Was sollten Sie wissen und beachten?
Die Datenschutzgrundverordnung (DSGVO) gilt auch für Franchise Unternehmen und stellt datenschutzspezifische Anforderungen, die auch von Franchisegeber : in und –nehmer : in berücksichtigt werden sollten. Trotz das sich Parteien eines Franchise Unternehmens, Franchisegeber : in und Franchisenehmer : in, grundsätzlich als unabhängige Unternehmen gegenüberstehen, sollten der Datenschutz und dessen Herausforderungen von allen Beteiligten gemeinsam bewältigt werden.
Was ist Franchising? Was sind Franchise Unternehmen?
Das Geschäftsmodell Franchising besteht aus der Kooperation zweier selbstständiger Unternehmen unter Abschluss eines Franchisevertrages. Dadurch erhält der : die Franchisenehmer : in unter Zahlung eines Entgelts bestimmte Rechte. Dies umfasst z.B. das Vertriebsrecht bestimmter Dienstleistungen und Waren unter Verwendung des Markennamens, Nutzungsrechte, Know-How etc.. Der : die Franchisegeber : in zielt mit dieser Verbindung auf schnelleres Wachstum und Absatzförderung ab, insbesondere durch Marketing und Konzeptoptimierung. Marketingmaßnahmen und Erfolgsevaluierung im Franchise Unternehmen können jedoch nur auf Grundlage von Informationen und Daten erfolgen. Daher hat der : die Franchisegeber : in ein großes Interesse daran, möglichst viele Informationen und Daten über die Umsetzung des Franchisekonzepts durch den : die Franchisenehmer : in zu erhalten.
Datentransfer in Franchise Unternehmen
Findet ein Informations- bzw. Datenaustausch zwischen Franchisegeber : in und Franchisenehmer : in statt, fällt dieser in den Bereich der Datenschutzgrundverordnung (DSGVO), sobald personenbezogene Daten verarbeitet werden. Personenbezogene Daten sind gemäß des Art. 4 Nr. 2 DSGVO alle direkten (z.B. Name) oder indirekten (z.B. Kontonummer) Informationen über eine natürliche Person. Datenschutzrelevant kann daher die Übermittlung von Informationen über Kund : innen des : der Franchisenehmer : in sein, sowie alle Angaben über den : die Franchisnehmer : in selbst und dessen Mitarbeiter : innen. Sodann müssen im Franchise Unternehmen zur Einhaltung des Datenschutz beide Seiten darauf achten, dass eine Datenverarbeitung nur auf einer Rechtsgrundlage erfolgt. Es sei denn, es handelt sich um aggregierte oder anonymisierte Daten (Erwägungsgrund 26 DSGVO). Dabei sind für den Datenschutz in Franchise Unternehmen, insbesondere die Einwilligung gem. Art. 6 Abs. 1 a) DSGVO in Verbindung mit Art. 7 DSGVO oder das berechtigte Interesse gem. Art. 6 Abs. 1 f) DSGVO typische Rechtsgrundlagen.
Rechtsgrundlage: Einwilligung der Betroffenen
Bei einer Einwilligung nach Art. 7 DSGVO ist es erforderlich, dass die betroffene Person diese informiert und freiwillig abgibt. Also der : die Betroffene muss die Information erhalten, dass Franchisegeber : in – und nehmer : in Zugriff auf die Daten haben. Für die Voraussetzung der Freiwilligkeit muss der Person immer ein Widerruf für die Zukunft möglich sein, ohne das Nachteile entstehen. Dies dürfte nicht im Interesse der Datenverarbeitenden stehen. Zudem ist die Rechtsgrundlage der Einwilligung mit dem Aufwand verbunden, dass sie protokolliert werden muss, um so der Rechenschaftspflicht nachkommen zu können.
Rechtsgrundlage: Berechtigtes Interesse
Eine Datenübermittlung könnte sich auch mittels des berechtigten Interesses gem. Art. 6 Abs. 1, S. 1 f) DSVGO rechtfertigen. Dafür ist eine Interessenabwägung vorzunehmen zwischen den Interessen der Verarbeitenden und den Grundrechten, sowie Grundfreiheiten der betroffenen Person (Kund : innen, Lieferant : innen, Beschäftigte etc.). Ein berechtigtes Interesse kann in einem rechtlichen als auch wirtschaftlichen Interesse liegen. Doch auch diesem kann widersprochen werden. Zudem sind bei der Abwägung datenschutzrechtlichen Grundsätze wie z.B. das Gebot der Datenminimierung zu beachten. Hierbei kann man zu dem Ergebnis kommen, dass auch eine Übertragung von anonymisierten Daten für eine Marktanalyse ausreichend sein kann und die Interessen der Betroffenen überwiegen. Daher ist eine starke und rechtssichere Argumentation wichtig. Sie sollten gegebenenfalls eine : n Datenschutzbeauftragte : n zu Rate ziehen.
Rechtsgrundlage: Vertrag zur Auftragsverarbeitung
Als Rechtsgrundlage für die Datenübermittlung personenbezogener Daten kommt außerdem der Abschluss eines Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO in Betracht. Ein AVV ist immer dann abzuschließen, wenn eine Verarbeitung im Auftrag des : der Verantwortlichen erfolgt. Der : die Auftragnehmer : in agiert dabei grundsätzlich auf Weisung des : der Verantwortlichen und ist folglich weisungsabhängig. So könnte der : die Franchisegeber : in durch die Bereitstellung von IT-Systemen als ein : e Auftragsverarbeiter : in gelten und mithin nicht als Dritte : r. Eine eigene Nutzung der erlangten Daten durch den : die Franchisegeber : in ist in der Rolle als Auftragsverarbeiter : in aber nicht möglich.
Gemeinsame Verantwortlichkeit der Franchisepartner : innen
Eine Datenverarbeitung kann auch als gemeinsame Verantwortliche erfolgen. Das heißt, keiner der Franchise- Parteien verarbeitet Daten weisungsgebunden, sondern weisungsfrei. Dafür müssen die Zwecke und die Mittel zur Verarbeitung gemeinsam festgelegt. Zudem muss in einer Vereinbarung transparent gemacht werden, wer welche Verpflichtungen der DSGVO übernimmt. Insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß des Art. 11 ff DSGVO nachkommt. Für Aufsichtsbehörden ist es wichtig nachzuvollziehen, dass eine klare Zuteilung der Verantwortlichkeiten durch die Vereinbarung hervorgeht.
Folgen bei Datenschutzverstößen als Franchise Unternehmen
Grundsätzlich können Datenschutzverstöße mit bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Umsatzes des verantwortlichen Unternehmens geahndet werden. Jedoch werden die Parteien im Franchisesystem überwiegend nicht als wirtschaftliche Einheit verstanden. Folglich erfolgt eine getrennte Bußgeldbemessung. Zudem ist davon auszugehen, dass der : die Franchisegeber : in regelmäßig keine Haftung für Datenschutzverstöße bei der : dem Franchisenehmer : in übernimmt. Dennoch sollte Datenschutzkonformität auch im Interesse des Franchisegebers : in stehen, da Datenschutzverstöße zu einem Reputationsverlust des gesamten Franchisesystem führen können. Denn häufig werden Franchise Unternehmen in der Öffentlichkeit als Einheit wahrgenommen.
Bestellung einer gemeinsamen Datenschutzbeauftragen
Auch Franchise Unternehmen sind zur Einhaltung des Datenschutz bei mehr als 10 Mitarbeitenden verpflichteten eine : e Datenschutzbeauftragte : n zu bestellen. Dies darf gemäß Art. 37 Abs. 2 DSGVO auch gemeinsam erfolgen. Dabei sollten dem : der Datenschutzbeauftrage : n allerdings die Besonderheiten aus dem Franchisesystem bekannt sein.
Datenschutz im Franchise – Handbuch
Zum Franchisevertrag gehört in der Regel auch das Franchise-Handbuch. Dieses beschreibt detaillierte Vorgaben, wie der : die Franchisenehmer : in das Franchising durchzuführen hat. Idealerweise sollten darin auch datenschutzrechtliche Regelungen festgehalten werden. Nur so kann einheitliches Datenschutzniveau gewährleistet werden. Ebenfalls sollten dort die Rechtsgrundlagen für eine Datenübermittlung näher bestimmt werden. Eine enge Abstimmung und Zusammenarbeit zwischen Franchisegeber : in und Franchisenehmer : in und ihren Datenschutzbeauftragten ist daher zu empfehlen. Dadurch kann das Risiko einer Geldbuße minimiert werden.
Checkliste für ein datenschutzkonformes Franchise Unternehmen
- Erstellen eines Verzeichnis der Verarbeitungstätigkeiten (VVT)
- Bestellung einer Datenschutzbeauftragten im Franchise Unternehmen,
wenn Art. 37 DSGVO einschlägig ist.
- Auftragsverarbeitungsvertrag
Zwischen Franchisenehmer : in, Franchisegeber : in und weiteren Dienstleister : innen sollte eine AVV vereinbart werden.
- Prüfen, ob gemeinsame Verantwortlichkeit im Franchise Unternehmen vorliegt
- Franchise-Handbuch
Das Franchise-Handbuch der Franchise Unternehmen sollte um den Datenschutz erweitert werden.
- Schulung aller Mitarbeiter : innen im Franchise Unternehmen
- Datenschutz-Folgenabschätzung, d.h. prüfen, welches Straf- und Abmahnrisiko bei einer Datenerhebung (z.B. Videoüberwachung der Franchisenehmer : in) besteht.