Konzernweiter Datenschutz

Datenschutz ist für uns als Unternehmen nicht eine bloße Floskel. Wir nehmen den Schutz personenbezogener Daten sehr ernst, sowohl für unsere Mitarbeiter als auch für unsere Kunden, Lieferanten und alle weiteren Personen. Wir betreiben großen Aufwand, um diesen Schutz zu gewährleisten. Wir tragen Sorge dafür, dass alle Daten nur im Einklang mit den strengen gesetzlichen Vorgaben verarbeitet werden.


Datenschutz-Organisation

Die wesentlichen Anforderungen ergeben sich für uns aus der EU-Datenschutzgrundverordnung (DSGVO), die seit dem 25. Mai 2018 gilt. Im Rahmen von zwei Projekten wurden konzernweit sämtliche Datenschutzprozesse aller METRO Gesellschaften auf die neuen Anforderungen der DSGVO hin überprüft. Unternehmenslösungen wurden – soweit erforderlich – an die Erfordernisse der DSGVO angepasst (u.a. Einwilligungserklärungen, Datenschutzbestimmungen, IT-
Systeme, Privacy Voreinstellungen).

In diesem Zusammenhang wurde bei uns eine neue Datenschutzrichtlinie in Kraft gesetzt. Die Richtlinie schafft zunächst eine konzernweite Datenschutz-Organisation. Es gibt eine verbindliche Organisationsstruktur mit festgelegten Rollen, die die Verantwortlichkeit für Datenschutzfragen auf allen Ebenen regelt. Neben den Datenschutzbeauftragten der einzelnen Gesellschaften gibt es somit noch viele weitere Funktionsträger bei uns, die für die Einhaltung der Datenschutzvorgaben verantwortlich sind.

Darüber hinaus beinhaltet die Richtlinie ein Regelwerk mit Mindeststandards für unsere Datenverarbeitungsvorgänge. Es gibt Mindeststandards innerhalb der EU, die sich an der DSGVO orientieren, aber auch Mindeststandards für unserer Gesellschaften außerhalb der EU. Weitere Kernpunkte der Richtlinie sind Vorgaben für Löschkonzepte, Technikgestaltung (data protection by design) und datenschutzfreundliche Voreinstellungen (data protection by default).

Zu den Vorgaben aus der Richtlinie finden regelmäßige Schulungen statt.


Rechenschaftspflicht und rechtmäßige Datenverarbeitung

Jeder Prozess zur Verarbeitung von Daten wird von uns erfasst. Mit Hilfe einer individuell für uns angepassten Softwareanwendung dokumentieren wir die Prozesse. Auf diese Weise können wir die Rechtmäßigkeit der Verarbeitung beurteilen, bevor diese beginnt. Außerdem prüfen wir damit regelmäßig die Einhaltung der Vorgaben und die Aktualität der Prozesse nach.

Datenschutzthemen sind zudem eng an unser allgemeines Risk-/ und Compliance-Management angebunden.


Übermittlung von Daten an Dritte

Soweit wir Daten an Dritte übertragen, gibt es hierfür ebenfalls genaue Vorgaben. Datenverarbeiter, die unsere Daten empfangen, werden nach strengen Kriterien ausgewählt. Sie müssen über ausreichende technische und organisatorische Maßnahmen zur Sicherheit der Daten verfügen. Es werden Verträge geschlossen, die die Anforderungen an die Datenverarbeiter verbindlich festlegen. Hierfür gibt es einen hohen einheitlichen Standard.

Ins Ausland werden Daten nur übermittelt, wenn hierfür die rechtlichen Voraussetzungen erfüllt sind. Bei Übermittlungen an Staaten außerhalb der EU/des EWR setzen wir besondere Vorkehrungen voraus. Im Regelfall ist dies der Abschluss von EU-Standardvertragsklauseln mit dem Empfänger.


Information

Wir informieren alle betroffenen Personen ausreichend und umfassend über die Verarbeitung ihrer Daten. Transparenz steht dabei für uns im Vordergrund. Wir möchten, dass sich zu einem bestimmten Vorgang jeder sein eigenes Bild machen kann. Auf dieser Grundlage soll jeder entscheiden können, ob er die Verarbeitung wünscht oder nicht. Soweit es technisch möglich ist, stellen wir daher zu jedem Vorgang entsprechende Datenschutzhinweise bereit, z.B. die Kundenhinweise in unseren Geschäften oder die Datenschutzhinweise auf unseren Webseiten.


Betroffenenrechte und Löschung

Wir gewährleisten, dass betroffene Personen ihre Rechte zum Datenschutz geltend machen können. Dies beinhaltet im Besonderen folgende Rechte:

  • Auskunftsrecht
  • Recht auf Berichtigung
  • Recht auf Löschung
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Recht auf Widerspruch gegen die Datenverarbeitung

Wir haben umfangreiche Vorkehrungen getroffen, so dass alle Anfragen hierzu in ausreichender Zeit beantwortet und umgesetzt werden können. Insbesondere zur Löschung gibt es detaillierte Vorgaben. Damit wird sichergestellt, dass Daten nicht länger gespeichert werden als nötig.


Transparenz

Um die Transparenz und das Vertrauen in unser Geschäft zu fördern, veröffentlichen wir die Zahl der begründeten Beschwerden durch Dritte sowie die Zahl der Beschwerden von Aufsichtsbehörden über Datenschutzverletzungen. Um veröffentlicht zu werden, muss sich jede Beschwerde auf eine tatsächliche Datenschutzverletzungen im Sinne von Art. 33 DSGVO beziehen, unabhängig davon, wer die Beschwerde eingereicht hat, d.h. die Datenschutzverletzung muss zumindest geeignet sein, die Rechte und Freiheiten natürlicher Personen zu gefährden. Darüber hinaus muss jede Beschwerde, um veröffentlicht zu werden, begründet sein. Dies bedeutet, dass die Beschwerde entweder von uns oder von einer zuständigen Behörde bzw. einem zuständigen Gericht als rechtmäßig anerkannt werden muss. Wir werden keine Informationen über den Beschwerdeführer, den Gegenstand der Beschwerde selbst oder die Art der Datenschutzverletzung veröffentlichen, um keine sensiblen Informationen preiszugeben.

Anzahl der begründeten Datenschutz-Beschwerden konzernweit im Geschäftsjahr 2018/2019: 0


Datenschutz Management System

Weitere Informationen zum Datenschutz bei der METRO und unseren Datenschutzstandards finden Sie in der umfassenden Beschreibung unseres Datenschutz Management Systems:


Geprüftes und zertifiziertes Konzept

Die Konzeption des Datenschutz Management Systems wurde von externer Stelle nach dem internationalen Wirtschaftsprüfer Standard IDW PS 980 geprüft. Dabei gab es keine Beanstandungen. Weitere Details können Sie dem KPMG-Prüfbericht entnehmen: