REWE Group-Nachhaltigkeitsbericht 2018

Datenschutz

Technische Entwicklungen schaffen immer wieder neue Möglichkeiten der Datenerfassung und -verarbeitung. Infolgedessen steigen Bedeutung und Anforderungen an einen verlässlichen Datenschutz. Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) wurde im Jahr 2018 ein neues Rahmenwerk für die Verarbeitung von personenbezogenen Daten geschaffen. Als international agierendes Unternehmen verarbeitet die REWE Group in ihrer täglichen Arbeit personenbezogene Daten – der Schutz dieser Daten hat dabei oberste Priorität.

GRI 418: Schutz der Kundendaten

Managementansatz

Die Unternehmen der REWE Group behandeln personenbezogene Daten grundsätzlich vertraulich. Den Schutz dieser Daten erfüllt die REWE Group entsprechend den geltenden gesetzlichen Anforderungen. Darauf legt die REWE Group – auch vor dem Hintergrund der zunehmenden Online-Angebote ihrer Vertriebsmarken – besonderen Wert.

Jede von Kunden oder Aufsichtsbehörden an Unternehmen der REWE Group gerichtete Anfrage mit Bezug zum Datenschutz wird dokumentiert, geprüft und bearbeitet. Intern und extern benannte Datenschutzbeauftragte (DSB) wirken auf den gesetzeskonformen Umgang mit personenbezogenen Daten und eingesetzten Verarbeitungsprogrammen hin. Ebenso begleiten sie die Weiterentwicklung unternehmensspezifischer Datenschutz- und Datensicherungsmaßnahmen und beraten die Organisationseinheiten und Fachbereiche. Die Datenschutzbeauftragten berichten unmittelbar an die Geschäftsführung der Gesellschaften oder an den Vorstand der REWE Group. Im Berichtsjahr 2018 gab es innerhalb der REWE Group sechs Datenschutzbeauftragte.

Neben den Datenschutzbeauftragten wurden 2018 unter anderem zwei weitere Rollen etabliert, um Datenschutz-Compliance auch im Sinne der EU-DSGVO zu gewährleisten: Allen Organisationseinheiten stehen seit 2018 ergänzend Datenschutzkoordinatoren (DSK) unterstützend zur Seite. Darüber hinaus wurde das „Zentrale Datenschutz-Management“ (DSM) etabliert. Dem DSM obliegt die konzernweite Regelungshoheit für das Thema Datenschutz, die Leitung des REWE Group-Datenschutz Boards, die Konsolidierung des Reportings und der Kontrollen und es berichtet im Zuge dessen auch an Vorstand und Aufsichtsrat. Weiterhin fördert DSM die Synergien zwischen den Aktivitäten der Datenschutzkoordinatoren und Datenschutzbeauftragten sowie Informations- und Schulungskampagnen für die REWE Group.

Bekenntnis zum Datenschutz

Der Gesamtvorstand der REWE Group hat zum Thema Datenschutz im Berichtsjahr folgendes Bekenntnis abgelegt: „Das Ziel der REWE Group als Gruppe von Handels- und Touristikunternehmen ist es, ihren Kunden umfassende Angebote und hervorragende Leistungen anzubieten. Dafür ist es erforderlich, die Vielzahl vorhandener Daten als Chance zu begreifen und so zu nutzen, dass das Leistungsangebot bedarfsgerecht gestaltet wird und im Zuge der Digitalisierung Prozesse effizienter erledigt werden.
Bei der Nutzung dieser Kundendaten, aber auch der Daten von Beschäftigten oder Geschäftspartnern ist es für die REWE Group von essenzieller Bedeutung, die gesetzlichen Vorgaben für die Verarbeitung personenbezogener Daten einzuhalten. Dies ist wichtig, um das bestehende Vertrauen zu sichern und zu vertiefen und damit langfristig den Erfolg der Unternehmen der REWE Group sicherzustellen.“

Ergänzend zum Ausbau der Datenschutzorganisation hat die REWE Group im Zuge der Umsetzung der EU-DSGVO im Berichtszeitraum auch an vielen weiteren Datenschutzthemen gearbeitet und Maßnahmen durchgeführt: von der Umsetzung einer neuen Datenschutzrichtlinie über die Überarbeitung der datenschutzrelevanten Dokumentation bis zur Anpassung der Prozesse, beispielsweise bezüglich der Betroffenenrechte. Darüber hinaus wurden weitere Schulungsangebote für den Umgang mit personenbezogenen Daten etabliert, die auch die Neuerungen bezüglich der EU-DSGVO beinhalten. So soll das Bewusstsein bei den Mitarbeitern weiter gestärkt werden. Die Angebote umfassen ein eLearning zur generellen Stärkung eines sensibleren Umgangs mit personenbezogenen Daten bis hin zu Präsenz-Schulungen, welche für die jeweilige Zielgruppe die praktische Umsetzung in der REWE Group aufzeigen. Die eLearning-Kampagne ist eine verpflichtende Schulung – über alle Beschäftigten-Ebenen hinweg, inklusive der Geschäftsführung und des Vorstands.

GRI 418-1:

Anfragen, Beschwerden und Meldungen zu Datenschutzverletzungen

Im Berichtsjahr 2018 sind mit der Wirksamkeit der EU-DSGVO die Anfragen zu den Betroffenenrechten ab dem 25.05.2018 bis zum September konzernweit gestiegen. Seit Oktober nehmen diese wieder ab.

Alle Beschwerden und Meldungen zu potenziellen Datenschutzverletzungen oder -verstößen (120 Fälle im Jahr 2018) wurden überprüft, bearbeitet und dokumentiert. Beschwerden, die ab dem 25.05.2018 über die Aufsichtsbehörden oder direkt an die REWE Group herangetragen wurden, haben sich bis auf zwei Fälle als unbegründet herausgestellt. Bei den beiden begründeten Beschwerden handelte es sich um die Bearbeitung von Betroffenenrechten, welche nicht fristgerecht erfolgte. Von den REWE Group-intern festgestellten (potenziellen) Datenschutzverletzungen bzw. -verstößen waren 13 Fälle meldepflichtig gegenüber der Behörde sowie zum Teil gegenüber den Betroffenen. In den meisten Fällen handelte es sich um menschliche Versäumnisse, wie beispielsweise das Vertauschen von Unterlagen in Briefumschlägen.

Allen Fällen zugrundeliegende Sachverhalte werden analysiert, technische oder organisatorische Maßnahmen, soweit erforderlich, angepasst und die anfragende Stelle – Betroffener oder Aufsichtsbehörde – über Ergebnisse und eventuelle Maßnahmen informiert.

Weitere Themen aus diesem Bereich:

REWE Group Porträt

GRI 102-1 – 102-7, 102-10

Mitarbeiter­struktur

GRI 102-8, 102-41

Lieferkette

GRI 102-9

Risikomanagement

GRI 102-11

Brancheninitiativen und Mitgliedschaften

GRI 102-12, 102-13

Grundsätze und Leitlinien

GRI 102-16, 102-17

Nachhaltig­keits­strategie

GRI 102-18 – 102-21

Stakeholder­dialog

GRI 102-40, 102-42 – 102-44

Wesentlichkeitsanalyse

GRI 102-45 – 102-47, 102-49

Berichtsprofil

GRI 102-48, 102-50 – 102-56

Wirtschaftliche Leistung

GRI 201

Compliance

GRI 205, 206, 307, 419

Zusammenarbeit mit Politik

GRI 415