«Datenschutz muss von allen mitgetragen werden»

Die Facebook-Mutter Meta soll 390 Millionen Euro Strafe wegen Datenschutzverstößen zahlen. So etwas möchte kein Unternehmen über sich lesen. Wie steht es denn um unseren Datenschutz? Sind die Daten unserer Kundinnen und Kunden sicher? Hast du Angst vor Bußen?
Unser Geschäftsmodell ist glücklicherweise ein ganz anderes. Wir verkaufen Produkte, keine Daten. So gesehen habe ich keine Angst vor hohen Strafen. Hinzu kommt: Das Vertrauen in Galaxus und Digitec ist ein hohes Gut. Ein Datenverlust wäre eine Katastrophe, gerade auch, weil wir in Ländern wie Österreich, Frankreich oder Italien gerade erst frisch gestartet sind. Wir unternehmen technisch alles, damit die Daten sicher bleiben. Aber von 100 Prozent Sicherheit zu sprechen wäre eine Lüge. Man muss immer optimieren, eine Garantie gibt es nie.

Was kann die Kundschaft denn unternehmen, um die Sicherheit ihrer Daten zu gewährleisten?
Die Erfahrung zeigt, dass erstaunlich viele Menschen nur ein Passwort für mehrere unterschiedliche Plattformen nutzen. Hier sollte man sich ein bisschen mehr Mühe geben und unterschiedliche Passwörter für unterschiedliche Plattformen nutzen. Passwörter sollten kompliziert sein mit unterschiedlicher Schreibweise, Zahlen und Sonderzeichen. Wem dies zu aufwendig ist: Es gibt Passwort-Manager-Tools, die den Gebrauch vereinfachen. Auch diese Tools könnten theoretisch gehackt werden, klar. Aber das Risiko ist wesentlich größer, wenn man überall immer das gleiche Passwort nutzt. Was auch Sinn macht, ist die Nutzung der Zwei-Faktor-Authentifizierung, also das Einloggen mit einem zusätzlichen Sicherheitselement. Das macht die Accounts deutlich sicherer. Galaxus bietet die Möglichkeit an und erklärt hier wie.

Wie wird man eigentlich Datenschutzbeauftragter bei Galaxus?
Es ist vielleicht einfacher zu sagen, wie ich nicht dazu kam: Also ich bin kein Jurist, kein Anwalt. Ich habe bei der Schweizer Bundesbahn (SBB) im Marketing gearbeitet, später in der IT-Projektleitung. Datenschutz spielt im Marketing und in der IT schon lange eine wichtige Rolle. Als die Datenschutzgrundverordnung (DSGVO) in der EU 2018 in Kraft trat, waren viele Schweizer Unternehmen schlecht vorbereitet. Das Thema war bekannt, aber niemand hat sich gekümmert. So bin ich da reingerutscht und habe mich entschieden, beim Thema zu bleiben. Damit habe ich wohl unabsichtlich eine Nische getroffen: Leute, die sich im Datenschutz rechtlich auskennen, aber eben auch das „Business“ verstehen. Es bleibt übrigens auch in der Schweiz spannend, auch wir erhalten dieses Jahr ein neues Datenschutzgesetz.

Ist Marketing – oder IT-Background also zwingende Voraussetzung, um Datenschützer zu werden?
Nein, gar nicht. Ich glaube aber, dass das Thema leichter zu bewältigen ist, wenn man praktische Erfahrung im Business hat. Zudem kann es im Datenschutz schnell sehr technisch werden. Die juristischen Aspekte können komplex sein, aber man kann sie oft auch als Nicht-Jurist verstehen. Datenschutz betrifft uns alle im Alltag, daher gibt es auch häufig Gelegenheit sich damit zu befassen.

Gestartet bist du bei uns vor rund einem Jahr. Wie hast du das Datenschutzbewusstsein intern erlebt? Freuen sich alle wenn du kommst oder rollen sie die Augen: „Oh nein, der Datenschützer wieder..“?
Ich bin hier auf eine sehr offene Kultur gestoßen, es gibt viel Interesse fürs Thema, das ist nicht selbstverständlich. Einige waren sicherlich froh, dass wir mehr Ressourcen in das Thema investieren.

Wie unterschiedlich haben die Abteilungen reagiert?
Einige Bereiche sind stärker betroffen als andere, zum Beispiel Marketing, Customer Service oder HR. Aber auch unser Product Development muss Datenschutz mitdenken, wenn neue Funktionen im Shop entstehen. Eigentlich gibt es wenige Unterschiede in den Reaktionen der Abteilungen. Aber gerade die Bereiche, die stärker betroffen sind, sind besonders willens, etwas dafür zu tun. Natürlich gibt es auch mal Diskussionen. Denn das Einhalten von Rechten kann Zusatzaufwand bedeuten. Gerade wenn es um Geschwindigkeit geht, kann dies herausfordernd sein.

Wie hast du die Arbeitskultur bei Digitec Galaxus erlebt?
Die Werte der Firma sind ja online festgeschrieben und tatsächlich werden sie nach innen oft auch so gelebt. Alle Unternehmen schreiben sich Werte auf die Fahne, aber hier versucht man tatsächlich auch diese hochzuhalten. Es ist faszinierend, dass man den Start-up-Groove so aufrechterhalten kann, obwohl wir mittlerweile mehr als 2.500 Mitarbeitende sind.

Aktuell bist du ja Einzelkämpfer im Datenschutz bei uns. Kann das so bleiben?
Nur ich habe diese Bezeichnung, das stimmt. Ich habe aber in allen Abteilungen meine Ansprechpartnerinnen und Ansprechpartner für den Datenschutz und ich arbeite sehr eng mit unserer IT-Security zusammen. Datenschutz funktioniert nur, wenn ihn alle mittragen. Zum Beispiel muss jeder Customer-Service-Agent die Grundlagen in seinem Bereich kennen, dafür setzen wir auf maßgeschneiderte Schulungen für die unterschiedlichen Abteilungen.

Ist es nicht sogar so, dass Mitarbeitende Strafen selbst zahlen müssen, wenn sie ein Datenschutzvergehen begehen?
In der EU ist das in der Regel nicht so, hier sind grundsätzlich die Unternehmen haftbar, die dann auch hohe Strafen erhalten können. Das ist ein großer Unterschied zum neuen Datenschutzgesetz in der Schweiz, hier geht die Buße dann tatsächlich an die Privatperson und das können bis zu 250.000 Schweizer Franken sein. Aber dafür muss schon etwas Gravierendes passieren. Mitarbeitende, die die Basics kennen und einhalten, haben nichts zu befürchten.

Vielen Dank für das Gespräch!