Als erster Schritt wird die interne Kommunikation eingeschränkt: E-Mail-Konten, Betriebssysteme und Datenbanken werden gesperrt — 4500 Mitarbeiter können nur noch eingeschränkt arbeiten. Dann werden alle Beschäftigten über das Datenleck informiert. "Wir wussten zunächst nicht, was auf der CD drauf war, weil wir sie erst am Nachmittag bekommen haben", sagt Torsten Hiermann, Leiter der Konzernkommunikation.

Laut Unternehmen sind die Daten echt und gehören zu Mitarbeitern der Duisburger Verkehrsgesellschaft (DVG), einer Tochter der DVV. Die Daten sollen, so behauptet der anonyme Absender der CD, für jeden Mitarbeiter des Unternehmens einsehbar gewesen sein. Teile der Belegschaft hätten sich in den Pausen über die vertraulichen Inhalte unterhalten und sich über die betroffenen Kollegen lustig gemacht. Die Unternehmensführung will davon nichts gewusst haben. "Wir können uns das nicht erklären", sagt Hiermann. "Eigentlich haben nur ganz wenige Angestellte in der Personalabteilung Zugriff auf diese Informationen."

Hochsensible Daten

Die CD enthält Namen, Anschriften, Geburtsdaten, Krankmeldungen, Tätigkeitsnachweise und Beurteilungen von Mitarbeitern aus den Jahren 2000 bis 2008 — viele von ihnen sind noch für das Unternehmen tätig. Der Datenträger mit dem Titel "DVG-Datensch.No" hat ein Volumen von 19,6 Megabyte, sämtliche Inhalte sind als Worddokumente oder Exceltabellen gespeichert. Im Ordner "Zusammenfassung Juli 2008" befinden sich elf Zeugnisse von Mitarbeitern, in denen ihre Arbeit jeweils auf zwei Seiten genauestens vom Konzern beurteilt wird: Tätigkeitsbeschreibung, Ausbildungsinhalte, Zuständigkeiten, Belastbarkeit, Denk- und Urteilsvermögen, Fachwissen und Zuverlässigkeit — zu jedem Punkt gibt es eine schriftliche Bewertung.

In einer anderen Tabelle sind Mitarbeiter mit Namen aufgeführt, die unentschuldigt gefehlt haben. Ein weiteres Dokument liefert eine Gesamtübersicht aller Mitarbeiter mit der Anzahl ihrer Urlaubs- und Krankheitstage sowie ihrer bereits genommenen oder noch zu nehmenden freien Tage. In dieser Übersicht werden die Mitarbeiter vergleichend gegenübergestellt — wer hat am seltensten gefehlt, wer am häufigsten?

Sauerland fordert lückenlose Aufklärung

Duisburgs Oberbürgermeister Adolf Sauerland (CDU), Aufsichtsratsvorsitzender der DVV, fordert eine lückenlose Aufklärung des Datenskandals. Die will auch der Betriebsratsvorsitzende Axel Prasch: "Ich bin davon völlig überrascht worden. Das ist entsetzlich für die Betroffenen, schließlich handelt es sich um vertrauliche und geheime Daten, die nicht für die Augen Dritter bestimmt sind", sagt er.

Der DVV-Konzern hat für die Aufklärung der Datenpanne den Landesbeauftragten für Datenschutz eingeschaltet und die Hilfe einer unabhängigen Prüfungsgesellschaft aus Düsseldorf in Anspruch genommen. "Wir nehmen die Angelegenheit sehr ernst und werden alles unternehmen, um das Leck zu finden", sagt Hiermann. "Einen Verdacht haben wir aber noch nicht, wir ermitteln in alle Richtungen." Zudem arbeite das Unternehmen bereits an einem neuen Sicherheitssystem, damit es in Zukunft nicht zu weiteren Datenpannen komme.

Diese Maßnahmen seien auch notwendig, meint Markus Achenbach, Fachanwalt für Arbeitsrecht. Das Unternehmen müsse sicherstellen, dass Daten aus der Personalabteilung nur für Berechtigte zugänglich sind. "Sollte der Mitarbeiter, der die Daten veröffentlich hat, ermittelt werden oder sich herausstellen, dass das Unternehmen schuldhaft gehandelt hat, können die Betroffenen möglicherweise Ansprüche wegen der Verletzung des Persönlichkeitsrechts stellen", erklärt Achenbach.

Firmen hätten aber grundsätzlich das Recht, Listen über die Fehlzeiten von Mitarbeitern zu führen. Es sei üblich, dass in Personalabteilungen nachgehalten werde, ob es zum Beispiel eine Häufung von Krankheiten vor und nach Wochenenden und an Brückentagen gebe. "Solche Listen sind relevant, weil eine Häufung von Kurzerkrankungen über einen längeren Zeitraum ein Kündigungsgrund sein kann", erklärt Achenbach.