Datenschutztag 2019: Umsetzung der EU DS-GVO in der REWE GroupKarin Tresp | REWE Group | September 2019

VORSTELLUNG KARIN TRESP2019 REWE Group 2Seit 2018: Leitung des zentralen Datenschutz Management REWE Group2013 – 2017: IT Governance & IT Compliance REWE Group(ITG insbesondere im Kontext Digitalisierung & Agilität)Vor 2013: Mehrjährige Erfahrungen in Beratung, Produktentwicklung,Projektmanagement, Teamleitung (Cost & Profit Center)sowie Geschäftsleitung zu u.a. folgenden Themen:Business Development (B2B & B2C), Strategieentwicklung, Organisations- und Personal-entwicklung, agile Transition, Digitalisierung, Digital Governance, IT Governance, IT Compliance, IT Management, Projekt Management, Produkt/Projekt/Service Portfolio Management, Prozessmanagement,HR Change Management, Communication, Nachhaltigkeit,Daten-/Informations-/Wissensmanagement sowie Datenschutz

ZUSAMMENSPIEL VON DATENSCHUTZ,AGILITÄT UND DIGITALISIERUNG2019 REWE Group 3

Digitalisierung <-> Agilität <-> Datenschutz* „Kunde“ als Zielgruppe kann sein: Unternehmensexterne Kunden (B2C oder B2B), Geschäftspartner, Interessenten, etc. sowie unternehmensinterne Kunden, wie z.B. der jeweilige Fachbereich oder die Beschäftigten

Digitalisierung und Agilität dienen jeweils nicht einem „Selbstzweck“, sondern haben immer das Ziel die beste Lösung bzw. einen Mehrwert für den Kunden zu schaffen* …… wobei Agilität für u.a. die Digitalisierungdas Rahmenwerk zur Zusammenarbeit ermöglicht …… und Datenschutz das rechtliche Rahmenwerkfür u.a. die Digitalisierung bildet. Das betrifft nicht nur die „Digitalisierung“, sondern auch alle „Technologie-Trends“, wie z.B. KI, IoT, etc. Statement

GEMEINSAMKEITEN VON DATENSCHUTZUND AGILITÄT2019 REWE Group 4

Agilität <-> DatenschutzStatement* Hierzu gibt es bei Bedarf einen gesonderten Beitrag

Agilität und Datenschutz bilden beide nicht nur einen Rahmenfür u.a. die Digitalisierung, sondern …… weisen zudem selbst in ihren Ansätzen viele Gemeinsamkeiten auf, wie u.a. der Fokus auf den Menschen / Betroffenen und …… wirken beide als Rahmengeber auf das jeweilige Thema ähnlich, wie z.B. als Treiber zum Aufräumen von Daten, Organisation, Prozesse, IT-Landschaft, etc. Obwohl Agilität und Datenschutz einen unterschiedlichen Ruf aufweisen, haben sie dennoch viele Gemeinsamkeiten *

2019 REWE Group 5

SEIT 1927

15.686MÄRKTE 2018 61,2Mrd. EuroGESAMTAUSSENUMSATZ 2018 360.315MITARBEITER 2018Die REWE Group in Zahlen:ERFOLGREICH IN DEUTSCHLAND UND EUROPA2019 REWE Group 6

IN 22 LÄNDERN EUROPAS MIT MÄRKTEN UND REISEBÜROS VERTRETEN2019 REWE Group 7BELGIEN KONING AAP · BULGARIEN BILLA · DÄNEMARK APOLLO ·FINNLAND APOLLO · FRANKREICH KUONI · GROSSBRITANNIENKUONI · ITALIEN PENNY · KROATIEN BIPA · LITAUEN IKI ·NIEDERLANDE PRIJSVRIJ.NL · NORWEGEN APOLLO · ÖSTERREICHBILLA, MERKUR, PENNY, BIPA, ADEG, DERTOUR, JAHN REISEN,MEIERS WELTREISEN, ADAC REISEN, BILLA REISEN · POLENDERTOUR, JAHN REISEN, MEIERS WELTREISEN, ITS BILLA TRAVEL,EXIM HOLDING · RUMÄNIEN PENNY · RUSSLAND BILLA ·SCHWEDEN APOLLO · SCHWEIZ KUONI, HELVETIC TOURS, ITSCOOP TRAVEL · SLOWAKEI BILLA, DERTOUR, JAHN REISEN, MEIERSWELTREISEN, ITS BILLA TRAVEL, EXIM HOLDING · TSCHECHIENBILLA, PENNY, DERTOUR, JAHN REISEN, MEIERS WELTREISEN, ITSBILLA TRAVEL, EXIM HOLDING · UKRAINE BILLA · UNGARN PENNY,DERTOUR, JAHN REISEN, MEIERS WELTREISEN, ITS BILLA TRAVEL,EXIM HOLDING

DIE REWE GROUP AUF EINEN BLICK2019 REWE Group 8HANDEL DEUTSCHLANDBAUMARKTSONSTIGEHANDEL INTERNATIONALTOURISTIK

NACHHALTIG HANDELN FÜR EIN BESSERES LEBEN2019 REWE Group 9Verantwortliches Handeln im Sinne der Gemeinschaft istfür die REWE Group Bestandteil der Unternehmens-kultur. Die REWE Group ist davon überzeugt: Langfristig kann sie nur weiter wachsen, wennsie Ressourcen schont, mit Mitarbeitern ebensowie mit Partnern fair und vertrauensvoll umgehtund einen Beitrag für die Gesellschaft leistet.

UNTERNEHMENSLEITBILD:SECHS WERTE FÜR EINE KULTUR2019 REWE Group 10

1 / Wir handeln eigenverantwortlich im Sinne der Gemeinschaft.2 / Wir handeln für den Kunden. Wir sind mitten im Markt.3 / Wir haben Mut für Neues. Stillstand ist Rückschritt.GEMEINSAM FÜR EIN BESSERES LEBEN DIE BESTE LEISTUNG –FÜR KUNDEN, KAUFLEUTE UND MITARBEITER4 / Wir begegnen einander offen, mit Vertrauen und Respekt. Unser Wort gilt.5 / Wir ringen um die beste Lösung, entscheiden wohlüberlegt und handeln konsequent.6 / Wir sind uns unserer Verantwortung bewusst und handeln nachhaltig.

UMSETZUNGSPROJEKT ZUR EU DS-GVO:UNSER GENERELLES VORGEHEN2019 REWE Group 11

Analyse und Auswertung Festlegung der Projektleitung/-Team und des Lenkungsausschusses des Projektes „EU DS-GVO“ Abstimmung mit dem Auftraggeber (Vorstand) zum Ziel und zum Umfang des Projektes Analyse und Auswertung der IST-Situation (ggü. SOLL) sowie Ableitung zum Vorgehen und zugehörige MaßnahmenKonzeption Überarbeitung der DS-Ziele sowie Erstellung und Bereitstellung einer neuen DSGVO-konformen DS-Konzernrichtlinie Überarbeitung der „DS-Organisation“ und zugehörige Rollen sowie Erstellung von weiteren Stellenbeschreibungen Entwicklung und Bereitstellung von DS-relevanten Prozesse, Vorlagen sowie Hilfsmittel (Checkliste, Tools, etc.)Realisierung Besetzung der noch offenen DS-Rollen in der überarbeiteten DS-Organisation Umsetzung der Konzern-Richtlinie sowie Durchführung begleitender Maßnahmen, wie z.B. Informationen & Schulungen Mit Abschluss des Projektes erfolgte die Übergabe an die DS-Linienorganisation, inkl. der beständigen Überprüfung der Ergebnisse (Stichwort „PDCA“)

Projekt „EU DS-GVO“Vorgehensweise „Konzeption“ und „Realisierung“ sind nicht zwingendermaßen zeitlich getrennte Phasen. Je nach Fertigstellung der jeweiligen (Teil-)Konzepte kann schon die zugehörige Realisierung starten.

UMSETZUNGSPROJEKT ZUR EU DS-GVO:ANALYSE UND AUSWERTUNG2019 REWE Group 12

Analyse und Auswertung Festlegung der Projektleitung/-Team und des Lenkungsausschusses des Projektes „EU DS-GVO“ Abstimmung mit dem Auftraggeber (Vorstand) zum Ziel und zum Umfang des Projektes Analyse und Auswertung der IST-Situation (ggü. SOLL) sowie Ableitung zum Vorgehen und zugehörige MaßnahmenProjekt „EU DS-GVO“Vorgehensweise Analyse und Auswertung von … … vorliegenden Verfahren, TOMs, Verträge, ADVs, etc. … aktuelle Organisationen bzw. Organigrammen, Prozessen, IT-Landschaft, etc. … Ergebnissen aus den bisherigen Audits der DSB und des Konzern-Risikomanagement, Konzern-IKS, etc. … Ergebnissen aus den Interviews mit den bisherigen DSBs und den jeweiligen FachbereichenBekenntnis des Gesamtvorstands

UMSETZUNGSPROJEKT ZUR EU DS-GVO:KONZEPTION DER DS-ZIELE, -LEITLINIEN UND -ORGANISATION2019 REWE Group 13

DS-ZieleBekenntnis des Gesamtvorstands Die DS-Ziele des Konzerns sind Bestandteile der Konzern-Richtlinie und des Bekenntnis des Vorstands Unberührt davon: Die DS-Strategie der „Verantwortlichen“ DS-OrganisationBekenntnis des GesamtvorstandsDS-Bekenntnis des VorstandsBekenntnis des GesamtvorstandsDS-KonzernrichtlinieBekenntnis des Gesamtvorstands

2019 REWE Group 14

Zuständigkeit Rolle VerantwortlichkeitenJe Gesell-schaften/en Verantwortliche(= Geschäftsleitungs-organe) Rechenschaftspflicht gegenüber betroffenen Personen oder Aufsichtsbehörden für die Ein-haltung der datenschutzrechtlichen Regelungen. Benennt zu seiner Unterstützung den GFV. Verantwortet die Einhaltung der datenschutzrechtlichen Vorgaben Geschäftsfeld-Verantwortlicher (GFV) Organisation & Kontrolle der Umsetzung der datenschutz-rechtlichen Vorgaben. Stellt die hierzu benötigten Ressourcen zur Verfügung, inkl. Benennung des DSK. Verantwortet die DS-rechtlichen Themen in der jeweiligen Organisations-/GeschäftseinheitZuständigerFachbereich Umsetzung der datenschutzrechtlichen Vorgaben durch die Personen in den Fachbereichen, die den jeweiligen Geschäftsprozess verantworten, mit dem personenbezogene Daten verarbeitet werden. Verantwortet die DS-rechtlichen Themen für den jeweiligen Geschäftsprozess Datenschutz-Koordinatoren (DSK) Koordination und beratende Begleitung der Umsetzung der datenschutzrechtlichen Vorgaben in den zuständigen Fachbereichen bzw. Einheiten. Berichtet an das DSM und an den GFV. Zentraler Ansprechpartner für die jeweilige Organisations-/GeschäftseinheitDatenschutz-Beauftragte (DSB) Beratung und Überwachung (inkl. Audits) in Bezug auf die datenschutzrechtlichen Vorgaben. Er ist dabei weisungsunabhängig, berichtet an den Verantwortlichen und tauscht sich mit dem DSM und den DSK aus. Unabhängiger Berater für die jeweilige Organisations-/GeschäftseinheitREWE Group weit Zentrales Datenschutz-Management (DSM) Konzernweite Regelungshoheit (Governance) und Konsolidierung der Kontrollen, Förderung von Awareness und der Nutzung von Synergien sowie Leitung des „REWE Group DS Board“. Berichtet an den Vorstand und an den Aufsichtsrat. Gesamtkoordination des konzernweiten Datenschutz-Managements

MIT DER UMSETZUNG DER DS-GVO IN DER REWE GROUP WURDENDIE DS-ORGANISATION UM NEUE ROLLEN ERWEITERT

2019 REWE Group 15

ALLE ROLLEN DER „REWE GROUP DS-ORGANISATION“SIND BESETZTRolle Geschäftsfelder (GF)GF 1 GF 2 GF 3 GF … GF … GF …Verantwortliche Geschäftsleitungsorgane Vorstand und die jeweilige GeschäftsführungGeschäftsfeld-Verantwortlicher (GFV) A.B. C.D. E.F. G.H. I.J. K.L.Zuständiger Fachbereich Die jeweiligen Personen in den Fachbereichen, die den jeweiligen Geschäftsprozess verantworten,mit dem personenbezogene Daten verarbeitet werdenDatenschutz-Koordinatoren (DSK) * x DSK x DSK x DSK x DSK x DSK x DSKDatenschutz-Beauftragter (DSB) M.N.O.P. M.N. M.N.O.P. Q.R. S.T. O.P.Zentrales Datenschutz-Management (DSM) x DSMDS-Krisenstab DSM in der Zusammenarbeit mit DSB, DSK sowie mit Kollegen aus der Rechtsabteilung und in Abhängigkeit des Krisen-Levels und Art der DS-Verletzung auch mit weiteren Personen (z.B. mit dem ISB)REWE Group DS-Board Bestehend aus 1.) beständige Mitglieder (DSM sowie der das jeweilige Geschäftsfeld vertretende DSB/DSK), 2.) einem erweiterten Teilnehmerkreis in rein beratender Funktion sowie 3.) das Board Office

Geschäftsfelder Die DS-relevanten Geschäftsfelder richten sich nach den REWE Group Geschäftsfelder, wie z.B. „Handel national“ Ein Geschäftsfeld umfasst i.d.R. mehrere GesellschaftenDatenschutz-Beauftragte (DSB) Um den Anforderungen der EU DS-GVO und des BDSG neu gerecht zu werden gibt es derzeit sowohl „interne DSB“ als auch „externe DSB“ Die meisten DSB betreuen mehrere GesellschaftenDatenschutz-Koordinatoren (DSK) Die Anzahl und die Zuordnung der DSK richtet sich innerhalb des Geschäftsfeldes nach u.a. folgenden Kriterien: Geschäftstätigkeit (Verwaltung, Logistik, B2B, B2C, etc.), Größe des Unternehmens, Verteilung der Standorte, Landeszuordnung, etc. Aufgrund der aufgeführten Kriterien gibt je nach Geschäftsfeld zwischen DSK und Gesellschaften 1:n-, 1:1- oder n:1-Beziehungen2019 REWE Group 16

ALLE ROLLEN DER „REWE GROUP DS-ORGANISATION“SIND BESETZT

EINE GESCHICHTE VOLLER MISSVERSTÄNDNISSE … DIE „DATENSCHUTZ-KOORDINATOREN“ (DSK)2019 REWE Group 17 Vorab: Eine Rolle besteht nicht nur aus Titel, Verantwortlichkeiten, Aufgaben sowie Anforderungen an Kenntnisse und Kompetenzen, sondern auch immer aus einem sogenannten „Rollenverständnis“, wie z.B. „Vernetzer“, „Unterstützer“, etc. Der Austausch innerhalb der REWE Group als auch außerhalb mit anderen Unternehmen, externen Berater und Trainer zeigt, dass die Rolle des Datenschutz-Koordinators (DSK) die meistdiskutierte – und meist missverstandene – Rolle ist Empfehlung Nr. 1: Immer wieder erneut die Abgrenzung der – angedachten und gelebten –Rolle „DSK“ zu den anderweitigen Rollen überprüfen! Der DSK ist kein „Entscheider“ ( Verantwortlicher) oder „Cleaner“ & „Umsetzer“ (Fachbereiche) Empfehlung Nr. 2: In der Zusammenarbeit mit dem DSB ist immer darauf zu achten, wer welche Art von beratenden Leistungen erbringt Empfehlung Nr. 3: Ein externer DSB, welcher nicht mit den Unternehmen vertraut ist, sollte möglichst immer gemeinsam mit einem internen DSK die Möglichkeiten zur Umsetzung der DSGVO in dem betreffenden Fachbereich klären

DAS „REWE GROUP DATENSCHUTZ BOARD“ (DS-BOARD)IST MIT VERTRETERN ALLER GESCHÄFTSFELDER BESETZT Leitung Zentrales Datenschutz Management (DSM) Vorsitz Ein Datenschutz-Koordinator (DSK) je Geschäftsfeld Alle Datenschutz-Beauftragten (DSB) intern/extern Vertreter aus dem Bereich „Recht“Ständige Mitglieder Erweiterter TeilnehmerkreisNur beratende Funktion:

Vertreter aus dem Bereich „Informationssicherheit“ Vertreter aus dem Bereich „Konzernrevision“ Back-OfficeDas „Zentrale Datenschutz Management (DSM) stellt das Back-Office für das DS-Board bereit

2019 REWE Group 4Alle ständigen Mitglieder haben jeweils „eine Stimme“. Die Vertretung aus dem Bereich „Recht“ hat unabhängig von der Anzahl derer Teilnehmer insgesamt auch nur „eine Stimme“.DSK = Datenschutz-Koordinatoren / DSB = Datenschutz-Beauftragte / DSM = Zentrales Datenschutz Management / DS-Board = REWE Group Datenschutz Board

ZIEL, MANDAT UND ABGRENZUNG DES„REWE GROUP DATENSCHUTZ BOARDS“ (DS-BOARD)2019 REWE Group 19

Sicherstellung einer REWE Group weiten Datenschutz-Strategie durch Austausch und Entscheidungen zu übergreifenden Datenschutz-Fragestellungen, um datenschutzrechtliche Risiken zu minimieren. Erstreckt sich über alle Geschäftsfelder hinweg und beinhaltet bindende Entscheidungen sowie Empfehlungen zu über-greifenden datenschutz-rechtlichen Sachverhalten. Die Umsetzung bzw. die Anpassung von operativen Prozessen verbleibt bei den Fachbereichen. Die Aufgaben der DS-Organisation nach der Konzern-Richtlinie bleiben unberührt.MandatZiel AbgrenzungTurnus der Board Treffen: QuartalsweiseErgänzend möglich: Entscheidungen und Empfehlungen per UmlaufverfahrenWichtig: Der „Verantwortliche“ ist rechenschaftspflichtig für die Einhaltung der datenschutzrechtlichen Vorgaben. Letztendlich entscheidet dieser im Sinne der EU DS-GVO,ob er einer Empfehlung des DS-Boards folgt.

VERANTWORTLICHKEITEN UND AUFGABENDES „REWE GROUP DATENSCHUTZ BOARD“Verantwortlichkeiten & Aufgaben Austausch- und Entscheidungsgremium Eskalationsinstanz zur Lösung von Konflikten Verantwortlichkeiten & Aufgaben

Festlegung der generellen Strategie zum Datenschutz Strategisch relevante Entscheidungen (z.B. wesentliche Auswirkungen auf Geschäftstätigkeiten) Verantwortlichkeiten & Aufgaben

Ansprechpartner und Koordination der Datenschutz-Fragestellungen Beratung und Unterstützung der Fachbereiche bei der Umsetzung datenschutzrechtlicher AnforderungenStrategische Planung Datenschutz Governance Koordination & UmsetzungDatenschutz BoardREWE GroupVorstand &Geschäftsführung Datenschutz-Koordinatoren (DSK)Datenschutz-Beauftragte (DSB): Beratung und Überwachung2019 REWE Group 7DSK = Datenschutz-Koordinatoren / DSB = Datenschutz-Beauftragte / DSM = Zentrales Datenschutz Management / DS-Board = REWE Group Datenschutz Board

BERICHTS- UND AUSTAUSCHFORMATE (AUSZUG)2019 REWE Group 21

jährlich2-monatlich/quartalsweisemonatlich • Jahresbericht DSM an die Verantwortlichen (Vorstand & GF) sowie an die TopEx• Berichtserstattung DSM im Audit Committeean den Aufsichtsrat• 2-Monatsbericht DSM an den Gesamt-vorstand• 2-Monatsbericht DSM –mit bei Bedarf ergänzenden Informationen aus dem jeweiligen Geschäftsfeld – an die GF• Jour Fixe DSM mit der Konzernrevision• „DSK-Meeting“ mit DSB & DSM• Kennzahlen Reporting an das DSM• Jour Fixe DSM mit dem zuständigen Ressort Vorstand• Die jeweiligen Jour Fixe der DSK / DSB mit je nachdem mit dem Vorgesetztem / GF / etc.DSK = Datenschutz-Koordinatoren / DSB = Datenschutz-Beauftragte / DSM = Zentrales Datenschutz Management

PROZESSE UND IT-ANWENDUNGEN(AUSZUG)2019 REWE Group 22

ProzesseIm Projekt „EU DS-GVO“ wurden u.a. folgende DS-relevanten Prozesse überarbeitet oder erarbeitet: Auftragsverarbeitungsvertrag (AVV) Automatische Einzelfallentscheidung Datenschutz-Folgenabschätzung (DSFA) Datenübermittlung an Drittländer Datenübertragbarkeit Datenschutz-Verletzungen Informationspflichten Joint Controllership Verarbeitungsdokumentation WiderspruchsrechtErgänzend gibt es in den Geschäftsfeldern jeweils weitere definierte Prozesse, welche jedoch von deren jeweiligen Rahmenbedingungen abhängen, wie z.B. bei der Abwicklung der Betroffenenrechte: Auskunftsrecht, Löschantrag, etc.

IT-AnwendungenIn der REWE Group werden verschiedene Anwendungen zur Unterstützung der DS-relevanten Prozesse genutzt: Dokumentations- und Collaboration-Lösungen für die Bereitstellung / Ablage (und Zusammenarbeit) von

Vorlagen und Hilfsmittel, wie z.B. Checklisten DS-relevanten zu erstellenden Dokumenten, wie z.B. das Verzeichnis der Verarbeitungstätigkeiten, TOMs, AVV, etc. Reports & (Audit-, Jahres-, etc.)Berichte Schulungsdokumentation

Info-Plattform als DS-Wiki und DS-Austauschforum Ticket-Tool des „Krisenmanagement der REWE Group“ zwecks Meldung und Dokumentation von (potentiellen) DS-Verletzungen / DS-Verstöße ( Callcenter, welches 24 Stunden/7 Tage die Woche erreichbar ist)Die DS-relevante Konzern-Richtlinie wird über den „REWE Group Konzern-Richtlinien Bereich“ bereitgestellt.Weiterhin gibt es Info-Portale zu anderweitigen Themen, welche ebenfalls eine DS-Relevanz/-Schnittstelle haben, wie z.B. zu Cloud, ISMS, etc.

ZUGRIFFSBEREICHE FÜR DOKUMENTATIONS-, COLLABORATION-, INFORMATIONS- UND AUSTAUSCHBEREICHE2019 REWE Group 23Zugriffseingeschränkte Bereiche je Geschäftsfeld/GesellschaftREWE GroupÖffentlicher Bereich ohne Zugriffseinschränkungen für alle Mitarbeiter Interner Bereich für DSK, DSB und DSM (und ISB)Interner Bereich für DSMGeschäftsfeld 1Geschäftsfeld 2Geschäftsfeld 3Geschäftsfeld … Zugriffseingeschränkte Bereiche für ausgewählte DS-RollenDSK = Datenschutz-Koordinatoren / DSB = Datenschutz-Beauftragte / DSM = Zentrales Datenschutz Management / ISB = Informationssicherheitsbeauftragte

LEITLINIEN, VORLAGEN UND HILFSMITTEL(AUSZUG)2019 REWE Group 24

Leitlinien, Vorlagen & Hilfsmittel (Teil 1)Folgende Leitlinien, Vorlagen & Hilfsmittel wurden u.a. bisher erarbeitet/überarbeitet und bereitgestellt (Auszug): Konzern-Richtlinie als Dokument Konzern-Richtlinie – Inhalte als „Fragen & Antworten“ DS-Organisation mit Rollenbeschreibung Stellenbeschreibung für DSB, DSK & DSM Dokumentation einer Verarbeitung (Vorlage) Daten-Schutzklassen (abgestimmt mit dem ISMS) Dokumentation einer DSFA (Vorlage) Mindestinhalte DSFA Leitfaden Datenschutzfolgenabschätzung (DSFA) Leitfaden zu den TOMs (Vorgehen) TOM-Checkliste für Verarbeitungen – REWE Group intern/extern Leitlinie zu Löschkonzepten Mindestinhalte Lösch- und Einschränkungskonzept

Leitlinien, Vorlagen & Hilfsmittel (Teil 2) „Muster-Vorlage Löschkonzept“ (in beständiger Weiterentwicklung bzw. bei Bedarf anzupassen) Übersicht über Aufbewahrungs-/Löschfristen Checkliste für DS-Überprüfung von Websites Definition der Krisen-Level bezüglich DS-Verletzungen/-Verstöße Dokumentation einer DS-Verletzung Checkliste Videoüberwachung Muster-Auftragsverarbeitungsvereinbarung (AVV) –REWE Group intern/extern Mustertexte für Antworten an die Betroffene (bei Bedarf anzupassen) Schulungsunterlagen (bei Bedarf anzupassen) Kennzahlen-Reporting an DSM (Kennzahlen-)Reporting an die Verantwortlichen GlossarWeiterhin werden die veröffentlichten Hilfsmittel der Aufsichtsbehörden, der Datenschutz-Konferenz, etc. bereitgestellt bzw. darauf verlinkt

MÖGLICHE HANDHABUNG DER „VERANTWORTLICHKEITEN ZU EINER VERARBEITUNG“ (UNTER BEACHTUNG VON ZWECK & RECHTSGRUNDLAGE)2019 25REWE Group

Erhalten Bearbeiten EntsorgenErhebenErfassenZugestellt bekommen OrganisierenOrdnenSpeichernAnpassenVerändernAuslesenAbfragenVerwendenOffenlegen durch übermitteln, verbreiten, etc.BereitstellenAuswertenAbgleichVerknüpfen LöschenSperrenEntsorgenAnonymisierenVernichtenEinschränken durch:• PseudonymisierenZuständigkeiten und VerantwortungData Owner Process Owner Data Owner / System Owner

2019 REWE Group 26

MÖGLICHE HANDHABUNG DER ZUM „SCHNITT DER VERARBEITUNGEN“ (UNTER BEACHTUNG VON ZWECK & RECHTSGRUNDLAGE)Drei Empfehlungen zum Schnitt von Verarbeitungen und deren Zusammenspiel – immer unter Beachtung deren Zweck und Rechtsgrundlage:1) Bei Unsicherheiten zu der Fragestellung wie feingranular (z.B. Gehaltsabrechnung für IT-Mitarbeiter, Gehaltsabrechnung für HR-Mitarbeiter, etc.) oder grobgranular (z.B. Gehaltsabrechnung für die Beschäftigen) sollte man die Verarbeitung schneiden, dann empfiehlt es sich im Zweifelsfalle mit „grobgranular“ starten und mit dem betreffenden Fachbereichen die ggf. vorhandenen Abweichungen zu klären2) Sogenannte „Service Units“ bzw. in Verwaltungsbereichen (Betriebswirtschaft, Recht, etc.) ändern seltener ihre Prozesse, etc. als die sog. „Business Units“ (Produktion, Verkauf, etc.), daher sind bei Letzteres „feingranularer Schnitte“ aufgrund der modularen Flexibilität hilfreich3) Sollten deutlich erhöhte TOM-Anforderungen bei nur zu einem (geringen) Teil der betreffenden Verarbeitung bestehen, kann ggf. eine Zerlegung der betreffenden Verarbeitung sinnvoll sein

MÖGLICHE HANDHABUNG ZUR „FÜHRUNG EINES VERARBEITUNGSVERZEICHNISSES (VVT)“ – TEIL 12019 REWE Group 27

Variante „Dokumente“Schritt 1: Zur Dokumentation einer „Verarbeitung“ wird eine excel-Vorlage angeboten Die Vorlage wird erstmalig ausgefüllt (inkl. links zu TOMs, etc.)* –i.d.R. ohne Angaben zum Verantwortlichen Die Vorlage wird im Ablagebereich „Verarbeitung“ des Dokumentationsmanagement-Tools für alle bereitgestelltSchritt 2: Für die Gesellschaft, welche die Verarbeitung relevant ist, wird diese runtergeladen – bei Bedarf ggf. ergänzt/angepasst und um die „Angaben zum Verantwortlichen“ ergänzt Die vollständige Dokumentation wird in dem Ablagebereich „Verzeichnis der Verarbeitungstätigkeiten“ (VVT) der betreffenden Gesellschaft hochgeladen und um Metadaten ergänzt (= entspricht nur um einen Teil der Angaben aus dem Dokument selbst) Die Dokumentation wird ggf. um zugehörige Anlagen ergänzt Excel-Datei mit diesen vier TabellenblätterVer-arbeitung DSFADaten (arten)Angaben zum Verant-wortlichen VVT der Gesellschaft XVVT der Gesellschaft YVVT der Gesellschaft Zrunterladenund ergänzen sowie ggf. anpassenIm jeweiligen VVT hochladen* Wer übernimmt die erstmalige Befüllung? siehe dazu auch Folie Nr. 25

Schritt 1:Schritt 2:

MÖGLICHE HANDHABUNG ZUR „FÜHRUNG EINES VERARBEITUNGSVERZEICHNISSES (VVT)“ – TEIL 22019 REWE Group 28

Variante „objektorientierte DB“ Das bedeutet jedes Element „Verantwortlicher“, „DSB“, „Zweck der Verarbeitung“, etc. ist ein Objekt und kann beliebig kombiniertwerden und für ein „Verzeichnis der Verarbeitungstätigkeit“ zusammengestellt werden und entsprechend auch gefiltert, ausgewertet, etc. und für individuelle Übersichten als Basis für Reports, Prüfungsplan, etc. zusammengestellt werden.Gesammelte Erfahrungen zu den aktuell am Markt bisherig angebotenen sog. „DS-Tools“ Die aktuellen IT-Anwendungen, welche als „DS-Tool“ auf dem Markt angeboten werden lassen sich in zwei Arten von Lösungen unterscheiden:1) Entweder sind es bereits auf dem Markt schon länger bestehende IT-Anwendungen aus dem „Dokumentations- und Collaboration“-Umfeld, bei denen nicht nur die bisherigen Unternehmensdokumente abgelegt und bearbeitet werden können, sondern auch DS-relevante Dokumente.2) Oder die „DS-Tools“ wurden explizit für den Anwendungsfall „Umsetzung DSGVO“ konzipiert. Das bedingt jedoch, dass deren Entwicklung oft nicht vor 2017 gestartet ist und daher einige Tools noch nicht alles abdecken. Empfehlung an die „Tool-Anbieter Fall 2“: Erst mit einem Teilthema fokussiert starten, wie z.B. mit dem „Verzeichnis der Verarbeitungstätigkeiten“ und erst nach und nach die anderen Teilthemen, wie z.B. „Meldung und Dokumentation von DS-Verletzungen“ angehen. Generell: Der Großteil der aktuell angebotenen „DS-Tools“ können eher den Bedarf von KMU‘s* abdecken als den von Konzernen * KMU = Kleine und mittelständische Unternehmen

Plan DoCheckActBESTÄNDIGE ÜBERPRÜFUNG UND ANPASSUNG(AUSZUG)2019 REWE Group 29

Formate zur ÜberprüfungIn folgenden Formate wird derzeit der Status zum „REWE Group Datenschutz“ ermittelt wird (Auszug): REWE Group interne & externe DS-Audits durch den jeweiligen internen/externen DSB in Abhängigkeit des jeweiligen jährlichen Prüfungsplans REWE Group DS-Kennzahlen Reporting im monatlichen Turnus zu u.a. Betroffenen-Rechte, (potent.) DS-Verletzungen /-Verstöße, etc. REWE Group Risikomanagement erfolgt im jährlichen Turnus inkl. zu den „potentiellen Datenschutz-Risiken“ REWE Group IKS im jährlichen (bzw. für DS im zwei-jährlichen) Turnus Konzernrevisionsprüfungen zu dem Thema „Datenschutz“ in Abhängigkeit des jeweiligen jährlichen Prüfungsplans Anhand der Ergebnisse (z.B. Audit-Berichte) werden Maßnahmen abgeleitet (z.B. Konzernrevisionsmaßnahmen) und umgesetzt.

Weitere FormateDarüber hinaus werden sog. „Lessons Learned Workshops“ zu Prozessen/Dokumentationen/Tools/etc. durchgeführt mit den folgenden Zielen Ermittlung des IST-Zustandes, Austausch zu den gesammelten Erfahrungen, Ableitung Verbesserungs- bzw. Handlungsbedarf und Ableitung konkreter Maßnahmen zur Verbesserung.Weiterhin wird das „DSK-Meeting“ nicht nur für u.a. den Austausch von Informationen und Erfahrungen genutzt, sondern auch zur Nutzung von Synergien sowie zur Identifizierung von Optimierungspotentiale. Hieraus werden entsprechend auch konkrete Maßnahmen abgeleitet und umgesetzt.

BEGLEITENDE INFORMATIONS-, SCHULUNGS- & AWARENESS-KAMPAGNEN ZUR DSGVO* – WIE SIND WIR GESTARTET (AUSZUG)2019 REWE Group 30

Präsenz-Schulungen Durchführung von Präsenzschulungen fürdie DSKs Einführung in die DS-GVO für die jeweiligenFachbereiche Durchführung von Workshops für IT-Demand- & Supply-Bereiche Ergänzend: Teilnahme an externen Schul-ungen, Zertifizierungskurse, Tagungen, etc.

Erstkommunikation Allgemeine Infos zur DS-GVO Zeitpunkt Inkrafttreten Grundsätzliche Sensibilisierung für das Thema Datenschutz Awareness-Kampagne

DS-Quiz auf BR-Betriebsversammlung Vorstellung ausgewählter DS-Themen alsBestandteil von Veranstaltungen imjeweiligen Fachbereich oder auch vonEvents (z.B. bei sog. Hackdays/Hackathon) Bereitstellung von DS-Informationsfilmen Versendung von DS-Newsletter

Kommunikation der DS-Organisation Sensibilisierung für die anstehenden Veränderungen ab dem 25.05.2018 Hinweise zu der neuen DS-Organisation Überblick über die jeweils relevanten Ansprechpartner Kommunikation eLearningInformationen zur eLearning-Kampagne sowie Hinweise zu AnsprechpartnereLearning-Kampagne Erläuterungen mit Fragen-Quiz zu u.a.Verarbeitung von personenbezogenen Daten,DS-Grundsätze, Datensicherheit, Hinweise zuden Meldewegen bei (potentiellen) DS-Verletzungen/DS-Verstöße sowie zu denrelevanten Ansprechpartner

Teilnehmer erhält ZertifikatKommunikation der Konzern-RichtlinieHinweis auf Inkrafttreten der Konzern-Richtlinie zu Datenschutz sowie Informationen über die Bereitstellung & Rollout Grundschulungen erfolgen eher online <–> spezifische Schulungen – je nach Geschäftsfeld, Zielgruppe oder Thema – eher offline* Diese Übersicht bezieht sich „nur“ auf die Umsetzung der „DSGVO & BDSG neu“. DS-Schulungen gibt es bei der REWE Group schon seit Jahren.

2019 REWE Group 31

DIE PRÄSENZ-SCHULUNGSANGEBOTE WURDEN ZIELGRUPPEN-ORIENTIERT ÜBERARBEITETDie für künftig angedachten Präsenz-Schulungsangebote umfassen drei Themenblöcke:Einführender Teil zu den wesentlichen Änderungen durch die DSGVO sowie zur Motivation für Datenschutz Überblick über die konkrete Ausprägung bei der REWE Group (Prozesse, Vorlagen, Hilfsmittel, Ansprechpartner, etc.) Überblick über die konkreten Vorlagen und Hilfsmittel für die jeweilige ZielgruppeTeil 2: REWE Group DSTeil 1: EU DS-GVO Teil 3: „Zielgruppen-DS“Zu Teil 3 – Zielgruppen und zugehöriger Themenfokus: Themenfokus ZielgruppenBeschäftigtendaten Mitarbeiter von HR und Mitglieder der BetriebsräteKundendaten Mitarbeiter aus den Bereichen Marketing, Kundenbeziehungsmanagement, Vertrieb, etc.IT Mitarbeiter aus IT-Abteilungen/IT-Gesellschaften„Ausgewählte DS-Themen für den Alltag“ Alle Mitarbeiter aus den Verwaltungsbereichen, wie z.B. Betriebswirtschaft, Recht, Compliance, etc.Neben den offenen Schulungsangeboten gibt es weiterhin auf Bedarf individuell zugeschnittene Schulungensowie weiterhin Onboarding- und Update-Schulungen für DSK!

2019 REWE Group 32

WICHTIGE BOTSCHAFTEN IN DER SCHULUNG: 1.) MOTIVATION FÜR DATENSCHUTZ AUFZEIGEN . . .Motivation und Vorteile aufzeigen (Teil 1) Schulungen sollen nicht „nur“ die DSGVO erläutern sowie ihre konkrete Umsetzung, sondern zu Beginn auch immer aufzeigen, warum es die DSGVO gibt und welche Vorteile sie bietet Hierbei die Perspektive der Betroffenen aufzeigen Fallbeispiele z.B. auch aus einem möglichen „privaten Umfeld“ des Mitarbeiters nehmen Mehrwert für Mitarbeiter und für das Unternehmen aufzeigen (z.B. Stärkung des sensiblen Umgangs mit Beschäftigtendaten, One-Stop-Shop“, etc.

2019 REWE Group 33

WICHTIGE BOTSCHAFTEN IN DER SCHULUNG: 1.) MOTIVATION FÜR DATENSCHUTZ AUFZEIGEN . . .Motivation und Vorteile aufzeigen (Teil 2) Die EU DS-GVO geht davon aus, dass für ihre Umsetzung die Daten, Organisation, Prozesse sowie die IT-Landschaft in einer entsprechend (Mindest)Qualität vorhanden sind Bisher lag es im freiwilligen Ermessen der Unternehmen, wie gut sie zu den obig aufgeführten Themen aufgestellt ist, um erfolgreich am Markt zu bestehen sowie um Themen, wie z.B. Digitalisierung, Big Data, KI, etc. voranzutreiben Das bedeutet die EU DS-GVO ist derzeit DER „Treiber“ zum Aufräumen von Daten, Organisation, Prozessen und der IT-Landschaft ...

… was die Unternehmen einerseits gegenüber Mitbewerbern am Markt erfolgreich stärkt, … aber auch die entsprechenden Ressourcen & Budgets erfordert mehr als „nur ein DSGVO-Projekt“

2019 REWE Group 34Datenschutz ist nicht „neu“! Weiterhin hilfreich: Aufzeigen, dass mit der DSGVO nicht alles „neu“ ist, sondern es Datenschutz auch schon vor dem 25.05.2019 gab, inkl. vieler der aktuellen RegelungenUnsicherheit nehmen Die Schulung soll Unsicherheit nehmen, indem Transparenz gegeben wird über u.a. die wesentlichen Änderungen, die Grundsätze, das generelle Vorgehen, die DS-Organisation (Verantwortlichkeiten und Aufgaben), über die konkreten Hilfsmittel, etc. und immer über die relevanten Ansprechpartner bei Fragen rund um DS

WICHTIGE BOTSCHAFTEN IN DER SCHULUNG: . . . 2.) UNSICHERHEIT NEHMEN . . .

2019 REWE Group 35

WICHTIGE BOTSCHAFTEN IN DER SCHULUNG: . . . UND 3.) FÜR DATENSCHUTZ BEGEISTERNFür Datenschutz begeistern DS-Schulungen dürfen auch humorvolle Aspekte beinhalten Neben Fallbeispiele helfen auch Veran-schaulichungen und Bildnisse beim Vermitteln von „gefühlten abstrakten Regelungen“ Interaktive Anteile in der Schulung tragen zu einem besseren Verständnis und zum Interesse bei

HANDEL NATIONALBEISPIEL „DATENSCHUTZ-KONZEPT-ORDNER“2019 REWE Group 36

HANDEL NATIONALBEISPIEL „NEWSLETTER“2019 REWE Group 37

HANDEL INTERNATIONALBEISPIEL „DATENSCHUTZ-INFO-VIDEOS“2019 REWE Group 38

EMPFEHLUNG FÜR GROß-VERANSTALTUNGEN:INTERAKTIVES DS-QUIZ – MIT ODER OHNE ERGÄNZENDEN FOLIEN2019 REWE Group 39Einer der Überblick über Anbieter von „Audience Response Systeme“: https://wiki.llz.uni-halle.de/Vergleich_Audience_Response_Systeme

BEWUSSTSEIN UND AWARENESS ZU DATENSCHUTZ2019 REWE Group 40Quelle: https://www.otto-schmidt.de/news/wirtschaftsrecht/ein-jahr-datenschutz-grundverordnung-menschen-werden-sich-neuer-rechte-immer-bewusster-2019-05-23.html

TROTZ CHANGE MANAGEMENT IN ZWEI JAHREN UMSETZBAR?2019 REWE Group 41

Ist die DSVGO vollständig in zwei Jahren umsetzbar?Die DSGVO bringt zwar nur in Teilen neue Veränderungen mit, jedoch haben diese nicht nur einen Einfluss auf Organisation, Prozesse und IT-Landschaft, sondern erfordern auch einen „kulturellen Wandel“.Kultureller Wandel benötigt – je nach Studie – ca. 5 bis 7 Jahre.Statement

TROTZ CHANGE MANAGEMENT IN ZWEI JAHREN UMSETZBAR?2019 REWE Group 42

Die DS-GVO erfordert einen „Kulturwandel“ … … sowohl in Bezug auf Unternehmensprinzipien wie z.B. Selbst-Verantwortung; der „Verantwortliche“ ist nun mehr in der Pflicht Konträr zu der oft üblichen konzernweiten Steuerung eines Themas… als auch bezüglich der Unternehmenswerte wie z.B. der offene Umgang mit Fehlern für die Meldung von DS-Verletzungen Ein Wandel der „Fehlerkultur“ dauert länger als zwei JahreNEW MINDSETNEW RESULTSStatement

AB WANN DSGVO-KONFORM?2019 REWE Group 43

100% DSGVO-konform? Nein.Voraussichtlich werden auch die meisten Unternehmen niemals die 100% erreichen!Statement

DER „FAKTOR MENSCH“ BEEINFLUSST IM WESENTLICHEN DIE ERREICHBARKEIT VON DS-GVO-KONFORMITÄT 2019 REWE Group 44* Informationen: Daten wird eine Bedeutung zugewiesen (Semantik); z.B. der Datensatz „heute, morgen, übermorgen, etc.“ kombiniert mit dem Datensatz „Regen, Sonnenschein, etc.“ ergibt z.B. die Information „morgen Sonnenschein“.

Faktor „Mensch“ Es können noch so gute technische und organisatorische Maßnahmen (TOMs) definiert und umgesetzt werden, es zählt letztendlich das „schwächste Glied in der Sicherheitskette“ und das ist je nach Studie etwa in 70% der Fälle der „Mensch“ Sei es mit vorsätzlichen, als auch um unwissentlich sowie unbeabsichtigt schädigenden Aktivitäten beeinflusstDatenschutz InformationssicherheitDatensicherheitBetrifft personenbezogene DatenBetrifft alle Daten Betrifft alle Informationen*Ist Bestandteil von Ist Bestandteil von

EIN ANSATZ FÜR DEN KÜNFTIGEN UMGANG MIT „DATEN & NEUEN TECHNOLOGIEN“: CORPORATE DIGITAL RESPONSIBILITY (CDR)2019 REWE Group 45 Es existiert derzeit nicht die „eine Definition“ Was haben alle Definitionen gemeinsam:

Zielt auf die Unternehmensverantwortung ab Es handelt sich um eine freiwillige Selbstverpflichtung im Kontext „Digitalisierung“, welche über die Erfüllung der regulatorischen Anforderungen hinaus geht Fokus ist eine nachhaltige Gestaltung der Digitalisierung für alle Menschen (bzw. „Betroffene“) – unternehmensintern und -externCorporate Digital Responsibility (CDR) –mehr als „nur“ Datenschutz!

DIE „CDR-INITIATIVE“ DES BUNDESMINISTERIUM DER JUSTIZUND FÜR VERBRAUCHERSCHUTZ (BMJV)2019 REWE Group 46Quelle: xxx

DEUTSCHLANDWEITE GREMIEN UND INITIATIVEN IM UMFELD „DIGITALISIERUNG“ UND/ODER „KI“ (AUSZUG) 2019 REWE Group 47Es gibt auch Gremien und Initiativen innerhalb der Bundesländer, wie z.B. „KI.NRW“ oder auch über Deutschland hinaus europaweit, wie z.B. „European AI Alliance“ „CDR-Initiative“ des BMJV Initiative D21 e.V.Datenethik-kommission des BMI & BMJVBitkom e.V. „Vor:Denker (Corporate) Digital Responsibility“ von Deloitte &F.A.Z.-InstitutProjekt „Ethik der Algorithmen“ der Bertelsmann StiftungStiftung Neue Verantwortung e.V.Charta digitale Vernetzung e.V.i.G Handelsverband Deutschland - HDE e.V.„Gemeinsam Digital“ des BVMWKI Bundesverband e.V.

SELBSTVERSTÄNDNIS DES DATENSCHUTZES IM KONTEXT CDR (1/2)2019 REWE Group 48

StatementCDR ist … mehr als „nur“ Datenschutz … … sondern betrachtet auch das Zusammenspiel mit „Technologie“ … … wobei CDR sich nicht nur auf „eine Technologie“ fokussiert, sondern auf alle Technologien*. * Big Data, KI, IoT, etc.Die Technologie selbst dient dem Menschen(und nicht anders-herum). Um das zu gewähr-leisten, muss jeder einzelne Mensch befähigt werden … … und CDR von allen Menschen in gemeinsamer Zusammenarbeitgestaltet werden.

SELBSTVERSTÄNDNIS DES DATENSCHUTZES IM KONTEXT CDR (2/2)2019 REWE Group 49

StatementCorporate Digital Responsibility (CDR) sollte nicht „nur“ . . . … als freiwillige ergänzende Einschränkungen über die gesetzlichen Anforderungen hinaus verstanden werden,… sondern auch als Unterstützung (z.B. Social Entrepreneurs) der Digitalisierungund als Förderung (z.B. der digitalen Kompetenzen)… sowie als Öffnung für den Datenverkehr (z.B. gemeinsamer Datenpool) – immer unter Einhalt der Gesetze (z.B. DS-GVO) und einer gemeinsamen Datenethik!

AUSBLICK:WO GEHT DIE REISE (NICHT NUR) FÜR DIE REWE GROUP HIN? 2019 REWE Group 50Unternehmensintern u.a.: Aufräumarbeiten & beständige Optimierungen („PDCA-Zyklus“) Weitere Erfahrungen sammeln Regelmäßig: Informationen & Schulungen Corporate Digital Responsibility (CDR)Unternehmensextern u.a.: Regelungen zum Abmahnmissbrauch (vs. Möglichkeiten zum Erfahrungsaustausch mit anderen Unternehmen) IT-Sicherheitsgesetz 2.0 E-Privacy . . .

UND . . . WEITERHIN:MUT ZU DEM ABENTEUER DS-GVO!2019 REWE Group 51Auch wenn immer noch Unsicherheiten bestehen – sei es bezüglich datenschutzrechtlicher Klärungen oder bezüglich Fragen zur konkreten Umsetzung:Einfach mit der Umsetzung anfangen! Sich einen Überblick über das IST und SOLL verschaffen. Ein übergreifendes Vorgehen/Plan mit Maßnahmen ableiten. Und dann nach Prioritäten abarbeiten – nach dem risiko-basierten Ansatz – in der Reihenfolge: 1. aus Sicht des Betroffenen und 2. aus Sicht des Unternehmens. Im Zweifelsfalle grobgranular starten sowie nach und nach die Qualität verbessern.Für diejenigen, welche sich schon auf die Reise gemacht haben: Sich immer bewusst sein, dass es sich hierbei um eine dauerhafte Reise handelt! D.h. es werden immer mal gefühlte „Hoch und Tiefs“ folgen. Also: Sich „Mitstreiter“, „Gleichgesinnte“, „Rüttelstellen“, etc. suchen… und auch Erfolge für alle transparent machen – sowie auch mal feiern!

BACKUP2019 REWE Group 52

2019 REWE Group 53Konrad Zacharias Lorenz, 1903-1989)„Gesagt ist noch nicht gehört, gehört noch nicht verstanden, verstanden noch nicht einverstanden,einverstanden noch nicht angewandtund angewandt noch nicht beibehalten.“EXKURS zu„HR Change Management“

EMOTIONALE REAKTIONEN AUF VERÄNDERUNGEN2019 REWE Group 54

EXKURS zu„HR Change Management“Vorbereitungs- und KonzeptphaseWahrgenommene Eigen-Kompetenz der Mitarbeiter Schock Ablehnung Akzeptanz LernenRationale Einsicht Erkenntnis Integration

EvaluationUmsetzungQuelle: enowa AG

MENSCHEN REAGIEREN JE NACH TYPUNTERSCHIEDLICH AUF VERÄNDERUNGEN2019 REWE Group 55Quelle: wibas – In Anlehnung von Everett M. Rogers „Innovation Adoption Curve“

EXKURS zu„HR Change Management“

CHANGE MANAGEMENT IN ABGRENZUNGZUM PROJEKT MANAGEMENT2019 REWE Group 56

Steuerung / Leitung von Veränderungsprojekten Ziel: Veränderungen in einem Unternehmen durchführen Begleitung von Veränderungs-projekten

Ziel: Möglichst reibungsloser Ablauf von VeränderungenVeränderungsdurchführung VeränderungsbegleitungEXKURS zu„HR Change Management“

CHANGE MANAGEMENT IN ABGRENZUNGZUM PROJEKT MANAGEMENT2019 REWE Group 57

Steuerung / Leitung von Veränderungsprojekten Ziel: Veränderungen in einem Unternehmen durchführen Begleitung von Veränderungs-projekten

Ziel: Möglichst reibungsloser Ablauf von VeränderungenVeränderungsdurchführung VeränderungsbegleitungProjekt Management Change ManagementEXKURS zu„HR Change Management“

Siehe dazu folgende FolieDAS MEIST GENUTZTE CHANGE-MANAGEMENT-MODELL:DER 8-PHASEN-PROZESS DER VERÄNDERUNG NACH KOTTER2019 REWE Group 581) Die Notwendigkeit für die Veränderungen darlegen:Erklären Sie den Sinn und die Ernsthaftigkeit.2) Verbündete Mitstreiter suchen:Bauen Sie sich Ihre Lobby auf, der Sie voll vertrauen können. Keine Veränderung ist von einer Person alleine zu bewältigen.3) Eine klare Vision und Ziele formulieren:Die Vision hilft, Widerstände zu brechen und die Richtung der Veränderung aufzuzeigen.4) Kommunizieren der Veränderungsvision:Gesagt ist nicht gehört; gehört ist nicht verstanden; verstanden ist nicht einverstanden; einverstanden heißt noch nicht „ich tue“.5) Empowerment Ihrer Mitarbeiter:Bauen Sie demotivierende Rahmenbedingungen ab und geben Sie den Mitarbeitern Freiheiten und Verantwortungen. Fordern Sie „Beiträge“.6) Einforderung kurzfristiger Erfolge:Damit lassen sich skeptische Mitarbeiter von dem richtigen Kurs der Veränderung überzeugen.7) Konsolidieren und weiter treiben:Kommunizieren Sie Teilerfolge und beharren Sie auf das Vorankommen. Stillstand ist Rückfall.8) Verankern der neuen Ansätze:Verankern Sie Ihre Veränderung in der Unternehmenskultur.

EXKURS zu„HR Change Management“

MAßNAHMENAUSWAHL COMMUNICATION & EMPOWERMENTIN ABHÄNGIGKEIT DES PROJEKTVERLAUFS2019 REWE Group 59ZeitCommitment Bewusstsein Verständnis Akzeptanz Commitment“Ich weiß, worum es geht“ “Ich erkenne meine persönlichen Auswirkungen” “Das ist ok“ “Wir finden den Weg gut“ Verfügbarkeit von High-level Informationen (z.B. Info-Wiki)

Informierung über aktuelle Aktivitäten (z.B. Intranet Seite) Bewusstsein schaffen (z.B. Poster) Detaillierte Erklärung für die Notwendigkeit des Change (z.B. Video)

Individuelle Zielgruppen-ansprache (z.B. Newsletter) Meetings mit wichtigenStakeholdern Die Beteiligten mit den neuen Maßnahmen vertraut machen(z.B. Schulungen) Einbeziehung der Beteiligten in Maßnahmen

Unterstützung vor und nach der Umsetzung Letzter Check UmsetzungQuelle: enowa AG

EXKURS zu„HR Change Management“

MAßNAHMENAUSWAHL IN ABHÄNGIGKEIT DER ZIELE UND DER REICHWEITE2019 REWE Group 60Quelle: Olga Pelypyshyn „Messung und Management von Effektivität und Effizienz von Veränderungsprozessen“

WorkshopsWorkshopsEinzel-gesprächEinzel-gesprächE-MailE-MailBusiness-TVBusiness-TVWirkungstiefe:Kommunikationsziele: Oberflächliche ImpulseInformation Deutliche SignaleVerständnis Anstoß zum UmdenkenÜberzeugen Verhaltens-änderungHandlungProjekt-HomepageProjekt-HomepageMitarbeiter-zeitungMitarbeiter-zeitungRund-schreibenRund-schreiben PodcastsPodcasts

Persönlicher BriefPersönlicher Brief10.000101001.000 Projekt-arbeitProjekt-arbeit

Engagement des Top Mgt.Engagement des Top Mgt.Projekt-NewsletterProjekt-Newsletter Info-Markt MesseInfo-Markt MesseBroschüreBroschüre Kickoff-MeetingKickoff-MeetingErgebnis-präsentationErgebnis-präsentation Erfolge feiernErfolge feiernFach-präsentationFach-präsentation Demos am IT-SystemDemos am IT-SystemInterne Multi-plikatorenInterne Multi-plikatorenVeranstaltungVeranstaltungWikis/ WeblogsWikis/ Weblogs Groß-VeranstaltungGroß-VeranstaltungDiskussions-forenDiskussions-forenReichweite (Anzahl der erreichten Mitarbeiter)EXKURS zu„HR Change Management“

MAßNAHMEN-AUSWAHL ZU INFORMATIONENIN ABHÄNGIGKEIT DER INFORMATIONSWEGE2019 REWE Group 61Quelle: Olga Pelypyshyn „Messung und Management von Effektivität und Effizienz von Veränderungsprozessen“VorhandeneEinweg-Information SpezielleEinweg-Information VorhandeneZweiweg-Information SpezielleZweiweg-InformationMitarbeiterzeitschrift Business-TV Mitarbeitergespräche WorkshopsE-Mails Broschüre Gruppengespräche Kick-off-VeranstaltungenAushänge Videos Offene Türen World CafésPressemitteilungen Infotafeln/Plakate Intranet InfobörsenFührungs-informationen Individual Weblogs Social-Networking-Plattformen PressekonferenzenCorporate Weblogs Pod/Webcasts . . . Marktplatz. . . . . . . . .

EXKURS zu„HR Change Management“

MAßNAHMEN-AUSWAHL ZWECKSQUALIFIZIERUNG2019 REWE Group 62Quelle: Olga Pelypyshyn „Messung und Management von Effektivität und Effizienz von Veränderungsprozessen“

Qualifizierungsmaßnahme Training-on-the-job Training-off-the-job Training-near-the-job Coaching x E-Learning x Erfahrungsgruppen x x Fallstudie x Gruppenberatungsgespräch x x Gruppendynamisches Gespräch x Lernstatt x Mentoring x x Projektarbeit x Qualitätszirkel x Rollenspiel/Planspiel x Seminare x Sonderaufgaben x Teamteaching x Training x Unterweisung Workshop x x x. . .

EXKURS zu„HR Change Management“

NUR ÜBER VERÄNDERUNGEN DES „SYSTEMS“ KANNDAS „VERHALTEN“ UND DAMIT DIE „KULTUR“ VERÄNDERT WERDEN2019 REWE Group 63Quelle: wibas GmbHManage the system, not the people.Jurgen AppeloManage the system, not the people.Jurgen Appelo

EXKURS zu„HR Change Management“