REWE Group-Nachhaltigkeitsbericht 2020

Datenschutz

Technische Entwicklungen schaffen immer wieder neue Möglichkeiten der Datenerfassung und
-verarbeitung. Infolgedessen steigen Bedeutung und Anforderungen an einen verlässlichen Datenschutz. Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) wurde im Jahr 2018 ein neues Rahmenwerk für die Verarbeitung von personenbezogenen Daten geschaffen. Als international agierendes Unternehmen verarbeitet die REWE Group in ihrer täglichen Arbeit personenbezogene Daten – der Schutz dieser Daten hat dabei oberste Priorität.

GRI 418: Schutz der Kundendaten

Managementansatz

Die Unternehmen der REWE Group behandeln personenbezogene Daten grundsätzlich vertraulich. Den Schutz dieser Daten erfüllt die REWE Group entsprechend den geltenden gesetzlichen Anforderungen. Darauf legt die REWE Group – auch vor dem Hintergrund der zunehmenden Online-Angebote ihrer Vertriebsmarken – besonderen Wert.

Jede von Kund:innen oder Aufsichtsbehörden an Unternehmen der REWE Group gerichtete Anfrage mit Bezug zum Datenschutz wird dokumentiert, geprüft und bearbeitet. Intern und extern benannte Datenschutzbeauftragte wirken auf den gesetzeskonformen Umgang mit personenbezogenen Daten und eingesetzten Verarbeitungsprogrammen hin. Ebenso begleiten sie die Weiterentwicklung unternehmensspezifischer Datenschutz- und Datensicherungsmaßnahmen und beraten die Organisationseinheiten und Fachbereiche. Ihnen stehen konzernweit ergänzend und unterstützend Datenschutzkoordinator:innen zur Seite. Die Datenschutzbeauftragten berichten unmittelbar an die Geschäftsführung der Gesellschaften oder an das zentrale Datenschutz-Management der REWE Group. Dieses wiederum berichtet regelmäßig an den Vorstand der REWE Group. Im Berichtsjahr 2020 gab es innerhalb der REWE Group 24 Datenschutzbeauftragte.

Die konzernweite Regelungshoheit (Governance) zum Datenschutz obliegt dem zentralen Datenschutz-Management ebenso wie die Leitung des REWE Group Datenschutz-Boards, die Konsolidierung des Reportings und der Kontrollen. Das Datenschutz-Management berichtet an Vorstand und Aufsichtsrat. Außerdem ist es dafür verantwortlich, Synergien zwischen den Aktivitäten der Datenschutzkoordinator:innen und Datenschutzbeauftragten zu fördern und Informations- und Schulungskampagnen für die REWE Group durchzuführen.

Mit dem Datenschutz-Board gewährleistet die REWE Group, dass die konzernrelevanten Umsetzungsbedarfe für unterjährige Urteile zum Datenschutz geklärt und den Verantwortlichen über die Datenschutz-Organisation bereitgestellt werden.

Bekenntnis zum Datenschutz

Der Gesamtvorstand der REWE Group hat zum Thema Datenschutz im Jahr 2018 folgendes Bekenntnis abgelegt: „Das Ziel der REWE Group als Gruppe von Handels- und Touristikunternehmen ist es, ihren Kund:innen umfassende Angebote und hervorragende Leistungen anzubieten. Dafür ist es erforderlich, die Vielzahl vorhandener Daten als Chance zu begreifen und so zu nutzen, dass das Leistungsangebot bedarfsgerecht gestaltet wird und im Zuge der Digitalisierung Prozesse effizienter erledigt werden. Bei der Nutzung dieser Kundendaten, aber auch der Daten von Beschäftigten oder Geschäftspartnern ist es für die REWE Group von essenzieller Bedeutung, die gesetzlichen Vorgaben für die Verarbeitung personenbezogener Daten einzuhalten. Dies ist wichtig, um das bestehende Vertrauen zu sichern und zu vertiefen und damit langfristig den Erfolg der Unternehmen der REWE Group sicherzustellen.“

Im Berichtszeitraum wurde das konzernweite Reporting zu Datenschutz beständig optimiert, um die Transparenz über relevante Handlungsfelder für die Verantwortlichen zu verbessern. Die bisher gesammelten Erfahrungen zur Umsetzung der EU-DSGVO sowie unterjährig erfolgte Gerichtsurteile zu verschiedenen datenschutzrechtlichen Belangen wurden ausgewertet und sind in die Optimierung der datenschutzrelevanten Dokumentationen und Prozesse eingeflossen. Darüber hinaus wurden die zielgruppenorientierten Schulungsangebote sowohl für Präsenzveranstaltungen als auch – bedingt durch die Covid-19-Pandemie – für digitale Schulungen ausgebaut.

Im Berichtsjahr wurden außerdem aufgrund der Pandemie neu aufkommende datenschutzrechtliche Fragestellungen bearbeitet sowie notwendige Maßnahmen abgeleitet und umgesetzt. So standen die Datenschutzbeauftragten den jeweiligen Fachbereichen der REWE Group beratend zur Seite und prüften die Zulässig- oder Unzulässigkeit von Maßnahmen – beispielsweise bei der Erhebung von Mitarbeiterdaten bei einem Verdacht auf eine Infektion oder bei einer tatsächlichen Ansteckung durch Covid-19. Basis für die Entscheidung waren die Leitfäden der Datenschutz-Aufsichtsbehörden zum Umgang mit personenbezogenen Daten einschließlich Gesundheitsdaten von Beschäftigten durch den Arbeitgeber. Ergänzend stellte die REWE Group ihren Beschäftigten über ein Portal weiterführende Informationen zum Themenfeld „Covid-19-Pandemie und Datenschutz“ bereit. Dazu zählen beispielsweise Hinweise zur Nutzung der Corona-Warn-App aus Datenschutzsicht.

GRI 418-1:

Anfragen, Beschwerden und Meldungen zu Datenschutzverletzungen

Im Berichtsjahr 2020 wurden alle Betroffenenrechte für die Kund:innen der REWE Group fristgerecht erfolgreich geklärt und abgeschlossen.

Alle Beschwerden und Meldungen zu potenziellen Datenschutzverletzungen oder -verstößen (189 Fälle im Jahr 2020; 2019: 137) wurden überprüft, bearbeitet und dokumentiert. In 24 Fällen waren Datenschutz-Aufsichtsbehörden involviert. Es handelte sich dabei entweder um intern festgestellte und meldepflichtige Datenschutzverletzungen oder um Vorgänge, die durch Aufsichtsbehörden an die REWE Group herangetragen wurden. Die zugrunde liegenden Sachverhalte wurden analysiert, technische oder organisatorische Maßnahmen, soweit erforderlich, angepasst und die anfragende Stelle – Betroffene:r oder Aufsichtsbehörde – über Ergebnisse und eventuelle Maßnahmen informiert.

Weitere Themen aus diesem Bereich:

REWE Group Porträt

GRI 102-1 – 102-7, 102-10

Mitarbeiter­struktur

GRI 102-8, 102-41

Lieferkette

GRI 102-9

Risikomanagement

GRI 102-11

Brancheninitiativen und Mitgliedschaften

GRI 102-12, 102-13

Grundsätze und Leitlinien

GRI 102-16

Nachhaltig­keits­strategie

GRI 102-18 – 102-21

Stakeholder­dialog

GRI 102-40, 102-42 – 102-44

Wesentlichkeitsanalyse

GRI 102-45 – 102-47, 102-49

Berichtsprofil

GRI 102-48, 102-50 – 102-56

Wirtschaftliche Leistung

GRI 201

Compliance

GRI 205, 206, 307, 419

Steuern

GRI 207

Zusammenarbeit mit Politik

GRI 415

Digitale Verantwortung

RG 2