Jedes Unternehmen, das personenbezogene Daten verarbeitet, unterliegt der Datenschutz-Grundverordnung (DSGVO). Daher stellt sich im Kontext von Franchise-Systemen die Frage, welche Besonderheiten bei der Datenverarbeitung – insbesondere im Hinblick auf die Datenübermittlung – bestehen. Ziel dieses Blogbeitrags ist es, das Franchising aus datenschutzrechtlicher Sicht zu durchleuchten.
Was ist Franchising?
Unter Franchising ist eine Kooperation zweier selbstständiger Unternehmen zu verstehen. Im Rahmen des Geschäftsmodells werden dem Franchise-Nehmer vom Franchise-Geber unter Zahlung eines Entgelts bestimmte Rechte eingeräumt, insbesondere das Vertriebsrecht bestimmter Dienstleistungen und Waren unter Verwendung des Markennamens und Nutzungsrechte sowie die Möglichkeit der Profitierung vom Know-how. Der Franchise-Geber gibt dem Franchise-Nehmer detaillierte Angaben dazu, wie das Geschäft durchzuführen ist.
Datenaustausch zwischen den Vertragsparteien
Ein regelmäßiger Datenaustausch im Franchise-System ist für die Weiterentwicklung des Geschäftsmodells von großer Bedeutung. Einerseits benötigt der Franchise-Nehmer zahlreiche Informationen zum Franchise-Konzept um wirtschaftlichen Erfolg zu erzielen. Andererseits ist das Feedback des Franchise-Nehmers für den Franchise-Geber zur Optimierung des Geschäftsmodells sowie dessen kontinuierliches Wachstum notwendig. Darüber hinaus kann ein Datenaustausch im Rahmen der Nutzung gemeinsamer Systeme (z.B. CRM, IT-Systeme) vorgesehen sein.
Sobald die auszutauschenden Informationen personenbezogene Daten beinhalten, finden datenschutzrechtliche Vorschriften Anwendung. Zu betroffenen Personen können insbesondere Beschäftigte und Kunden des Franchise-Nehmers gehören. Doch auf welcher Rechtsgrundlage können die personenbezogenen Daten verarbeitet werden?
Einwilligung des Betroffenen als Rechtsgrundlage der Datenverarbeitung
Jede Datenverarbeitung und jeder Datentransfer benötigt eine Rechtsgrundlage. Fraglich ist, ob die Datenübermittlung aufgrund einer Einwilligung des Betroffenen möglich und zur Erreichung des verfolgten Zwecks der Franchise-Parteien zielführend ist.
Eine Einwilligung benötigt gem. Art. 7 DSGVO zu ihrer Wirksamkeit, dass die betroffene Person freiwillig ihre Zustimmung in die Datenverarbeitung abgibt, nachdem sie ausführlich über deren Umstände informiert wurde. Zudem steht dem Betroffenen stets das Recht zu, die erteilte Einwilligungserklärung zu widerrufen.
Die Franchise-Parteien sind auf den Datenaustausch zur erfolgreichen Ausübung ihrer Tätigkeit angewiesen. Die Möglichkeit der Ablehnung der Einwilligung bzw. das Widerrufsrecht haben zur Folge, dass eine Datenverarbeitung auf dieser Rechtsgrundlage aus Sicht der Franchise-Parteien unpraktikabel ist.
Zudem können sich in der Praxis Probleme bei der Aufklärung der Kunden über die vorgenommenen Datenverarbeitungen ergeben. Der Hintergrund ist, dass Betroffene häufig zwischen den Franchise-Partnern nicht differenzieren können bzw. das Franchise-System als Einheit sehen.
Da die Beweislast für die Einholung einer gültigen Einwilligungserklärung den Verantwortlichen obliegt, ist von der Verarbeitung auf dieser Rechtsgrundlage abzuraten.
Vertrag zur Auftragsverarbeitung
Die Datenverarbeitung könnte auch auf einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO gestützt werden. In diesem Fall wäre der Auftragsverarbeiter verpflichtet, ausschließlich nach Weisung des Verantwortlichen zu handeln.
In Rahmen des Franchisings könnte sowohl der Franchise-Geber (beispielsweise bei der Bereitstellung eines IT-Systems), als auch der Franchise-Nehmer (bei der Mitteilung von Anweisungen zur Durchführung von Marketingmaßnahmen) – abhängig von der jeweiligen Datenverarbeitung – die Position des Auftraggebers einnehmen. Da der Auftragnehmer stets streng weisungsgebunden agiert, darf er nie über die im Rahmen der Auftragsverarbeitung erlangten Daten frei verfügen. Die Verantwortung für eine datenschutzkonforme Verarbeitung der Daten verbleibt somit beim Auftraggeber. Aus diesem Grund kann der Verantwortliche – um eine ordnungsgemäße Erfüllung des Vertrages sicherzustellen – dies durch entsprechende Kontrollmaßnahmen prüfen.
Berechtigtes Interesse
Als weitere Rechtsgrundlage der Datenverarbeitung kommt Art. 6 Abs. 1 lit. f DSGVO in Betracht. Hierbei ist eine Abwägung der rechtlichen und wirtschaftlichen Interessen der Verantwortlichen oder eines Dritten einerseits und der Interessen des Betroffenen anderseits notwendig. Insbesondere ist zu berücksichtigen, ob der verfolgte Zweck auch mit anderen Maßnahmen, die weniger in die Rechte des Betroffenen eingreifen, erreicht werden könnte. Sollte zum Beispiel zur Entwicklung einer Marketingstrategie eine Marktanalyse ausreichen, die nur auf anonymen Daten beruht, ist der Personenbezug vor der Übermittlung der Daten zu entfernen.
Somit stellt Art. 6 Abs. 1 lit. f DSGVO keine Rechtsgrundlage dar, die stets ohne Weiteres für die Datenübermittlung zwischen den Franchise-Parteien anwendbar ist. Eine Abwägung der Interessen ist vor jedem Datentransfer vorzunehmen.
Datenschutz in Franchise-Handbüchern
Die Übermittlung des „Know-how“ des Franchise-Gebers an den Franchise-Nehmer erfolgt in der Regel mithilfe sogenannter „Franchise-Handbücher“. Diese beinhalten Anweisungen zur ordnungsgemäßen Führung des Franchisebetriebs, stellen aber gleichzeitig auch eine praktische Hilfe u.a. bei der Buch- und Personalführung dar. Um Datenschutzverletzungen und dadurch entstehende Schäden zu vermeiden, wäre es beispielsweise möglich, in den Franchise-Handbüchern Hinweise zur Umsetzung datenschutzrechtlicher Pflichten aufzulisten sowie die Mindestregelungen zu den technischen und organisatorischen Maßnahmen zu regeln.
Fazit
Der Datenaustausch im Franchise-System ist für den wirtschaftlichen Erfolg des Geschäftsmodells erforderlich. Bei der Datenübermittlung müssen jedoch stets die Datenschutzgrundsätze beachtet werden. Zwar besteht zwischen den Franchise-Parteien keine wirtschaftliche Einheit, weswegen nur die verantwortliche Stelle für ihre Datenschutzverstöße eine Verantwortung trägt, jedoch kann eine Datenpanne bei einem einzigen Franchise-Nehmer zum Reputationsverlust und infolgedessen zu wirtschaftlichen Schäden des gesamten Franchise-Systems führen. Aus diesem Grund ist es zielführend, datenschutzrechtliche Vorgaben einheitlich für das gesamte Franchise-System zu regeln.