DSGVO: Das müssen Franchise-Systeme jetzt wissen
Stichtag 25. Mai 2018: An diesem Datum tritt die DSGVO in Kraft – die neue Datenschutz-Grundverordnung der EU. Sie berührt nicht nur zusätzliche Bereiche und enthält wesentlich strengere Vorschriften als die bisherigen, oft unzureichenden nationalen Gesetzgebungen (wie etwa das lückenhafte und schwer verständliche deutsche Bundesdatenschutzgesetz). Die DSGVO sieht Strafen und Sanktionen vor, die Unternehmer empfindlich treffen können.
Ein Unternehmen, das seinen Datenschutz bis 25. Mai 2018 auf die neue Verordnung umstellt, schützt sich nicht nur vor drastischen Strafen. Es sichert sich auch Wettbewerbsvorteile. Denn die Öffentlichkeit diskutiert über das Thema Datenschutz kritischer denn je.
Die neue DSGVO: Was ändert sich für (Franchise-)Unternehmen?
Es drohen Geldbußen in Höhen, wie sie bisher nur bei Verstößen gegen das Kartellrecht bekannt waren. Die zuständige Aufsichtsbehörde kann je nach Verhältnismäßigkeit Bußgelder von bis zu 20 Millionen Euro oder bis zu 4% des gesamten Jahresumsatzes aus dem zurückliegenden Geschäftsjahr erheben.
Gegenüber den Aufsichtsbehörden bestehen erhöhte Nachweis-, Rechenschafts- und Dokumentationspflichten. Diese Nachweise werden nicht nur bei gerichtlichen Streitigkeiten herangezogen. Sie müssen auch den Aufsichtsbehörden vorgelegt werden. Anders als im deutschen Bundesdatenschutzgesetz sind die Bußgeld-Kriterien der DSGVO jedoch leicht verständlich beschrieben.
Personen müssen vor der Verarbeitung ihrer Daten präziser und verständlicher denn je informiert werden, was mit ihren Daten im Unternehmen passieren wird. Verlangt eine Person die Löschung ihrer Daten, müssen auch alle Drittnutzer informiert werden – beispielsweise Franchisepartner oder Dienstleister im Netzwerk.
Kommt es zu Rechtsstreitigkeiten, sind Unternehmen im Vorteil, die Techniken oder Voreinstellungen einsetzen, welche als besonders datenschutzkonform gelten. Beispiele sind Privacy by Design (Datenschutz durch individuelle Techniken) und Privacy by Default (Datenschutz durch optimierte Voreinstellungen). Erstere könnten beispielsweise bewirken, dass eine Website nur bestimmte Cookies sammelt und dies veränderbar ist. Default-Einstellungen können heißen, die Website sammelt keinerlei Cookies.
Warum Datenschutz im Franchising?
In Franchise-Unternehmen werden Informationen von Personen erhoben und verarbeitet. Dies können Kundendaten sein, aber auch Daten von Mitarbeitern sowie Partnern im Netzwerk. Besonders Franchise-Systeme aus den Bereichen Online-Handel/E-Commerce, IT, Unternehmensberatung, Vermittlung oder Agentur sollten ihren Schutz der Kundendaten kritisch unter die Lupe nehmen. Gleiches gilt für Unternehmen, in denen viel per Mail-Kontakt und Internet kommuniziert wird.
Bei einer Franchise-Existenzgründung stand Datenschutz bisher jedoch selten auf der Prioritätenliste. Es wurde im Wesentlichen als Thema für Konzerne wahrgenommen. Franchise-Gründer – so die landläufige Meinung – müssten sich in der Phase der Existenzgründung vor allem auf Bereiche wie Finanzierungsplanung, Marketing oder Kundengewinnung fokussieren.
Dabei geht Datenschutz alle Unternehmen an, die personenbezogene Daten verarbeiten. Angesichts der neuen Verordnung sollte der größtmögliche Datenschutz in Zukunft schon in der Gründungsphase sichergestellt werden.
Auch für bestehende Franchise-Systeme ist Datenschutz bis heute meist nur ein Randthema. Es beschränkt sich beispielsweise auf einzelne Klauseln in Franchiseverträgen oder Arbeitsverträgen. Weitere Regelungen betreffen kaum mehr als die Datenschutzerklärung auf der Homepage, die Nutzung von Internet oder E-Mail oder Fragen aus dem Bereich Marketing – zum Beispiel die Einwilligung eines Kunden zum Erhalt von Werbebriefen oder Newslettern. Allenfalls wird noch die Übermittlung und Auswertung von Kassendaten oder den Datenaustausch zwischen Franchise-Partnern und mit externen Dienstleistern (z.B. Logistikern) vertraglich geregelt. Dies reicht vielfach nicht, um das Unternehmen „fit“ für die neue Verordnung zu machen.
Eine wichtige Änderung der Datenschutzgrundverordnung betrifft viele Franchise-Unternehmen aus Handel und Gastronomie. Denn stärker als bisher wird Video-Überwachung öffentlicher Räume reglementiert. Kurzum: Jedes Franchise-Unternehmen sollte prüfen, ob es von den neuen Verordnungen betroffen ist.
Was sollten Franchise-Systeme tun?
- Generell: DSGVO-Compliance einführen. Die Datenerhebung und -verarbeitung ist für die betreffenden Unternehmen so zu strukturieren, dass personenbezogene Daten schnell lokalisiert werden können. Dabei gilt der Grundsatz der Daten-Minimierung: Je weniger Daten erhoben werden, desto besser bewerten die Behörden den Datenschutz.
- Konkret: Einen Datenschutzbeauftragten bestimmen. Ein Unternehmen mit mehr als neun Mitarbeitern, das regelmäßig personenbezogene Daten automatisiert verarbeitet, benötigt einen Datenschutzbeauftragten. Dies kann ein eigener, fachkompetenter Mitarbeiter sein. Gerade für kleinere Unternehmen empfiehlt sich aber ein externer Dienstleister. Der Datenschutzbeauftragte berät das Unternehmen, überwacht die Umsetzung der Datenschutz-Vorgaben und arbeitet mit der Aufsichtsbehörde zusammen. Er sollte Prozesse implementieren, anhand derer er regelmäßig überprüfen kann, ob die Datenschutz-Vorschriften erfüllt werden.
- Die Mitarbeiter briefen und einweisen. Die Mitarbeiter sind meistens kaum in Sachen Datenschutz sensibilisiert und ausreichend aufgeklärt. Dies sollte in Schulungen nachgeholt werden. Eine schriftliche Verpflichtungserklärung ist zu unterzeichnen und bei Prüfungen nach DSGVO-Konformität vorzulegen. Zu den Mindest-Standards des Datenschutzes gehört nicht nur die Vermeidung von Datenklau, sondern auch das Kontakt-Verhalten, Beispielsweise ist in der Öffentlichkeit kein Telefonat mit vertraulichem Inhalt zu führen oder keine E-Mail an nicht direkt betroffene Empfänger zu versenden.
- Den Cloud-Anbieter prüfen. In Zukunft sollten Daten nur noch über Clouds ausgetauscht werden, die datenschutzrechtlich zertifiziert sind. Manche US-amerikanische Anbieter stehen unter Verdacht, geringere Sicherheit gegen Datenspionage zu bieten. Ein Tipp ist der Cloud-Anbieter-Zusammenschluss CISPE (Cloud Infrastructure Service Providers in Europe). Seine Mitglieder verpflichten sich zur Einhaltung aller Normen der DSGVO.
- Nichts „einfach so” in den Papierkorb werfen. Immer wieder sorgen Daten für Skandale, die auf Papieren in öffentlichen Mülltonnen gefunden werden. Alle Papiere und andere Datenträger, die personenbezogene Daten enthalten, sollten vernichtet werden – zum Beispiel durch Zerkleinern oder Schreddern.
- Die Passwort-Sicherheit erhöhen. Wer Passwörter verwendet, die z.B. aus Vorname plus Geburtsdatum bestehen, lädt regelrecht zu Datenklau und Spionage ein (erst recht, wenn die Passwörter per Klebezettel am Monitor hängen). Je länger und kryptischer Passwörter sind und unter Einbeziehung der gesamten Tastatur kreiert werden, desto sicherer sind sie. Für jedes Gerät sollte ein eigenes Passwort entwickelt werden. Natürlich kann sich kaum jemand vielerlei abstrakte Passwörter merken. Doch sie lassen sich in praktischen Passwort-Verwaltungstools hinterlegen.
- Homepage-Texte anpassen. Werden auf der Homepage Daten erhoben – zum Beispiel im Kontakt-Formular –, so muss klar kommuniziert werden, wie und wofür die Daten verarbeitet werden. Dies gilt bereits für Facebook-Like-Buttons oder den Newsletter und ist so auch im Telemediengesetz vorgeschrieben. Beim Newsletter sollte genau darauf geachtet werden, dass der Empfänger ihn tatsächlich abonniert hat – zum Beispiel mit Double-Opt-In – und jederzeit sein Widerrufsrecht angezeigt bekommt.
- Franchisepartner und externe Dienstleister vertraglich verpflichten. Werden Daten von Dritten verarbeitet – beispielsweise Lieferanten, so sind mit ihnen entsprechende Verträge mit den neuen Datenschutz-Regelungen abzuschließen. Gleiches gilt für Franchiseverträge. Grundsätzlich müssen die Franchisepartner der Verwendung ihrer Daten zustimmen – von Betriebsvergleichen bis hin zu Marktforschungszwecken. Dies betrifft alle Daten – auch jene, die z.B. über gemeinsam genutzte Kassensysteme oder IT-Netzwerke ausgetauscht werden.
- Eine Datenschutz-Folgeabschätzung vornehmen. Das Unternehmen sollte prüfen, welches Straf- und Abmahnrisiko bei seiner Datenerhebung besteht. Um dies einschätzen zu können, hat die EU-Behörde für Unternehmen zehn leicht verständliche Kriterien für hohe Risiken erarbeitet. Zur Folgeabschätzung gehört auch eine systematische Beschreibung des Zwecks sowie der Prozesse der Datenverarbeitung sowie ein Notfallplan mit Maßnahmen zur Abhilfe, etwa im Klagefall.
Gilt die EU-DSGVO auch für Schweizer Unternehmen?
Ja, und zwar nicht nur für Franchise-Systeme mit Partnern in der Schweiz. Sie berührt selbst Schweizer Unternehmen ohne Niederlassung in der EU. Denn für August 2018 plant der Bundesrat den Vorschlag für eine EU-angepasste Novelle des Schweizerischen Datenschutzgesetzes. Es wird erwartet, dass die Regierung in Bern das Recht aus der EU-Datenschutzgrundverordnung inhaltlich weitgehend bis vollständig übernimmt.
Tipp: Datenschutz-Audits durchführen und Zertifikat erwerben
Wer sein Unternehmen zukunftssicher aufstellen möchte, führt ein Datenschutz-Management-System ein. Viele Unternehmensverbände arbeiten bereits an zukunftssicheren Datenschutz-Kodexen und Zertifizierungs-Vorgaben. Jeder Unternehmer sollte sich bei seinem Verband informieren oder spätestens jetzt die Ausarbeitung von Vorgaben anregen. Im Einzelfall kann auch ein fachkompetenter Rechtsanwalt mit Erfahrung in Datenschutz und Franchising helfen.
Die Verhaltensregeln und Zertifizierungsverfahren können beim öffentlichen Register des Europäischen Datenschutzausschusses sowie bei den zuständigen Datenschutz-Aufsichtsbehörden erfragt werden. Themen für solche Kodizes sind u.a. die Art der Erhebung und die faire und transparente Verarbeitung personenbezogener Daten oder deren Pseudonymisierung. Auch die unmittelbare Meldung von Verstößen an die betroffenen Personen sowie an die Aufsichtsbehörden und die Einleitung von Gegenmaßnahmen gehören in einen Kodex.
Nach Artikel 43 der neuen DSGVO können Datenschutz-Zertifikate vergeben werden. Für die Audits in den Unternehmen bieten sich spezialisierte Dienstleister an.
Marketing-Vorteil Datensicherheit nutzen
Wer am 25. Mai 2018 noch nicht auf DSGVO umgestellt hat, sollte keinesfalls mehr mit Datensicherheit werben. Auf Nummer sicher geht hingegen, wer seinen Datenschutz rechtzeitig umstellt. Mit einem Zertifikat verfügt ein Geschäft zudem über ein wirkungsvolles Marketing-Instrument. Denn die Öffentlichkeit reagiert zusehends sensibler – und im Zeitalter wachsender Digitalisierung wird Datensicherheit zum Verkaufsargument.