Aufholbedarf bezüglich Datenschutz – Schweizer Unternehmen unter der Lupe

www.fotolia.com

Am diesjährigen Swiss CRM Forum stellte Brian Rüeger fest, dass sich Schweizer Unternehmen bezüglich Datenschutz noch im „Dornröschenschlaf“ befinden. In vielen Unternehmen gibt es laut eigenen Angaben im Rahmen der Studie Swiss CRM 2012 zu wenig Datenschutz-Know-how, keine klare Regelung der Zuständigkeit, kein spezifisches Budget und noch sehr zurückhaltend umgesetzte Massnahmen zum Schutz der Daten. Es besteht also noch viel Nachholbedarf. Dies, obwohl die Bedeutung als hoch eingestuft wurde. Gut 80 Prozent der Unternehmen beurteilen die Thematik als eher oder sehr wichtig. Das Interview mit der betrieblichen Datenschutzbeauftragten der Migros zeigt den vorbildlichen Umgang mit diesem Thema.

Nur teilweise klare Zustimmung der Kunden zur Verwendung der Daten vorhanden

Eine zentrale Fragestellung des Datenschutzes bezieht sich auf die Kenntnis der Kunden bezüglich der Verwendung ihrer Daten. Ein Auszug aus dem Datenschutzgesetz besagt: „Personendaten dürfen nur dann bearbeitet werden, wenn der Verwendungszweck bei der Beschaffung angegeben wurde, dieser aus den Umständen ersichtlich oder gesetzlich vorgesehen ist.“ Bei der Auswertung der Studienresultate wird deutlich, wie fahrlässig Schweizer Unternehmen mit diesem Thema teilweise umgehen. Die Ergebnisse im Überblick:

  • Lediglich 16,7% der Unternehmen informieren ihre Kunden systematisch über die Bearbeitung ihrer Daten und den Bearbeitungszweck. Bei 7,4% davon haben die Kunden der Bearbeitung auch ausdrücklich zugestimmt.
  • Weitere 52,8% haben angegeben, dass der Verwendungszweck deutlich aus den Umständen ersichtlich ist. Die Informationspflicht entfällt somit. Dementsprechend eingeschränkt sind allerdings die Möglichkeiten der Datenerhebung und -bearbeitung. Es dürften in diesem Fall lediglich minimale Daten zur Erfüllung der Leistung gespeichert werden.
  • Knapp ein Drittel der Schweizer Unternehmen verzichtet gänzlich auf die Information ihrer Kunden bezüglich der Datennutzung. 21,2% gehen dabei davon aus, dass die Kunden mit der Nutzung ihrer Daten einverstanden sind.

Die Teilnehmenden selbst geben die Kenntnisse über die Rechtsgrundlagen als eine der zentralen Herausforderungen im Datenschutz an.


Auskunftspflichten bei Konsumenten ebenso wenig verankert wie bei den Unternehmen

Das Auskunftsrecht der Kunden hat zum Ziel, den Konsumenten die Kontrolle über die Sammlung, Nutzung und Weitergabe ihrer Daten zu sichern. Es scheint, als ob das Recht zur Anforderung sämtlicher über sie gespeicherten Daten inkl. deren Herkunft und Verwendungszweck bei den Konsumenten noch nicht angekommen ist, oder das Interesse daran fehlt. Hier einige Zahlen:

  • Lediglich 10% der befragten Unternehmen haben bereits eine solche Anfrage erhalten.
  • Knapp 70% der Unternehmen sehen kein Problem darin, solche Anfragen mit vernünftigem Aufwand zu bearbeiten. Nur 11,1% verneinen dies.
  • Um solche Forderungen effizient zu erfüllen, bestehen in 27,3% der Unternehmen klare Richtlinien. Gut die Hälfte der Unternehmen hat den Prozess (noch) nicht geregelt.
  • Bei allen Fragen konnte ca. ein Fünftel der Unternehmen keine Antwort geben. Es scheint, dass ein bedeutender Teil der CRM-Entscheidungsträger sich bisher nicht aktiv mit solchen Fragestellungen beschäftigt hat.

Wie wir bereits berichteten, haben wir 15 Unternehmen unter Privatnamen angeschrieben und Einsicht in die über uns gespeicherten Daten verlangt. 4 der 15 angefragten Unternehmen haben überhaupt keine Reaktion auf unsere Schreiben gezeigt. 11 Unternehmen haben innerhalb der Frist geantwortet. Nun wollten wir es genauer wissen und erkundigten uns bei Migros Cumulus.

Migros Cumulus sieht den Datenschutz als zentrale Führungsaufgabe

Schon bei der Betrachtung der Website wird ersichtlich, dass das Thema Datenschutz bei Migros gross geschrieben wird. Es wird sehr offen kommuniziert. Migros verpflichtet sich u.a. in ihren Datenschutzgrundsätzen: „Gegenüber unseren Kundinnen und Kunden sorgen wir für Transparenz – insbesondere bezüglich der Nutzung der Daten“. Migros informiert direkt über das Auskunftsrecht und verlinkt auf die Website des eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten. Dies verspricht viel, was in unserer Testanfrage auch gehalten wurde.  Migros hat schnell  und professionell geantwortet.

Lisa Moser, Projektleiterin für Cumulus und zuständig für das Thema Datenschutz, erzählt in einem Kurzinterview mehr zum Thema.

Welchen Stellenwert hat das Thema Datenschutz bei Cumulus?

Der Datenschutz ist für Cumulus sehr wichtig: Unsere Kundinnen und Kunden sollen sich darauf verlassen können,  dass wir mit ihren Daten sorgfältig umgehen und den Datenschutz in jeder Beziehung respektieren und einhalten.

Gerade im Zeitalter von Facebook, Google und Videoüberwachung ist ein sensibler Umgang mit Kundendaten wichtiger denn je. Nicht nur auf Kundenseite wird es immer bedeutender, sich mit dem Thema zu beschäftigen und abzuwägen, welche Daten man von sich preisgeben will. Auch die Unternehmen, denen Kunden ihre Daten anvertrauen, müssen erkennen, welcher „Schatz“ ihnen zur Verfügung steht und entsprechende Schutz-Massnahmen einleiten und umsetzen.

Wie ist das Thema Datenschutz bei Cumulus organisiert?

Wir betrachten den Datenschutz bei Cumulus als eine zentrale Führungsaufgabe. Personen, welche Zugriff auf die Personendaten haben, werden regelmässig geschult und für den Umgang mit den Daten sensibilisiert.

Datenschutz-Themen werden jeweils in einem Team bestehend aus Business (betrieblicher Datenschutzbeauftragter, Leiter der involvierten Abteilungen) sowie dem Rechtsdienst besprochen und weiterentwickelt. Es wird sichergestellt, dass entsprechende Ressourcen (personell und finanziell) zur Verfügung stehen.

Die interne Kontrolle allein reicht Cumulus aber nicht: Jährlich lässt sich Cumulus deshalb von der unabhängigen Stelle SQS (Schweizerische Vereinigung für Qualitäts- und Managementsysteme) mit dem sogenannten «GoodPriv@cy»-Zertifikat auditieren. Dieses Zertifikat bestätigt, dass über die gesetzlichen Anforderungen an den Datenschutz hinaus, weitere Anforderungen an die Informationssicherheit und an ein entsprechendes Managementsystem eingehalten werden. Wir sind stolz im 2002 als erste Schweizer Unternehmung das Good Privacy-Zertifikat erhalten zu haben – dieses Jahr freuen wir uns einerseits das Zertifikat wieder bestätigen zu können, anderseits das 10-jährige Jubiläum „zu feiern“.

Wie regelmässig erhält die Migros von ihren Kunden Anfragen zu den gespeicherten Daten? Welche Erfahrungen hat Cumulus damit gemacht?

Seit Beginn haben wir hier einen standardisierten Prozess: Die Kunden können ihre Daten bei der Cumulus-Infoline via schriftlich gestelltem Auskunftsbegehren anfordern (Vorlage kann via Cumulus-Infoline verlangt werden). Die Daten werden dann gezogen und innert ca. 2 Wochen per Einschreiben dem Kunden zugestellt. Die Anzahl Anfragen bewegt sich seit Jahren auf einem sehr tiefen Niveau.

Was war bis jetzt die grösste Herausforderung als betriebliche Datenschutzbeauftrage bei Migros Cumulus? Was investieren Sie, um immer auf dem aktuellsten Stand bezüglich Datenschutz zu sein?

Das ist eine gute Frage. Die grösste Herausforderung ist wohl, dass man Datenschutz schwierig messen kann. Nehmen wir z.B. die Mitarbeiter-Sensibilität für Datenschutz. Klar kann man diese durch Befragung messen – die Erfassung der effektiven „Verinnerlichung“ ist aber eher schwierig.

Ich persönlich informiere mich z.B. über die EDÖB-Datenschutz-Newsletter. Auch der interne Austausch sowie ein Blick „über den Tellerrand hinaus“ beispielsweise durch Gespräche mit Kollegen aus anderen Branchen sind sehr wichtige und spannende Quellen.

Viele Kunden machen sich Sorgen darüber, was mit ihren Daten geschieht und wie viel die Unternehmen über sie wissen. Was passiert konkret mit den Cumulus Nutzungsdaten?

Personen, die uns bei ihrer Anmeldung zu Cumulus erlaubt haben, ihre Adresse zu verwenden, erhalten Angebote und Informationen von Firmen der Migros Gemeinschaft. Wann immer wir sie kontaktieren, vermerken wir, dass wir dies aufgrund ihrer Erlaubnis anlässlich der Cumulus-Anmeldung tun.

Nebst den adressierten Direct Mailings werden die Daten primär anonym für Analysen verwendet. Mit der Datenanalyse verfolgen wir das Ziel, das Sortiment, einzelne Produkte oder unsere Prozesse für den Kunden noch besser zu gestalten. Anhand der Cumulus-Daten wird beispielsweise versucht, die Sortimente einzelner Filialen möglichst gut auf den Bedarf der jeweiligen Filialkundschaft abzustimmen. Während grosse Filialen über ein sehr breites Sortiment verfügen, ist es bei kleineren zentral, das Angebot so zusammenzustellen, dass die Kunden alles finden, was sie brauchen. Das Kaufverhalten des Einzelkunden steht dabei nicht im Vordergrund, wir interessieren uns vielmehr für ganze Kundengruppen wie Familien oder Haushalte mit Haustieren.

Cumulus-Daten kommen weiter zum Einsatz, wenn ein Produkt aus Qualitätsgründen zurückgezogen werden muss. Nebst der breiten Kommunikation via Medien und dem digitalen Migros-Newsletter können wir dank den Cumulus-Kassendaten alle Kunden, die das betroffene Produkt gekauft haben, direkt per Brief anschreiben.

Welchen Nutzen können Kunden aus der Verwertung ihrer Daten erwarten?

Durch die Datenanalyse versuchen wir kontinuierlich Prozesse, Kommunikation und Angebote mehr auf unsere Kunden auszurichten, so dass sie relevanter werden. Wir haben hier noch viel Potenzial – sind aber auf einem guten Weg.

Der komplette Studienbericht „Swiss CRM 2012“ kann hier als PDF kostenlos bezogen werden.



Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert