben dem Arbeitsvertrag unterzeichnet werden müssen. Diese sind in ihren Intentionen oft so umfangreich und unscharf, dass Bewusstsein und Verhalten der Mitarbeiter nicht positiv korrigiert, oft sogar belastet wird. Bei genauer juristischer Prüfung müssten z.B. viele Administratoren heute entlassen werden, weil sie unterschriebene Bedingungen verletzen. Auch deren Chefs müssten bestraft werden, weil sie Arbeitsanweisungen geben, die nicht völlig ausschließen können, dass Daten nicht bestmöglich geschützt sind oder nachhaltig gelöscht werden. Technisch ist dies bei offenen, verteilten Systemen oft nur schwer, d.h. teuer und zeitaufwendig, möglich. Pragmatisch existieren viele Felder, die keinen hohen Schutz im Intranet erfordern. Juristisch sind zu allgemeine und einseitig den Mitarbeiter belastende Erklärungen ohnehin angreifbar bzw. von vornherein nicht wirksam.

Wer sich im Elfenbeinturm einer erdachten Datenschutz-Strategie ausruht, wird durch das Papier, dass er produziert, nicht viel erreichen. Gelebter Datenschutz ist keine Belastung durch unrealistische Reglementierung, sondern eine gemeinsam getragene Vision was falsch und richtig ist. Zur Umsetzung durch sicherheits-motivierte und solidarische Mitarbeiter, dienen dann die Spielregeln und organisatorisch, technischen Möglichkeiten auch auf Papier. Ansonsten kann das Ziel eines gelebten Datenschutzes nachhaltig verfehlt werden. Durch Prämien für Denunziantentum als Beipiel für extrem ambitionierten Datenschutz, können sogar Gräben im Unternehmen aufgerissen werden bishin zur Destabilisierung des gesamten Unternehmens.

K-07: Sinnvoller Einsatz vs. Budgetverschwendung

Sicherheit und ständige Kontrolle der Einhaltung von Vorschriften ist komplex und kostet Ressourcen und Geld. Compliancy-Officer könnten sich in jedes neue Projekt, jede neue Version eines Stücks Software einmischen, die Freigabe zum Betrieb (Launch) verhindern oder verzögern. Bedenken Sie, dass IT-Systeme ohne Bezug zu Personal- oder Kunden-Daten praktisch nicht existieren. Totschlagargumente eines renitenten Officers, wie “hier sind Bedingungen des 2002/58/EG und Paragraph X des BDSG verletzt” können sehr kontraproduktiv sein, wenn sie den Unmut und damit Widerstände von engagierten und kreativen Mitarbeitern hervorrufen, die sich gegängelt fühlen. Die Presseerklärung die Bahn würde “ohne Kompromisse die höchsten Standards umsetzen” macht einem gewinnorientierten Manager in diesem Zusammenhang Angst.

Sinnvoller Datenschutz ist wie effiziente Dopingkontrolle: Sie wird von allen “Mitspielern” zumindest verbal mitgetragen, jeder versteht sie und die Maßnahmen behindern nicht über die Maßen “den Sport”. Wer aber glaubt so würde in Krisenzeiten wirklich sinnvoll und effizient Compliancy sichergestellt, der irrt. Nach der Einführung des Gesetzes der SOX-Compliancy am 30.07.2002, wird heute noch weit über das Ziel hinaus geschossen. Jedes Unternehmen, dass auch an der amerikanischen Börse notiert ist, muss seine Aufbau- und Ablauforganisation anpassen, um zumindest formal den Anforderungen des 66-Seiten langen Gesetzes zu genügen. Und genau das entsteht, wenn Verhindern von Unternehmenskrisen wie ENRON in den USA zur Nebensache wird, und eine juristische, normative Erfüllung (eben Compliancy) in den Vordergrund rückt: Unternehmen institutionalisieren mehr oder weniger einen bürokratischen Wasserkopf und erkaufen sich Prüfsiegel wie ISO2000, CMM-Level 5 Excellence oder eben SOX-Comliancy.

K-08: Salamitaktik vs. Haus der offenen Tür

Mit dem offiziellen Zwischenbericht, den die Bahn endlich am 10.02.09 präsentierte, haben wir endlich eine realistische Sicht auf den Screening-prozeß, die mitwirkenden Parteien und Qualität der Resultate. Der Versuch von Herrn Mehdorn, fremdbeauftragte Screening-Aktivitäten als Lapaille wie Briefmarkenkauf herunterzuspielen, war gefährlich und wird uns lange Zeit in den Ohren nachklingen. Eine sich anschließende Salamitaktik gestern von wenigen hundert Fällen zu sprechen und schließlich zuzugeben, dass über die Jahre nahezu jeder Mitarbeiter mit seinen Daten in die Auswertungen eingeflossen ist, zerstört ein ansonsten gutes Image des Bahn-Managements. Im besten Fall könnte man von Unfähigkeit sprechen “versteckte Projekte” im eigenen Hause aufzudecken. Im schlechtesten Fall ist dies die altbekannte Illusion schuldbewußter Entscheider, dass die Wahrheit nicht ans Licht käme und sich eine belogene Öffentlichkeit schon nicht an den Unsinn erinnern wird, der gestern noch verkündet wurde. Eine Informationspolitik, die glaubhaft ist, funktioniert wie Bilanzierung: kurzfristig sind zwar geringe Fehlbewertungen machbar, langfristig kippt aber immer die Strategie einer Schönfärberei.

Heißt das im Umkehrschluss, dass Firmen ihre Anti-Schlendrian und Anti-Korruptionsstrategien im Voraus im Detail veröffentlichen sollten? – Bis zu einem Grad, der weder korrupte Mitarbeiter noch Konkurrenzfirmen nachhaltig ausnützen können: Ja. Zu weit ginge ein Haus der offenen Tür, wo einzelne Beauftragungen mit Werkzeug, Datenanalyst, Tagessatz und womöglich noch anonymisierte Ergebnislisten publiziert würden. Eine Offenlegung der analysierten Mitarbeitergruppen, Art der Eingangsdaten und Idee der Vorgehensweise des Verfahrens, sowie ein offener Umgang mit aufgedeckten Fällen, sollte aber das Informationsminimum darstellen, wie Datenschützer zu Recht fordern.

K-09: Neue Gesetze für Arbeitnehmer vs. bestehende Gesetzte reichen

Auch Nicht-Juristen rufen in diesen Tagen gern nach speziellen Gesetzen zum Schutz der überwachten Arbeitnehmer, am besten ein Arbeitnehmer-Datenschutz-Gesetzbuch. Sie sollen sich zu den bereits vorhandenen Normen gesellen: EU-Recht, deutsches Recht (BDSG, BetrVG), Konzernrichtlinien, Absprachen mit Betriebsräten und Verträgen mit Arbeitnehmern. Andere Kreise warnen vor Aktionismus bzw. populistischen Äußerungen die schlimmstenfalls zu sehr komplexen verwässerten Rechtsnormen führten. Auch stellen sie möglicherweise Gesetze als Hebel für effizienteren Datenschutz generell in Frage.

Betrachten wir den Fall der systematischen Videoüberwachung bei Lidl. Banken dürfen sicherlich den Schalterbereich filmen, Supermärkte die Kunden vor den Regalen überwachen. Das Bundesarbeitsgericht gibt sogar Unternehmen das Recht, bei dringenden Tatverdacht im Einzelfall auch heimlich ohne Zustimmung des Betriebsrats zu filmen (Grundsatzurteil von 2003). Eine systematische Überwache noch dazu ohne Kenntnis der Mitarbeiter und Zustimmung durch deren Vertreter ist allerdings klar sittenwidrig und illegal. Einen Anlass andere Normen einzuführen gibt es derzeit nicht.

Screening bei der Bahn ist kein rechtsfreier Raum, wie Bahnchef Grube am 13. Mai inhaltlich feststellte. Die dunklen Zonen klarer Daten-Vergehen könnten sicherlich in besser verständliche Rechtsnormen gegossen werden und zwar für alle Bürger nachdem das BDSG von 1977 schon etwas in die Jahre gekommen ist. Die Grauzonen werden aber derzeit noch gesellschaftlich und zwischen den Parteien im Unternehmen ausgefochten. Gesetze sorgen bei diesen Diskussionen weder für Transparenz noch sind sie die Lösung der Interessenkonflikte.

Man könnte sich sogar eine größere Kulanz der Gerichte wünschen, die normgerecht Verdachts- und Bagatellkündigungen bestätigen. So kann eine Kassiererin, die für 1,30 Euro einen Pfandbon für sich einlöst, fristlos gefeuert werden, während ein Manager, der ein Unternehmen an den Rand des Abgrund wirtschaftet, arbeitsrechtlich völlig legal dicke Boni und ungerechtfertigte Abfindungen mitnehmen kann. Würden sie auch hier wieder nach den Rechtsstaat rufen, wenn sie wüßten, dass nicht die Bonus-Taktik, sondern der Charakter der Manager geändert werden muss?

K-10: “Köpfe müssen rollen” vs. eine Entschuldigung reicht aus

Köpfe sind schon gerollt, die Frage erübrigt sich also. Die Auswechselung von Herrn Mehdorn, so scheint es aus heutiger Sicht, war folgerichtig nachdem über Monate der politische Druck aufrechterhalten wurde. Die Auswechselung von den Vorständen Norbert Bensel, Margret Suckale, Norbert Hansen und Otto Wiesheu sind auch nachvollziehbar, da es das gute Recht eines neuen Bahnchefs ist, seine Führungsmannschaft effizient aufzustellen und “Partisanen” zu entfernen. Auch ist es vernünftig, sogar nachgewiesene Schurken mit Handschlag und Geld abzufinden. So wird öffentlich keine schmutzige Wäsche gewaschen, man trennt sich in Güte. Auch der Geruch von Bauernopfern ist nicht so stark und die Unterstützung des Restvorstandes und der Restbelegschaft besser gewährleistet als wenn man einen zu offenen Krieg führen würde.

Auch ein Law-und-Order Bahnchef muss tolerant sein und auch unbequeme Mitarbeiter halten können. Es ist schwer vorstellbar, dass die gegebene Erklärung man habe nicht genannte Mitarbeiter identifiziert, bei denen man “arbeitsrechtliche Konsequenzen” prüfe, in der Schärfe Bestand haben wird. Rein praktisch gesehen taugen Drohungen nicht, die “Hygiene und Kultur” zu erzeugen, welche Bahnchef Grube anstrebt. Denn letztlich zählt auch der Unternehmenserfolg, der nicht dadurch gesteigert wird, indem man langgediente und erfahrene Mitarbeiter verliert und eine Stimmung des “Hirnverlustes” (engl. brain drain) erzeugt.

Fazit: Was ist verwerflicher: Screening oder Korruption?

Die Bahn ist weder die einzige Firma die Mitarbeiterdaten regelmäßig ausgewertet hat, noch ist sie das negativste Exemplar eine Firma die Datenschutzrechte ihrer Mitarbeiter wenig respektierte. Sie hat das Pech, das man auch als Glück betrachten könnte, ein großes Unternehmen zu sein, dass im öffentlichen Interesse steht. Screening in großen wie in kleinen Firmen ist an sich nicht verwerflich, wenn Gesetze und Betriebsregelungen respektiert werden. Korruption ist eine Seuche, die umso schwerer zu bekämpfen ist, wenn sie auf niedriger Ebene zum Kavaliersdelikt wie Schwarzarbeit verniedlicht wird, und auf Entscheider-Ebene, wenn korrumpierbare Angestellte schlecht bezahlt und unzufrieden sind.

Die Bahn betrieb aber ein Screening + X sowie eine unsägliche Öffentlichkeitsarbeit nach dem Bekanntwerden von X. Hier haben aber keine Manager Kapitalverbrechen begangen und sind bei weitem nicht die Einzigen, die Screening als Werkzeug der internen Revision begreifen. Es sollen und werden hoffentlich alle Konsequenzen der Überschreitungen geltenden Rechts bestraft.

Die Emotionen sind zu Recht noch hoch. Hieraus eine Datenschutznouvelle abzuleiten und zu meinen das Screening-Problem sei gelöst, ist Augenwischerei. Denn das Grundproblem aller Kontroversen ist kein juristisches auch wenn Anwälte und Politiker immer gern Handlungsbedarf und neues Geschäft aus modernen IT-Problemen ableiten. Bitte kein Datenschutzrecht, das so kompliziert ist wie das deutsche Steuerrecht! Eine Entschlackung sowie Ausrichtung an heutige technische Realitäten wäre dagegen sehr wünschenswert.

Eine Ethik des Verzichts auf technische Möglichkeiten der Auswertung von Mitarbeiterdaten erscheint auf dem ersten Blick schwer umsetzbar, wenn jede Marketingabteilung “verwerflichere Auswertungen” mit Kundendaten gläserner Konsumenten durchführt und dabei – technisch gesehen – die gleichen Werkzeuge benutzen. Noch absurdere Forderungen z.B. nach Zerstückelung zentraler Personaldatenbanken zeigen, welche Laien sich in diesen Tagen zu Wort melden. IT-induzierte Probleme werden zunehmen, wie wir schon an den Datendiebstählen in 2008 sahen. Konzerne müssen einsehen, dass sie vielleicht ihre Serverfarmen outsourcen kann, Daten-Management aber zu einer Kernkompetenz geworden ist, die im eigenen Hause betriebswirtschaftlich zu leiten ist.  Dies beinhaltet auch eine aktive Öffentlichkeitsarbeit, um die Akzeptanz aufzubauen und Kosten aus Daten-Gaus auszuschließen. Von einer vertrauensvollen Zusammenarbeit in der Daten genutzt werden, um Mitarbeiter auch über die Grenzen des Unternehmens zu motivieren und fördern sind wir weit entfernt.  Statt dessen blieb bei Herrn Mehdorn der Eindruck, das Management der Bahn habe es nötig, alle Mitarbeiter auf ihre Integrität hin regelmäßig prüfen zu müssen. Wir wünschen Bahnchef Grube alles Gute!