Datenschutz im Franchise-System

Artikel von Dr. Datenschutz·29. Juni 2018

Franchising ist in seit vielen Jahren ein gängiges Geschäftsmodel für viele Dienstleistungen. Typischerweise kennt man es aus dem Fast-Food-Bereich. Vorliegend soll erörtert werden, wie sich eine Übertragung von personenbezogenen Daten nach der DSGVO im Bereich Franchising datenschutzkonform gestalten lässt und wie der Franchise-Geber Datenschutz im Franchise-System gewährleisten kann.

Der Inhalt im Überblick

Das Konzept des Franchising
Datenschutzrechtlicher Aspekte im Franchising
Übertragung von Daten zwischen den Franchise-Partnern
Datenschutzvorschriften in Franchise-Handbüchern

Das Konzept des Franchising

Unter Franchise versteht man eine Kooperation zweier selbständiger Unternehmen. Zwischen den Parteien wird ein Franchise-Vertrag abgeschlossen. Hierbei räumt der Franchise-Geber dem Franchise-Nehmer gegen Zahlung einer Gebühr bestimmte Rechte ein. Aufgrund des Franchise-Vertrags ist es dem Franchise-Nehmer erlaubt bestimmte Waren zu verkaufen oder Dienstleistungen des Franchise-Gebers unter dessen Markennahmen zu vertreiben oder anzubieten. Hierbei werden dem Franchise-Nehmer vom Franchise-Geber detaillierte Vorgaben an die Hand gegeben, wie das Franchising durchzuführen ist.

Datenschutzrechtlicher Aspekte im Franchising

Der Franchise-Geber ist auf einen Informationsaustausch mit dem Franchise-Nehmer angewiesen, um zu kontrollieren, ob sein Franchise-System erfolgreich ist oder an welcher Stelle es optimiert werden muss. Der Datenschutz ist immer dann betroffen, wenn dieser Datenaustausch personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO betrifft. Ein personenbezogenes Datum liegt immer dann vor, wenn von einem Datum auf eine bestimmte natürliche Person geschlossen werden kann. Im Franchise-System könnte dies z.B.

Informationen über Kunden
über Mitarbeiter des Franchise-Nehmers oder
den Franchise-Nehmer selbst sein.

Übertragung von Daten zwischen den Franchise-Partnern

Eine Übertragung von personenbezogenen Daten zwischen Franchise-Geber und Franchise-Nehmer kann gestützt werden auf:

die Einwilligung nach Art. 6 Abs. 1, S. 1, lit. a) DSGVO, Art. 7 DSGVO
Verarbeitung aufgrund eines berechtigten Interesses Art. 6 Abs. 1, S. 1, lit. f)
der Abschluss eines AVV nach Art. 28 DSGVO

Aufgrund einer Einwilligung

Eine rechtmäßige Einwilligung des Betroffenen setzt voraus, dass diese freiwillig, eindeutig und informiert ist. Des Weiteren hat der Betroffene das Recht seine Einwilligung jederzeit zu widerrufen. Auch muss der Verantwortliche nachweisen, dass der Betroffene in die Verarbeitung eingewilligt hat.

Der Betroffene müsste daher darüber informiert werden, dass er eine Leistung eines Franchise-Unternehmens in Anspruch nimmt und das neben dem Franchise-Nehmer auch der Franchise-Geber Kenntnis über seine Daten erlangt. Die Tatsache, dass der Betroffene seine Einwilligung verweigern oder widerrufen kann, macht aus Einwilligung eine unpraktische Rechtsgrundlage.

Aufgrund eines berechtigten Interesses

Eine Übermittlung von Daten zwischen Franchise-Geber und Franchise-Nehmer könnte über Art. 6 Abs. 1, S. 1, lit. f) DSGVO berechtigt sein. Hiernach ist eine Verarbeitung zur Wahrung eines berechtigten Interesses des Verantwortliche oder eines Dritten gerechtfertigt, wenn dieses erforderlich ist und nicht Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Ein berechtigtes Interesse kann in einem rechtlichen als auch wirtschaftlichen Interesse liegen. Des Weiteren muss eine Interessenabwägung zwischen den Franchise-Partnern auf der einen Seite und den Betroffenen auf der anderen Seite durchgeführt werden. Wenn der Franchise-Vertrag die Übermittlung von Kundendaten zur Durchführung einer Marktanalyse beim Franchise-Geber vorsieht, kann dies die Abwägung zugunsten der Franchise-Partner beeinflussen. Jedoch müssen bei der Abwägung die datenschutzrechtlichen Grundsätze wie z.B. das Gebot der Datenminimierung beachtet werden. Hierbei kann man zum Ergebnis kommen, dass auch eine Übertragung von anonymisierten Daten für eine Marktanalyse ausreichend sein kann. Falls Anonymisierungsmaßnahmen nicht vorgenommen werden können, besteht für die Franchise-Partner die Gefahr, dass die Interessen der Betroffenen eine Datenübertragung überwiegen. Daher stellt auch der Art. 6 Abs. 1, S. 1, lit. f) DSGVO keine vollkommen verlässliche Rechtsgrundlage dar.

Aufgrund einer Auftragsverarbeitung

Als Rechtsgrundlage für die Übertragung von personenbezogenen Daten könnte eine Auftragsverarbeitung nach Art. 28 DSGVO zwischen Franchise-Nehmer und Franchise-Geber nach Art. 28 DSGVO herangezogen werden. Des Weitern müsste der Franchise-Nehmer bei der Verarbeitung von personenbezogener Daten weisungsgebunden vom Franchise-Geber handeln. Es ist vorstellbar, dass der Franchise-Geber als Auftragsverarbeiter des Franchise-Nehmers auftritt, wenn es um die Bereitstellung von IT-Systemen geht. Der Franchise-Geber wäre dann vergleichbar mit einem externen IT-Dienstleister. So könnte eine Übertragung von personenbezogenen Daten gelingen, da der Franchise-Geber als Auftragsverarbeiter nicht als Dritter gilt. Eine eigene Nutzung der erlangten Daten durch den Franchise-Geber ist in der Rolle als Auftragsverarbeiter aber nicht möglich.

Datenschutzvorschriften in Franchise-Handbüchern

Ein fester Bestandteil von Franchise-Systemen sind Franchise-Handbücher. In diesen wird dem Franchise-Nehmer genau erklärt, in welcher Weise er seine Filiale zu leiten hat, wenn er nicht gegen den Franchise-Vertrag verstoßen will. Es ist denkbar, dass in Zukunft auch datenschutzrechtliche Regelungen des Franchise-Gebers in diese Handbücher Einzug finden könnten. Die Handbücher könnten dann datenschutzrechtlich Prozesse vorgeben. Denkbar wäre dies z.B. für die

die Informationspflichten
das Auskunftsersuchen
die Löschregelungen
die Meldung von Datenschutzverstößen
die Einführung eines einheitlichen Datenschutzmanagementsystems beim Franchise-Nehmer

Hierdurch kann der Franchise-Geber einen einheitlichen Datenschutzstandard festlegen.

Es ist daher festzuhalten, dass die Datenübertragung zwischen den Franchise-Partner nach Art. 6 Abs. 1, S. 1, lit f) DSGVO oder aufgrund einer Auftragsverarbeitung gelingen kann und dass der Franchise-Geber durch das Franchise-Handbuch ein Werkzeug zum Aufbau eines einheitlichen Datenschutzstandards zur Verfügung steht.

- Auftragsdatenverarbeitung
  Top 5 DSGVO-Bußgelder im März 2024News·3. April 2024
- Die Nutzung von WhatsApp im BewerbungsverfahrenFachbeitrag·14. März 2024
- Amazon Web Services (AWS) datenschutzkonform nutzenFachbeitrag·5. März 2024
Mehr zum Thema
- Datenschutzniveau
  Wie wichtig ist Amazon der Datenschutz?Fachbeitrag·27. Januar 2022
- Veraltete Software: Nicht nur gefährlich, sondern auch teuerFachbeitrag·5. August 2021
- 2 Jahre DSGVO – Zwischen Exportschlager und InnovationsbremseFachbeitrag·26. Mai 2020
Mehr zum Thema
- Datenübermittlung
  EU-Kommission überprüft AngemessenheitsbeschlüsseNews·19. März 2024
- Datenschutzrecht bei UnternehmenstransaktionenFachbeitrag·11. September 2023
- SG Hamburg: Einwilligung in unverschlüsselte E-Mails möglichUrteil·31. August 2023
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.

Grundsätzlich danke, aber ich fürchte, der letzte Absatz ist beim Redigieren vergessen worden:
– Das Handbuch erläutert dem Franchise-Nehmer (nicht -Geber) die Führung.
– Es ist denkbar, DASS …
. das „für“ zu Beginn des letzten Bullet Points ist zu viel.

Markus Steinkamp am 30. Juni 2018, 14:24 Uhr

Antworten
- Besten Dank, haben wir angepasst.
  
  Dr. Datenschutz am 2. Juli 2018, 11:25 Uhr
  
  Antworten