Saubere Geschäfte – Korruptionsbekämpfung und Datenaffäre bei der Bahn

von Albrecht Maurer

Anfang Juni 2008 begann in Parlament und Öffentlichkeit eine Auseinandersetzung um die inneren Zustände der Deutschen Bahn AG. Was als Datenaffäre gehandelt wurde, war nur möglich durch den systematischen Missbrauch von Kontroll- und Aufsichtsrechten durch die für die Korruptionsbekämpfung zuständigen Organe des Konzerns und ihre externen Helfer.

„Was dem Staat der Terrorverdacht, ist etlichen Unternehmen mittlerweile der Korruptionsverdacht“, schrieb Hans Leyendecker im Juni 2009 in der „Süddeutschen“ anlässlich der Datenaffäre bei der Bahn. „Mit enormer Energie gehen Sicherheitsabteilungen großer Konzerne gegen vermutete oder behauptete Kriminalität vor, die sie der Einfachheit halber ‚Korruption‘ nennen … Selbst das Aufspüren von möglichen Verstößen wurde intern damit begründet, dass man so die Korruption bekämpfen wolle.“[1]

Die Affäre bei der Deutschen Bahn AG (DB AG) förderte einen kaum vorstellbaren Umgang des Unternehmens mit den Daten der eigenen aber auch denen fremder Belegschaften und Geschäftspartner zutage. Unter dem damaligen Bahnchef Hartmut Mehdorn hatte der Konzern seine Beschäftigten „systematisch einer Rasterfahndung“ unterzogen.[2] Seit Ende der 90er Jahre hatte es – ohne Kenntnis des Betriebsrates und des betrieblichen Datenschutzbeauftragten – mehrere Wellen von „Screenings“ gegeben. Bei der größten derartigen Aktion waren in den Jahren 2002/2003 die Daten von 170.000 MitarbeiterInnen mit denen von 80.000 Partnerfirmen abgeglichen worden, um mögliche Betrügereien aufzudecken. Zur Aufklärung möglicher Verstöße ließ der Bahn-Konzern MitarbeiterInnen auch von „externen Dienstleistern“, im Klartext: privaten Ermittlerfirmen, ausforschen. Projekte trugen Phantasienamen wie „Babylon“, „Eichhörnchen“, „Rubens“ oder „Kabeljau“.

Möglich war das Ganze nur durch den nahezu unbegrenzten Zugang der Ermittlungsstellen des Konzerns zu Daten von Beschäftigten und Geschäftspartnern. Die Bespitzelung diente aber nicht nur der Kor­ruptionsbekämpfung, sondern auch zur Identifizierung von internen KritikerInnen und deren journalistischen Kontaktleuten. Um den „Abfluss“ betriebsinterner Informationen zu unterbinden, wurden von März 2005 bis Oktober 2008 täglich rund 145.000 E-Mails automatisch auf bestimmte Adressaten und eine Liste von Suchbegriffen hin kontrolliert, die in diesem Zeitraum insgesamt 45-mal bearbeitet und ergänzt wurde und am Ende rund 570 solcher „Hitwords“ enthielt.[3]

Nachdem schon im Jahre 2008 immer mehr Details der Affäre in die Schlagzeilen geraten waren und der damalige Bahnvorstand aus naheliegenden Gründen nicht zu einer Aufklärung bereit war, gab der Aufsichtsrat des Konzerns im Februar 2009 zwei Untersuchungen in Auftrag: die eine bei dem Wirtschaftsprüfungsunternehmen KPMG und die andere bei den ehemaligen JustizministerInnen Gerhart Baum und Herta Däubler-Gmelin.[4] Ende März 2009 trat Hartmut Mehdorn endgültig zurück, sechs Wochen später wurde auch sein Chief Compliance Officer Wolfgang Schaupensteiner geschasst.[5] Am 13. Mai nahm der DB-Auf­sichtsrat die Empfehlungen der beiden Gutachten an. Für die Bundesregierung war die Sache kurz darauf erledigt. Im Juni 2010 erklärte sie in der Antwort auf eine Anfrage der Linken im Bundestag, sie betrachte „die Datenaffäre als aufgearbeitet“. Die staatsanwaltschaftlichen Untersuchungen dauerten zwar noch an, aber „der Vorstand der DB AG hat die notwendigen organisatorischen und personellen Konsequenzen aus den Feststellungen gezogen.“[6]

Wie war ein solcher Skandal möglich in einem Unternehmen, das weltweit dafür gelobt worden war, die seit etwa 15 Jahren international immer dringender geforderten Anti-Korruptionsrichtlinien und -maß­nahmen vorbildlich umgesetzt zu haben. Die Frage führt mitten in das Geflecht aus aktiven oder ehemaligen VertreterInnen staatlicher Sicherheitsbehörden, privaten Ermittlungsdiensten und den im Bahnkonzern unter dem Stichwort „Compliance“ eingerichteten Strukturen.

Die Entwicklung der DB-Compliance

Der Begriff „Compliance“ schwappte in den 90er Jahren aus dem US-Managementjargon nach Europa über und bezeichnet die Selbstverpflichtung von Unternehmen, „ein System einzurichten, welches gewährleistet, dass sich alle Mitarbeiter an die rechtlichen Rahmenbedingungen halten (to comply: befolgen, erfüllen). Das betraf (zunächst, A.M.) insbesondere Geldwäsche, Korruption und Insiderhandel … Mittlerweile reicht das Einhalten formalrechtlicher Regelungen nicht mehr aus, um in der Öffentlichkeit einen glaubwürdigen Eindruck von Integrität zu präsentieren. Schritt für Schritt entwickeln Unternehmen darum zusätzlich Standesregeln und unternehmensspezifische Verhaltenskodizes (‚Codes of Conduct‘).“[7] Und nicht nur das: Sie bauen auch die entsprechenden internen Kontroll- und Ermittlungsstrukturen auf, um Verstöße gegen die rechtlichen und „ethischen“ Regeln aufzudecken bzw. zu verhindern.

Trotz einer Reihe von Korruptionsfällen beim Zusammenschluss von Bundesbahn (West) und Deutscher Bahn (Ost) gab es ein solches fest organisiertes Compliance Management bei der DB AG in den 90er Jahren noch nicht. Die Korruptionsbekämpfung erfolgte – wie es im KPMG-Be­richt heißt – „einzelfallbezogen durch die Organisationseinheiten Recht, Konzernrevision und Konzernsicherheit“.[8] Der Bericht nimmt einen Vorstandsbeschluss vom 16. Februar 2001 als Ausgangspunkt für die Einrichtung eines eigenen Compliance-Bereichs im Konzern.[9] Die Ermittlungen wurden zwar weiterhin von der Konzernrevision oder der Konzernsicherheit geführt, ein neu geschaffener Lenkungskreis Compliance (LKC) „unter der Leitung der Organisationseinheit Recht“, diente aber nun als Koordinations- und gleichzeitig als Entscheidungsgremium für die an der Korruptionsbekämpfung beteiligten Gliederungen des Konzerns.

Leiter des LKC und gleichzeitig Chef der Abteilung „Ermittlung und besondere Aufgaben“ war ab 2001 Jens Puls, der zuvor siebzehn Jahre beim Bundeskriminalamt (BKA) gearbeitet hatte. Weitere Mitglieder waren die Leiter der Organisationseinheiten Revision, Recht und Sicherheit, die Chefs der Abteilungen „Konzernsicherheit Ermittlungen“ und „Arbeitsrecht und Baurecht“ sowie die beiden im Jahr zuvor als Ombudsleute bestellten Anwälte, die als Ansprechpartner unter anderem für das Personal dienen sowie Anzeigen und Verdachtshinweise auf Korruption und andere Regelverstöße entgegennehmen sollten. Der eine hatte bis 1999 in der Organisationseinheit Recht des Konzerns gearbeitet, der andere hatte eine Polizeikarriere hinter sich: Er war zunächst Mitarbeiter des BKA, danach Landeskriminaldirektor in Magdeburg und zuletzt Polizeipräsident in Offenbach gewesen.

Ab 2001 entstanden auch diverse Richtlinien, die schrittweise den Praktiken der mit der „Compliance“ befassten Organisationseinheiten des Konzerns eine interne Rechtsgrundlage geben sollten. Im Juni 2002 trat die Richtlinie 166.0101 – „Interne Revision: Ziele, Aufgaben, Kompetenzen, Verantwortung, Zusammenarbeit“ – in Kraft. Sie verlieh der Konzernrevision ein „uneingeschränktes Informationsrecht“. Deren PrüferInnen konnten danach alle für notwendig befundenen Informationen, auch IT-gestützte, einholen und die Unterlagen einse­hen. „Der Konzernrevision wurde darüber hinaus die Befugnis erteilt, im Rahmen ihrer Aufgabenstellung Externe in ihre Prüfungen einzubinden.“[10] Die Richtlinie 135 0101 „Ermittlungen: Ziele, Aufgaben und Zuständigkeiten“ räumt den ErmittlerInnen des Konzerns zusätzlich die Befugnisse zur Einbindung externen Fachwissens und zur Durchführung von Befragungen ein. In der Fassung vom 1. Juni 2007 erhielten „die mit der Durchführung von Ermittlungen beauftragten Mitarbeiter/innen“ ferner ein „Zutrittsrecht zu allen Einrichtungen und Fahrzeugen des DB-Konzerns.“[11]

Konzernrevision und Konzernsicherheit erhielten zwar durch diese Richtlinien umfassende Befugnisse für die Ermittlungen, die der LKC anordnete. Kennzeichnend ist aber, dass konkretisierende Regelungen zum Beispiel für den Umgang mit verdächtigten MitarbeiterInnen oder Anweisungen, wie Verfahren durchzuführen seien, fehlten.[12]

Der kurze Dienstweg zu den Privaten

Die Befugnisse zur Nutzung externen Fachwissens und zur Einbeziehung Externer legitimierten notdürftig den Beizug privater Rechercheure und Ermittlungsfirmen, der bereits vor Erlass der Richtlinien zur Praxis der KorruptionsbekämpferInnen des Konzerns gehörte.

Mindestens sechs solcher Firmen haben im Laufe der Jahre Aufträge der Bahn erhalten, die meisten gingen an die Network Deutschland GmbH (NWD), mit der die Bereiche Konzernsicherheit und Revision spätestens seit 1998 zusammenarbeiteten und die danach auch zum wichtigsten „externen Dienstleister“ des LKC wurde.[13] Der Kontakt zu NWD soll auf einem Seminar entstanden sein, erklärten Bahnvertreter gegenüber dem Berliner Datenschutzbeauftragten. Das kleine Unternehmen „mit vier bis sechs Mitarbeitern, die von der Ausbildung her Mathematiker oder Informatiker seien … sei für die Deutsche Bahn AG insbesondere aufgrund seiner internationalen Kontakte interessant gewesen“, heißt es im Gesprächsvermerk des Datenschutzbeauftragten.[14] Die Muttergesellschaft der NWD soll ihren Sitz in Großbritannien gehabt haben, in den beiden Untersuchungsberichten und den Unterlagen des Verkehrs­ausschusses findet sich nicht einmal deren Name. Der wurde auch auf Nachfrage von Abgeordneten weder im Verkehrsausschuss noch im Plenum des Bundestags bekannt gegeben.[15] Fakt ist allerdings, dass der Berliner Firmensitz der NWD sehr schnell nach dem Bekanntwerden der Telekom- und DB-Skandale „verwaist“ war.[16]

Wie viele „Projekte“ der NWD zugeschanzt wurden, ist nicht definitiv klar. Bis 2007 sollen es insgesamt 43 mit einem Volumen von insgesamt 800.000 Euro gewesen sein.[17] Für ihren größten Einzelauftrag kassierte die NWD 128.000 Euro.[18] Die Vergabe erfolgte jeweils „ausschließlich mündlich“, was die Berliner DatenschützerInnen auch wegen der Höhe erstaunte. Die Aufträge seien nicht ausgeschrieben worden, weswegen es „entsprechend der Praxis der Deutschen Bahn AG“ nicht einmal ein „kaufmännisches Bestätigungsschreiben“ gegeben hat. Selbst bei „Großprojekten“, bei denen sich Vertreter der Bahn und der NWD zuvor zu einem Workshop getroffen hatten, machten sich nur Letztere Aufzeichnungen. Nur dann, wenn ein Projekt zu Verdachtsfällen führte, lieferte NWD ein Gutachten, in dem dann auch die Aufgabenbeschreibung und die Zielsetzung des Auftrags nachzulesen war. Gab es keinen Verdacht oder führten die Nachforschungen zur Entlastung der betroffenen MitarbeiterInnen, dann gab es auch keinen Bericht – angeblich aus Fürsorgepflicht gegenüber den Betroffenen.[19] Diese Fürsorge reichte aber nicht für eine Benachrichtigung des Betriebsrates oder des betrieblichen Datenschutzbeauftragten.

Die Bahn, vor allem die Konzernrevision, lieferte Daten an NWD, die dann jeweils weitere Informationen suchte. Bei Großprojekten waren über tausend Personen betroffen, bei den kleineren „insgesamt ca. 500“. MitarbeiterInnen, deren EhepartnerInnen, Lieferanten und sonstige Vertragspartner seien überprüft worden – „nicht jedoch Fahrgäste“. Die NWD war auch an dem Screening von 2002/2003 beteiligt und lieferte die Software für den Datenabgleich, der aber in Räumen des Konzerns stattgefunden habe. NWD besorgte unter dem Codewort „Babylon“ auch die weiteren Ermittlungen über Personen, die bei diesem Abgleich auf die „Positivliste“ gerieten. Anders als beim Telekom-Skandal habe NWD für den Bahnkonzern keine Telefon-, Bank- oder Steuerdaten ausgewertet, betonten die DB-Vertreter gegenüber dem Berliner Datenschutzbeauftragten.

Allerdings, so heißt es weiter in dem Gesprächsvermerk, „räumten die Vertreter der Deutschen Bahn AG auf Nachfrage ein, dass sie bezüglich der Umsetzung der Aufträge keine Vorgabe gemacht haben, entscheidend war nur das Ergebnis. Insofern kann die Deutsche Bahn AG zumindest nicht ausschließen, dass die Network Deutschland GmbH auch Telefonverbindungen, Bank- und Steuerdaten ausgewertet hat. So ist ihr auch nicht bekannt, ob und wenn ja in welchen Fällen Unteraufträge verteilt wurden. Hierzu war die Network Deutschland GmbH jedenfalls unbeschränkt berechtigt.“[20] Anders ausgedrückt: im Umgang mit der NWD verfuhr der Bahnkonzern nach dem Motto der drei Affen: nichts sehen, nichts hören und nichts sagen – vor allem aber: nichts niederschreiben.

Dieses Motto galt offenbar auch für die Aufträge, die nicht direkt, sondern über einen Anwalt an die Kölner Detektei Argen gingen, berichtete das „Handelsblatt“ unter Berufung auf den Berliner Datenschutzbeauftragten.[21] Im Falle eines der Korruption verdächtigten Mitarbeiters habe diese Firma sehr wohl und offenbar „in großem Umfang“ Kontodaten geliefert, mit denen aber die Anschuldigungen nicht nachgewiesen werden konnten. Solche Informationen, gegebenenfalls sogar Original-Kontoauszüge, zu besorgen, gehöre zur „Spezialität“ der Detektei. Wie die Firma, die nur vier Angestellte habe, aber einen Jahresumsatz von vier Millionen Euro ausweise, an solche Daten herankomme, sei nicht bekannt. Die Argen GmbH sei ursprünglich der deutsche Ableger der britischen „Argen Information Services“ gewesen, die 1968 von einem ehemaligen Mitarbeiter des britischen Inlandsgeheimdienstes MI 5 gegründet wurde und 2003 vom Konkurrenzunternehmen Capcon aufgekauft wurde. Auch dieses Unternehmen wirbt damit, dass Betrugs­ermittlungen und „forensic accounting“ zu seinen Kerngeschäften gehöre.[22]

Kurz aber heftig: die Ära Schaupensteiner

Im Jahre 2007 erfuhr die Organisation des „Compliance-Managements“ der DB eine Reorganisation. Der LKC wurde aufgelöst und stattdessen ein eigener Bereich Compliance mit einem Chief Compliance Officer (CCO) an der Spitze geschaffen, der nun direkt dem Vorstandsvorsitzenden unterstand. Die Stelle des CCO übernahm Wolfgang Schaupensteiner, der bis dahin als Oberstaatsanwalt in Frankfurt/Main amtierte und sich nun – mit Rückkehrgarantie – aus dieser Funktion beurlauben ließ.

Im November 2008 hatte der Bereich Compliance 28 MitarbeiterInnen. „Eine personelle Aufstockung ist vorgesehen“, verkündete Schaupensteiner in seinem Referat auf der Herbsttagung des BKA.[23] Hinzu kamen 24 Compliance Officers, die „als Ansprechpartner in allen Bereichen weltweit agieren“. Der Bereich gliederte sich nun in drei Abteilungen: zum einen die für „Ermittlungen/Regressierung/Hinweisgebersys­tem“, in die auch die bestehenden Ermittlungsmanagement-Anteile der Konzernsicherheit und der Revision eingegliedert wurden. Hier arbeiteten laut Schaupensteiner neben Bauingenieuren „Spezialisten mit kriminalistischer Berufserfahrung“. Laut dem KPMG-Bericht konnte fallbezogen „eine Beauftragung der Konzernrevision erfolgen“, wenn „personelle Res­sourcen fehlten oder besondere fachliche Expertise für die Fallbearbeitung notwendig“ war. Aufgebaut wurde auch eine Einheit „Ermittlungen international“.[24] Zuständig war die Abteilung auch für das elektronische Hinweisgebersystem, „eine Internet-Hotline, die weltweit und rund um die Uhr angeklickt werden kann“ und Meldungen über anonyme E-Mail-Accounts ermöglichte.

Eine neue „Risikominimierungsrichtlinie“, gültig ab Januar 2009, verlieh der Compliance „uneingeschränkte Auskunftsansprüche und Befragungsrechte“ und stattete sie – wie zuvor die Konzernrevision – mit der Befugnis aus, alle Informationen (auch IT-gestützte) einzuholen sowie Unterlagen einzusehen.[25]

Die zwei weiteren Abteilungen befassten sich mit „Schulung/Richt­linien/Information“ und „Monitoring/Prozesse“. An Letztere war auch das „Compliance-Committee“ mit den Compliance Officers angegliedert.

Schon als staatlicher Strafverfolger hatte der Korruptionsspezialist Schaupensteiner Kontakt mit seinen neuen Brötchengebern. Mindestens 15 Korruptionskomplexe im Bahnkonzern mit über 200 Beschuldigten soll er als Oberstaatsanwalt bearbeitet haben. Konzernchef Mehdorn sprach von über 500 Verdachtsfällen.[26] Und auch in seiner neuen Rolle schien Schaupensteiner mit eisernem Besen kehren zu wollen. Bei Sanktionen, so erklärte er in seinem Vortrag beim BKA, sei „keine Rücksicht auf die hierarchische Einordnung betroffener Mitarbeiter“ zu nehmen. Bei der Compliance gehe es darum, „die loyalen Mitarbeiter zu schützen, die ethischen Werte des Unternehmens konzernweit zu implementieren und mit integren Geschäftspartnern ‚saubere Geschäfte‘ zu machen.“ Repressive und präventive Ansätze seien dabei zu kombinieren.

Als Schaupensteiner im November 2008 seinen Vortrag beim BKA hielt, war die Datenaffäre bereits am köcheln. Fünf Monate zuvor hatte der CCO vor dem Verkehrsausschuss des Bundestages auch die flächendeckenden „Screenings“ der Mitarbeiter und die Kooperation mit der Network Deutschland GmbH rechtfertigen müssen. Ziel sei die „Aufklärung von Nähebeziehungen im Kontext Korruption“ gewesen, wozu geschäftliche, private und persönliche Beziehungen, Wohnort und anderes gehörten. Nähebeziehungen könnten sich zu „Korruptionsbeziehungen“ auswachsen. Die „Compliance“ müsse tätig werde, bevor tatsächlich Anhaltspunkte für eine Straftat vorlägen.[27]

Im Mai 2009 musste der CCO den Hut nehmen, nachdem sich deutliche Hinweise ergeben hatten, dass er selbst die Vernichtung der „Ereignisdatenbank Ermittlungen“ angeordnet hatte, in der alle Compliance-Fälle seit 2001 registriert waren.[28] Statt in sein Amt als Staatsanwalt zurückzukehren, entschied er sich für den Verbleib in der Privatwirtschaft. „Da haben Sie ganz andere Gestaltungsmöglichkeiten.“ Er gründete sein eigenes Unternehmen: „Corporate Risk & Compliance Consulting“.[29]

Alles neu?

„Dr. Rüdiger Grube tritt am 1. Mai sein Amt als neuer DB-Chef an und folgt damit auf Hartmut Mehdorn, der den Posten fast zehn Jahre innehatte.“ So steht es in der „Chronologie“ des DB-Konzernberichts 2009, in der man nach den Gründen für Mehdorns Abgang und nach Spuren des Skandals umsonst sucht. Letztere finden sich erst im „Compliance-Bericht“, wo den LeserInnen mitgeteilt wird, dass der Aufsichtsrat „als Konsequenz aus der Datenaffäre … ein neues Vorstandsressort für Com­pli­ance, Datenschutz, Konzernsicherheit und Recht geschaffen“ hat. Im dritten Quartal 2009 sei ein „Integriertes Compliance Management“ eingeführt worden, das über die Korruptionsbekämpfung hinaus sämtliche rechtlichen und internen Verhaltensregeln ins Auge fasse und nun nicht mehr in erster Linie repressiv, sondern präventiv ausgerichtet sei.[30]

Das Compliance-Team und das Compliance-Board beschäftigen sich nun in erster Linie mit dem Monitoring von Prozessen, der Ausarbeitung von „Guidelines“, der Beratung und dem Training. Das Compliance-Ko­mitee, „welches sich mit Fällen von möglichen Regelverstößen beschäftigt und Empfehlungen für die weitere Behandlung ausspricht“, führt nun ähnlich wie vor 2007 der Lenkungskreis „keine eigenen Ermittlungen durch, sondern löst solche bei Bedarf lediglich aus.“ Die Ausführung übernimmt eine „Organisationseinheit Ermittlungen“ im Bereich der Konzernsicherheit, über die nichts Weiteres bekannt ist.[31]

Das „elektronische Hinweisgebersystem“ steht „aktuell nicht zur Verfügung“, heißt es auf der DB-Hompage, soll aber nach der „datenschutzrechtlichen Prüfung“ wieder in Betrieb genommen werden. Im November 2010 einigten sich Vorstand und Betriebrat auf eine Vereinbarung zum Beschäftigtendatenschutz, die „eine Verwendung personenbezogener Daten außerhalb der mit der Interessenvertretung vereinbarten IT-Systeme“ ausschließt und Ermittlungen zu Gesetzesverstößen „nur aufgrund hinreichender Verdachtsmomente und nur im Fall des Überschreitens einer Bagatellgrenze“ zulässt.[32]

Auswüchse wie in der „Datenaffäre“ scheinen damit fürs Erste gebannt. Das Grundproblem, dass ein (privatisierter) Konzern neben und in Zusammenarbeit mit staatlichen Polizei- und Strafverfolgungsbehörden und weitgehend nach eigenen Regeln interne Ermittlungen betreibt, bleibt bestehen.

[1] Süddeutsche Zeitung v. 12.6.2009
[2] Stern v. 2.4.2009
[3] Stern v. 2.4.2009; Süddeutsche Zeitung v. 3.4.2009
[4] KPMG AG: Die Sonderuntersuchung bei der DB AG, Berlin 13.5.2009; Däubler-Gmelin, H.; Baum, G.: Zusammenfassender Kurzbericht, Düsseldorf, Berlin 13.5.2009
[5] Süddeutsche Zeitung v. 28.5.2009
[6] BT-Drs. 17/2229 v. 18.6.2010
[7] Geißler, C.: Was ist compliance management?, in: Harvard Business Manager 2004, H. 2, www.harvardbusinessmanager.de/heft/artikel/a-620695.html
[8] KPMG a.a.O. (Fn. 4), S. 1
[9] ebd., S. 73 ff.
[10] ebd., S. 74
[11] Konzernrichtlinie 135 0101 Organisation und Managementsysteme, S. 4
[12] KPMG a.a.O. (Fn. 4), S. 74
[13] Ursprünglich hatte der spätere Chief Compliance Officer Schaupensteiner behauptet, NWD sei die einzige Firma gewesen, die entsprechende Aufträge erhalten hatte. Diese Version ließ sich ab Februar 2009 nicht mehr halten, s. Deutsche Bahn: Zwischenbericht – Überprüfung der Ordnungsmäßigkeit von Maßnahmen der Korruptionsbekämpfung in den Jahren 1998-2007, Berlin 2009 (dem BT-Verkehrsausschuss vorgelegt am 10.2.2009), S. 36
[14] Berliner Beauftragter für Datenschutz und Informationsfreiheit: Gespräch mit der Deutschen Bahn AG über die Geschäftsbeziehungen des Unternehmens mit der Network Deutschland GmbH am 28. Oktober 2008, Vermerk v. 13.11.2008, S. 2 (www.netzpoli
tik.org/wp-upload/datenschutz_bei_der_bahn.pdf)
[15] BT-PlProt. 16/204 v. 11.2.2009, S. 22058 f.
[16] Hamburger Abendblatt v. 4.6.2008
[17] BT-Verkehrsausschuss, Protokoll der 68. Sitzung v 25.6.2008
[18] Deutsche Bahn a.a.O. (Fn. 13), S. 26
[19] Berliner Beauftragter für Datenschutz a.a.O. (Fn. 14) S. 2 f.
[20] ebd., S. 6 f.
[21] Handelsblatt v. 4.5.2009
[22] www.capconplc.com
[23] Schaupensteiner, W.: Governance und Compliance, Referat auf der BKA-Herbst­tagung, 13.11.2008, www.bka.de/kriminalwissenschaften/herbsttagung/2008/schaupen­steiner_
langfassung_deutsch.pdf
[24] KPMG a.a.O. (Fn. 4), S. 76 f.
[25] ebd., S. 77
[26] Handelsblatt v. 29.5.2007; Neues Deutschland v. 4.2.2009
[27] BT-Verkehrsausschuss, Protokoll der Sitzung v. 25.6.2008
[28] Süddeutsche Zeitung v. 28.5.2009
[29] Handelsblatt v. 8.4.2010
[30] www.deutschebahn.com/site/ir/dbkonzern__gb__online__2009/de/start.html
[31] www.deutschebahn.de/site/bahn/de/konzern/compliance/team/aufgaben.html
[32] DB-Presseinformation v. 25.11.2010