Der Migros-Genossenschafts-Bund (Migros) ist die größte Schweizer Einzel- und Supermarktkette. Das genossenschaftlich organisierte Kundenbindungsprogramm der Migros hat über zwei Millionen Mitglieder – fast die Hälfte der Schweizer Bevölkerung. Die Tochtergesellschaften der Migros decken fast alle Märkte ab. Dazu gehören Supermärkte, Kleinläden, ein Gesundheitszentrum, eine Reiseagentur, eine Bank, eine E-Commerce-Gesellschaft und vieles mehr. Mehr als 90 Prozent der in den Migros-Filialen verkauften Waren werden von den Tochtergesellschaften produziert.

Als größter Arbeitgeber der Schweiz und Betreiber des größten Kundenbindungsprogramms der Schweiz ist sich die Migros der Bedeutung des Datenschutzes für ihr Geschäft bewusst.

„Datenschutz ist für uns das wichtigste Element“, so Matthias Glatthaar, Head Data Privacy and Digital bei Migros. „Obwohl wir eine vielfältige Gruppe von Marken haben, ist das Treueprogramm unser Kernstück. Der Schutz der personenbezogenen Daten unserer Kunden ist für den Erfolg dieses Programms von entscheidender Bedeutung.“

Zentralisierung des Datenschutzes mit Loyalität im Mittelpunkt

Als seit über 95 Jahren bestehendes Unternehmen bestand eine der größten Herausforderungen für die Migros bei der Umsetzung der DSGVO in den vielfältigen Formen der Datenverarbeitung und darin, einen Weg zu finden, den Umgang mit dem Datenschutz zu zentralisieren.

Wir sind ein Traditionsunternehmen – es gibt uns also schon seit langem und wir haben viele diskontinuierliche und dezentrale Prozesse. „Mit unserer enorm vielfältigen Gruppe von Marken mussten wir entscheiden, wie wir die DSGVO aus Konzernsicht sinnvoll in Angriff nehmen.“

Die Migros betreibt das größte und bekannteste Kundenbindungsprogramm der Schweiz, sodass drei von fünf Transaktionen über das Programm in den Migros-Filialen abgewickelt werden. Das Unternehmen verarbeitet die Daten seiner Kunden und generiert diese über ihre Kundenkarten, wodurch die Bereitstellung personalisierter Coupons und Anzeigen ermöglicht wird. Da der Kern der Datenverarbeitungstätigkeiten der Migros über ihr Kundenbindungsprogramm erfolgt, benötigte Migros eine Lösung, die es ihr ermöglicht, die Daten ihrer über 2,8 Millionen Mitglieder verantwortungsbewusst zu nutzen und gleichzeitig die DSGVO und andere Bestimmungen einzuhalten.

Darüber hinaus verarbeitet die Migros über ihre zahlreichen Tochtergesellschaften Daten auf unterschiedliche Weise: Ein Gesundheitszentrum verarbeitet beispielsweise sensible Gesundheitsdaten, eine E-Commerce-Gesellschaft verarbeitet Daten über das Netz aus ihren vielen Transaktionen.

Bei den großen Datenmengen hat die Migros von Anfang an erkannt, dass sie eine Technologie benötigt, die sie bei ihren Bemühungen unterstützt. „Wir wussten, dass Excel für die Datenzuordnung keine Option war. Unsere Prozesse waren viel zu komplex“, so Glatthaar. „Als wir uns auf dem Markt umsahen und auf OneTrust stießen, wurde uns schnell klar, dass es die beste Lösung für uns und unser Datenschutzprogramm war.“

Vereinfachung eines aufwändigen Prozesses mit OneTrust

Die Migros hat die OneTrust Module Verarbeitungsverzeichnisautomatisierung, PIA- und DPIAAutomatisierung, Vorfall- und Datenschutzverletzungsreaktion sowie Cookie-Compliance und Website-Scanning erfolgreich eingesetzt, um die Datensicherheit im gesamten Unternehmen zu optimieren. OneTrust Verarbeitungsautomatisierung – eines der ersten Tools, das Migros implementiert hat – ist das zentrale Element ihres Datenschutzprogramms. Aufgrund der großen Datenmengen, die das Unternehmen verarbeitet und durch das Unternehmen fließen, bildete das Verarbeitungsverzeichnis eine solide Grundlage zum Aufbau eines kompletten Datenschutzprogramms.

„Das OneTrust Verarbeitungsverzeichnis ist unglaublich einfach zu bedienen und zu verstehen“, so Thorsten Klaas-Wissing, Project Manager Supply Chain bei Migros. „Das Tool ist so flexibel und agil, dass wir ohne zusätzlichen Aufwand DPIAs oder Schwellenwertbewertungen in die Plattform integrieren können. Wir nutzen die umfangreiche und immer noch wachsende Anzahl von Vorlagen in der OneTrust Plattform, um unsere spezifischen Bedürfnisse zu erfüllen, was bei der Erweiterung des Umfangs unseres Datenschutzprogramms sehr vorteilhaft ist.“

Mit OneTrust PIA- und DPIA-Automatisierung verschickt Migros Fragebögen bezüglich der Datenzuordnungsaktivitäten, um sicherzustellen, dass die Zuordnung ordnungsgemäß verläuft. „Wir haben die Fragebögen an verschiedene Migros-Gruppen verschickt, woraufhin die Mitarbeiter diese einfach selbst ausfüllen konnten“, so Klaas-Wissing. „Dies half, die Prozesse in unserer gesamten Organisation zu optimieren.“

Migros verfügt über einen großen Pool an Lieferanten in ihrem System. OneTrust Lieferantenrisikomanagement ermöglicht es dem Unternehmen, einen Überblick über diese Lieferanten zu erhalten, die mit den einzelnen Lieferanten zusammenhängenden Risiken zu klassifizieren und diese dann der Bewertungsautomatisierung zuzuführen, um entsprechende Fragebögen zu generieren.

OneTrust Vorfall- und Datenschutzverletzungsreaktion ermöglicht es dem Migros-Team, alle auftretenden Vorfälle in einem Prozess abzulegen und zu strukturieren, damit entsprechende Vorbereitungen getroffen werden können. Darüber hinaus haben mehrere Tochtergesellschaften der Migros mithilfe von OneTrust CookieCompliance und Website-Scanning ein Cookie-Banner auf ihren Websites implementiert.

Orientierung und Anpassung in einer neuen globalen Datenschutzlandschaft

Auf der Grundlage eines soliden Datenschutzprogramms richtet das Migros-Team seinen Blick über die DSGVO hinaus auf andere globale Datenschutzbestimmungen wie die ePrivacy-Verordnung und das Schweizer Datenschutzgesetz, das derzeit überarbeitet wird und voraussichtlich in den nächsten ein bis zwei Jahren verabschiedet werden wird.

„Die Regulierungslandschaft ist so dynamisch – es gibt noch viel zu tun und Vorbereitungen sind zu treffen“, so Glatthaar. „Unser Ziel ist es, so viele unserer Prozesse wie möglich in OneTrust zu integrieren, um es zu einer zentralen Anlaufstelle für unsere Bemühungen zum Datenschutz zu machen.“

Des Weiteren ist die Migros dabei, das OneTrust Modul Betroffenenrechtemanagement zu implementieren, um Betroffenenanfragen erfolgreich verfolgen und beantworten zu können. Außerdem beabsichtigt das Unternehmen, den Einsatz der Module Lieferantenrisikomanagement und Vorfall- und Datenschutzverletzungsreaktion ausbauen und aus ihren DPIAProzessen weitere Bewertungen zu entwickeln.

„Was uns an OneTrust wirklich gefällt, ist, dass es sich so schnell entwickelt und es alle paar Wochen eine neue Version gibt“, so Glatthaar. „Die Plattform passt sich an und ändert sich, um nicht nur mit der globalen Datenschutzlandschaft Schritt zu halten, sondern sich auch an die spezifischen Bedürfnisse des Migros-Teams anzupassen – ein unübertroffenes Merkmal für eine Plattform dieser Größe.“