REWE Group-Nachhaltigkeitsbericht 2019

Datenschutz

Technische Entwicklungen schaffen immer wieder neue Möglichkeiten der Datenerfassung und -verarbeitung. Infolgedessen steigen Bedeutung und Anforderungen an einen verlässlichen Datenschutz. Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) wurde im Jahr 2018 ein neues Rahmenwerk für die Verarbeitung von personenbezogenen Daten geschaffen. Als international agierendes Unternehmen verarbeitet die REWE Group in ihrer täglichen Arbeit personenbezogene Daten – der Schutz dieser Daten hat dabei oberste Priorität.

GRI 418: Schutz der Kundendaten

Managementansatz

Die Unternehmen der REWE Group behandeln personenbezogene Daten grundsätzlich vertraulich. Den Schutz dieser Daten erfüllt die REWE Group entsprechend den geltenden gesetzlichen Anforderungen. Darauf legt die REWE Group – auch vor dem Hintergrund der zunehmenden Online-Angebote ihrer Vertriebsmarken – besonderen Wert.

Jede von Kunden oder Aufsichtsbehörden an Unternehmen der REWE Group gerichtete Anfrage mit Bezug zum Datenschutz wird dokumentiert, geprüft und bearbeitet. Intern und extern benannte Datenschutzbeauftragte wirken auf den gesetzeskonformen Umgang mit personenbezogenen Daten und eingesetzten Verarbeitungsprogrammen hin. Ebenso begleiten sie die Weiterentwicklung unternehmensspezifischer Datenschutz- und Datensicherungsmaßnahmen und beraten die Organisationseinheiten und Fachbereiche. Ihnen stehen konzernweit ergänzend und unterstützend Datenschutzkoordinatoren zur Seite. Die Datenschutzbeauftragten berichten unmittelbar an die Geschäftsführung der Gesellschaften oder an das zentrale Datenschutz-Management der REWE Group. Dieses wiederum berichtet regelmäßig an den Vorstand der REWE Group. Im Berichtsjahr 2019 gab es innerhalb der REWE Group sechs Datenschutzbeauftragte.

Die konzernweite Regelungshoheit (Governance) zum Datenschutz obliegt dem zentralen Datenschutz-Management ebenso wie die Leitung des REWE Group Datenschutz-Board, die Konsolidierung des Reportings und der Kontrollen. Das Datenschutz-Management berichtet an Vorstand und Aufsichtsrat. Außerdem ist es dafür verantwortlich, Synergien zwischen den Aktivitäten der Datenschutzkoordinatoren und Datenschutzbeauftragten zu fördern und Informations- und Schulungskampagnen für die REWE Group durchzuführen.

Mit dem Datenschutz-Board gewährleistet die REWE Group, dass die konzernrelevanten Umsetzungsbedarfe für unterjährige Urteile zum Datenschutz geklärt und den Verantwortlichen über die Datenschutz-Organisation bereitgestellt werden.

Bekenntnis zum Datenschutz

Der Gesamtvorstand der REWE Group hat zum Thema Datenschutz im Jahr 2018 folgendes Bekenntnis abgelegt: „Das Ziel der REWE Group als Gruppe von Handels- und Touristikunternehmen ist es, ihren Kunden umfassende Angebote und hervorragende Leistungen anzubieten. Dafür ist es erforderlich, die Vielzahl vorhandener Daten als Chance zu begreifen und so zu nutzen, dass das Leistungsangebot bedarfsgerecht gestaltet wird und im Zuge der Digitalisierung Prozesse effizienter erledigt werden.
Bei der Nutzung dieser Kundendaten, aber auch der Daten von Beschäftigten oder Geschäftspartnern ist es für die REWE Group von essenzieller Bedeutung, die gesetzlichen Vorgaben für die Verarbeitung personenbezogener Daten einzuhalten. Dies ist wichtig, um das bestehende Vertrauen zu sichern und zu vertiefen und damit langfristig den Erfolg der Unternehmen der REWE Group sicherzustellen.“

Im Berichtszeitraum wurde das konzernweite Reporting zu Datenschutz beständig optimiert, um die Transparenz über relevante Handlungsfelder für die Verantwortlichen zu verbessern. Die bisher gesammelten Erfahrungen zur Umsetzung der EU-DSGVO wurden ausgewertet und sind in die Optimierung der datenschutzrelevanten Dokumentationen und Prozesse eingeflossen. Darüber hinaus wurden die zielgruppenorientierten Präsenzschulungsangebote ausgebaut.

Über die Gewährleistung der gesetzlichen Anforderungen an den Datenschutz hinaus unterstützt das zentrale Datenschutz-Management die nachhaltige Gestaltung der Digitalisierung im Rahmen von „Corporate Digital Responsibility“ (CDR)-Initiativen – sowohl als Mitglied einer unternehmensinternen Arbeitsgruppe als auch unternehmensextern in der CDR-Initiative des Bundesministeriums der Justiz und für Verbraucherschutz.

GRI 418-1:

Anfragen, Beschwerden und Meldungen zu Datenschutzverletzungen

Im Berichtsjahr 2019 wurden alle Betroffenenrechte für die Kunden der REWE Group fristgerecht erledigt.

Alle Beschwerden und Meldungen zu potenziellen Datenschutzverletzungen oder -verstößen (137 Fälle im Jahr 2019; 2018: 120) wurden überprüft, bearbeitet und dokumentiert. In acht Fällen waren Datenschutz-Aufsichtsbehörden involviert. Es handelte sich dabei entweder um intern festgestellte und meldepflichtige Datenschutzverletzungen oder um über die Aufsichtsbehörden herangetragene Vorgänge. Alle Fälle wurden im Berichtszeitraum erfolgreich geklärt und abgeschlossen. Die zugrunde liegenden Sachverhalte wurden analysiert, technische oder organisatorische Maßnahmen, soweit erforderlich, angepasst und die anfragende Stelle – Betroffener oder Aufsichtsbehörde – über Ergebnisse und eventuelle Maßnahmen informiert.

Weitere Themen aus diesem Bereich:

REWE Group Porträt

GRI 102-1 – 102-7, 102-10

Mitarbeiter­struktur

GRI 102-8, 102-41

Lieferkette

GRI 102-9

Risikomanagement

GRI 102-11

Brancheninitiativen und Mitgliedschaften

GRI 102-12, 102-13

Grundsätze und Leitlinien

GRI 102-16

Nachhaltig­keits­strategie

GRI 102-18 – 102-21

Stakeholder­dialog

GRI 102-40, 102-42 – 102-44

Wesentlichkeitsanalyse

GRI 102-45 – 102-47, 102-49

Berichtsprofil

GRI 102-48, 102-50 – 102-56

Wirtschaftliche Leistung

GRI 201

Compliance

GRI 205, 206, 307, 419

Zusammenarbeit mit Politik

GRI 415