Datenschutz bei Franchise

Datenschutz verstehen – Datenschutz im Franchise-System

Zusammenfassung
  1. Sowohl Franchisegeber als auch Franchisenehmer müssen darauf achten, dass eine geeignete Rechtsgrundlage für die Verarbeitung personenbezogener Daten existiert.
  2. Es ist möglich, eine Einwilligungserklärung gleichzeitig für den Franchisegeber als auch für den Franchisenehmer abzugeben. Beide Franchise-Partner müssen dafür jedoch transparent genannt werden.
  3. Ein Auftragsverarbeitungsvertrag zwischen beiden Franchise-Parteien wird nötig, wenn der Franchisegeber zum Auftragsverarbeiter gegenüber den Franchisenehmern wird.
  4. Der Franchisenehmer muss sich von der Sicherheit der getroffenen technischen und organisatorischen Maßnahmen beim Franchisegeber überzeugen.
  5. Ein Franchise-System darf einen gemeinsamen Datenschutzbeauftragten ernennen.
  6. Es existiert ein Franchise-Handbuch, welches als Bedienungsanleitung für jeden Franchisenehmer dient. Dieses sollte um den Datenschutz erweitert werden.
Keine Lust zu lesen?

Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

Play
Slider

Sobald sich ein Unternehmen mit seiner Marke etabliert hat, bietet es sich an, schnelleres Wachstum des Unternehmens durch Franchising zu erzeugen. Die sogenannten Franchisenehmer bringen eine gewisse Liquidität mit und der Franchisegeber stellt Nutzungsrechte, Know-How, Netzwerk und teilweise Dienstleistung zur Verfügung. Franchise-Systeme profitieren vor allem von zentralen Prozessen, welche kostenoptimiert dargestellt werden können. Das Geschäftsmodell des Franchisings ist seit vielen Jahren vor allem durch die Fast-Food-Ketten (z.B. Mc Donalds) sehr bekannt geworden. 

Doch wie genau werden hier personenbezogene Daten verarbeitet und wie ist es möglich sowohl für Franchisegeber als auch Franchisenehmer diese Verarbeitungen datenschutzkonform gemäß der DSGVO zu dokumentieren und durchzuführen? Gerade im Franchise sind die zentralisierten Prozesse zwischen Franchisegeber und Franchisenehmer genauer zu bewerten. 

Bei einer Franchise-Gründung hatte Datenschutz bisher jedoch selten Priorität. Es wurde im Wesentlichen als Thema für Konzerne wahrgenommen. Das neben den Themen Finanzierung, Vertriebsstrategie oder gar Marketing das Thema Datenschutz eine entscheide Rolle spielt, unterstreicht die Datenschutz-Grundverordnung mit ihrem erhöhten Bußgeldrahmen. Zuständige Aufsichtsbehörden können je nach Verhältnismäßigkeit Bußgelder von bis zu 20 Millionen Euro oder bis zu 4% des gesamten Jahresumsatzes aus dem zurückliegenden Geschäftsjahr verhängen.

 

Datenübermittlung im Franchise-System

Die Datenschutz-Grundverordnung ist als ein Verbot für die Verarbeitung von personenbezogenen Daten zu verstehen. Es gibt allerdings gewisse Erlaubnistatbestände, welche zur Begründung einer Verarbeitungstätigkeit herangezogen werden dürfen. Grundsätzlich müssen Franchisegeber als auch Franchisenehmer immer darauf achten, dass eine geeignete Rechtsgrundlage für die geplante Datenübermittlung verwendet werden kann. Hierzu sollten die Franchise-Partner den Artikel 6 Abs. 1 lit. a) – f) DSGVO berücksichtigen, demnach dürfen Daten nur wie folgt zweckgebunden verarbeitet werden:

  1. Eine Person hat ihre Einwilligung zu der Verarbeitung abgegeben.
  2. Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist.
  3. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  4. Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person zu schützen.
  5. Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt.
  6. Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

In den häufigsten Fällen werden bei der Datenübermittlung im klassischen Franchise-System die Rechtsgrundlagen: Einwilligung gemäß Art. 6 Abs. 1 lit. a) DSGVO i.V.m. Artikel 7 DSGVO oder das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f) DSGVO, verwendet.

Datenübermittlung durch Einwilligung

Die Einwilligung scheint zu erst recht einfach umsetzbar zu sein. Doch es kommt bei der Einwilligung auf verschiedene Bedingungen an, damit diese auch wirklich rechtmäßig ist. Eine rechtmäßige Einwilligung muss freiwillig, eindeutig und informiert abgegeben werden. Eine freiwillige Einwilligung bedeutet, dass die Person immer einen Widerruf für die Zukunft abgeben kann, ohne das hierdurch Nachteile entstehen. Zudem unterliegen Franchisegeber sowie Franchisenehmer der Rechenschaftspflicht, sodass eine abgegebene Einwilligung immer nachweislich protokolliert werden sollte. 

Es ist durchaus möglich, dass eine Person eine Einwilligung für den Franchisegeber und den Franchisenehmer gleichzeitig abgibt. Wichtig hierbei ist, dass die Verantwortlichen beide transparent genannt werden. Diese Konstellation kommt gerade bei Franchise-Systemen oft vor, denn in der Regel werden Leistungen gemeinsam erbracht. 

Datenübermittlung durch berechtigtes Interesse

Das berechtigte Interesse ist die Rechtsgrundlage, welche empfehlenswert für eine Datenübermittlung zwischen Franchisegeber und Franchisenehmer einzusetzen ist. Das berechtigte Interesse ist eine Interessen-Abwägung zwischen den Interessen der Franchise-Partner und den Grundrechten der betroffenen Personen (Kunden, Lieferanten, Bewerber etc.). Es ist zudem geboten die Interessen-Abwägung argumentativ stark aufzubauen, da hiergegen natürlich ebenfalls widersprochen werden kann. Sie sollten unbedingt einen Datenschutzbeauftragten für eine rechtssichere Interessen-Abwägung heranziehen.

 

Auftragsverarbeitung Franchise

Oftmals werden Franchisegeber gegenüber den Franchisenehmern zum Auftragsverarbeiter, wenn Dienstleistung wie z.B. IT-Support geleistet werden. Eine Auftragsverarbeitung ist eine weisungsgebundene Verarbeitung vom Franchisegeber. Über die Mittel und Zwecke bei dieser Verarbeitung entscheidet dennoch der Franchisenehmer als Verantwortlicher. Folgende Leistungen im Franchise-System sind beispielsweise Auftragsverarbeitungen:

  1. IT-Support
  2. Lohnabrechnung
  3. Marketing-Leistungen (Gewinnspiele)
  4. Datenentsorgung

Damit die Auftragsverarbeitung datenschutzkonform abläuft, müssen beide Franchise-Parteien einen Auftragsverarbeitungs-Vertrag (AVV) abschließen. Ebenfalls muss sich der Franchisenehmer von den getroffenen technischen und organisatorischen Maßnahmen (TOM) beim Franchisegeber überzeugen . In der Regel wird in der Anlage zu einem Auftragsverarbeitungs-Vertrag eine Übersicht der TOMs vom Franchisegeber übersendet, sodass der Franchisenehmer vorab seinen Kontrollpflichten nachkommen kann. Ein Auftragsverarbeitungs-Vertrag sollte mindestens folgende Inhalte enthalten:

  1. Gegenstand & Dauer des Auftrags
  2. Umfang, Art & Zweck der Datennutzung und -verarbeitung
  3. Technische & organisatorische Maßnahmen
  4. Berechtigung, Löschung, Sperrung der personenbezogenen Daten
  5. Kontrollrechte des Franchisenehmers
  6. Berechtigung zu Unterauftragsverhältnissen
  7. Pflichten des Franchisegebers
  8. Meldepflicht bei Vertragsverstößen
  9. Umfang der Weisungsbefugnisse
  10. Haftung der Franchise-Parteien
 

Gemeinsame Verantwortlichkeit Franchise

Legen zwei oder mehr Franchise-Partner gemeinsam die Zwecke und die Mittel zur Verarbeitung fest, so sind diese als gemeinsam Verantwortliche zu beziffern. Hier ist einer der entscheidenden Unterschiede, dass keiner der Parteien weisungsgebunden Daten verarbeitet, sondern primär weisungsfrei verarbeitet.

Ähnlich wie bei der Auftragsverarbeitung legt der Franchisegeber und der Franchisenehmer in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt. Insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Art. 11 ff DSGVO nachkommt. Für Aufsichtsbehörden ist es ganz wichtig nachzuvollziehen, dass eine klare Zuteilung der Verantwortlichkeiten durch die Vereinbarung hervorgeht.

Datenschutzerklärung Franchisenehmer

Durch unsere Erfahrung in mehreren Franchise-Systemen als Datenschutzbeauftragte können wir festhalten, dass viele Franchisegeber eine Subdomain des Franchisenehmers betreiben. Der Franchisegeber gibt die Kontaktanfragen oder auch Bewerbungen an den Franchisenehmer weiter. Oftmals werden diese Webseiten aus SEO-technischen Aspekten betrieben. Genau dieser Sachverhalt bildet bereits eine gemeinsame Verantwortung ab.

 

Datenschutzbeauftragter Franchise

Die meisten Franchise-Unternehmen müssen einen Datenschutzbeauftragten bestellen, ganz unabhängig von der Tatsache, dass sowieso alle Unternehmen die datenschutzrechtlichen Anforderungen erfüllen müssen. Eine Unternehmensgruppe oder auch ein Franchise-System darf einen gemeinsamen Datenschutzbeauftragten ernennen gemäß Art. 37 Abs. 2 DSGVO.

Franchisegeber und Franchisenehmer sollten bei der Benennung darauf achten, dass ein Datenschutzbeauftragter mit geeigneter Qualifizierung bestellt wird. Vor allem die Besonderheiten aus dem Franchise-System sollten dem Datenschutzbeauftragten bekannt sein.

 

Folgen datenschutzrechtlicher Verstöße

Mittlerweile ist der Rahmen für potentielle Bußgelder vielen Unternehmen bekannt. Immer mehr Bußgelder werden auch in Deutschland zu genau diesen Datenschutz-Verstößen in Millionenhöhe verhängt. In diesem Zusammenhang kennen viele Franchisegeber die Bezifferung von möglichen Bußgeldern auf bis zu 20 Mio. Euro oder im Fall eines Unternehmens auf 4 Prozent des weltweit erzielten Jahresumsatzes des vorangegangen Jahres, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 5 DSGVO. Natürlich ist dieser Betrag eine Bemessungsgrundlage und es kommt auf die Schwere des Verstoßes an, dennoch ist ein Trend zu erkennen, dass die Bußgelder über 50.000€ liegen.

 

Franchise-Handbuch Datenschutz

Man kennt es aus den Anlagen eines Arbeitsvertrages. Arbeitgeber verpflichten Mitarbeiter auf gewisse Arbeitsweisen oder die Verschwiegenheit. Im Prinzip wird durch ein Franchise-Handbuch Ähnliches bewirkt. Ein Franchise-Handbuch ist die Bedienungsanleitung für jeden Franchisenehmer. In diesen wird dem Franchisenehmer erklärt, in welcher Weise er seinen Standort zu leiten hat. Sehr schlau ist es, wenn nun auch datenschutzrechtliche Aspekte berücksichtigt werden. Hiermit könnten sich Franchisenehmer und Franchisegeber Aufwände sparen und zudem eine sichere Rechtsgrundlage für gewisse Verarbeitungen schaffen. Es ist sogar denkbar, dass Bestandsteile aus der Auftragsverarbeitung oder der gemeinsamen Verantwortlichkeit hier eingearbeitet werden.

Vielleicht wird es in naher Zukunft eine Erweiterung in den Franchise-Handbüchern geben um auch datenschutzrechtliche Regelungen zwischen den Kooperationspartnern sicherzustellen. Der Franchisegeber kann nun nachweislich ein einheitliches Datenschutz-Niveau definieren. Ebenfalls können die Rechtsgrundlagen für eine Datenübermittlung näher bestimmt werden. 

 

Datenschutz-Checkliste für Franchise-Unternehmen

 

Verzeichnis der Verarbeitungstätigkeiten

Das Verzeichnis der Verarbeitungstätigkeiten muss erstellt werden.

Bestellung Datenschutzbeauftragter

Wenn Art. 37 DSGVO zutreffend ist, muss ein DSB bestellt werden.

Auftragsverarbeitungs-Vertrag

Zwischen Franchisenehmer, Franchisegeber und weiteren Dienstleistern muss eine AVV vereinbart werden.

Gemeinsame Verantwortlichkeit

Es ist zu prüfen, ob eine gemeinsame Verantwortlichkeit vorliegt.

Franchise-Handbuch

Das Franchise-Handbuch sollte um den Datenschutz erweitert werden.

Schulung der Mitarbeiter

Schulung aller Mitarbeiter im Datenschutz.

Datenschutz-Folgenabschätzung

Gerade bei Videoüberwachung der Franchisenehmer ist die DSFA notwendig.

Autor

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN