Austausch, Verarbeitung und Nutzung von Daten in Franchisesystemen – Herausforderungen des neuen Datenschutzrechts
I. Einleitung
Am 25.05.2018 tritt die neue EU-Grundverordnung als unmittelbar in Deutschland und den anderen EU-Mitgliedsstaaten geltendes Recht in Kraft. Die EU-weit einheitliche Regelung des Datenschutzrechts dient der Vollharmonisierung europäischer Standards nunmehr auch im Datenschutzrecht. Für den nationalen Gesetzgeber verbleiben lediglich punktuell auszufüllende Öffnungsklauseln.
Wesentliche bereits aus dem Bundesdatenschutzgesetz bekannte Strukturen und Anforderungen finden sich auch in der ab dem 25.05.2018 geltenden Rechtslage nach der DS-GVO wieder.
Im Einzelnen ergeben sich nach neuem Recht jedoch Änderungen, die insbesondere Franchisesysteme vor neue und unbedingt zu beachtende Herausforderungen stellen.
In Franchisesystemen besteht naturgemäß ein besonders hohes Interesse an einem intensiven Informationsaustausch zwischen Franchisenehmern und Franchisegebern, um Potentiale und Fehlentwicklungen erkennen und Maßnahmen ergreifen zu können, die mittel- und langfristig den Erfolg des Systems und der Franchisenehmer sichern und steigern. Vielfach ermöglicht eine zentrale Verarbeitung von Daten der Franchisenehmer über systemseitig gestellte Ressourcen ferner eine höhere Effizienz und kostensparende Synergieeffekte. Schließlich wird der Informationsaustausch häufig auch zur Wahrnehmung typischer Aufgaben des Franchisegebers sowie berechtigter Interessen des Franchisegebers auch im Hinblick auf die Einhaltung von Systemstandards dienen.
Gegenstand des Informationsaustauschs sind zum einen personenbezogene Kundendaten. Auch die Erhebung und Verarbeitung der Daten von natürlichen Personen als Franchisenehmern wie bezüglich der Mitarbeiter eines Franchisenehmers können sich als Verarbeitung personenbezogener Daten im Sinne des Datenschutzrechts darstellen.
Die ab dem 25.05.2018 in Kraft tretende Datenschutz-Grundverordnung (DS-GVO) enthält sowohl hinsichtlich der Anforderungen an die Rechtmäßigkeit der Datenverarbeitung zu beachtende Änderungen, insbesondere jedoch auch eine drastische Verschärfung der möglichen Sanktionen insbesondere für Unternehmensgruppen, als welches sich ein Franchisesystem bei einfacher Betrachtung zunächst einmal darstellt.
Es ist daher dringend geboten, für eine datenschutzkonforme Ausgestaltung der relevanten Abläufe und Prozesse spätestens zum Inkrafttreten des neuen Rechts Sorge zu tragen.
II. Kurzüberblick über die wesentlichen Änderungen mit Inkrafttreten der DS-GVO
Mit der DS-GVO wird zunächst das sogenannte Marktortprinzip auch im Datenschutzrecht eingeführt. Nach bisherigem Datenschutzrecht galt für außereuropäische Unternehmen das EU-Recht nicht. Die DS-GVO gilt nunmehr auch für außerhalb der EU ansässige Unternehmen, sofern in der EU ansässige Personen mit Produkten und/oder Dienstleistungen angesprochen werden oder ihr Verhalten beobachtet wird (z. B. Webtracking, Targeting). Außereuropäische Unternehmen ohne Niederlassung in der EU sind dabei verpflichtet, einen EU-Vertreter gemäß Artikel 27 EU-DS-GVO zu bestellen.
Die Prinzipien der Datenverarbeitung nach Artikel 5 DS-GVO sind im Wesentlichen analog den Prinzipien des BDSG ausgestaltet:
- Rechtmäßigkeit und Transparenz der Datenverarbeitung für die betroffene Person
- Zweckbindung
- Datenminimierung und Richtigkeit der Daten
- Speicherbegrenzung (Daten dürfen nur solange gespeichert werden, wie es für den betreffenden Zweck erforderlich ist)
- Integrität und Vertraulichkeit
- Rechenschaftspflicht
Da nunmehr auch organisatorische Verstöße nach neuem Recht bußgeldbewehrt sind, wird insbesondere aus der Rechenschaftspflicht (Art. 5 Abs. 2 sowie Art. 24 DS-GVO) die Notwendigkeit eines umfassenden Datenschutzmanagements-Systems abgeleitet. Hieraus folgt gewissermaßen eine Beweislastumkehr. Das betreffende Unternehmen muss jederzeit in der Lage sein nachzuweisen, dass die Einhaltung der datenschutzrechtlichen Standards organisatorisch gewährleistet ist.
Sollte es gleichwohl zu Verstößen kommen, so wirken sich eine datenschutzfreundliche Ausgestaltung mit entsprechend implementierten Voreinstellungen („Privacy by Design“/ „Privacy by Default“) bußgeldmindernd aus (Art. 25 DS-GVO).
Stellung und Verantwortlichkeit des Datenschutzbeauftragten sind deutlich gestärkt. Der Datenschutzbeauftragte hat nicht wie bisher lediglich auf die Einhaltung von Vorschriften „hinzuwirken“. Ihn trifft vielmehr eine originäre Verantwortlichkeit für zugewiesene Aufgaben mit erhöhten Dokumentationspflichten und erhöhten Haftungsrisiken.
Schließlich sieht das neue Recht bei voraussichtlich hohem Risiko für persönliche Rechte und Freiheiten eine verpflichtende Datenschutz-Folgeabschätzung unter Hinzuziehung des Datenschutzbeauftragten vor (Art. 35 DS-GVO), bei der gegebenenfalls auch die vorherige Konsultation der Aufsichtsbehörde erforderlich sein kann (Art. 36 DS-GVO).
Für Franchisesysteme spielt die Erforderlichkeit einer Datenschutz-Folgeabschätzung regelmäßig bei der systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen durch automatisierte Verarbeitung (Evaluierung, Marktanalyse), durch umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne des Artikel 9 Abs. 1 DS-GVO (insbesondere etwa Gesundheitsdaten in System mit entsprechenden Anforderungen) oder Art. 10 DS-GVO (Straftaten) sowie schließlich bei der systematischen Überwachung öffentlich zugänglicher Bereiche insbesondere Gastronomie, Ladenlokale – aber auch Sozialräume etc. eine Rolle.
Schließlich sind Datenschutzverletzungen binnen 72 Stunden der entsprechenden Aufsichtsbehörde zu melden (Art. 33 DS-GVO).
Neben diesen allgemeinen und für jedes Unternehmen sich aus der neuen Rechtslage ergebenden Herausforderungen stellen sich jedoch spezifische Fragen der rechtskonformen Gestaltung der gemeinsamen Nutzung und Verarbeitung von Daten in Franchisesystemen in besonderer Weise.
III. Datenverarbeitung unter der DS-GVO
1. Rechtfertigungstatbestände für eine Verarbeitung personenbezogener Daten nach der DS-GVO
Die grundlegenden Rechtfertigungstatbestände für die Verarbeitung personenbezogener Daten der DS-GVO sind mit denen des Datenschutzgesetzes identisch. Als Rechtfertigungsgründe kommen
- die Erforderlichkeit der Datenverarbeitung zur Vertragserfüllung,
- eine Interessenabwägung
- und schließlich die Einwilligung des Betroffenen in Betracht.
Ebenso sieht die DS-GVO die weisungsgebundene Delegation der Datenverarbeitung an Dritte im Wege der Auftragsverarbeitung in dem Rahmen vor, in dem der Verantwortliche selbst sich auf einen entsprechenden Erlaubnistatbestand stützen kann.
2. Gemeinsame Datennutzung als zur Vertragserfüllung erforderliche Verarbeitung personenbezogener Daten (Art. 6 Abs. 1 S. 1 1b) DS-GVO)?
Nach Artikel 6 Abs. 1 S. 1 b) DS-GVO ist die Verarbeitung personenbezogener Daten auch ohne Vorliegen einer ausdrücklichen Einwilligung oder Interessenabwägung in dem Umfang zulässig, wie diese zur Erfüllung eines Vertrages zwischen den Betroffenen und den datenschutzrechtlich Verantwortlichen erforderlich ist.
In welchem Umfang Daten erhoben und verarbeitet werden dürfen, richtet sich in diesem Fall nach dem unmittelbar bestehenden Zusammenhang mit dem konkreten Zweck des Vertragsverhältnisses zwischen dem Franchisenehmer und seinem Kunden, soweit Kundendaten betroffen sind (strenge Zweckbindung).
Im Regelfall geht das Interesse des Franchisegebers jedoch dahin, die entsprechenden Kundendaten für über die Erfüllung des eigentlichen Vertrages zwischen seinem Franchisenehmer und dessen Kunden hinausgehenden Zwecke zu verwenden, etwa für werbliche Maßnahmen, das Anlegen von Kundenprofilen, systembetriebsübergreifenden Marketing- und Rabattaktionen.
Eine derartige Weitergabe und Verarbeitung von Daten lässt sich daher nicht mit einer Erforderlichkeit zur Erfüllung eines Vertrages im Verhältnis zwischen dem Franchisenehmer und dem Kunden rechtfertigen.
Anders kann dies allenfalls in Konstellationen sein, wo – für den Kunden erkennbar – die vertraglichen Leistungen des Franchisenehmers gerade unter Einschaltung des Franchisegebers erfolgen, etwa Vertragsprodukte zentral über den Franchisegeber erworben und durch diesen direkt an den Kunden ausgeliefert werden. Entsprechendes mag gelten, wenn die Erbringung von Dienstleistungen durch den Franchisenehmer gerade eine zentralisierte Verarbeitung der Daten durch eine übergeordnete Systemzentrale erfordern und dies für den Kunden erkennbar ist.
Auch in diesen Fällen ergibt sich, dass die Verarbeitung und Nutzung der Daten streng zweckgebunden für nur eben die Verwirklichung dieser Vertragszwecke genutzt werden können und nach Verwirklichung dieses Zwecks zu löschen sind. Auch bei Vorliegen dieser Voraussetzungen ist sicherzustellen, dass derartige vertragsimmanente Weitergaben von Daten für den Kunden jedenfalls transparent dargestellt sind und hierüber informiert wird.
Entsprechendes gilt, soweit sich die Verarbeitung der Daten durch den Franchisegeber als streng weisungsgebunden ausschließlich für Zwecke des Franchisenehmers darstellt und auf Grundlage einer entsprechenden Vereinbarung im Wege der Auftragsverarbeitung erfolgt.
Zweckbindung einerseits (Weitergabe zum Zwecke der Vertragserfüllung) und Weisungsgebundenheit andererseits (Weitergabe der Daten im Wege der Auftragsverarbeitung) überschneiden sich in derartigen Fällen weitgehend, was den Umfang der zulässigen Verarbeitung betrifft.
3. Rechtfertigung gemeinsamer Datennutzung aufgrund Interessenabwägung (Art. 6 Abs. 1 S. 1 1 f) DS-GVO)?
Die Verwendung der Daten zu anderen Zwecken als zur Vertragserfüllung kann ferner unter dem Gesichtspunkt einer Interessenabwägung gerechtfertigt sein.
Nach der Neuregelung in der DS-GVO können dabei insbesondere auch die berechtigten Interessen eines Dritten bei der Abwägung zu berücksichtigen und eine diesen Interessen des Dritten entsprechende Verarbeitung gerechtfertigt sein.
Nach den Erwägungsgründen der DS-GVO (Erwägungsgrund 48) ist dabei insbesondere ein Interesse innerhalb von Unternehmensgruppen oder Gruppen von Einrichtungen, die einer zentralen Stelle zugeordnet sind, anzuerkennen, personenbezogene Daten innerhalb der Gruppe zu übermitteln.
Damit ist jedoch nicht mehr gesagt, als das derartige über die Interessen des unmittelbar verantwortlichen Unternehmens hinausgehende Interessen auch Dritter in derartigen Unternehmensgruppen grundsätzlich in eine Interessenabwägung Berücksichtigung finden können, die jedoch gleichwohl erfolgen muss.
Wesentliche Anforderung ist auch hier, dass das Bestehen solcher Interessen und einer hiernach gegebenenfalls in Betracht kommenden Rechtfertigung der Datenweitergabe für den Betroffenen jedenfalls transparent und ohne weiteres erkennbar sein muss.
Mindestanforderung für eine solche Rechtfertigung ist damit eine Gestaltung der datenschutzrechtlichen Informationen gegenüber den Kunden, die dies gewährleistet. Die berechtigten Interessen des Betroffenen dürfen dem nicht entgegenstehen oder ein berechtigtes Interesse an der Verarbeitung überwiegen. Die Rechtfertigung ist auch hier streng auf diese Zwecke zur Verwirklichung des konkreten berechtigten Interesses beschränkt und besteht nur in dem Umfang, wie dies für den Betroffenen bereits bei Erhebung der Daten durch den Franchisenehmer vorhersehbar war und transparent gemacht worden ist.
Die Abwägung und eine diesen Anforderungen genügende Gestaltung der Aufklärung sind zu dokumentiert. Auch hier gilt es daher Prozesse und deren Dokumentation an das neue Recht anzupassen.
4. Rechtfertigung gemeinsamer Datennutzung durch Einwilligung des Betroffenen (Art. 6 Abs. 1 S. 1 1a) DS-GVO)?
Als dritte Säule kommt die Rechtfertigung mittels Einwilligung in Betracht (Art. 1 Abs. 1 S. 1 a) DS-GVO).
Die Anforderungen an die Wirksamkeit einer solchen Einigung werden durch das neue Recht deutlich verschärft. Insbesondere werden auch hier erhöhte Transparenz und Informationspflichten zur Voraussetzung für eine wirksame Einwilligung gemacht.
Darüber hinaus enthält Artikel 7 Abs. 4 DS-GVO – neu gegenüber dem bisherigen Recht – ein sogenanntes Kopplungsverbot. Die Einholung der Einwilligung für jeweils einen bestimmten Zweck, der über den für die Vertragserfüllung erforderlichen Umfang der Datenverarbeitung hinausgeht, darf nicht an den Abschluss und die Durchführung des Vertrages gekoppelt werden. Die erforderliche Freiwilligkeit der Einwilligung für über die Vertragserfüllung hinausgehende Zwecke liegt nur dann vor, wenn Abschluss und Durchführung des Vertrages von der Frage der Erteilung einer solchen weitergehenden Einwilligung unabhängig gestaltet sind.
Die Einwilligung als Rechtfertigungstatbestand hat darüber hinaus den Nachteil, dass sie jederzeit widerrufen werden kann, worüber ebenfalls entsprechend zu belehren ist.
Als ausschließlicher Rechtfertigungstatbestand wird daher die Einwilligung regelmäßig nur dort zum Tragen kommen, wo eine Erforderlichkeit zur Vertragserfüllung oder eine Interessenabwägung zur Rechtfertigung nicht fruchtbar gemacht werden können.
Soweit eine ausdrückliche Einwilligung vorsorglich neben diesen anderen Rechtfertigungstatbeständen eingeholt werden soll, stehen die Unternehmen vor der Herausforderung, die datenschutzrechtliche Aufklärung einerseits so zu gestalten, dass den Transparenzanforderungen entsprechend über die Erforderlichkeit zur Vertragserfüllung bzw. die berechtigten Interessen im Rahmen der Interessenabwägung aufgeklärt wird, zugleich bei Einholung der datenschutzrechtlichen Einwilligung jedoch deutlich werden muss, dass die Erfüllung des Vertrages jedenfalls von der Abgabe der Einwilligungserklärung des Betroffenen unabhängig ist.
Denn dort, wo die zusätzlich eingeholte Einwilligung sich tatsächlich als erforderlich erweist, weil die Datenschutzbehörde die Verarbeitung als nicht zur Vertragserfüllung erforderlich und nicht durch eine Interessenabwägung gerechtfertigt betrachtet, ist Voraussetzung für die Wirksamkeit der Einwilligung dann gerade die Freiwilligkeit der Erklärung unter Beachtung des Kopplungsverbots.
Nach bisheriger Rechtslage bereits eingeholte Einwilligungen bleiben zwar grundsätzlich wirksam, aber nur dann und insoweit, als die Umstände der Einholung und Gestaltung der Einwilligung auch nach neuem Recht wirksam wäre. Ist dies nicht der Fall – was dringend zu prüfen ist – bedarf es der Einholung neuer Einwilligungen, die diesen Anforderungen genügen.
5. Zulässigkeit der Datenweitergabe im Rahmen einer Auftragsverarbeitung?
Zwar kann nach der DS-GVO – wie auch nach altem Recht – eine Weitergabe von Kundendaten auf der Grundlage eines Vertrages über die Auftragsverarbeitung (Art. 28 Abs. 1 DS-GVO) rechtmäßig sein.
Zur Kenntnis zu nehmen ist aber, dass die Auftragsverarbeitung als solche keinen Rechtfertigungstatbestand für eine Datenverarbeitung darstellt, sondern sich diese lediglich von einer Rechtfertigung der verantwortlichen Stelle ableitet, in deren Auftrag streng weisungsgebunden und zur Erfüllung von deren Interessen eine Verarbeitung stattfindet, also „ausgelagert“ wird.
Dort, wo eine Verarbeitung nicht weisungsgebunden und für eigene Zwecke des Franchisegebers oder im Interesse der Systembeteiligten in ihrer Gesamtheit erfolgt, dürfte ein Verständnis der Datenweitergabe als bloße Auftragsverarbeitung regelmäßig ausscheiden.
6. Gemeinsame Verarbeitung von personenbezogenen Daten (Art. 26 DS-GVO)
Artikel 26 DS-GVO sieht ferner die Möglichkeit vor, im Falle der gemeinsamen Verarbeitung von personenbezogenen Daten die Erfüllung der Verpflichtung nach Maßgabe der DS-GVO aufzuteilen.
Im Rahmen eines derartigen arbeitsteiligen Zusammenwirkens lassen sich zum einen Synergieeffekte durch Nutzung gemeinsamer Strukturen und Aufteilung von Verantwortlichkeiten erzielen, wenn sowohl Franchisegeber als auch Franchisenehmer personenbezogene Daten verarbeiten.
Voraussetzung ist jedoch stets, dass jeder der beiden Verantwortlichen sich hinsichtlich des ihn betreffenden Zwecks auf einen wirksamen Rechtfertigungstatbestand stützen kann.
Entfällt eine solche Rechtfertigung bei einem der Verantwortlichen – etwa in Folge des Widerrufs einer Einwilligung oder des Wegfalls der Erforderlichkeit zur Vertragserfüllung – so lebt die alleinige Verantwortlichkeit des verbleibenden Verantwortlichen für sämtliche Verpflichtungen nach der DS-GVO wieder auf.
Zu beachten ist ferner, dass nach Artikel 26 Abs. 3 DS-GVO die betroffenen Personen ihre Rechte ungeachtet der zwischen den gemeinsam verantwortlichen Personen gegenüber jedem einzelnen der Verantwortlichen geltend machen kann.
7. Das Dilemma der Franchisegeber bezüglich systemweiter Maßnahmen und Vorgaben bezüglich des Datenschutzes
Die dargestellten gestiegenen Anforderungen der Rechtfertigungstatbestände, Dokumentations- und Nachweispflichten und an die hierfür erforderlichen organisatorischen Strukturen auch für die systeminterne Weitergabe und gemeinsame Nutzung von Daten zeigen, dass die Umsetzung dieser Anforderungen kaum den individuellen Beurteilungs- und Gestaltungsspielräumen jedes einzelnen Franchisenehmers überlassen werden können.
Das neue Recht legt auch dem datenverarbeitenden Franchisegeber die Verpflichtung auf, im Rahmen eines zu errichtenden Datenschutzmanagementsystems jederzeit das Vorliegen einer wirksamen Einwilligung oder der Erfüllung der Transparenzpflichten im Hinblick auf die weiteren Rechtfertigungstatbestände nachweisen zu können.
Ohne die Verwendung von wiederkehrenden und im Wesentlichen standardisierten Aufklärungsdokumenten, Einwilligungserklärungen und hierfür implementierter Prozesse werden diese Anforderungen rein praktisch durch die Franchisesystemzentralen nicht zu erfüllen sein.
Bei der Vorgabe entsprechend datenschutzrechtlicher Aufklärungsdokumente, Einwilligungserklärungen und der detaillierten Vorgabe von diesbezüglichen Prozessen ist jedoch mit Inkrafttreten der DS-GVO Vorsicht und Sorgfalt geboten, wie die folgenden Ausführungen zeigen.
8. Ausweitung der Haftung durch datenschutzrechtliche Vorgaben des Franchisegebers?
Die Bußgeldvorschriften der DS-GVO, insbesondere Artikel 83 knüpfen für die Bemessung des Bußgeldes an den Begriff des Unternehmens an. Bei Verstößen gegen unterschiedliche Kategorien von Bestimmungen können entweder Bußgelder von bis zu 20 Mio. Euro oder im Falle eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres, verhängt werden.
Nach Erwägungsgrund 37 der DS-GVO ist der in Artikel 4 Abs. 19 DS-GVO erstmals definierte Begriff der „Unternehmensgruppe“ weit zu verstehen. Demnach ist es ausreichend, wenn das herrschende Unternehmen beispielsweise „aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung oder der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen, einen beherrschenden Einfluss auf die übrigen Unternehmen ausüben kann“. Ein Unternehmen, das die Verarbeitung personenbezogener Daten in ihm angeschlossenen Unternehmen kontrolliert, soll hiernach zusammen mit diesen als eine Unternehmensgruppe betrachtet werden.
Erwägungsgrund 150 zur Bußgeldvorschrift des Artikels 83 DS-GVO verweist hinsichtlich des Begriffs „Unternehmen“ für Zwecke der Bußgeldbemessung auf den weiteren Unternehmensbegriff der Artikel 101 und 102 AEUV im Kartellrecht. Den Erwägungsgründen ist somit zu entnehmen, dass für die Frage, welches „Unternehmen“ im Sinne der Vorschrift mit einem Bußgeld belegt werden kann und welche Umsätze als Umsätze eines „Unternehmens“ gelten, auf einen funktionalen Unternehmensbegriff bzw. ein Funktionsträgerprinzip abzustellen ist.
Wird die Einhaltung datenschutzrechtlicher Standards verpflichtend durch den Franchisegeber oder die Systemzentrale vorgegeben – wie dies aus den oben dargelegten Gründen zweckmäßig erscheint – so besteht die Gefahr, dass aufgrund der so ausgeübten Kontrolle eine gesamtschuldnerische Haftung des Franchisegebers als herrschenden Unternehmen im Sinne des funktionalen Unternehmensbegriffs gemeinsam mit den Franchisenehmerbetrieben begründet wird.
Auch für die Bemessung der Bußgelder und die Bußgeldschwellen des Artikels 83 DS-GVO wäre sodann auf den Umsatz des Gesamtsystems abzustellen.
In der Fachliteratur besteht zwar derzeit noch keine Einigkeit, ob eine derart weitreichende Handhabung des funktionalen Unternehmensbegriffs alleine aus den vorbenannten Erwägungsgründen zur DS-GVO auch für die DS-GVOI und ihre Bußgeldtatbestände gefolgert werden kann. Gerichtliche Entscheidungen hierzu liegen naturgemäß noch nicht vor.
Bis zu einer Klärung dieser Frage ist Franchisegebern dazu zu raten, zwar durch Bereitstellung entsprechender Informationen, Vorlagen und Arbeitshilfen nach Möglichkeit eine einheitliche Gestaltung der erforderlichen Prozesse zur Rechtfertigung von Datenweitergaben innerhalb der Systeme zu bewirken, die Verwendung entsprechender Vorlagen jedoch jedenfalls bis zu einer Klärung dieser Frage nicht als verbindlich und zwingend vorzugeben, um keinen Anknüpfungspunkt für eine jedenfalls datenschutzrechtlich beherrschende Stellung im Sinne des funktionalen Unternehmensbegriffs zu schaffen.
Im Regelfall werden die Franchisenehmer entsprechende Gestaltungsempfehlungen und Vorlagen auch dann verwenden, wenn dies nicht verbindlich vorgeschrieben wird.
IV. Fazit
Die Datenschutz-Grundverordnung stellt gerade Franchisesysteme vor dem Hintergrund der zumeist erforderlichen systeminternen Weitergabe und gemeinsamen Nutzung von Daten vor besondere Herausforderungen.
Die Erforderlichkeit der Dokumentation und Nachweisbarkeit entsprechender Rechtfertigungstatbestände auch für die Weitergabe und gemeinsame Nutzung von Daten innerhalb eines Franchise-Systems lässt es unabdingbar erscheinen, eine einheitliche Umsetzung von Informationspflichten und Einwilligungserklärungen möglichst weitgehend sicherzustellen.
Insbesondere die erhöhten Transparenzanforderungen und die Frage der Freiwilligkeit der Einwilligung im Falle eines Nebeneinanders von Einwilligung als Rechtfertigungstatbestand und einwilligungsunabhängigen Rechtfertigungstatbeständen erfordern eine sorgfältige Ausgestaltung der Informationen, Erklärungen und Prozesse.
Von einer verpflichtenden Vorgabe entsprechender Mustererklärungen und Verfahren ist im Hinblick auf die Risiken des sogenannten funktionalen Unternehmensbegriffs im Rahmen der Bußgeldbemessung jedoch jedenfalls einstweilen noch abzuraten.
Entsprechendes gilt für die Stellung eines bei der Systemzentrale angesiedelten einheitlichen Datenschutzbeauftragen mit Zuständigkeit auch für die Franchisenehmer innerhalb einer als solchen zu betrachtenden „Unternehmensgruppe“.
Eine gefestigte gerichtliche oder datenschutzbehördliche Klärung der Reichweite des sogenannten funktionalen Unternehmensbegriffs bei Franchisesystemen, bei denen der Franchisegeber faktisch die Ausgestaltung und Einhaltung datenschutzrechtlicher Vorgaben auch seiner Franchisenehmer faktisch beherrscht, bleibt zunächst abzuwarten.
Bis dahin ist eine Gestaltung zu empfehlen, bei der entsprechende Muster und Prozesse und zur Einhaltung zwar empfohlen, jedoch nicht verpflichtend vorgegeben werden.
Dr. Grischa Kehr
Rechtsanwalt
BUSSE & MIESSEN Rechtsanwälte Partnerschaft mbB
Sitz der Gesellschaft: Bonn; AG Essen (PR 2768)
Sekretariat Rechtsanwalt Dr. Grischa Kehr: Frau Ziegelmann
Friedensplatz 1, 53111 Bonn
Telefon: 0228 98391-81
Telefax: 0228 630283
E-Mail: buero.kehr@busse-miessen.de
Homepage: www.busse-miessen.de