Mit der Datenschutz-Grundverordnung (DS-GVO) kamen einige neue datenschutzrechtliche Anforderungen, hinzu, die unter anderem auch Franchisegeber und –nehmer berücksichtigten sollten.
Was versteht man unter Franchise?
Franchising hat in der letzten Zeit immer mehr an Bedeutung gewonnen. Hierbei wird mit einem Franchise-Vertrag ein Dauerschuldverhältnis geschlossen, bei dem der sog. Franchisenehmer dem Franchisegeber ein Entgelt in Form von einem bestimmten Prozentsatz seines Erlöses entrichtet. Diese Rechte erlauben es dem Franchisenehmer bestimmte Dienstleistungen und Waren unter Verwendung von Namen, Ausstattungen, Warenzeichen, sonstiger Schutzrechte sowie technischer und gewerblicher Erfahrungen des Franchisegebers unter Beachtung seiner organisatorischen Vorgaben zu vertreiben. Der Franchisegeber unterstützt dabei den Franchisenehmer mit Schulungen, Rat und leistet diesem Beistand. Ebenso ist dieser berechtigt, den Geschäftsbetrieb zu kontrollieren.
Datentransfer zwischen Franchisegeber und Franchisenehmer
Regelmäßig wird es zwischen Franchisenehmer und –geber zum Datenaustausch kommen, da es gerade im Interesse des Franchisegebers ist, möglichst viele Daten vom Franchisenehmer zu erhalten. Dies ermöglicht es dem Franchisegeber vorrangig eine Kontrolle durchzuführen und zu prüfen, ob eine ordnungsgemäße Umsetzung des Franchisesystems durch den Franchisenehmer gewährleistet wird. Daneben kann der Franchisegeber mit der Datenauswertung Optimierungspunkte innerhalb des Franchisesystems feststellen und vornehmen.
Dieser Vorgang der Datenübertragung zwischen Franchisegeber und –nehmer fällt immer dann in den Bereich der Datenschutz-Grundverordnung, wenn sog. personenbezogene Daten verarbeitet werden. Personenbezogene Daten sind gemäß des Art. 4 Nr. 2 DS-GVO alle direkten (z.B. Name) oder indirekten (z.B. Kontonummer) Informationen über eine natürliche Person. Datenschutzrechtliche Relevanz erlangt eine Datenübertragung innerhalb eines Franchisesystems insbesondere dann, wenn eine Übermittlung von Kunden- bzw. Verbraucherdaten stattfindet. Eine Übertragung personenbezogener Daten ist jedoch nach Art. 6 DS-GVO immer dann zulässig, wenn der Betroffene dem zustimmt oder eine rechtliche Grundlage dies gestattet (sog. Verbot mit Erlaubnisvorbehalt). Sind die Daten in einer bestimmten Form in Gruppen zusammengefasst oder anonymisiert, wodurch ein konkreter Bezug zu einer Person nicht bzw. nicht mehr hergestellt werden kann, fallen diese nach Erwägungsgrund 26 nicht unter den Schutz der DS-GVO.
Einwilligungserfordernis von Betroffenen
Wie bereits erwähnt, gilt der Grundsatz des Verbots mit Erlaubnisvorbehalt. Folglich müsste der Betroffene der Datenweitergabe zustimmen, sofern keine rechtliche Grundlage dies erlauben würde. Eine Zustimmung ist jedoch erst dann rechtwirksam, wenn diese nach Art. 7 DS-GVO insbesondere informiert und freiwillig abgegeben wurde.
Demnach ist es erforderlich, den Betroffenen darüber aufzuklären, dass das Franchisesystem mit unterschiedlichen Beteiligten agiert und dessen Daten nicht nur dem Franchisenehmer zugänglich sind, sondern auch der Franchisegeber darauf Zugriff erhalten kann. Hierbei ergibt sich die Problematik der freiwilligen Einwilligung des Betroffenen. Diesem müsste es demnach möglich sein die Datenübermittlung sowie den Zugriff auf die Daten ablehnen und mit Einwilligung jederzeit widerrufen zu können, was nicht im Interesse der Franchiseparteien liegen dürfte.
Eine mögliche Argumentation wäre, dass viele Kunden ein Franchiseunternehmen meist als Einheit wahrnehmen und der Rückschluss getroffen werden könnte, dass die Abgabe der Einwilligung der Datenverarbeitung bei dem Franchisenehmer auch für den Franchisegeber gilt. Ein solcher Umkehrschluss ist jedoch abzulehnen, gerade weil die Kunden meist nicht zwischen den unterschiedlichen Beteiligten eines Franchisesystems unterscheiden und demnach nicht von einer informierten Einwilligung gesprochen werden kann. Weiterhin bedarf es nach den rechtlichen Vorrausetzungen (Art. 4 Nr. 11 DS-GVO) einer aktiven Bestätigung der Einwilligung durch den Betroffenen, die nachweisbar sein sollte. Eine mutmaßliche Einwilligung genügt dem grundsätzlich nicht.
Ebenso problematisch wird es, wenn der Franchisegeber eine Einwilligung des Franchisenehmers als zwingende Vorrausetzung für den Vertragsschluss vorsieht. Hierbei können ggf. Konflikte mit dem Kopplungsverbot gem. Art. 7 Abs. 4 DS-GVO entstehen.
Um der Einwilligungsproblematik entgegen zu wirken, kann es in bestimmten Konstellationen geeignet sein, bestimmte Verfahren einzusetzen, um den datenschutzrechtlichen Bestimmungen zu genügen. Gängig ist mitunter der Einsatz sog. einheitlicher Kundenkarten, welche für das gesamte Franchisesystem gelten. Damit kann der Kunde sich entschieden, ob dieser die Weiterleitung seiner Daten wünscht oder nicht. Bei diesem Prozess sollte der Datenschutzbeauftragte eingebunden werden, um die Rechtmäßigkeit der Durchführung gewährleisten zu können.
Rechtfertigung des Datentransfers durch einen Vertrag zur Auftragsverarbeitung
Der Abschluss eines Auftragsverarbeitungs-Vertrags (kurz AVV) kann die Übertragung von personenbezogenen Daten rechtfertigen. Ein AVV wird nach Art. 28 DS-GVO immer dann verlangt, wenn eine Verarbeitung im Auftrag des Verantwortlichen erfolgt. Der Auftragnehmer agiert dabei grundsätzlich auf Weisung des Verantwortlichen und ist folglich weisungsabhängig. Eine Auftragsverarbeitung in einem Franchisesystem ist demnach nur anzunehmen, wenn einer der darin agierenden Parteien als Dienstleister fungiert, welcher nur auf Weisung des Verantwortlichen seine Tätigkeit ausführt. Dies könnte beispielsweise dann gegeben sein, wenn der Franchisegeber dem Franchisenehmer eigene IT-Dienstleistungen zur Verfügung stellt und die übertragenen Daten nicht im eigenen Interesse verarbeitet werden.
Rechtfertigung durch berechtigtes Interesse
Eine Einwilligung des Betroffenen wäre ebenfalls nicht notwendig, wenn der Verantwortliche ein berechtigtes Interesse hätte, die eine Datenübertragung oder Datenverarbeitung ohne Zustimmung des Betroffenen erlauben würde (Art. 6 Abs. 1 lit. f DS-GVO). Hierbei wäre darauf zu achten, dass die Grundrechte und Grundfreiheiten der betroffenen Person nicht mehr wiegen, als das vorgebrachte berechtigte Interesse. Es müsste demnach eine Interessensabwägung stattfinden. Nach Erwägungsgrund 47 können rechtliche, aber auch wirtschaftliche Gründe (z.B. Direktwerbung) ein berechtigtes Interesse begründen.
Innerhalb des Franchisesystems wird häufig vorgebracht, mit den Betroffenendaten eine Marktanalyse vornehmen zu wollen. Eine Marktanalyse kann ein berechtigtes Interesse begründen, jedoch sind die Interessen der Betroffenen mit denen des Franchiseunternehmens gegenüberzustellen. Es stellt sich demnach die Frage, ob bei einer Marktanalyse eine vollumfängliche Aufführung aller personenbezogenen Daten notwendig ist, um das beabsichtigte Ziel zu erfüllen. Hierbei sollte im Hinterkopf immer der Grundsatz der Datenminimierung behalten werden. Dieser besagt, dass nur so viele personenbezogene Daten genutzt werden sollten, wie für die Durchführung der Aufgabe zwingend notwendig ist. Bei einer Marktanalyse wird es regelmäßig nicht notwendig sein, sämtliche Daten der Betroffenen einsehen zu können, da eine Marktanalyse auch mit anonymisierten Daten erfolgen kann. Das Franchiseunternehmen wird daher dazu verpflichtet sein, sofern eine Marktanalyse angestrebt wird, geeignete technische Maßnahmen zu ergreifen, um den Personenbezug der verwendeten Daten aufzulösen.
Datenschutzorientierung für den Franchisenehmer
Ein Franchise-Handbuch wird in der Regel vom Franchisegeber an den Franchisenehmer ausgehändigt. Das Handbuch dient dabei als Orientierungsgrundlage für die ordnungsgemäße Durchführung des Franchisebetriebs. Aufgrund der steigenden Relevanz des Datenschutzes wäre es ratsam, relevante datenschutzrechtliche Kriterien einzubinden. Dabei sollten die sehr allgemeinen Bestimmungen der DS-GVO für das jeweilige Franchisesystem konkretisiert werden, um dem Franchisenehmer als Orientierungshilfe dienen zu können. Diesem können unter anderem Hilfestellungen bei dem Umgang mit Beschäftigtendaten, den Betroffenenrechten, den Informationspflichten nach Art. 13 und 14 DS-GVO sowie der Meldung von Datenschutzverstößen nähergebracht werden. Unterstützung bei der Umsetzung bietet Ihnen mit Sicherheit Ihr Datenschutzbeauftragter.
Bestellung eines gemeinsamen Datenschutzbeauftragten
Ein weiterer Problembereich bei Franchisesystemen stellt oftmals die Bestellung eines Datenschutzbeauftragten dar, welcher gleichzeitig für Franchisegeber und –nehmer zuständig ist. Der Art. 38 Abs. 6 DS-GVO besagt zwar, dass eine Bestellung eines Datenschutzbeauftragten für mehrere Stellen nicht ausgeschlossen ist, jedoch sollte dies nicht zu einem Interessenskonflikt führen. Aufgrund der stärkeren Unabhängigkeit zwischen Franchisegeber und Franchisenehmer kann es oftmals dazu führen, dass die unterschiedlichen Interessenpositionen den Datenschutzbeauftragten in seinem Handeln beeinflussen. Daher sollte die Bestellung eines einzigen Datenschutzbeauftragten für ein Franchisesystem zunächst näher geprüft werden.
Folgen datenschutzrechtlicher Verstöße
Erfolgen Handlungen, die die datenschutzrechtlichen Bestimmungen verletzten, so könnten unter anderem Bußgelder verhängt werden, die sich auf 20 Millionen oder vier Prozent des weltweiten Jahresumsatzes aus dem Vorjahr belaufen können – je nachdem welcher Betrag höher ist -, wobei bei Konzernen der Vorjahresumsatz des Konzerns als Grundlage genommen wird.
Ein Franchisesystem dürfte hingegen nicht als wirtschaftliche Einheit betrachtet werden, da beide Parteien grundsätzlich eigenverantwortlich agieren. Folglich wird im Regelfall jede Partei lediglich für ihre Fehlhandlung in Verantwortung gezogen. Da jedoch in der breiten Öffentlichkeit ein Franchiseunternehmen als Einheit wahrgenommen wird, dürfte der Imageschaden grundsätzlich nicht nur den Fehlhandelnden treffen, sondern sich auch auf die gesamten Teilnehmer des Franchisesystems erstrecken.