Der Migros-Genossenschafts-Bund (MGB) war 2002 stolz darauf, für sein Cumulus-Kundenbindungsprogramm als erstes schweizerisches Unternehmen das «Good Privacy»-Zertifikat erhalten zu haben. Inzwischen hat die Migros die Zertifizierung still und leise beendet.
Der Verzicht auf das «Good Privacy»-Zertifikat geht aus den Fragen und Antworten zum Cumulus-Bonusprogramm hervor. Demnach bietet das Zertifikat für die Migros «keinen wesentlichen Mehrwert» und die Kunden messen dem Zertifikat ebenfalls «keine grosse Bedeutung» zu.
Was ist die Zertifizierung gemäss «Good Privacy»?
«Good Privacy», offizielle Schreibweise «GoodPriv@cy®:2018», ist ein schweizerisches Datenschutzgütesiegel bzw. eine schweizerische Zertifizierung für Datenschutz-Management-Systeme (DMS).
Die federführende Schweizerische Vereinigung für Qualitäts- und Management- Systeme (SQS) beschreibt «Good Privacy» unter anderem wie folgt:
«GoodPriv@cy®:2018& […] wird vergeben für die vorbildliche Umsetzung des Datenschutzes und der damit verbundenen Informationssicherheit. Vorrangiges Ziel von GoodPriv@cy®:2018 ist es, das Vertrauen der Öffentlichkeit in die Einhaltung des Datenschutzes (und somit des Persönlichkeitsschutzes) durch den Nutzer des Datenschutzgütesiegels zu stärken. […]»
Und:
«Ein funktionierendes Datenschutzmanagementsystem ist geeignet als Voraussetzung für den sicheren Umgang mit Personendaten sowie für die wirksame Erfüllung der datenschutzrechtlichen und vertraglichen Grundlagen einschliesslich einer angemessenen Informationssicherheit. Das Zertifikat dient zur Förderung von Image und Vertrauen bei Partnern, Konsumenten, Behörden und öffentlichen Stellen.»
Die «Good Privacy»-Zertifizierung ist kompatibel mit den Anforderungen der europäischen Datenschutz-Grundverordnung (DSGVO) und muss alle drei Jahre erneuert werden.
«GoodPriv@cy» ist in der Schweiz als Garantiemarke und Wort-Bild-Marke in den Nizza-Klassen 9 und 42 seit dem 10. März 2000 geschützt (Markennummer P-487242).
Wie begründet die Migros den Verzicht auf «Good Privacy»?
Die Migros verweist auf das neue Datenschutzgesetz in der Schweiz und erklärt, man habe das neue Gesetz zum Anlass genommen, die «Datenschutzprozesse umfassend zu überprüfen»:
«Dabei hat sich gezeigt, dass die Auditierung durch Good Privacy keinen wesentlichen Mehrwert bietet und dem Zertifikat auch von Kunden keine grosse Bedeutung zugemessen wird. Die Migros erfüllt auch ohne das Zertifikat bereits die hohen Sicherheitsanforderungen.»
Und:
«Cumulus hat 2002 als erste Organisation im Detailhandel das Datenschutzzertifikat Good Privacy erlangt. Good Privacy ist ein Gütesiegel für einen verantwortungsvollen Umgang mit Personendaten und bestätigt die Einhaltung der rechtlichen Anforderungen an den Datenschutz und die Informationssicherheit. Die Auditierung des Good Privacy-Zertifikats basierte auf der Grundlage des schweizerischen Datenschutzgesetzes vom 19. Juni 1992. Seither hat sich das Datenschutzrecht in wesentlichen Teilen weiterentwickelt. Unter anderem wird 2022 ein revidiertes Datenschutzgesetz in Kraft treten. Daher wurde per 30.6.2021 wurde die Zusammenarbeit mit Good Privacy beendet.»
(Das neue Datenschutzgesetz tritt – nach einer weiteren Verspätung – voraussichtlich erst am 1. September 2023 in Kraft. Bei der Veröffentlichung der Fragen und Antworten der Migros ging man noch von einem früheren Inkrafttreten aus.)
Die Begründung für den Abschied von «Good Privacy» ist überzeugend:
- Wer kaufte bei der Migros statt bei Coop ein und sammelte Cumulus-Punkte statt Superpunkte, bloss weil die Migros sich gemäss «Good Privacy» zertifizieren liess?
- Wieso sollte sich die Migros zertifizieren lassen, wenn «Good Privacy» gar nicht hilft, das Vertrauen der Kunden zu stärken bzw. das Vertrauen unabhängig von «Good Privacy» vorhanden ist?
- Wieso sollte sich die Migros ihre Datenschutz-Compliance unabhängig bestätigen lassen, wenn sie mit eigenen Ressourcen genauso sicherstellen kann, dass das Datenschutzrecht eingehalten wird?
Das neue Datenschutzgesetz kann allerdings eine unabhängige Zertifizierung nicht ersetzen, auch wenn die neuen Strafbestimmungen verstärkte Anreize setzen, den Datenschutz zu gewährleisten. Art. 13 nDSG sieht weiterhin die Möglichkeit für Zertifizierungen vor (heute Art. 11 DSG). Dabei ist eine Zertifizierung wie «Good Privacy» aber kein Selbstzweck, sondern muss sich für ein Unternehmen lohnen.
Wie äusserte sich die Migros früher zu «Good Privacy»?
Vertreter der Migros äusserten sich in der Vergangenheit immer wieder positiv über die «Good Privacy»-Zertifizierung und deren Bedeutung für das Vertrauen der Kunden:
«Ein Datenschutzgütesiegel […] schafft […] Vertrauen»
«Der Datenschutz gewinnt in der Öffentlichkeit zunehmend an Bedeutung. Er hat einen starken Einfluss darauf, ob ein Unternehmen oder eine Behörde als vertrauenswürdig wahrgenommen wird. Ein Datenschutzgütesiegel ermöglicht es, die eigenen Datenschutzleistungen gegenüber Kunden, Geschäftspartnern und gegenüber der Öffentlichkeit objektiv zu dokumentieren und wirkungsvoll zu kommunizieren. Es schafft zudem Vertrauen. Und Vertrauen ist die Basis für ein gutes Verhältnis zwischen der Migros und ihrer Kundschaft.»
Und:
«[…] Mit der Zertifizierung bestätigt eine unabhängige und bekannte Zertifizierungsstelle, dass Cumulus gesetzeskonform arbeitet und sich an die verschiedenen selbstauferlegten Einschränkungen hält, welche im Interesse der Kundschaft definiert wurden. So bekommen die Cumulus-Teilnehmer die Gewissheit, dass mit ihren Daten sorgfältig umgegangen wird.»
(Management und Qualität, MQ: Datenschutz mit «Good Priv@cy®», 11. Juli 2018)
Bestätigung, dass «M-CUMULUS sich strikte an die Datenschutzgesetzgebung hält»
«[…] Mit dem Zertifikat bescheinigt SQS, die Schweizerische Vereinigung für Qualitäts- und Management-Systeme, dass M-CUMULUS sich strikte an die Datenschutzgesetzgebung hält und sogar weitergehende, interne Grundsätze befolgt. […]»
(Migros: Geschäftsbericht 2009)
«Der Schutz Ihrer Cumulus-Daten liegt der Migros am Herzen. Dafür spricht das Good Privacy Datenschutzzertifikat, welches das Cumulus-Programm erfüllt.»
(Migros: Oft gestellte Fragen, Datum unbekannt)
«Die interne Kontrolle allein reicht Cumulus aber nicht»
«Wir betrachten den Datenschutz bei Cumulus als eine zentrale Führungsaufgabe. Personen, welche Zugriff auf die Personendaten haben, werden regelmässig geschult und für den Umgang mit den Daten sensibilisiert.»
Und:
«Die interne Kontrolle allein reicht Cumulus aber nicht: Jährlich lässt sich Cumulus deshalb von der unabhängigen Stelle SQS (Schweizerische Vereinigung für Qualitäts- und Managementsysteme) mit dem sogenannten ‹GoodPriv@cy›-Zertifikat auditieren. Dieses Zertifikat bestätigt, dass über die gesetzlichen Anforderungen an den Datenschutz hinaus, weitere Anforderungen an die Informationssicherheit und an ein entsprechendes Managementsystem eingehalten werden. Wir sind stolz im 2002 als erste Schweizer Unternehmung das Good Privacy-Zertifikat erhalten zu haben – dieses Jahr freuen wir uns einerseits das Zertifikat wieder bestätigen zu können, anderseits das 10-jährige Jubiläum ‹zu feiern›.»
(Zürcher Hochschule für Angewandte Wissenschaften, ZHAW, Marketing Management-Blog: Aufholbedarf bezüglich Datenschutz – Schweizer Unternehmen unter der Lupe, 4. Oktober 2012)
Was bedeutet der Verzicht der Migros für «Good Privacy»?
Für «Good Privacy» bzw. für die federführende SQ dürfte der Verzicht der Migros unerfreulich sein.
Die Migros – immerhin das Pionier-Unternehmen für «Good Privacy» und eine wichtige Referenz – erklärt, dass sich das «Datenschutzgütesiegel» nach fast 20 Jahren nicht mehr lohnt. Es muss schmerzhaft sein, wenn das erste zertifizierte Unternehmen, das sich während Jahren positiv und stolz über «Good Privacy» geäussert hatte, auf die Zertifizierung verzichtet. Die Zeiten haben sich geändert, denn Datenschutz durchdringt inzwischen das ganze Leben und fristet längst kein Nischendasein mehr.
Der Abschied der Migros von «Good Privacy» vermittelt, dass das Zertifikat nicht erforderlich oder allenfalls gar untauglich ist, um Vertrauen gegenüber Kunden und Öffentlichkeit zu schaffen. Der Datenschutz kann unabhängig davon gewährleistet werden, gerade mit den Ressourcen, welche der Migros-Konzern abrufen kann.
Ich gehe davon aus, dass sich die Zertifizierung gemäss «Good Privacy» dort halten kann, wo ein Unternehmen gegenüber Geschäftskunden (Business-to-Business, B2B) bestätigen lassen muss, dass es den Datenschutz gewährleistet. In diesem Bereich droht allerdings Konkurrenz durch europäische Zertifizierungen.
Mit dem neuen Digital Trust Label der Swiss Digital Initiative haben Unternehmen seit Anfang 2022 eine neue Möglichkeit, sich als verantwortungsvoll und vertrauenswürdig zu präsentieren. Beim Digital Trust Label ist der Datenschutz eine wichtige, aber nicht die einzige Dimension.