Datenschutz

Seit 2018 gilt die EU Datenschutz-Grundverordnung (EU DS-GVO) als Rahmenwerk für die Verarbeitung von personenbezogenen Daten. Da fast jeder Geschäftsprozess hiervon betroffen ist, ist es für die REWE Group von größter Bedeutung, die gesetzlichen Vorgaben für die Verarbeitung solcher Daten und die unternehmensinternen Richtlinien zu diesem Thema einzuhalten.

Auswirkung

Technologische Entwicklungen schaffen immer wieder neue Möglichkeiten der Datenerfassung und -verarbeitung. Infolgedessen steigen Bedeutung und Anforderungen an einen verlässlichen Datenschutz. Der REWE Group ist bewusst, dass ihre Geschäftstätigkeiten ebenso eines angemessenen Datenschutzes bedürfen. So speichern beispielsweise die Webserver Daten der User, wenn diese die Unternehmenswebsite besuchen oder ein Kontaktformular benutzen. Auch Bewerber:innen hinterlassen auf der Karriereseite ihre Daten. Ebenso verhält es sich mit den Webseiten der Vertriebslinien, hier kommt noch die Nutzung der Online-Services hinzu, ob zur Lebensmittelbestellung oder für die Buchung einer Reise. Diese personenbezogenen Daten müssen geschützt werden – ob vor internen Fehlern oder externen Angriffen. Neben angemessenen Sicherheitsmaßnahmen ist auch immer zu gewährleisten, dass alle personenbezogenen Daten, welche erhoben und verarbeitet werden, einen Zweck und eine Rechtsgrundlage aufweisen. Diese gesetzlichen sowie viele weitere Anforderungen gemäß der EU DS-GVO und anderen länderergänzenden Regularien können beim Verstoß für das Unternehmen selbst zu einem großen Imageschaden und zudem zu hohen Bußgeldern führen.

Grundsätze

Die Unternehmen der REWE Group verbinden mit dem Thema Datenschutz unabdingbar den gewissenhaften Umgang mit personenbezogenen Daten.

Die Einhaltung der Grundsätze des Datenschutzes hat daher für die REWE Group eine hohe Priorität, von der rechtmäßigen Verarbeitung personenbezogener Daten über eine dem Zweck angemessene Datenverarbeitung bis zur Gewährleistung einer angemessenen Datensicherheit. Darauf legt die REWE Group – auch vor dem Hintergrund der zunehmenden Online-Angebote ihrer Vertriebslinien – besonderen Wert.

Der Gesamtvorstand der REWE Group hat zum Thema Datenschutz 2018 folgendes Bekenntnis abgelegt: „Das Ziel der REWE Group als Gruppe von Handels- und Touristikunternehmen ist es, ihren Kund:innen umfassende Angebote und hervorragende Leistungen anzubieten. Dafür ist es erforderlich, die Vielzahl vorhandener Daten als Chance zu begreifen und so zu nutzen, dass das Leistungsangebot bedarfsgerecht gestaltet wird und im Zuge der Digitalisierung Prozesse effizienter werden. Bei der Nutzung von Kundendaten, aber auch der Daten von Beschäftigten oder Geschäftspartnern ist es für die REWE Group von essenzieller Bedeutung, die gesetzlichen Vorgaben für die Verarbeitung personenbezogener Daten einzuhalten. Dies ist wichtig, um das bestehende Vertrauen zu sichern und zu vertiefen und damit langfristig den Erfolg der Unternehmen der REWE Group sicherzustellen.“

Auf dem Weg zur Erreichung ihres Ziels werden regelmäßig sogenannte „Lessons Learned Workshops“ zu ausgewählten Elementen des Compliance-Management-Systems (CMS) zum Datenschutz durchgeführt, wie beispielsweise zu datenschutz-relevanten Rollen, Prozessen und Tools oder zu Hilfsmitteln in Form von Vorlagen und Checklisten.

Verantwortlichkeiten und Ressourcen

Mit der 2018 erweiterten REWE Group Datenschutz-Organisation werden alle in Anlehnung an die EU DS-GVO notwendigen Verantwortlichkeiten wie etwa die zur Rechenschaftspflicht, Regelungshoheit, Umsetzung, Beratung, Überwachung oder Koordination abgedeckt. Die bereits bestehenden Rollen der „Verantwortlichen“, also die Geschäftsleitungsorgane, Fachbereiche und der Datenschutz-Beauftragte, wurden durch die Rollen der Datenschutz-Governance-Funktion, des Datenschutz-Geschäftsfeld-Verantwortlichen und der Datenschutz-Koordinator:innen ergänzt.

Die konzernweite Regelungshoheit (Governance) zum Datenschutz, die Leitung des REWE Group Datenschutz-Boards ebenso wie die Konsolidierung der Berichterstattung und der Kontrollen obliegen dem zentralen Datenschutz-Management. Es ist zudem dafür verantwortlich, Synergien zwischen den Aktivitäten der Datenschutzkoordinator:innen und Datenschutzbeauftragten zu fördern und Informations- und Schulungskampagnen für die REWE Group bereitzustellen.

Das Datenschutz-Board der REWE Group gewährleistet, dass die konzernrelevanten Umsetzungsbedarfe für unterjährige Urteile zum Datenschutz geklärt und den Verantwortlichen über die Datenschutz-Organisation bereitgestellt werden. Überjährige Regelungsbedarfe werden über die Konzernrichtlinie bereitgestellt.

Den Datenschutz-Geschäftsfeld-Verantwortlichen obliegt unter anderem, für ausreichend Ressourcen zur Umsetzung des Datenschutzes zu sorgen. Sie benennen im Zuge dessen die Datenschutzkoordinator:innen für ihr Geschäftsfeld. Diese sind die zentralen Ansprechpartner:innen in ihren Geschäftseinheiten und unterstützen die jeweiligen Fachbereiche sowohl koordinierend als auch beratend bei der Umsetzung. Neben der ergänzenden datenschutzrechtlichen Beratung und Überwachung durch die Datenschutzbeauftragten sind die Datenschutzkoordinator:innen einer der wesentlichen Erfolgsfaktoren für die Umsetzung der datenschutzrechtlichen Anforderungen.

Die Datenschutzbeauftragten berichten unmittelbar an die Geschäftsführung der Gesellschaften oder an das zentrale Datenschutz-Management der REWE Group. Dieses wiederum berichtet regelmäßig an den Vorstand und den Aufsichtsrat der Unternehmensgruppe. 2022 gab es innerhalb der REWE Group 15 (2021: 25) Datenschutzbeauftragte. Die Reduzierung zum Vorjahr ergibt sich hauptsächlich aus gesellschaftlichen Veränderungen und der zugehörigen Neuzuordnung der Datenschutzbeauftragten.

Umsetzung

Die REWE Group verfolgt ihr Ziel über die Etablierung und die Umsetzung eines konzernweiten Compliance-Management-Systems (CMS) zum Thema Datenschutz und gleichzeitig der konzernweiten Datenschutz-Governance-Funktion, die

• die Gewährleistung des Compliance-Systems in der gesamten REWE Group sicherstellt sowie
• im Zuge dessen unter anderem unternehmensextern relevante Gesetze und Gerichtsurteile in konzernweite interne Regularien überführt und diese z. B. in Form einer Konzernrichtlinie im Unternehmen zur Verfügung stellt.

Alle etablierten Bestandteile des konzernweiten CMS zum Thema Datenschutz sind ausgerichtet am zugehörigen Prüfungsstandard (PS) 980 des Instituts der Wirtschaftsprüfer (IDW). Sie umfassen alle hierzu geforderten Grundelemente, wie Organisation, Risikomanagement oder auch die beständige Überwachung und Verbesserung des CMS. Hierzu werden, ausgerichtet nach dem sogenannten PDCA-Zyklus (plan–do–check–act), alle Elemente des CMS kontinuierlich für den REWE Group Datenschutz überprüft.

Unabhängig von den Prüfungen der Konzernrevision sind zudem aktuell folgende Formate für Kontrollen und für die beständige Verbesserung etabliert:

• Überwachung durch die jeweiligen Datenschutz-Beauftragten gemäß EU DS-GVO, inkl. Audits ausgewählter REWE Group-Bereiche sowie externer Auftragsverarbeiter
• Datenschutz als Bestandteil des konzernweiten Risikomanagements (RM) sowie des Internen Kontrollsystems (IKS)
• ein konzernweites Kennzahlen-Reporting, unter anderem zur datenschutz-relevanten Dokumentation

Zweimal im Monat werden in einem Regeltermin der Datenschutz-Organisation Informationen und Erfahrungen ausgetauscht sowie Synergien geschaffen und Optimierungspotenziale identifiziert. Bei Bedarf werden konkrete Maßnahmen abgeleitet und umgesetzt.

Stellen Kund:innen, Mitarbeitende, Geschäftspartner oder Aufsichtsbehörden Anfragen mit Bezug zum Datenschutz an Unternehmen der REWE Group, werden diese im Rahmen der Datenschutz-Organisation des Unternehmens dokumentiert, geprüft und bearbeitet. Die intern und extern benannten Datenschutzbeauftragten wirken auf den gesetzeskonformen Umgang mit personenbezogenen Daten und den hierfür eingesetzten Verarbeitungsprogrammen hin. Ebenso begleiten sie die Weiterentwicklung unternehmensspezifischer Datenschutz- und Datensicherungsmaßnahmen und beraten die Organisationseinheiten und Fachbereiche. Ihnen stehen konzernweit unterstützend die Datenschutzkoordinator:innen zur Seite.

Im Berichtszeitraum wurde die Tool-Unterstützung zur Abbildung der Verzeichnisse für Verarbeitungstätigkeiten auf Verbesserungsbedarf geprüft und daraus Maßnahmen abgeleitet. Deren Umsetzung ist gestartet und wird im nächsten Berichtszeitraum weiter fortgeführt.

Ergänzend wurden zu ausgewählten Datenschutz-Themen die vorhandenen Hilfsmittel in Form von Vorlagen und Checklisten überprüft und entsprechend überarbeitet, aktualisiert und bei Bedarf um neue Hilfsmittel ergänzt.

Darüber hinaus lag im Berichtszeitraum ein großer Schwerpunkt auf der Förderung von Awareness: Die REWE Group hat 2022 eine konzernübergreifende Kampagne konzipiert, die sowohl zu Datenschutz als auch zur Informationssicherheit sensibilisieren soll. Die Kampagne ist langfristig über das Jahr 2022 hinaus angedacht. Dabei sollen in einzelnen Themenmodulen inhaltliche Synergien genutzt und beide Themen ganzheitlich vermittelt werden, jeweils mit einem anderen Schwerpunkt. Ein Beispiel hierfür ist etwa die Datensicherheit sowohl von personen- als auch von nicht personenbezogenen Daten. Im Fokus stehen themen- und zielgruppenorientierte Schulungsangebote sowie Sensibilisierungsmaßnahmen wie eine konzertierte Phishing-Simulation. Für die gesamte Kampagne werden verschiedene Formate und Medienkanäle genutzt.

Die Kampagne wurde im Berichtszeitraum mit dem ersten Themenmodul „Security@Home“ gestartet. Dieses geht weit über die gesetzlichen Pflichten hinaus: Die Mitarbeitenden erhalten eine Einführung sowie zugehörige Empfehlungen und Tipps zu Sicherheitsaspekten für die private – und nicht dienstliche – Einrichtung und Nutzung ihrer privaten Computer.

Stakeholdereinbindung

Der gewissenhafte Umgang mit personenbezogenen Daten im Rahmen aller Geschäftsprozesse wurde von den Stakeholdern der REWE Group in der Wesentlichkeitsanalyse als ein relevantes Thema für das Unternehmen bewertet. Sie werden über die ergriffenen Maßnahmen und deren Effektivität jährlich über den Nachhaltigkeitsbericht und verschiedene Dialogformate (siehe Stakeholderdialog) unterrichtet. Durch diesen Austausch können Stakeholder wichtige Impulse zum Thema einbringen.

Intern existieren unterschiedliche Abstimmungs-, Berichts- und Austauschformate für die Mitglieder der Datenschutz-Organisation untereinander sowie zu ihren jeweiligen Linienorganisationen ebenso wie zu themenschnittstellenrelevanten Bereichen, etwa der Informationssicherheit oder der IT. Neben bedarfsweisen Statusberichten an Vorstand und Aufsichtsrat, inklusive der Abstimmung zum weiteren Vorgehen, stellt das zentrale Datenschutz-Management im Rahmen verschiedener REWE Group-Berichtsformate den jeweiligen Stakeholdern unter anderem die konzernweiten Kennzahlen zur Verfügung.

Extern bringt sich die REWE Group in unternehmensübergreifenden Gremien und Verbänden aktiv mit ihren Kenntnissen und gesammelten Praxiserfahrungen zu dem Thema Datenschutz mit ein, um vorhandenes Wissen zu teilen sowie den Datenschutz und zugehörige praktikable Lösungen über Unternehmens- und Branchengrenzen hinweg zu fördern. Mit der Politik steht die REWE Group im Rahmen ihrer Public-Affairs-Aktivitäten in Bezug auf das Thema Datenschutz ebenfalls im Dialog.

Kund:innen, Mitarbeitende, Geschäftspartner sowie weitere Stakeholder können Beschwerden oder Anmerkungen zu diesem Thema einreichen. Dafür hat die REWE Group Hinweis- und Beschwerdemechanismen etabliert. Für mehr Informationen siehe Abschnitt Compliance.

Um Datenschutz-Vorfälle zu melden, steht den Beschäftigten der REWE Group konzernweit eine Krisen-Hotline zur Verfügung. Diese ist rund um die Uhr an jedem Tag erreichbar („24/7-Erreichbarkeit“). Zudem gibt es auch datenschutzspezifische Postfächer, die Mitarbeitende zur Klärung von Fragen und Anmerkungen nutzen können.

Auch über die verschiedenen Medienkanäle der REWE Group Gesellschaften wie deren Websites oder Apps können im Kontext des Datenschutzes Meldungen oder Beschwerden abgegeben sowie auch Betroffenenrechte geltend gemacht werden. Die möglichen Eingangskanäle und Ansprechpartner:innen sind jeweils unter den Datenschutzhinweisen vermerkt.

Alle Beschwerden und Meldungen zu potenziellen Datenschutzverletzungen oder -verstößen (2022: 241 Fälle; 2021: 277 Fälle) wurden mit Blick auf die Datenschutz-relevanz und -sachlage überprüft, bearbeitet und dokumentiert. In 13 Fällen (2021: 28) waren Datenschutz-Aufsichtsbehörden involviert. Es handelte sich dabei entweder um intern festgestellte und meldepflichtige Datenschutzverletzungen oder um Vorgänge, die durch Aufsichtsbehörden an die REWE Group herangetragen wurden. Die Sachverhalte wurden analysiert, technische oder organisatorische Maßnahmen, soweit erforderlich, angepasst und die anfragende Stelle – Betroffene:r oder Aufsichtsbehörde – über Ergebnisse und eventuelle Maßnahmen informiert. Die REWE Group strebt insbesondere in Bezug auf Datendiebstahl und Datenschutzverlust in Zusammenhang mit Kundendaten an, das Risiko auf ein Minimum zu reduzieren.