Neue DSGVO – Erste Erfahrungswerte für Franchisesysteme
Seit etwas mehr als einem Jahr, dem 25.05.2018, findet die Datenschutzgrundverordnung (DSGVO) Anwendung. Zwar wurde die Verordnung bereits im Mai 2016 im Amtsblatt der Eu-ropäischen Union veröffentlicht und ist damit gar nicht mehr allzu „neu“; dennoch war festzustellen, dass die Regelungen erst im Frühjahr 2018 intensiv im Bewusstsein der Wirtschaft, insbesondere auch im Bewusstsein der Franchisewirtschaft angekommen sind.
Mittlerweile liegen die ersten Erfahrungen über den Umgang der Franchisewirtschaft mit der Verordnung vor, die gemischt ausfallen: Wir erinnern uns, dass die Einführung des neuen Eu-ropäischen Datenschutzrechts sehr unterschiedlich aufgenommen wurden. Die Reaktionen in der Franchisewirtschaft reichten von Panik bis Ignoranz. Auf der einen Seite wurde befürchtet, dass die Neuregelungen zu einem erhöhten Aufkommen von teuren Abmahnungen durch Wettbewerber führen könnten. Auch die drakonischen Bußgeldvorschriften waren gefürchtet. Es war allerdings auch zu beobachten, dass sich einige Franchisegeber jedem Anpassungsbedarf verschlossen.
Nach etwas mehr als einem Jahr lässt sich feststellen, dass die ganz großen Umbrüche erwar-tungsgemäß ausgeblieben sind. Die befürchtete Welle von Abmahnungen hat es – jedenfalls im größeren Stil – nicht gegeben. Gerade in der Anfangszeit war zudem deutlich zu spüren, dass die Datenschutzbehörden einige Zeit benötigten, um die Anwendung der neuen Regeln wirkungsvoll zu überwachen. Letzteres hat sich definitiv geändert. Europaweit machten die Datenschutzbehörden jüngst mit erheblichen Bußgeldern auf sich aufmerksam.
Besonderheiten beim Datenschutz ergeben sich im Franchising vor allem aus dem „Netzwerk-gedanken“: Anders als in anderen Bereichen des Wirtschaftslebens sind die Vertragsverhältnisse häufig vielschichtig und verursachen eine Vielzahl von Datenströmen, auf die das Datenschutzrecht anwendbar ist und für die die Verantwortlichkeiten genau geregelt sein müssen: In der Regel verarbeitet der Franchisegeber zunächst personenbezogene Daten des Franchisenehmers bzw. von Franchisenehmerinteressenten. Er ist insoweit für die Datenverarbeitung als Unternehmer verantwortlich und hat sich gegenüber dem jeweiligen Betroffenen zu erklären.
Darüber hinaus werden in aller Regel aber auch personenbezogene Daten der Kunden gesammelt. Hier lässt sich die Frage, wer für die Verarbeitung der Daten verantwortlich ist, nicht allgemein und pauschal beantworten. Denkbar ist, dass der Franchisenehmer die Daten ausschließlich zu eigenen Zwecken erhebt. Ebenso ist jedoch denkbar, dass die Datenerhebung des Franchisenehmers allein im Auftrag des Franchisegebers erfolgt. Auch gemeinsame Verantwortlichkeiten sind denkbar.
DSGVO: Best Practice Beispiele aus der Franchisewirtschaft
In der Franchisewirtschaft finden sich viele Beispiele von Systemzentralen, die die Reform zum Anlass genommen haben, die Datenverarbeitung im eigenen Franchisesystem zu überdenken und zu überarbeiten.
Dazu gehört zunächst, dass im Unternehmen ein Bewusstsein für die Relevanz des Datenschutzrechts geschaffen wird. Danach ließ sich aufarbeiten, welche Datenströme es in dem jeweiligen Franchisesystem tatsächlich gibt. Die Datenströme ließen sich in den allermeisten Fällen ohne größeren Aufwand auf einen der in Artikel 6 DSGVO niedergelegten Rechtfertigungsgründe (insbesondere Interessenabwägung, Erforderlichkeit zur Vertragserfüllung und Einwilligung des Betroffenen) zurückführen.
In diesen Fällen konnte dann die erforderliche Transparenz gegenüber den Betroffenen durch entsprechende Datenschutzerklärungen sichergestellt werden. Gegebenenfalls mussten Verträge zur Auftragsverarbeitung aktualisiert oder erstmalig erstellt werden oder Einwilligungserklärungen von Betroffenen eingeholt werden.
Etwas aufwendiger war teilweise die Aufarbeitung von Datenverarbeitungen im Internet und insbesondere Kundenbindungssystemen und Kundendatenbanken. Auch hier finden sich zahl-reiche Beispiele, in denen die Verantwortlichkeiten in entsprechenden Vereinbarungen zwi-schen Franchisegeber und Franchisenehmer eindeutig festgelegt wurden und somit den An-forderungen des neuen Datenschutzrechts genüge getan wird. Für den Kunden oder User kann dann transparent dargestellt werden, welche Daten von wem und zu welchem Zweck verarbeitet werden.
… besser nicht nachmachen!
Neben den positiven Erfahrungen gibt es jedoch auch zahlreiche negative Beispiele in der Franchisewirtschaft.
Zunächst lässt sich ein Trend feststellen, dass einige Systemzentralen dazu übergehen, an-stelle der Aufstellung eines überlegten Datenschutzkonzeptes mehr oder weniger wahllos Ein-willigungserklärungen einzuholen oder Auftragsverarbeitungsvereinbarungen schließen. Dazu werden gerne Musterformulare ohne jede Anpassung übernommen.
Dies ist jedoch nicht zu empfehlen: Zunächst ist zu berücksichtigen, dass die Auftragsvereinbarung eine Rechtfertigung der Datenverarbeitung nicht entbehrlich macht. Eine solche Rechtfertigung stellt gemäß Artikel 6 Abs. 1 Satz 1 a) DSGVO auch die Einwilligung des Betroffenen dar. Es leuchtet ein, dass Daten verarbeitet werden dürfen, wenn derjenige, dessen Daten verarbeitet werden, einverstanden ist. Außerdem kann man nicht leugnen, dass die Einwilligung zur Datenverarbeitung gerade im Internet bereitwillig erteilt wird. Kaum ein Kunde zögert beispielsweise, vor Abschluss einer Bestellung noch eine datenschutzrechtliche Einwilligung zu geben.
Dennoch ist die Einwilligung leider keine „Allzweckwaffe“ zur Rechtfertigung der Datenverarbeitung. Schließlich ist eine solche Einwilligung nur wirksam, wenn sie freiwillig und zweckgebunden erfolgt. Wenn die Verarbeitung der Daten zu verschiedenen Zwecken erfolgen soll, bedeutet dies auch immer, dass für jeden Zweck eine gesonderte Einwilligung möglich sein muss. Im Zweifelsfalle muss der Betroffene dann nicht nur eines, sondern eine Vielzahl von Haken setzen, damit seine Einwilligung wirksam ist.
Die bisweilen (noch) anzutreffende Kopplung von Onlinebestellungen und Einwilligungserklärungen zur Verarbeitung der Daten zu anderen Zwecken als der Abwicklung der Bestellung, bei denen die Bestellung ohne die Einwilligung nicht verarbeitet werden kann, dürfte in aller Regel der Freiwilligkeit der Erklärung entgegen stehen und die Einwilligung unwirksam machen. Hinzu kommt, dass jede Einwilligung immer auch widerruflich ist. Stützt ein Franchisesystem seine Datenverarbeitung auf die Einwilligung, wird diese dann allerdings widerrufen, bleibt die Datenverarbeitung bis dahin – eine wirksame Einwilligungserklärung vorausgesetzt – zwar wirksam; die weitere Verarbeitung der personenbezogenen Daten des Betroffenen ist aber unzulässig.
Auch diejenigen Systeme, die das Datenschutzrecht bislang ignoriert haben, könnten erhebliche Probleme bekommen. Vereinzelt sind nämlich Fälle aufgetreten, in denen sich Franchisenehmer von bestehenden Franchiseverträgen lossagten, indem sie die Nichteinhaltung der datenschutzrechtlichen Regelungen bemängelten. Tatsächlich ist das Franchisesystem zur Legalität verpflichtet. Das bedeutet, die Missachtung datenschutzrechtlicher Regelungen kann durchaus einen wichtigen Grund zur außerordentlichen Kündigung des Franchisevertrages darstellen, wenn es die Fortsetzung der Zusammenarbeit für den Franchisenehmer unzumut-bar macht. Für einen Franchisenehmer, der unter Umständen aus ganz anderen Gründen an einer vorzeitigen Beendigung des Vertrages interessiert ist, können derartige Nachlässigkeiten im Datenschutz „gefundenes Fressen“ sein.
Fazit/Tipp für den nächsten Schritt
Nach etwas mehr als einem Jahr seit Anwendbarkeit der Datenschutzgrundverordnung lässt sich als Zwischenergebnis also festhalten, dass die Franchisesystemzentralen an den datenschutzrechtlichen Themen nicht vorbeikommen, auch wenn die ganz große Aufregung vorüber ist.
Damit ist es an der Zeit, das Bewusstsein für den Datenschutz in der Systemzentrale aktiv aufrechtzuerhalten. Die getroffenen Maßnahmen sollten auf ihre Praxistauglichkeit hin untersucht und ggf. angepasst werden. Für den Fall, dass noch nicht mit der Umsetzung der neuen Regelungen begonnen wurde, wird es höchste Zeit.
Schließlich ist auch festzustellen, dass die Datenschutzbehörden mit höherer personeller Aus-stattung und damit verbunden einer höheren Kontrolldichte und ersten verhängen Bußgeldern von sich reden machen. Auch unter unzufriedenen Franchisenehmern wird das Datenschutz-recht als „Hintertür“ zur Lösung des Franchisevertrages bedeutsamer. Wenn es also so etwas wie eine Schonfrist gegeben hat, dürfte diese jetzt vorbei sein.