BVD-VERBANDSTAGE 2019: UMSETZUNG DER EU DS- GVO IN DER REWE GROUP PRÄSENTATIONSVERSION OHNE BILDMATERIAL

Die Seite wird erstellt Pascal Kramer
 
WEITER LESEN
BVD-VERBANDSTAGE 2019: UMSETZUNG DER EU DS- GVO IN DER REWE GROUP PRÄSENTATIONSVERSION OHNE BILDMATERIAL
BvD-Verbandstage 2019:
Umsetzung der EU DS-
GVO in der REWE Group

Karin Tresp | REWE Group | Juni 2019

                               Präsentationsv
                                              ersion
                                ohne Bildmater
                                                ial
BVD-VERBANDSTAGE 2019: UMSETZUNG DER EU DS- GVO IN DER REWE GROUP PRÄSENTATIONSVERSION OHNE BILDMATERIAL
VORSTELLUNG KARIN TRESP

Seit 2018:        Leitung des zentralen Datenschutz Management REWE Group

2013 – 2017:      IT Governance & IT Compliance REWE Group
                  (ITG insbesondere im Kontext Digitalisierung & Agilität)

Vor 2013:         Mehrjährige Erfahrungen in Beratung, Produktentwicklung,
                  Projektmanagement, Teamleitung (Cost & Profit Center)
                  sowie Geschäftsleitung zu u.a. folgenden Themen:
Business Development (B2B & B2C), Strategieentwicklung, Organisations- und Personal-
entwicklung, agile Transition, Digitalisierung, Digital Governance,
IT Governance, IT Compliance, IT Management, Projekt Management,
Produkt/Projekt/Service Portfolio Management, Prozessmanagement,
HR Change Management, Communication, Nachhaltigkeit,
Daten-/Informations-/Wissensmanagement sowie Datenschutz

2019                                                                         REWE Group   2
BVD-VERBANDSTAGE 2019: UMSETZUNG DER EU DS- GVO IN DER REWE GROUP PRÄSENTATIONSVERSION OHNE BILDMATERIAL
Statement

ZUSAMMENSPIEL VON DATENSCHUTZ,
AGILITÄT UND DIGITALISIERUNG

                                   Digitalisierung  Agilität  Datenschutz

     Digitalisierung und Agilität dienen jeweils nicht einem „Selbstzweck“, sondern haben
    immer das Ziel die beste Lösung bzw. einen Mehrwert für den Kunden zu schaffen* …

                                     … wobei Agilität für u.a. die Digitalisierung
                                das Rahmenwerk zur Zusammenarbeit ermöglicht …

                                    … und Datenschutz das rechtliche Rahmenwerk
                                          für u.a. die Digitalisierung bildet.

                                 Das betrifft nicht nur die „Digitalisierung“,
                         sondern auch alle „Technologie-Trends“, wie z.B. KI, IoT, etc.
 * „Kunde“ als Zielgruppe kann sein: Unternehmensexterne Kunden (B2C oder B2B), Geschäftspartner, Interessenten, etc. sowie unternehmensinterne Kunden,
 wie z.B. der jeweilige Fachbereich oder die Beschäftigten

2019                                                                                                                                REWE Group            3
BVD-VERBANDSTAGE 2019: UMSETZUNG DER EU DS- GVO IN DER REWE GROUP PRÄSENTATIONSVERSION OHNE BILDMATERIAL
Statement

GEMEINSAMKEITEN VON DATENSCHUTZ
UND AGILITÄT

                                                         Agilität  Datenschutz

                        Agilität und Datenschutz bilden beide nicht nur einen Rahmen
                                     für u.a. die Digitalisierung, sondern …

  … weisen zudem selbst in ihren Ansätzen viele Gemeinsamkeiten auf, wie u.a. der Fokus
                         auf den Menschen / Betroffenen und …

    … wirken beide als Rahmengeber auf das jeweilige Thema ähnlich, wie z.B. als Treiber
           zum Aufräumen von Daten, Organisation, Prozesse, IT-Landschaft, etc.

       Obwohl Agilität und Datenschutz einen unterschiedlichen Ruf aufweisen, haben sie
                              dennoch viele Gemeinsamkeiten *
 * Hierzu gibt es bei Bedarf einen gesonderten Beitrag

2019                                                                                   REWE Group   4
BVD-VERBANDSTAGE 2019: UMSETZUNG DER EU DS- GVO IN DER REWE GROUP PRÄSENTATIONSVERSION OHNE BILDMATERIAL
SEIT 1927

2019        REWE Group   5
BVD-VERBANDSTAGE 2019: UMSETZUNG DER EU DS- GVO IN DER REWE GROUP PRÄSENTATIONSVERSION OHNE BILDMATERIAL
ERFOLGREICH IN
DEUTSCHLAND UND EUROPA

Die REWE Group in Zahlen:

       61,2Mrd. Euro
                             360.315             15.686
   GESAMTAUSSENUMSATZ 2018    MITARBEITER 2018    MÄRKTE 2018

2019                                                    REWE Group   6
BVD-VERBANDSTAGE 2019: UMSETZUNG DER EU DS- GVO IN DER REWE GROUP PRÄSENTATIONSVERSION OHNE BILDMATERIAL
IN 22 LÄNDERN EUROPAS MIT
MÄRKTEN UND REISEBÜROS VERTRETEN

BELGIEN KONING AAP · BULGARIEN BILLA · DÄNEMARK APOLLO ·
FINNLAND APOLLO · FRANKREICH KUONI · GROSSBRITANNIEN
KUONI · ITALIEN PENNY · KROATIEN BIPA · LITAUEN IKI ·
NIEDERLANDE PRIJSVRIJ.NL · NORWEGEN APOLLO · ÖSTERREICH
BILLA, MERKUR, PENNY, BIPA, ADEG, DERTOUR, JAHN REISEN,
MEIERS WELTREISEN, ADAC REISEN, BILLA REISEN · POLEN
DERTOUR, JAHN REISEN, MEIERS WELTREISEN, ITS BILLA TRAVEL,
EXIM HOLDING · RUMÄNIEN PENNY · RUSSLAND BILLA ·
SCHWEDEN APOLLO · SCHWEIZ KUONI, HELVETIC TOURS, ITS
COOP TRAVEL · SLOWAKEI BILLA, DERTOUR, JAHN REISEN, MEIERS
WELTREISEN, ITS BILLA TRAVEL, EXIM HOLDING · TSCHECHIEN
BILLA, PENNY, DERTOUR, JAHN REISEN, MEIERS WELTREISEN, ITS
BILLA TRAVEL, EXIM HOLDING · UKRAINE BILLA · UNGARN PENNY,
DERTOUR, JAHN REISEN, MEIERS WELTREISEN, ITS BILLA TRAVEL,
EXIM HOLDING

2019                                                         REWE Group   7
BVD-VERBANDSTAGE 2019: UMSETZUNG DER EU DS- GVO IN DER REWE GROUP PRÄSENTATIONSVERSION OHNE BILDMATERIAL
DIE REWE GROUP AUF EINEN BLICK

HANDEL
DEUTSCHLAND

HANDEL
INTERNATIONAL

BAUMARKT

TOURISTIK

SONSTIGE

2019                             REWE Group   8
BVD-VERBANDSTAGE 2019: UMSETZUNG DER EU DS- GVO IN DER REWE GROUP PRÄSENTATIONSVERSION OHNE BILDMATERIAL
NACHHALTIG HANDELN FÜR EIN BESSERES LEBEN

Verantwortliches Handeln im Sinne der Gemeinschaft ist   Langfristig kann sie nur weiter wachsen, wenn
für die REWE Group Bestandteil der Unternehmens-         sie Ressourcen schont, mit Mitarbeitern ebenso
kultur. Die REWE Group ist davon überzeugt:              wie mit Partnern fair und vertrauensvoll umgeht
                                                         und einen Beitrag für die Gesellschaft leistet.

2019                                                                                        REWE Group     9
BVD-VERBANDSTAGE 2019: UMSETZUNG DER EU DS- GVO IN DER REWE GROUP PRÄSENTATIONSVERSION OHNE BILDMATERIAL
UNTERNEHMENSLEITBILD:
SECHS WERTE FÜR EINE KULTUR

                   GEMEINSAM                                       DIE BESTE LEISTUNG –
              FÜR EIN BESSERES LEBEN                      FÜR KUNDEN, KAUFLEUTE UND MITARBEITER

       1 / Wir handeln eigenverantwortlich   4 / Wir begegnen einander offen,
       im Sinne der Gemeinschaft.            mit Vertrauen und Respekt. Unser Wort gilt.
       2 / Wir handeln für den Kunden.       5 / Wir ringen um die beste Lösung, entscheiden
       Wir sind mitten im Markt.             wohlüberlegt und handeln konsequent.
       3 / Wir haben Mut für Neues.          6 / Wir sind uns unserer Verantwortung
       Stillstand ist Rückschritt.           bewusst und handeln nachhaltig.

2019                                                                                       REWE Group   10
UMSETZUNGSPROJEKT ZUR EU DS-GVO:
UNSER GENERELLES VORGEHEN                                                                                              Nicht nur IST-
                                                                                                                                          Ergänzender H
                                                                                                                                                        inweis:
                                                                                                                                      und SOLL-Zusta
                                                                                                                       Schließung de                 nd ermitteln, so
                                                                                                                                      r GAP‘s immer                   ndern für die
                                                                                                                           Voraussetzung            auch die hierfü
                                                                                                                                          en und Rahmen             r notwendigen
                                                                                                                                                         bedingungen kl
                                                                                                                                                                          ären

                                                                                Projekt „EU DS-GVO“

                  Analyse und Auswertung
                  §     Festlegung der Projektleitung/-Team und des Lenkungsausschusses des Projektes „EU DS-GVO“
                  §     Abstimmung mit dem Auftraggeber (Vorstand) zum Ziel und zum Umfang des Projektes
                  §     Analyse und Auswertung der IST-Situation (ggü. SOLL) sowie Ableitung zum Vorgehen und zugehörige Maßnahmen
Vorgehensweise

                  Konzeption
                  §     Überarbeitung der DS-Ziele sowie Erstellung und Bereitstellung einer neuen DSGVO-konformen DS-Konzernrichtlinie
                  §     Überarbeitung der „DS-Organisation“ und zugehörige Rollen sowie Erstellung von weiteren Stellenbeschreibungen
                  §     Entwicklung und Bereitstellung von DS-relevanten Prozesse, Vorlagen sowie Hilfsmittel (Checkliste, Tools, etc.)

                  Realisierung
                  §     Besetzung der noch offenen DS-Rollen in der überarbeiteten DS-Organisation
                  §     Umsetzung der Konzern-Richtlinie sowie Durchführung begleitender Maßnahmen, wie z.B. Informationen & Schulungen
                  Ø     Mit Abschluss des Projektes erfolgte die Übergabe an die DS-Linienorganisation, inkl. der beständigen Überprüfung der
                        Ergebnisse (Stichwort „PDCA“)

                 „Konzeption“ und „Realisierung“ sind nicht zwingendermaßen zeitlich getrennte Phasen. Je nach Fertigstellung der jeweiligen (Teil-)Konzepte kann schon die zugehörige
                 Realisierung starten.

2019                                                                                                                                                           REWE Group           11
UMSETZUNGSPROJEKT ZUR EU DS-GVO:
ANALYSE UND AUSWERTUNG

                                                             Projekt „EU DS-GVO“

                 Analyse und Auswertung
                 §   Festlegung der Projektleitung/-Team und des Lenkungsausschusses des Projektes „EU DS-GVO“
                 §   Abstimmung mit dem Auftraggeber (Vorstand) zum Ziel und zum Umfang des Projektes
                 §   Analyse und Auswertung der IST-Situation (ggü. SOLL) sowie Ableitung zum Vorgehen und zugehörige Maßnahmen
Vorgehensweise

                 Analyse und Auswertung von …
                 § … vorliegenden Verfahren, TOMs, Verträge, ADVs, etc.
                 § … aktuelle Organisationen bzw. Organigrammen, Prozessen, IT-Landschaft, etc.
                 Bekenntnis des Gesamtvorstands
                 § … Ergebnissen aus den bisherigen Audits der DSB und des Konzern-
                   Risikomanagement, Konzern-IKS, etc.
                 § … Ergebnissen aus den Interviews mit den bisherigen DSBs und den jeweiligen
                   Fachbereichen

2019                                                                                                                REWE Group    12
UMSETZUNGSPROJEKT ZUR EU DS-GVO:
KONZEPTION DER DS-ZIELE, -LEITLINIEN UND -ORGANISATION

                  DS-Ziele                                      DS-Organisation
                § Die DS-Ziele des Konzerns sind
                  Bestandteile der Konzern-
                  Richtlinie und des Bekenntnis des
 Bekenntnis   des Gesamtvorstands
                  Vorstands                           Bekenntnis des Gesamtvorstands
                 § Unberührt davon: Die DS-
                   Strategie der „Verantwortlichen“

         DS-Konzernrichtlinie                             DS-Bekenntnis des Vorstands

 Bekenntnis des Gesamtvorstands                       Bekenntnis des Gesamtvorstands

2019                                                                              REWE Group   13
MIT DER UMSETZUNG DER DS-GVO IN DER REWE GROUP WURDEN
  DIE DS-ORGANISATION UM NEUE ROLLEN ERWEITERT      Und ergänzen
                                                  Ansprechpartn
                                                                 d:
                                                                er zu
                                                                                                                 DS im Bereich
                                                                                                                               „Recht“
Zuständigkeit     Rolle                   Verantwortlichkeiten
                  Verantwortliche         Rechenschaftspflicht gegenüber betroffenen Personen oder Aufsichtsbehörden für die Ein-
                  (= Geschäftsleitungs-   haltung der datenschutzrechtlichen Regelungen. Benennt zu seiner Unterstützung den GFV.
                  organe)                 à Verantwortet die Einhaltung der datenschutzrechtlichen Vorgaben
                                   NEU    Organisation & Kontrolle der Umsetzung der datenschutz-rechtlichen Vorgaben. Stellt die
                  Geschäftsfeld-
                  Verantwortlicher        hierzu benötigten Ressourcen zur Verfügung, inkl. Benennung des DSK.
                  (GFV)                   à Verantwortet die DS-rechtlichen Themen in der jeweiligen Organisations-/Geschäftseinheit
                                          Umsetzung der datenschutzrechtlichen Vorgaben durch die Personen in den Fachbereichen,
                  Zuständiger             die den jeweiligen Geschäftsprozess verantworten, mit dem personenbezogene Daten
Je Gesell-                                verarbeitet werden.
                  Fachbereich
schaften/en
                                          à Verantwortet die DS-rechtlichen Themen für den jeweiligen Geschäftsprozess
                                   NEU    Koordination und beratende Begleitung der Umsetzung der datenschutzrechtlichen Vorgaben
                  Datenschutz-            in den zuständigen Fachbereichen bzw. Einheiten. Berichtet an das DSM und an den GFV.
                  Koordinatoren (DSK)
                                          à Zentraler Ansprechpartner für die jeweilige Organisations-/Geschäftseinheit
                                          Beratung und Überwachung (inkl. Audits) in Bezug auf die datenschutzrechtlichen Vorgaben.
                  Datenschutz-            Er ist dabei weisungsunabhängig, berichtet an den Verantwortlichen und tauscht sich mit dem
                  Beauftragte (DSB)       DSM und den DSK aus.
                                          à Unabhängiger Berater für die jeweilige Organisations-/Geschäftseinheit
                                   NEU    Konzernweite Regelungshoheit (Governance) und Konsolidierung der Kontrollen, Förderung
                  Zentrales               von Awareness und der Nutzung von Synergien sowie Leitung des „REWE Group DS Board“.
REWE Group weit   Datenschutz-
                                          Berichtet an den Vorstand und an den Aufsichtsrat.
                  Management (DSM)
                                          à Gesamtkoordination des konzernweiten Datenschutz-Managements

  2019                                                                                                          REWE Group          14
ALLE ROLLEN DER „REWE GROUP DS-ORGANISATION“
SIND BESETZT
                                                                                                                             Wichtig: Guter
                                                                                                                                            Service
                                                                                                                             trägt wesentlic
                                                                                                                                             h zur
                                                                                                                                Akzeptanz bei

                                                                          Geschäftsfelder (GF)
 Rolle
                                   GF 1                 GF 2                GF 3               GF …               GF …              GF …
 Verantwortliche                                  Geschäftsleitungsorgane à Vorstand und die jeweilige Geschäftsführung

 Geschäftsfeld-
                                    A.B.                 C.D.                E.F.               G.H.                I.J.              K.L.
 Verantwortlicher (GFV)
                                      Die jeweiligen Personen in den Fachbereichen, die den jeweiligen Geschäftsprozess verantworten,
 Zuständiger Fachbereich
                                                           mit dem personenbezogene Daten verarbeitet werden
 Datenschutz-Koordinatoren
                                   x DSK                x DSK               x DSK              x DSK              x DSK              x DSK
 (DSK) *
 Datenschutz-Beauftragter          M.N.                                     M.N.
                                                         M.N.                                   Q.R.               S.T.              O.P.
 (DSB)                              O.P.                                     O.P.
 Zentrales Datenschutz-
                                                                                    x DSM
 Management (DSM)

                             DSM in der Zusammenarbeit mit DSB, DSK sowie mit Kollegen aus der Rechtsabteilung
 DS-Krisenstab
                             und in Abhängigkeit des Krisen-Levels und Art der DS-Verletzung auch mit weiteren Personen (z.B. mit dem ISB)
                             Bestehend aus 1.) beständige Mitglieder (DSM sowie der das jeweilige Geschäftsfeld vertretende DSB/DSK), 2.)
 REWE Group DS-Board
                             einem erweiterten Teilnehmerkreis in rein beratender Funktion sowie 3.) das Board Office

2019                                                                                                                        REWE Group        15
ALLE ROLLEN DER „REWE GROUP DS-ORGANISATION“
SIND BESETZT

Geschäftsfelder
§ Die DS-relevanten Geschäftsfelder richten sich nach den REWE Group Geschäftsfelder, wie z.B.
   „Handel national“
§ Ein Geschäftsfeld umfasst i.d.R. mehrere Gesellschaften
Datenschutz-Beauftragte (DSB)
§ Um den Anforderungen der EU DS-GVO und des BDSG neu gerecht zu werden gibt es derzeit
   sowohl „interne DSB“ als auch „externe DSB“
§ Die meisten DSB betreuen mehrere Gesellschaften
Datenschutz-Koordinatoren (DSK)
§ Die Anzahl und die Zuordnung der DSK richtet sich innerhalb des Geschäftsfeldes nach u.a.
   folgenden Kriterien: Geschäftstätigkeit (Verwaltung, Logistik, B2B, B2C, etc.), Größe des
   Unternehmens, Verteilung der Standorte, Landeszuordnung, etc.
§ Aufgrund der aufgeführten Kriterien gibt je nach Geschäftsfeld zwischen DSK und Gesellschaften
  1:n-, 1:1- oder n:1-Beziehungen

2019                                                                                REWE Group   16
EINE GESCHICHTE VOLLER MISSVERSTÄNDNISSE …
DIE „DATENSCHUTZ-KOORDINATOREN“ (DSK)

§ Vorab: Eine Rolle besteht nicht nur aus Titel, Verantwortlichkeiten, Aufgaben sowie
  Anforderungen an Kenntnisse und Kompetenzen, sondern auch immer aus einem sogenannten
  „Rollenverständnis“, wie z.B. „Vernetzer“, „Unterstützer“, etc.
§ Der Austausch innerhalb der REWE Group als auch außerhalb mit anderen Unternehmen,
  externen Berater und Trainer zeigt, dass die Rolle des Datenschutz-Koordinators (DSK) die
  meistdiskutierte – und meist missverstandene – Rolle ist
§ Empfehlung Nr. 1: Immer wieder erneut die Abgrenzung der – angedachten und gelebten –
  Rolle „DSK“ zu den anderweitigen Rollen überprüfen!
§ Der DSK ist kein „Entscheider“ (à Verantwortlicher), oder „Cleaner“ & „Umsetzer“ (à
  Fachbereiche)
§ Empfehlung Nr. 2: In der Zusammenarbeit mit dem DSB ist immer darauf zu achten, wer
  welche Art von beratenden Leistungen erbringt
§ Empfehlung Nr. 3: Ein externer DSB, welcher nicht mit den Unternehmen vertraut ist, sollte
  möglichst immer gemeinsam mit einem internen DSK die Möglichkeiten zur Umsetzung der
  DSGVO in dem betreffenden Fachbereich klären
2019                                                                                 REWE Group   17
DAS „REWE GROUP DATENSCHUTZ BOARD“ (DS-BOARD)
IST MIT VERTRETERN ALLER GESCHÄFTSFELDER BESETZT

         Ständige Mitglieder                            Erweiterter Teilnehmerkreis                                   Back-Office

 § Leitung Zentrales Datenschutz                     Nur beratende Funktion:                             Das „Zentrale Datenschutz
   Management (DSM) à Vorsitz                        § Vertreter aus dem Bereich                         Management (DSM) stellt das
 § Ein Datenschutz-Koordinator (DSK)                   „Informationssicherheit“                          Back-Office für das DS-Board
   je Geschäftsfeld                                                                                      bereit
                                                     § Vertreter aus dem Bereich
 § Alle Datenschutz-Beauftragten                       „Konzernrevision“
   (DSB) intern/extern
 § Vertreter aus dem Bereich „Recht“

        Alle ständigen Mitglieder haben jeweils „eine Stimme“. Die Vertretung aus dem Bereich „Recht“ hat
                  unabhängig von der Anzahl derer Teilnehmer insgesamt auch nur „eine Stimme“.
DSK = Datenschutz-Koordinatoren / DSB = Datenschutz-Beauftragte / DSM = Zentrales Datenschutz Management / DS-Board = REWE Group Datenschutz Board

2019                                                                                                                            REWE Group           4
ZIEL, MANDAT UND ABGRENZUNG DES
„REWE GROUP DATENSCHUTZ BOARDS“ (DS-BOARD)

                Ziel                          Mandat                         Abgrenzung
 Sicherstellung einer REWE          Erstreckt sich über alle          Die Umsetzung bzw. die
 Group weiten Datenschutz-          Geschäftsfelder hinweg und        Anpassung von operativen
 Strategie durch Austausch          beinhaltet bindende               Prozessen verbleibt bei den
 und Entscheidungen zu              Entscheidungen sowie              Fachbereichen. Die Aufgaben
 übergreifenden Datenschutz-        Empfehlungen zu über-             der DS-Organisation nach
 Fragestellungen, um                greifenden datenschutz-           der Konzern-Richtlinie
 datenschutzrechtliche              rechtlichen Sachverhalten.        bleiben unberührt.
 Risiken zu minimieren.

                              Turnus der Board Treffen: Quartalsweise
              Ergänzend möglich: Entscheidungen und Empfehlungen per Umlaufverfahren

            Wichtig: Der „Verantwortliche“ ist rechenschaftspflichtig für die Einhaltung der
       datenschutzrechtlichen Vorgaben. Letztendlich entscheidet dieser im Sinne der EU DS-GVO,
                             ob er einer Empfehlung des DS-Boards folgt.

2019                                                                                 REWE Group   19
VERANTWORTLICHKEITEN UND AUFGABEN
DES „REWE GROUP DATENSCHUTZ BOARD“

           Vorstand &                                                                                                Datenschutz-
        Geschäftsführung                                                                                          Koordinatoren (DSK)
                                                             Datenschutz Board
                                                               REWE Group

        Strategische Planung                             Datenschutz Governance                            Koordination & Umsetzung

Verantwortlichkeiten & Aufgaben                    Verantwortlichkeiten & Aufgaben                     Verantwortlichkeiten & Aufgaben
§ Festlegung der generellen                        § Austausch- und                                    § Ansprechpartner und
  Strategie zum Datenschutz                          Entscheidungsgremium                                Koordination der Datenschutz-
§ Strategisch relevante                            § Eskalationsinstanz zur Lösung                       Fragestellungen
  Entscheidungen (z.B.                               von Konflikten                                    § Beratung und Unterstützung der
  wesentliche Auswirkungen auf                                                                           Fachbereiche bei der Umsetzung
  Geschäftstätigkeiten)                                                                                  datenschutzrechtlicher
                                                                                                         Anforderungen

                                  Datenschutz-Beauftragte (DSB): Beratung und Überwachung

DSK = Datenschutz-Koordinatoren / DSB = Datenschutz-Beauftragte / DSM = Zentrales Datenschutz Management / DS-Board = REWE Group Datenschutz Board
2019                                                                                                                            REWE Group           7
BERICHTS- UND AUSTAUSCHFORMATE
(AUSZUG)                                                                          Und ergänzen
                                                                                               d: Austausch üb
                                                                                                               er das
                                                                                   unternehmense
                                                                                                   xterne Netzwer
                                                                                                                  k

                                                                • Jahresbericht DSM an die Verantwortlichen

                       jährlich                                   (Vorstand & GF) sowie an die TopEx
                                                                • Berichtserstattung DSM im Audit Committee
                                                                  an den Aufsichtsrat

                2-monatlich/
                                                                • 2-Monatsbericht DSM an den Gesamt-
                                                                  vorstand
                                                                • 2-Monatsbericht DSM –mit bei Bedarf
                                                                  ergänzenden Informationen aus dem
               quartalsweise                                      jeweiligen Geschäftsfeld – an die GF
                                                                • Jour Fixe DSM mit der Konzernrevision

                                                                • „DSK-Meeting“ mit DSB & DSM
                                                                • Kennzahlen Reporting an das DSM

                   monatlich                                    • Jour Fixe DSM mit dem zuständigen Ressort
                                                                  Vorstand
                                                                • Die jeweiligen Jour Fixe der DSK / DSB mit je
                                                                  nachdem mit dem Vorgesetztem / GF / etc.

                 DSK = Datenschutz-Koordinatoren / DSB = Datenschutz-Beauftragte / DSM = Zentrales Datenschutz Management

2019                                                                                             REWE Group        21
PROZESSE UND IT-ANWENDUNGEN
(AUSZUG)

                              Prozesse                                                                   IT-Anwendungen
  Im Projekt „EU DS-GVO“ wurden u.a. folgende DS-relevanten                         In der REWE Group werden verschiedene Anwendungen zur
  Prozesse überarbeitet oder erarbeitet:                                            Unterstützung der DS-relevanten Prozesse genutzt:
  §    Auftragsverarbeitungsvertrag (AVV)                                           § Dokumentations- und Collaboration-Lösungen für die
  §    Automatische Einzelfallentscheidung                                             Bereitstellung / Ablage (und Zusammenarbeit) von
  §    Datenschutz-Folgenabschätzung (DSFA)                                            § Vorlagen und Hilfsmittel, wie z.B. Checklisten
  §    Datenübermittlung an Drittländer                                                § DS-relevanten zu erstellenden Dokumenten, wie z.B.
  §    Datenübertragbarkeit                                                               das Verzeichnis der Verarbeitungstätigkeiten, TOMs,
                                                                                          AVV, etc.
  §    Datenschutz-Verletzungen
                                                                                       § Reports & (Audit-, Jahres-, etc.)Berichte
  §    Informationspflichten
                                                                                       § Schulungsdokumentation
  §    Joint Controllership
                                                                                    § Info-Plattform als DS-Wiki und DS-Austauschforum
  §    Verarbeitungsdokumentation
                                                                                    § Ticket-Tool des „Krisenmanagement der REWE Group“
  §    Widerspruchsrecht                                                               zwecks Meldung und Dokumentation von (potentiellen)
  Ergänzend gibt es in den Geschäftsfeldern jeweils weitere                            DS-Verletzungen / DS-Verstöße (à Callcenter, welches 24
  definierte Prozesse, welche jedoch von deren jeweiligen                              Stunden/7 Tage die Woche erreichbar ist)
  Rahmenbedingungen abhängen, wie z.B. bei der Abwicklung                           Die DS-relevante Konzern-Richtlinie wird über den „REWE
  der Betroffenenrechte: Auskunftsrecht, Löschantrag, etc.                          Group Konzern-Richtlinien Bereich“ bereitgestellt.
Weiterhin gibt es Info-Portale zu anderweitigen Themen, welche ebenfalls eine DS-Relevanz/-Schnittstelle haben, wie z.B. zu Cloud, ISMS, etc.

2019                                                                                                                                      REWE Group   22
ZUGRIFFSBEREICHE FÜR DOKUMENTATIONS-, COLLABORATION-,
INFORMATIONS- UND AUSTAUSCHBEREICHE

                                                             Geschäftsfeld 1
                                                                                                        Interner Bereich für DSK,
                                                                                                         DSB und DSM (und ISB)
                                                             Geschäftsfeld 2
              REWE Group
                                                             Geschäftsfeld 3
                                                                                                        Interner Bereich für DSM
                                                            Geschäftsfeld …

     Öffentlicher Bereich ohne                         Zugriffseingeschränkte                               Zugriffseingeschränkte
    Zugriffseinschränkungen für                       Bereiche je Geschäftsfeld/                           Bereiche für ausgewählte
           alle Mitarbeiter                                  Gesellschaft                                          DS-Rollen
DSK = Datenschutz-Koordinatoren / DSB = Datenschutz-Beauftragte / DSM = Zentrales Datenschutz Management / ISB = Informationssicherheitsbeauftragte

2019                                                                                                                                REWE Group        23
LEITLINIEN, VORLAGEN UND HILFSMITTEL
(AUSZUG)                                                                                                                Ausblick: „DS-C
                                                                                                                                         heckliste Due
                                                                                                                        ist derzeit in Ü               Diligence“
                                                                                                                                        berarbeitung (=
                                                                                                                         Nutzung für Se                 auch zur
                                                                                                                                         lf Assessment
                                                                                                                                                       & Audit)

  Leitlinien, Vorlagen & Hilfsmittel (Teil 1)                                        Leitlinien, Vorlagen & Hilfsmittel (Teil 2)
  Folgende Leitlinien, Vorlagen & Hilfsmittel wurden u.a. bisher                     § „Muster-Vorlage Löschkonzept“ (in beständiger
  erarbeitet/überarbeitet und bereitgestellt (Auszug):                                 Weiterentwicklung bzw. bei Bedarf anzupassen)
  § Konzern-Richtlinie als Dokument                                                  § Übersicht über Aufbewahrungs-/Löschfristen
  § Konzern-Richtlinie – Inhalte als „Fragen & Antworten“                            § Checkliste für DS-Überprüfung von Websites
  § DS-Organisation mit Rollenbeschreibung                                           § Definition der Krisen-Level bezüglich DS-Verletzungen/-
  § Stellenbeschreibung für DSB, DSK & DSM                                             Verstöße
  § Dokumentation einer Verarbeitung (Vorlage)                                       § Dokumentation einer DS-Verletzung
  § Daten-Schutzklassen (abgestimmt mit dem ISMS)                                    § Checkliste Videoüberwachung
  § Dokumentation einer DSFA (Vorlage)                                               § Muster-Auftragsverarbeitungsvereinbarung (AVV) –
                                                                                       REWE Group intern/extern
  § Mindestinhalte DSFA
                                                                                     § Mustertexte für Antworten an die Betroffene (bei Bedarf
  § Leitfaden Datenschutzfolgenabschätzung (DSFA)                                      anzupassen)
  § Leitfaden zu den TOMs (Vorgehen)                                                 § Schulungsunterlagen (bei Bedarf anzupassen)
  § TOM-Checkliste für Verarbeitungen – REWE Group                                   § Kennzahlen-Reporting an DSM
    intern/extern
                                                                                     § (Kennzahlen-)Reporting an die Verantwortlichen
  § Leitlinie zu Löschkonzepten
                                                                                     § Glossar
  § Mindestinhalte Lösch- und Einschränkungskonzept
Weiterhin werden die veröffentlichten Hilfsmittel der Aufsichtsbehörden, der Datenschutz-Konferenz, etc. bereitgestellt bzw. darauf verlinkt

2019                                                                                                                                       REWE Group         24
MÖGLICHE HANDHABUNG DER „VERANTWORTLICHKEITEN ZU
EINER VERARBEITUNG“ (UNTER BEACHTUNG VON ZWECK & RECHTSGRUNDLAGE)

       Erhalten               Bearbeiten                                       Entsorgen
       Erheben                Organisieren                                     Löschen
       Erfassen               Ordnen                                           Sperren
       Zugestellt bekommen    Speichern                                        Entsorgen
                              Anpassen                                         Anonymisieren
                              Verändern                                        Vernichten
                              Auslesen
                              Abfragen                                         Einschränken durch:
                              Verwenden                                        • Pseudonymisieren
                              Offenlegen durch übermitteln, verbreiten, etc.
                              Bereitstellen
                              Auswerten
                              Abgleich
                              Verknüpfen

                             Zuständigkeiten und Verantwortung
             Data Owner                   Process Owner                        Data Owner / System Owner

2019                                                                                           REWE Group   25
MÖGLICHE HANDHABUNG DER ZUM „SCHNITT DER
VERARBEITUNGEN“ (UNTER BEACHTUNG VON ZWECK & RECHTSGRUNDLAGE)

Drei Empfehlungen zum Schnitt von Verarbeitungen und deren Zusammenspiel – immer unter
Beachtung deren Zweck und Rechtsgrundlage:
1) Bei Unsicherheiten zu der Fragestellung wie feingranular (z.B. Gehaltsabrechnung für IT-
   Mitarbeiter, Gehaltsabrechnung für HR-Mitarbeiter, etc.) oder grobgranular (z.B.
   Gehaltsabrechnung für die Beschäftigen) sollte man die Verarbeitung schneiden, dann
   empfiehlt es sich im Zweifelsfalle mit „grobgranular“ starten und mit dem betreffenden
   Fachbereichen die ggf. vorhandenen Abweichungen zu klären
2) Sogenannte „Service Units“ bzw. in Verwaltungsbereichen (Betriebswirtschaft, Recht, etc.)
   ändern seltener ihre Prozesse, etc. als die sog. „Business Units“ (Produktion, Verkauf, etc.),
   daher sind bei Letzteres „feingranularer Schnitte“ aufgrund der modularen Flexibilität hilfreich
3) Sollten deutlich erhöhte TOM-Anforderungen bei nur zu einem (geringen) Teil der
   betreffenden Verarbeitung bestehen, kann ggf. eine Zerlegung der betreffenden Verarbeitung
   sinnvoll sein

2019                                                                                   REWE Group     26
MÖGLICHE HANDHABUNG ZUR „FÜHRUNG EINES
VERARBEITUNGSVERZEICHNISSES (VVT)“ – TEIL 1

                                                         Variante „Dokumente“
  Schritt 1:                                                               Schritt 1:

  § Zur Dokumentation einer „Verarbeitung“ wird eine excel-Vorlage              Angaben
                                                                                  zum              Ver-      Daten
    angeboten                                                                                                              DSFA
                                                                                Verant-         arbeitung   (arten)
  § Die Vorlage wird erstmalig ausgefüllt (inkl. links zu TOMs, etc.)* –       wortlichen
    i.d.R. ohne Angaben zum Verantwortlichen
  § Die Vorlage wird im Ablagebereich „Verarbeitung“ des
    Dokumentationsmanagement-Tools für alle bereitgestellt                  Excel-Datei mit diesen vier Tabellenblätter
  Schritt 2:                                                                   Schritt 2:
                                                                               runterladen
                                                                                                             VVT der Gesellschaft X
  § Für die Gesellschaft, welche die Verarbeitung relevant ist, wird           und ergänzen
    diese runtergeladen – bei Bedarf ggf. ergänzt/angepasst und um die         sowie ggf. anpassen
    „Angaben zum Verantwortlichen“ ergänzt                                                                   VVT der Gesellschaft Y
  § Die vollständige Dokumentation wird in dem Ablagebereich
    „Verzeichnis der Verarbeitungstätigkeiten“ (VVT) der betreffenden
    Gesellschaft hochgeladen und um Metadaten ergänzt (= entspricht                                          VVT der Gesellschaft Z
                                                                                            Im jeweiligen
    nur um einen Teil der Angaben aus dem Dokument selbst)
                                                                                            VVT hochladen
  § Die Dokumentation wird ggf. um zugehörige Anlagen ergänzt
* Wer übernimmt die erstmalige Befüllung? à siehe dazu auch Folie Nr. 25

2019                                                                                                                  REWE Group      27
MÖGLICHE HANDHABUNG ZUR „FÜHRUNG EINES
VERARBEITUNGSVERZEICHNISSES (VVT)“ – TEIL 2

                                                         Variante „objektorientierte DB“
  § Das bedeutet jedes Element „Verantwortlicher“, „DSB“, „Zweck der Verarbeitung“, etc. ist ein Objekt und kann beliebig kombiniert
    werden und für ein „Verzeichnis der Verarbeitungstätigkeit“ zusammengestellt werden und entsprechend auch gefiltert,
    ausgewertet, etc. und für individuelle Übersichten als Basis für Reports, Prüfungsplan, etc. zusammengestellt werden.

  Gesammelte Erfahrungen zu den aktuell am Markt bisherig angebotenen sog. „DS-Tools“
  § Die aktuellen IT-Anwendungen, welche als „DS-Tool“ auf dem Markt angeboten werden lassen sich in zwei Arten von Lösungen
    unterscheiden:
             1) Entweder sind es bereits auf dem Markt schon länger bestehende IT-Anwendungen aus dem „Dokumentations- und
                Collaboration“-Umfeld, bei denen nicht nur die bisherigen Unternehmensdokumente abgelegt und bearbeitet werden
                können, sondern auch DS-relevante Dokumente.
             2) Oder die „DS-Tools“ wurden explizit für den Anwendungsfall „Umsetzung DSGVO“ konzipiert. Das bedingt jedoch, dass
                deren Entwicklung oft nicht vor 2017 gestartet ist und daher einige Tools noch nicht alles abdecken.
  § Empfehlung an die „Tool-Anbieter Fall 2“: Erst mit einem Teilthema fokussiert starten, wie z.B. mit dem „Verzeichnis der
    Verarbeitungstätigkeiten“ und erst nach und nach die anderen Teilthemen, wie z.B. „Meldung und Dokumentation von DS-
    Verletzungen“ angehen.
  § Generell: Der Großteil der aktuell angebotenen „DS-Tools“ können eher den Bedarf von KMU‘s* abdecken als den von Konzernen

       * KMU = Kleine und mittelständische Unternehmen

2019                                                                                                               REWE Group       28
BESTÄNDIGE ÜBERPRÜFUNG UND ANPASSUNG
(AUSZUG)

            Formate zur Überprüfung                                           Weitere Formate
  In folgenden Formate wird derzeit der Status zum „REWE      Darüber hinaus werden sog. „Lessons Learned Workshops“
  Group Datenschutz“ ermittelt wird (Auszug):                 zu Prozessen/Dokumentationen/Tools/etc. durchgeführt mit

                                                           Plan
  § REWE Group interne & externe DS-Audits durch den          den folgenden Zielen
    jeweiligen internen/externen DSB in Abhängigkeit des      § Ermittlung des IST-Zustandes,
    jeweiligen jährlichen Prüfungsplans                       § Austausch zu den gesammelten Erfahrungen,
  § REWE Group DS-Kennzahlen Reporting im monatlichen         § Ableitung Verbesserungs- bzw. Handlungsbedarf und
    Turnus zu u.a. Betroffenen-Rechte, (potent.) DS-          § Ableitung konkreter Maßnahmen zur Verbesserung.

                                          Act                        Do
    Verletzungen /-Verstöße, etc.
  § REWE Group Risikomanagement erfolgt im jährlichen         Weiterhin wird das „DSK-Meeting“ nicht nur für u.a. den
    Turnus inkl. zu den „potentiellen Datenschutz-Risiken“    Austausch von Informationen und Erfahrungen genutzt,
  § REWE Group IKS im jährlichen (bzw. für DS im zwei-        sondern auch zur Nutzung von Synergien sowie zur
    jährlichen) Turnus                                        Identifizierung von Optimierungspotentiale. Hieraus werden
  § Konzernrevisionsprüfungen zu dem Thema „Datenschutz“      entsprechend auch konkrete Maßnahmen abgeleitet und

                                                     Check
    in Abhängigkeit des jeweiligen jährlichen Prüfungsplans   umgesetzt.
  Anhand der Ergebnisse (z.B. Audit-Berichte) werden
  Maßnahmen abgeleitet (z.B. Konzernrevisionsmaßnahmen)
  und umgesetzt.

2019                                                                                                     REWE Group        29
BEGLEITENDE INFORMATIONS-, SCHULUNGS- & AWARENESS-
KAMPAGNEN ZUR DSGVO* – WIE SIND WIR GESTARTET (AUSZUG)

       Erstkommunikation                     Kommunikation der                    Kommunikation                    Kommunikation
       § Allgemeine Infos zur DS-GVO
       § Zeitpunkt Inkrafttreten
                                             DS-Organisation                      der Konzern-                     eLearning
       § Grundsätzliche                      § Sensibilisierung für die
                                               anstehenden Veränderungen
                                                                                  Richtlinie                       Informationen zur eLearning-
                                                                                                                   Kampagne sowie Hinweise
         Sensibilisierung für das                                                 Hinweis auf Inkrafttreten
         Thema Datenschutz                     ab dem 25.05.2018                                                   zu Ansprechpartner
                                             § Hinweise zu der neuen DS-          der Konzern-Richtlinie zu
                                               Organisation à Überblick           Datenschutz sowie
   Aktuell: Im Rahm                                                                                                Ausblick: Kons
                    en der REWE G                                                 Informationen über die                          olidierung des
   Nachhaltigkeits                  roup       über die jeweils relevanten                                        eLearning für „D
                   projekte der A                                                 Bereitstellung & Rollout                          atenschutz &
„Awareness-Ka                    zubis:        Ansprechpartner                                                      Informationssi
                                                                                                                                    cherheit“,
               mpagne in der
zum Umgang m                 Grundschule                                                                              Inkl. Abgrenzun
               it Medien im H                                                                                 Zusammenspie             g und
        Informationssi        inblick DS &                                                                                    l (à Datensich
                       cherheit“                                                                                                             erheit)

  Grundschulungen erfolgen eher online  spezifische Schulungen – je nach Geschäftsfeld, Zielgruppe oder Thema – eher offline

               Präsenz-Schulungen                          Awareness-Kampagne                                 eLearning-Kampagne
§ Durchführung von Präsenzschulungen für         § DS-Quiz auf BR-Betriebsversammlung            Erläuterungen mit Fragen-Quiz zu u.a.
  die DSKs                                       § Vorstellung ausgewählter DS-Themen als        Verarbeitung von personenbezogenen Daten,
§ Einführung in die DS-GVO für die jeweiligen      Bestandteil von Veranstaltungen im            DS-Grundsätze, Datensicherheit, Hinweise zu
  Fachbereiche                                     jeweiligen Fachbereich oder auch von          den Meldewegen bei (potentiellen) DS-
§ Durchführung von Workshops für IT-               Events (z.B. bei sog. Hackdays/Hackathon)     Verletzungen/DS-Verstöße sowie zu den
  Demand- & Supply-Bereiche                      § Bereitstellung von DS-Informationsfilmen      relevanten Ansprechpartner
§ Ergänzend: Teilnahme an externen Schul-        § Versendung von DS-Newsletter                  à Teilnehmer erhält Zertifikat
  ungen, Zertifizierungskurse, Tagungen, etc.

* Diese Übersicht bezieht sich „nur“ auf die Umsetzung der „DSGVO & BDSG neu“. DS-Schulungen gibt es bei der REWE Group schon seit Jahren.

2019                                                                                                                        REWE Group          30
AKTUELL ERFOLGT DIE ÜBERARBEITUNG DES KONZEPTES FÜR
PRÄSENZ-SCHULUNGSANGEBOTE

Die für künftig angedachten Präsenz-Schulungsangebote umfassen drei Themenblöcke:

       Teil 1: EU DS-GVO                      Teil 2: REWE Group DS                         Teil 3: „Zielgruppen-DS“
 Einführender Teil zu den                   Überblick über die konkrete                   Überblick über die konkreten
 wesentlichen Änderungen durch              Ausprägung bei der REWE Group                 Vorlagen und Hilfsmittel für die
 die DSGVO sowie zur Motivation             (Prozesse, Vorlagen, Hilfsmittel,             jeweilige Zielgruppe
 für Datenschutz                            Ansprechpartner, etc.)

                                                                                               Ausblick: Ergä
Zu Teil 3 – Zielgruppen und zugehöriger Themenfokus:                                                         nzung des Schu
                                                                                                 um „Selbst Dat              lungsangebot
                                                                                                                enschutz Man
Themenfokus              Zielgruppen                                                           à DS für alle                   agement“
                                                                                                             Mitarbeiter als
                                                                                                zwecks Awaren                Privatperson
                                                                                                               ess und Intere
Beschäftigtendaten       Mitarbeiter von HR und Mitglieder der Betriebsräte                                                    sse für DS

Kundendaten              Mitarbeiter aus den Bereichen Marketing, Kundenbeziehungsmanagement, Vertrieb, etc.
IT                       Mitarbeiter aus IT-Abteilungen/IT-Gesellschaften
„Ausgewählte DS-
Themen für den Alltag“   Alle Mitarbeiter aus den Verwaltungsbereichen, wie z.B. Betriebswirtschaft, Recht, Compliance, etc.

Neben den offenen Schulungsangeboten gibt es weiterhin auf Bedarf individuell zugeschnittene Schulungen
sowie weiterhin Onboarding- und Update-Schulungen für DSK!

2019                                                                                                               REWE Group        31
WICHTIGE BOTSCHAFTEN IN DER SCHULUNG:
1.) MOTIVATION FÜR DATENSCHUTZ AUFZEIGEN . . .

             Motivation und Vorteile aufzeigen (Teil 1)
             § Schulungen sollen nicht „nur“ die DSGVO erläutern sowie ihre konkrete
               Umsetzung, sondern zu Beginn auch immer aufzeigen, warum es die DSGVO
               gibt und welche Vorteile sie bietet
             § Hierbei die Perspektive der Betroffenen aufzeigen
             § Fallbeispiele z.B. auch aus einem möglichen „privaten Umfeld“ des
               Mitarbeiters nehmen
             § Mehrwert für Mitarbeiter und für das Unternehmen aufzeigen (z.B. Stärkung
               des sensiblen Umgangs mit Beschäftigtendaten, One-Stop-Shop“, etc.

2019                                                                      REWE Group   32
WICHTIGE BOTSCHAFTEN IN DER SCHULUNG:
   1.) MOTIVATION FÜR DATENSCHUTZ AUFZEIGEN . . .

Motivation und Vorteile aufzeigen (Teil 2)
§ Die EU DS-GVO geht davon aus, dass für ihre Umsetzung die Daten, Organisation,
  Prozesse sowie die IT-Landschaft in einer entsprechend (Mindest)Qualität
  vorhanden sind
Ø Bisher lag es im freiwilligen Ermessen der Unternehmen, wie gut sie zu den obig
  aufgeführten Themen aufgestellt ist, um erfolgreich am Markt zu bestehen sowie
  um Themen, wie z.B. Digitalisierung, Big Data, KI, etc. voranzutreiben
Ø Das bedeutet die EU DS-GVO ist derzeit DER „Treiber“ zum Aufräumen von
  Daten, Organisation, Prozessen und der IT-Landschaft ...
   Ø … was die Unternehmen einerseits gegenüber Mitbewerbern am Markt
       erfolgreich stärkt,
   Ø … aber auch die entsprechenden Ressourcen & Budgets erfordert à mehr
       als „nur ein DSGVO-Projekt“

   2019                                                                             REWE Group   33
WICHTIGE BOTSCHAFTEN IN DER SCHULUNG:
. . . 2.) UNSICHERHEIT NEHMEN . . .

              Datenschutz ist nicht „neu“!
              § Weiterhin hilfreich: Aufzeigen, dass mit der DSGVO nicht alles „neu“ ist,
                sondern es Datenschutz auch schon vor dem 25.05.2019 gab, inkl. vieler
                der aktuellen Regelungen
              Unsicherheit nehmen
              § Die Schulung soll Unsicherheit nehmen, indem Transparenz gegeben wird
                über u.a. die wesentlichen Änderungen, die Grundsätze, das generelle
                Vorgehen, die DS-Organisation (Verantwortlichkeiten und Aufgaben), über
                die konkreten Hilfsmittel, etc. und immer über die relevanten
                Ansprechpartner bei Fragen rund um DS

2019                                                                      REWE Group   34
WICHTIGE BOTSCHAFTEN IN DER SCHULUNG:
   . . . UND 3.) FÜR DATENSCHUTZ BEGEISTERN

Für Datenschutz begeistern
§ DS-Schulungen dürfen auch humorvolle Aspekte beinhalten
§ Neben Fallbeispiele helfen auch Veran-schaulichungen und
  Bildnisse beim Vermitteln von „gefühlten abstrakten
  Regelungen“
§ Interaktive Anteile in der Schulung tragen zu einem besseren
  Verständnis und zum Interesse bei

   2019                                                          REWE Group   35
HANDEL NATIONAL
BEISPIEL „DATENSCHUTZ-KONZEPT-ORDNER“

2019                                    REWE Group   36
HANDEL NATIONAL
BEISPIEL „NEWSLETTER“

2019                    REWE Group   37
HANDEL INTERNATIONAL
BEISPIEL „DATENSCHUTZ-INFO-VIDEOS“

2019                                 REWE Group   38
DS QUIZ

Einer der Überblick über Anbieter von „Audience Response Systeme“:
https://wiki.llz.uni-halle.de/Vergleich_Audience_Response_Systeme

2019                                                                   REWE Group   39
BEWUSSTSEIN UND AWARENESS ZU DATENSCHUTZ

       Quelle: https://www.otto-schmidt.de/news/wirtschaftsrecht/ein-jahr-datenschutz-grundverordnung-menschen-werden-sich-neuer-rechte-immer-bewusster-2019-05-23.html

2019                                                                                                                                                     REWE Group       40
EXKURS zu
„HR Change Management“

                         „Gesagt ist noch nicht gehört,
                         gehört noch nicht verstanden,
                  verstanden noch nicht einverstanden,
                  einverstanden noch nicht angewandt
               und angewandt noch nicht beibehalten.“
                                 Konrad Zacharias Lorenz, 1903-1989)

  2019                                                                 REWE Group   41
EXKURS zu
„HR Change Management“

  EMOTIONALE REAKTIONEN AUF VERÄNDERUNGEN

                                                                                                 Erkenntnis     Integration
    Wahrgenommene Eigen-Kompetenz

                                                       Ablehnung

                                                                                    Lernen
            der Mitarbeiter

                                                            Rationale
                                                             Einsicht
                                             Schock

                                                                        Akzeptanz
                                    Quelle: enowa AG

                                               Vorbereitungs- und Konzeptphase               Umsetzung        Evaluation

  2019                                                                                                         REWE Group     42
EXKURS zu
„HR Change Management“

  MENSCHEN REAGIEREN JE NACH TYP
  UNTERSCHIEDLICH AUF VERÄNDERUNGEN

            Quelle: wibas – In Anlehnung von Everett M. Rogers „Innovation Adoption Curve“

  2019                                                                                       REWE Group   43
EXKURS zu
„HR Change Management“

  CHANGE MANAGEMENT IN ABGRENZUNG
  ZUM PROJEKT MANAGEMENT

         Veränderungsdurchführung         çè    Veränderungsbegleitung

         § Steuerung / Leitung von             § Begleitung von Veränderungs-
           Veränderungsprojekten                 projekten

         è Ziel: Veränderungen in einem        è Ziel: Möglichst reibungsloser
           Unternehmen durchführen               Ablauf von Veränderungen

  2019                                                               REWE Group   44
EXKURS zu
„HR Change Management“

  CHANGE MANAGEMENT IN ABGRENZUNG
  ZUM PROJEKT MANAGEMENT

         Veränderungsdurchführung         çè    Veränderungsbegleitung

         § Steuerung / Leitung von             § Begleitung von Veränderungs-
           Veränderungsprojekten                 projekten
            Projekt
         è Ziel:     Management
                 Veränderungen in einem          Change
                                               è Ziel:   Management
                                                       Möglichst reibungsloser
           Unternehmen durchführen               Ablauf von Veränderungen

  2019                                                               REWE Group   45
EXKURS zu
„HR Change Management“

  DAS MEIST GENUTZTE CHANGE-MANAGEMENT-MODELL:
  DER 8-PHASEN-PROZESS DER VERÄNDERUNG NACH KOTTER

  1) Die Notwendigkeit für die Veränderungen darlegen:
         Erklären Sie den Sinn und die Ernsthaftigkeit.
  2) Verbündete Mitstreiter suchen:
         Bauen Sie sich Ihre Lobby auf, der Sie voll vertrauen können. Keine Veränderung ist von einer Person alleine zu bewältigen.
  3) Eine klare Vision und Ziele formulieren:
         Die Vision hilft, Widerstände zu brechen und die Richtung der Veränderung aufzuzeigen.
  4) Kommunizieren der Veränderungsvision:
         Gesagt ist nicht gehört; gehört ist nicht verstanden; verstanden ist nicht einverstanden; einverstanden heißt noch nicht „ich tue“.
  5) Empowerment Ihrer Mitarbeiter:
         Bauen Sie demotivierende Rahmenbedingungen ab und geben Sie den Mitarbeitern Freiheiten und Verantwortungen. Fordern Sie
           „Beiträge“.                                                                                     Siehe dazu folgende Folie
  6) Einforderung kurzfristiger Erfolge:
         Damit lassen sich skeptische Mitarbeiter von dem richtigen Kurs der Veränderung überzeugen.
  7) Konsolidieren und weiter treiben:
                                                                                                                        Hinwei
         Kommunizieren Sie Teilerfolge und beharren Sie auf das Vorankommen. Stillstand ist Rückfall.                          s:
                                                                                                                       auch „K Es gibt
                                                                                                                              otter 2.
  8) Verankern der neuen Ansätze:                                                                                                      0 “!
         Verankern Sie Ihre Veränderung in der Unternehmenskultur.

  2019                                                                                                                     REWE Group          46
EXKURS zu
„HR Change Management“

                         § Verfügbarkeit von High-     § Detaillierte Erklärung        § Die Beteiligten mit   § Einbeziehung der Beteiligten
                           level Informationen (z.B.     für die Notwendigkeit           den neuen               in Maßnahmen
                           Info-Wiki)                    des Change (z.B. Video)         Maßnahmen
                                                                                         vertraut machen       § Unterstützung vor und
                         § Informierung über           § Individuelle Zielgruppen-                               nach der Umsetzung
                                                                                         (z.B. Schulungen)
                           aktuelle Aktivitäten          ansprache (z.B. Newsletter)
                                                                                                               § Letzter Check
                           (z.B. Intranet Seite)
                                                       § Meetings mit wichtigen
                         § Bewusstsein schaffen          Stakeholdern
                           (z.B. Poster)
         Commitment

                                                                                                               Commitment
                                                                                                                “Wir finden
                                                                                                               den Weg gut“

                                                                                        Akzeptanz
                                                                                       “Das ist ok“

                                                          Verständnis
                        Bewusstsein                    “Ich erkenne meine
                         “Ich weiß,                       persönlichen
                       worum es geht“                    Auswirkungen”
                      Quelle: enowa AG
                                                                        Zeit                                    Umsetzung

  2019                                                                                                                           REWE Group     47
EXKURS zu
„HR Change Management“

  MASSNAHMENAUSWAHLIN ABHÄNGIGKEIT
  DER ZIELE UND DER REICHWEITE
                                                                                                                                                                               Engagement
                                                                                                                                                                               des Top Mgt.
                                                                                                                                               Wikis/
                                         10.000           Projekt-
                                                                                                                                              Weblogs
                                                         Homepage                    Podcasts                          Diskussions-
   (Anzahl der erreichten Mitarbeiter)

                                                                                                                          foren
                                                                                                                                                                   Groß-
                                                                                                Business-TV
                                                                                                                                                               Veranstaltung

                                                                                                           E-Mail                                                              Interne Multi-
                                          1.000                                      Projekt-
                                                                                                                                                                                 plikatoren
                                                        Mitarbeiter-
               Reichweite

                                                                                    Newsletter
                                                          zeitung                                                                             Info-Markt
                                                                                                                                                Messe                           Demos am IT-
                                                                                                                                                                                  System
                                                            Rund-                   Broschüre                    Kickoff-
                                                          schreiben                                              Meeting                           Erfolge feiern
                                           100                                                                                                                                 Veranstaltung
                                                                                                   Ergebnis-                          Fach-                    Workshops
                                                                                                 präsentation                      präsentation
                                                                                                                                                                                   Projekt-
                                                                                                                                                 Einzel-                            arbeit
                                                                                                                                                gespräch
                                                                                                     Persönlicher
                                            10                                                           Brief

                             Wirkungstiefe:          Oberflächliche                                Deutliche                              Anstoß zum                           Verhaltens-
                                                         Impulse                                    Signale                                Umdenken                             änderung
Kommunikationsziele:                                  Information                                 Verständnis                             Überzeugen                            Handlung
                                                  Quelle: Olga Pelypyshyn „Messung und Management von Effektivität und Effizienz von Veränderungsprozessen“

  2019                                                                                                                                                                     REWE Group           48
EXKURS zu
„HR Change Management“

   Vorhandene         Spezielle          Vorhandene                                                                     Spezielle
   Einweg-Information Einweg-Information Zweiweg-                                                                       Zweiweg-
                                         Information                                                                    Information
   Mitarbeiterzeitschrift                         Business-TV                                    Mitarbeitergespräche   Workshops
   E-Mails                                        Broschüre                                      Gruppengespräche       Kick-off-
                                                                                                                        Veranstaltungen
   Aushänge                                       Videos                                         Offene Türen           World Cafés
   Pressemitteilungen                             Infotafeln/Plakate                             Intranet               Infobörsen
   Führungs-                                      Individual Weblogs                             Social-Networking-     Pressekonferenzen
   informationen                                                                                 Plattformen
   Corporate Weblogs                              Pod/Webcasts                                   ...                    Marktplatz
   ...                                            ...                                                                   ...
  Quelle: Olga Pelypyshyn „Messung und Management von Effektivität und Effizienz von Veränderungsprozessen“

  2019                                                                                                                           REWE Group   49
EXKURS zu
„HR Change Management“

  MASSNAHMEN-AUSWAHL ZWECKSQUALIFIZIERUNG

                                                                                                 Training-            Training-      Training-
                        Qualifizierungsmaßnahme
                                                                                                on-the-job           off-the-job   near-the-job
          § Coaching                                                                                                                     x
          § E-Learning                                                                                                    x
          § Erfahrungsgruppen                                                                                             x              x
          § Fallstudie                                                                                                    x
          § Gruppenberatungsgespräch                                                                                      x              x
          § Gruppendynamisches Gespräch                                                                                   x
          § Lernstatt                                                                                                                    x
          § Mentoring                                                                                                     x              x
          § Projektarbeit                                                                                x
          § Qualitätszirkel                                                                                                              x
          § Rollenspiel/Planspiel                                                                                         x
          § Seminare                                                                                                      x
          § Sonderaufgaben                                                                               x
          § Teamteaching                                                                                                  x
          § Training                                                                                                      x
          § Unterweisung
          § Workshop                                                                                     x                x              x
          ...
         Quelle: Olga Pelypyshyn „Messung und Management von Effektivität und Effizienz von Veränderungsprozessen“

  2019                                                                                                                                 REWE Group   50
EXKURS zu
„HR Change Management“

  NUR ÜBER VERÄNDERUNGEN DES „SYSTEMS“ KANN
  DAS „VERHALTEN“ UND DAMIT DIE „KULTUR“ VERÄNDERT WERDEN

  Quelle: wibas GmbH

           Manage the system, not the people.
                         Jurgen Appelo

  2019                                           REWE Group   51
Statement

TROTZ CHANGE MANAGEMENT IN ZWEI JAHREN UMSETZBAR?

                     Ist die DSVGO vollständig in zwei Jahren umsetzbar?

       Die DSGVO bringt zwar nur in Teilen neue Veränderungen mit, jedoch
       haben diese nicht nur einen Einfluss auf Organisation, Prozesse und IT-
         Landschaft, sondern erfordern auch einen „kulturellen Wandel“.

   Kultureller Wandel benötigt – je nach Studie – ca. 5 bis 7 Jahre.

2019                                                                   REWE Group   52
Statement

TROTZ CHANGE MANAGEMENT IN ZWEI JAHREN UMSETZBAR?

                       Die DS-GVO erfordert einen „Kulturwandel“ …
       NEW MINDSET
                       … sowohl in Bezug auf Unternehmensprinzipien
                       § wie z.B. Selbst-Verantwortung; der
                          „Verantwortliche“ ist nun mehr in der Pflicht
                       Ø Konträr zu der oft üblichen konzernweiten
                          Steuerung eines Themas
       NEW RESULTS
                       … als auch bezüglich der Unternehmenswerte
                       § wie z.B. der offene Umgang mit Fehlern für
                          die Meldung von DS-Verletzungen
                       Ø Ein Wandel der „Fehlerkultur“ dauert länger
                          als zwei Jahre

2019                                                       REWE Group   53
Statement

AB WANN DSGVO-KONFORM?

            100% DSGVO-konform?

                                                  Nein.

       Voraussichtlich werden auch die meisten Unternehmen
                     niemals die 100% erreichen!

2019                                                      REWE Group   54
DER „FAKTOR MENSCH“ BEEINFLUSST IM WESENTLICHEN DIE
ERREICHBARKEIT VON DS-GVO-KONFORMITÄT

                            Datenschutz                                                                   Informationssicherheit
Betrifft personenbezogene Daten                                                         Betrifft alle Informationen*

                                            Ist Bestandteil von                                                                     Ist Bestandteil von

                                                                     Datensicherheit
Betrifft alle Daten
                                                                                        beeinflusst

                                                                    Faktor „Mensch“
 § Es können noch so gute technische und organisatorische Maßnahmen (TOMs)
   definiert und umgesetzt werden, es zählt letztendlich das „schwächste Glied in der
   Sicherheitskette“ und das ist je nach Studie etwa in 70% der Fälle der „Mensch“
 § Sei es mit vorsätzlichen, als auch um unwissentlich sowie unbeabsichtigt
   schädigenden Aktivitäten
* Informationen: Daten wird eine Bedeutung zugewiesen (Semantik); z.B. der Datensatz „heute, morgen, übermorgen, etc.“ kombiniert mit dem Datensatz „Regen, Sonnenschein,
etc.“ ergibt z.B. die Information „morgen Sonnenschein“.

2019                                                                                                                                               REWE Group          55
EXKURS

 „WARUM WIR KÜNSTLICHE INTELLIGENZ UNTERSCHÄTZEN“

                              „Das menschliche Gehirn ist auf lineares Denken ausgerichtet“

 Quelle: Karl Olsberg – „Warum wir Künstliche
 Intelligenz unterschätzen“ (09.12.2015)

 2019                                                                                         REWE Group   56
EXKURS

 „WARUM WIR KÜNSTLICHE INTELLIGENZ UNTERSCHÄTZEN“

                              „Menschen schätzen exponentielle Trends meistens falsch ein“

 Quelle: Karl Olsberg – „Warum wir Künstliche
 Intelligenz unterschätzen“ (09.12.2015)

 2019                                                                                        REWE Group   57
HAMBACHER ERKLÄRUNG ZUR KÜNSTLICHEN INTELLIGENZ –
SIEBEN DATENSCHUTZRECHTLICHE ANFORDERUNGEN

        Quelle: Datenschutzkonferenz à https://www.datenschutzkonferenz-online.de/media/en/20190405_hambacher_erklaerung.pdf

2019                                                                                                                           REWE Group   58
EIN ANSATZ FÜR DEN KÜNFTIGEN UMGANG MIT „NEUEN
TECHNOLOGIEN“: CORPORATE DIGITAL RESPONSIBILITY (CDR)

                      Corporate Digital Responsibility (CDR) –
                              mehr als „nur“ Datenschutz!

§      Es existiert derzeit nicht die „eine Definition“
§      Was haben alle Definitionen gemeinsam:
       §   Zielt auf die Unternehmensverantwortung ab
       §   Es handelt sich um eine freiwillige Selbstverpflichtung im Kontext „Digitalisierung“,
           welche über die Erfüllung der regulatorischen Anforderungen hinaus geht
       §   Fokus ist eine nachhaltige Gestaltung der Digitalisierung für alle Menschen (bzw.
           „Betroffene“) – unternehmensintern und -extern

2019                                                                               REWE Group   59
DIE „CDR-INITIATIVE“ DES BUNDESMINISTERIUM DER JUSTIZ
UND FÜR VERBRAUCHERSCHUTZ (BMJV)

       Quelle: xxx

2019                                               REWE Group   60
DEUTSCHLANDWEITE GREMIEN UND INITIATIVEN IM UMFELD
„DIGITALISIERUNG“ UND/ODER „KI“ (AUSZUG)

                              Datenethik-             Initiative D21 e.V.
       Bitkom e.V.          kommission des
                             BMI & BMJV                                           Projekt „Ethik der
                                                                                  Algorithmen“ der
                                             „Gemeinsam Digital“                 Bertelsmann Stiftung
        Charta digitale                          des BVMW
       Vernetzung e.V.i.G
                                                                      „Vor:Denker (Corporate) Digital
                               Handelsverband
                                                                       Responsibility“ von Deloitte &
                             Deutschland - HDE e.V.                           F.A.Z.-Institut

                                             KI Bundesverband
         „CDR-Initiative“                                                           Stiftung Neue
                                                    e.V.
            des BMJV                                                              Verantwortung e.V.

  Es gibt auch Gremien und Initiativen innerhalb der Bundesländer, wie z.B. „KI.NRW“
  oder auch über Deutschland hinaus europaweit, wie z.B. „European AI Alliance“

2019                                                                                         REWE Group   61
SELBSTVERSTÄNDNIS DES DATENSCHUTZES

                             Art. 1 DSGVO Gegenstand und Ziele
       § Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der
         Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
       § Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher
         Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
       § Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des
         Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten
         weder eingeschränkt noch verboten werden.

2019                                                                          REWE Group   62
Statement

SELBSTVERSTÄNDNIS DES DATENSCHUTZES

       Corporate Digital Responsibility (CDR) sollte nicht nur . . .

         … als freiwillige ergänzende Einschränkungen über die
        gesetzlichen Anforderungen hinaus verstanden werden,

  … sondern auch als Unterstützung (z.B. Social Entrepreneurs) der
   Digitalisierung und Förderung (z.B. der digitalen Kompetenzen)

    … sowie als Öffnung für den Datenverkehr (z.B. gemeinsamer
   Datenpool), aber immer unter der Gewährleistung der DS-GVO!

2019                                                           REWE Group   63
AUSBLICK:
WO GEHT DIE REISE (NICHT NUR) FÜR DIE REWE GROUP HIN?

Unternehmensintern u.a.:
§ Aufräumarbeiten & beständige Optimierungen („PDCA-Zyklus“)
§      Weitere Erfahrungen sammeln
§      Regelmäßig: Informationen & Schulungen
§      Corporate Digital Responsibility (CDR)
Unternehmensextern u.a.:
§ Regelungen zum Abmahnmissbrauch (vs. Möglichkeiten zum Erfahrungsaustausch mit
   anderen Unternehmen)
§      IT-Sicherheitsgesetz 2.0
§      E-Privacy
§      ...

2019                                                                 REWE Group   64
UND . . . WEITERHIN:
MUT ZU DEM ABENTEUER DS-GVO!

Auch wenn immer noch Unsicherheiten bestehen – sei es bezüglich
datenschutzrechtlicher Klärungen oder bezüglich Fragen zur konkreten Umsetzung:

Einfach mit der Umsetzung anfangen! Sich einen Überblick über das IST und SOLL
verschaffen. Ein übergreifendes Vorgehen/Plan mit Maßnahmen ableiten. Und dann nach
Prioritäten abarbeiten – nach dem risiko-basierten Ansatz – in der Reihenfolge: 1. aus
Sicht des Betroffenen und 2. aus Sicht des Unternehmens. Im Zweifelsfalle grobgranular
starten sowie nach und nach die Qualität verbessern.

Für diejenigen, welche sich schon auf die Reise gemacht haben: Sich immer bewusst sein,
dass es sich hierbei um eine dauerhafte Reise handelt! D.h. es werden immer mal
gefühlte „Hoch und Tiefs“ folgen. Also: Sich „Mitstreiter“, „Gleichgesinnte“,
„Rüttelstellen“, etc. suchen… und auch Erfolge für alle transparent machen – sowie auch
mal feiern!

2019                                                                       REWE Group   65
Sie können auch lesen