GRI 418

Datenschutz

Technologische Entwicklungen schaffen immer wieder neue Möglichkeiten der Datenerfassung und -verarbeitung. Infolgedessen steigen Bedeutung und Anforderungen an einen verlässlichen Datenschutz. Mit der EU-Datenschutzgrundverordnung (EU DS-GVO) wurde 2018 ein neues Rahmenwerk für die Verarbeitung von personenbezogenen Daten geschaffen. Als international agierendes Unternehmen verarbeitet die REWE Group in ihrer täglichen Arbeit personenbezogene Daten. Der Schutz dieser Daten hat oberste Priorität.

GRI 418: Schutz der Kundendaten

Managementansatz

Grundsätze

Die Unternehmen der REWE Group behandeln personenbezogene Daten grundsätzlich vertraulich. Den Schutz dieser Daten erfüllt die REWE Group entsprechend den geltenden gesetzlichen Anforderungen. Darauf legt die REWE Group – auch vor dem Hintergrund der zunehmenden Online-Angebote ihrer Vertriebsmarken – besonderen Wert.

Umsetzung

Jede von Kund:innen oder Aufsichtsbehörden an Unternehmen der REWE Group gerichtete Anfrage mit Bezug zum Datenschutz wird im Rahmen der Datenschutz-Organisation des Unternehmens dokumentiert, geprüft und bearbeitet. Intern und extern benannte Datenschutzbeauftragte wirken auf den gesetzeskonformen Umgang mit personenbezogenen Daten und eingesetzten Verarbeitungsprogrammen hin. Ebenso begleiten sie die Weiterentwicklung unternehmensspezifischer Datenschutz- und Datensicherungsmaßnahmen und beraten die Organisationseinheiten und Fachbereiche. Ihnen stehen konzernweit ergänzend und unterstützend Datenschutzkoordinator:innen zur Seite. Die Datenschutzbeauftragten berichten unmittelbar an die Geschäftsführung der Gesellschaften oder an das zentrale Datenschutz-Management der REWE Group. Dieses wiederum berichtet regelmäßig an den Vorstand und den Aufsichtsrat der REWE Group. 2021 gab es innerhalb der REWE Group 25 Datenschutzbeauftragte.

Die konzernweite Regelungshoheit (Governance) zum Datenschutz, die Leitung des REWE Group Datenschutz-Boards ebenso wie die Konsolidierung des Reportings und der Kontrollen obliegt dem zentralen Datenschutz-Management. Es ist zudem dafür verantwortlich, Synergien zwischen den Aktivitäten der Datenschutzkoordinator:innen und Datenschutzbeauftragten zu fördern und Informations- und Schulungskampagnen für die REWE Group bereitzustellen.

Mit dem Datenschutz-Board gewährleistet die REWE Group, dass die konzernrelevanten Umsetzungsbedarfe für unterjährige Urteile zum Datenschutz geklärt und den Verantwortlichen über die Datenschutz-Organisation bereitgestellt werden.

Bekenntnis zum Datenschutz

Der Gesamtvorstand der REWE Group hat zum Thema Datenschutz 2018 folgendes Bekenntnis abgelegt: „Das Ziel der REWE Group als Gruppe von Handels- und Touristikunternehmen ist es, ihren Kund:innen umfassende Angebote und hervorragende Leistungen anzubieten. Dafür ist es erforderlich, die Vielzahl vorhandener Daten als Chance zu begreifen und so zu nutzen, dass das Leistungsangebot bedarfsgerecht gestaltet wird und im Zuge der Digitalisierung Prozesse effizienter werden. Bei der Nutzung dieser Kundendaten, aber auch der Daten von Beschäftigten oder Geschäftspartnern ist es für die REWE Group von essenzieller Bedeutung, die gesetzlichen Vorgaben für die Verarbeitung personenbezogener Daten einzuhalten. Dies ist wichtig, um das bestehende Vertrauen zu sichern und zu vertiefen und damit langfristig den Erfolg der Unternehmen der REWE Group sicherzustellen.“

Im Berichtszeitraum wurde neben dem bestehenden konzernweiten Reporting zu Datenschutz das Berichtswesen zu den Auditplänen und -berichten optimiert. Darüber hinaus wurden auch die Tätigkeitsberichte der Datenschutzbeauftragten verbessert. Die Überarbeitungen tragen unter anderem zu einer Erhöhung der Transparenz über relevante Handlungsfelder für alle maßgeblich Beteiligten bei. Zudem wurden die bisher gesammelten Erfahrungen zur Umsetzung der EU DS-GVO sowie unterjährig erfolgte Gerichtsurteile zu verschiedenen datenschutzrechtlichen Belangen ausgewertet. Die Ergebnisse flossen in die Optimierung der datenschutzrelevanten Dokumentationen und Prozesse ein. Darüber hinaus wurden die zielgruppenorientierten Schulungsangebote sowohl in Präsenzveranstaltungen als auch – bedingt durch die Covid-19-Pandemie – digital weiter ausgebaut.

Im Berichtsjahr wurden des Weiteren ebenfalls aufgrund der Corona-Pandemie neu aufkommende datenschutzrechtliche Fragestellungen bearbeitet sowie notwendige Maßnahmen abgeleitet und umgesetzt. So standen die Datenschutzbeauftragten den jeweiligen Fachbereichen der REWE Group beratend zur Seite und prüften die Zulässig- oder Unzulässigkeit von Maßnahmen – beispielsweise zur gesetzlich verpflichtenden Erfassung des 3G-Nachweises. Basis für die Entscheidungen waren unter anderem die Leitfäden der Datenschutz-Aufsichtsbehörden zum Umgang mit personenbezogenen Daten einschließlich Gesundheitsdaten von Beschäftigten durch den Arbeitgeber. Ergänzend stellte die REWE Group ihren Beschäftigten über ein Portal weiterführende Informationen zum Themenfeld „Covid-19-Pandemie und Datenschutz“ bereit.

GRI 418-1:

Anfragen, Beschwerden und Meldungen zu Datenschutzverletzungen

2021 wurden alle Betroffenenrechte für die Kund:innen der REWE Group fristgerecht erfolgreich geklärt und abgeschlossen.

Alle Beschwerden und Meldungen zu potenziellen Datenschutzverletzungen oder -verstößen (2021: 277 Fälle; 2020: 189 Fälle) wurden überprüft, bearbeitet und dokumentiert. In 28 Fällen waren Datenschutz-Aufsichtsbehörden involviert. Es handelte sich dabei entweder um intern festgestellte und meldepflichtige Datenschutzverletzungen oder um Vorgänge, die durch Aufsichtsbehörden an die REWE Group herangetragen wurden. Die zugrunde liegenden Sachverhalte wurden analysiert, technische oder organisatorische Maßnahmen, soweit erforderlich, angepasst und die anfragende Stelle – Betroffene:r oder Aufsichtsbehörde – über Ergebnisse und eventuelle Maßnahmen informiert.