iconName

Datenschutz

Managementansatz

Technische Entwicklungen schaffen immer wieder neue Möglichkeiten der Datenerfassung und -verarbeitung. Infolgedessen steigen Bedeutung und Anforderungen an einen verlässlichen Datenschutz. Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) wurde im Jahr 2018 ein neues Rahmenwerk für die Verarbeitung von personenbezogenen Daten geschaffen. Als international agierendes Unternehmen verarbeitet die REWE Group in Österreich in ihrer täglichen Arbeit personenbezogene Daten – der Schutz dieser Daten hat dabei oberste Priorität.

GRI 418: Schutz der KundInnendaten

Die Unternehmen der REWE Group in Österreich behandeln personenbezogene Daten grundsätzlich vertraulich. Den Schutz dieser Daten erfüllt das Unternehmen entsprechend den geltenden gesetzlichen Anforderungen. Darauf legt die REWE Group in Österreich – auch vor dem Hintergrund der zunehmenden Online-Angebote ihrer Vertriebsmarken – besonderen Wert. 

Jede von KundInnen oder Aufsichtsbehörden an Unternehmen der REWE Group in Österreich gerichtete Anfrage mit Bezug zum Datenschutz wird dokumentiert, geprüft und bearbeitet. Intern und extern benannte Datenschutzbeauftragte (DSB) wirken auf den gesetzeskonformen Umgang mit personenbezogenen Daten und eingesetzten Verarbeitungsprogrammen hin. Ebenso begleiten sie die Weiterentwicklung unternehmensspezifischer Datenschutz- und Datensicherungsmaßnahmen und beraten die Organisationseinheiten und Fachbereiche. Der Datenschutzbeauftragte berichtet unmittelbar an die Geschäftsführung der Gesellschaften oder an den Vorstand der REWE International AG.

Darüber hinaus wurde im Zuge der Umsetzung der EU-DSGVO, welche mit 25. Mai 2018 in Geltung getreten ist, weitere Rollen etabliert um Datenschutz-Compliance auch im Sinne der EU-DSGVO zu gewährleisten: Allen Gesellschaften der REWE Group in Österreich stehen seit 2018 ergänzend Datenschutzkoordinatorinnen (DSK) unterstützend zur Seite. Diese dienen als koordinierende Verbindungsstelle zwischen den einzelnen Gesellschaften und dem zentral agierenden „Datenschutz-Management Team der RIAG“ (DSM AUT), welches bei sämtlichen Fragestellungen und Projekten zum Thema Datenschutz einzubeziehen ist. Für die Bearbeitung der Betroffenenrechte wurden sogenannte Self-Service Center-ManagerInnen (SSC-Manager) ernannt, welchen mit Unterstützung des eigens hierfür ins Leben gerufenen Self-Service Centers die Beantwortung und Dokumentation der Anfragen obliegt.

Als gruppenweites Bündelungsorgan wurde in Köln das „Zentrale Datenschutz-Management“ (DSM) etabliert. Dem DSM obliegt die konzernweite Regelungshoheit für das Thema Datenschutz, die Leitung des REWE Group-Datenschutz Boards, die Konsolidierung des Reportings und es berichtet im Zuge dessen auch an Vorstand und Aufsichtsrat. Weiterhin fördert DSM die Synergien zwischen den Aktivitäten der Datenschutzkoordinatoren und Datenschutzbeauftragten sowie Informations- und Schulungskampagnen für die REWE Group.

Ergänzend zum Ausbau der Datenschutzorganisation hat die REWE Group im Zuge der Umsetzung der EU-DSGVO im Berichtszeitraum auch an vielen weiteren Datenschutzthemen gearbeitet und Maßnahmen durchgeführt: von der Umsetzung einer neuen Datenschutzrichtlinie über die Überarbeitung der datenschutzrelevanten Dokumentation bis zur Anpassung der Prozesse, beispielsweise bezüglich der Betroffenenrechte. Darüber hinaus wurden weitere Schulungsangebote für den Umgang mit personenbezogenen Daten etabliert, die auch die Neuerungen bezüglich der EU-DSGVO beinhalten. So soll das Bewusstsein bei den MitarbeiterInne weiter gestärkt werden. Die Angebote umfassen ein eLearning zur generellen Stärkung eines sensibleren Umgangs mit personenbezogenen Daten bis hin zu Präsenz-Schulungen, welche für die jeweilige Zielgruppe die praktische Umsetzung in der REWE Group aufzeigen.

Anfragen, Beschwerden und Meldungen zu Datenschutzverletzungen

GRI 418-1

Im Berichtsjahr 2018 sind mit der Wirksamkeit der EU-DSGVO die Anfragen zu den Betroffenenrechten ab dem 25. Mai 2018 bis zum September konzernweit gestiegen. Alle Beschwerden und Meldungen zu potenziellen Datenschutzverletzungen oder -verstößen wurden überprüft, bearbeitet und dokumentiert. 2018 wurden sieben Datenschutzvorfälle aus den österreichischen Gesellschaften der REWE Group gemeldet.

Allen Fällen zugrundeliegende Sachverhalte werden analysiert, technische oder organisatorische Maßnahmen, soweit erforderlich, angepasst und die anfragende Stelle – Betroffener oder Aufsichtsbehörde – über Ergebnisse und eventuelle Maßnahmen informiert.