Franchising ist in seit vielen Jahren ein gängiges Geschäftsmodel für viele Dienstleistungen. Typischerweise kennt man es aus dem Fast-Food-Bereich. Vorliegend soll erörtert werden, wie sich eine Übertragung von personenbezogenen Daten nach der DSGVO im Bereich Franchising datenschutzkonform gestalten lässt und wie der Franchise-Geber Datenschutz im Franchise-System gewährleisten kann.
Der Inhalt im Überblick
Das Konzept des Franchising
Unter Franchise versteht man eine Kooperation zweier selbständiger Unternehmen. Zwischen den Parteien wird ein Franchise-Vertrag abgeschlossen. Hierbei räumt der Franchise-Geber dem Franchise-Nehmer gegen Zahlung einer Gebühr bestimmte Rechte ein. Aufgrund des Franchise-Vertrags ist es dem Franchise-Nehmer erlaubt bestimmte Waren zu verkaufen oder Dienstleistungen des Franchise-Gebers unter dessen Markennahmen zu vertreiben oder anzubieten. Hierbei werden dem Franchise-Nehmer vom Franchise-Geber detaillierte Vorgaben an die Hand gegeben, wie das Franchising durchzuführen ist.
Datenschutzrechtlicher Aspekte im Franchising
Der Franchise-Geber ist auf einen Informationsaustausch mit dem Franchise-Nehmer angewiesen, um zu kontrollieren, ob sein Franchise-System erfolgreich ist oder an welcher Stelle es optimiert werden muss. Der Datenschutz ist immer dann betroffen, wenn dieser Datenaustausch personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO betrifft. Ein personenbezogenes Datum liegt immer dann vor, wenn von einem Datum auf eine bestimmte natürliche Person geschlossen werden kann. Im Franchise-System könnte dies z.B.
- Informationen über Kunden
- über Mitarbeiter des Franchise-Nehmers oder
- den Franchise-Nehmer selbst sein.
Übertragung von Daten zwischen den Franchise-Partnern
Eine Übertragung von personenbezogenen Daten zwischen Franchise-Geber und Franchise-Nehmer kann gestützt werden auf:
- die Einwilligung nach Art. 6 Abs. 1, S. 1, lit. a) DSGVO, Art. 7 DSGVO
- Verarbeitung aufgrund eines berechtigten Interesses Art. 6 Abs. 1, S. 1, lit. f)
- der Abschluss eines AVV nach Art. 28 DSGVO
Aufgrund einer Einwilligung
Eine rechtmäßige Einwilligung des Betroffenen setzt voraus, dass diese freiwillig, eindeutig und informiert ist. Des Weiteren hat der Betroffene das Recht seine Einwilligung jederzeit zu widerrufen. Auch muss der Verantwortliche nachweisen, dass der Betroffene in die Verarbeitung eingewilligt hat.
Der Betroffene müsste daher darüber informiert werden, dass er eine Leistung eines Franchise-Unternehmens in Anspruch nimmt und das neben dem Franchise-Nehmer auch der Franchise-Geber Kenntnis über seine Daten erlangt. Die Tatsache, dass der Betroffene seine Einwilligung verweigern oder widerrufen kann, macht aus Einwilligung eine unpraktische Rechtsgrundlage.
Aufgrund eines berechtigten Interesses
Eine Übermittlung von Daten zwischen Franchise-Geber und Franchise-Nehmer könnte über Art. 6 Abs. 1, S. 1, lit. f) DSGVO berechtigt sein. Hiernach ist eine Verarbeitung zur Wahrung eines berechtigten Interesses des Verantwortliche oder eines Dritten gerechtfertigt, wenn dieses erforderlich ist und nicht Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Ein berechtigtes Interesse kann in einem rechtlichen als auch wirtschaftlichen Interesse liegen. Des Weiteren muss eine Interessenabwägung zwischen den Franchise-Partnern auf der einen Seite und den Betroffenen auf der anderen Seite durchgeführt werden. Wenn der Franchise-Vertrag die Übermittlung von Kundendaten zur Durchführung einer Marktanalyse beim Franchise-Geber vorsieht, kann dies die Abwägung zugunsten der Franchise-Partner beeinflussen. Jedoch müssen bei der Abwägung die datenschutzrechtlichen Grundsätze wie z.B. das Gebot der Datenminimierung beachtet werden. Hierbei kann man zum Ergebnis kommen, dass auch eine Übertragung von anonymisierten Daten für eine Marktanalyse ausreichend sein kann. Falls Anonymisierungsmaßnahmen nicht vorgenommen werden können, besteht für die Franchise-Partner die Gefahr, dass die Interessen der Betroffenen eine Datenübertragung überwiegen. Daher stellt auch der Art. 6 Abs. 1, S. 1, lit. f) DSGVO keine vollkommen verlässliche Rechtsgrundlage dar.
Aufgrund einer Auftragsverarbeitung
Als Rechtsgrundlage für die Übertragung von personenbezogenen Daten könnte eine Auftragsverarbeitung nach Art. 28 DSGVO zwischen Franchise-Nehmer und Franchise-Geber nach Art. 28 DSGVO herangezogen werden. Des Weitern müsste der Franchise-Nehmer bei der Verarbeitung von personenbezogener Daten weisungsgebunden vom Franchise-Geber handeln. Es ist vorstellbar, dass der Franchise-Geber als Auftragsverarbeiter des Franchise-Nehmers auftritt, wenn es um die Bereitstellung von IT-Systemen geht. Der Franchise-Geber wäre dann vergleichbar mit einem externen IT-Dienstleister. So könnte eine Übertragung von personenbezogenen Daten gelingen, da der Franchise-Geber als Auftragsverarbeiter nicht als Dritter gilt. Eine eigene Nutzung der erlangten Daten durch den Franchise-Geber ist in der Rolle als Auftragsverarbeiter aber nicht möglich.
Datenschutzvorschriften in Franchise-Handbüchern
Ein fester Bestandteil von Franchise-Systemen sind Franchise-Handbücher. In diesen wird dem Franchise-Nehmer genau erklärt, in welcher Weise er seine Filiale zu leiten hat, wenn er nicht gegen den Franchise-Vertrag verstoßen will. Es ist denkbar, dass in Zukunft auch datenschutzrechtliche Regelungen des Franchise-Gebers in diese Handbücher Einzug finden könnten. Die Handbücher könnten dann datenschutzrechtlich Prozesse vorgeben. Denkbar wäre dies z.B. für die
- die Informationspflichten
- das Auskunftsersuchen
- die Löschregelungen
- die Meldung von Datenschutzverstößen
- die Einführung eines einheitlichen Datenschutzmanagementsystems beim Franchise-Nehmer
Hierdurch kann der Franchise-Geber einen einheitlichen Datenschutzstandard festlegen.
Es ist daher festzuhalten, dass die Datenübertragung zwischen den Franchise-Partner nach Art. 6 Abs. 1, S. 1, lit f) DSGVO oder aufgrund einer Auftragsverarbeitung gelingen kann und dass der Franchise-Geber durch das Franchise-Handbuch ein Werkzeug zum Aufbau eines einheitlichen Datenschutzstandards zur Verfügung steht.
Grundsätzlich danke, aber ich fürchte, der letzte Absatz ist beim Redigieren vergessen worden:
– Das Handbuch erläutert dem Franchise-Nehmer (nicht -Geber) die Führung.
– Es ist denkbar, DASS …
. das „für“ zu Beginn des letzten Bullet Points ist zu viel.
Besten Dank, haben wir angepasst.