Blogartikel

Consultation

Franchiserecht und Datenschutz – wann liegt eine Auftragsverarbeitung vor?

Immer wieder kommt bei der rechtlichen Begleitung von Franchisesystemen die Frage auf, ob der Franchisegeber 

  • mit seinen Franchisepartnern Auftragverarbeitungsverträge (AVV) schliessen muss, soweit er z.B. für die Franchisepartner die Lieferungen an die Kunden ausführt und
  • Kundendaten in einem gemeinsamen CRM-System gespeichert werden dürfen.


Die Fragestellung, ob AVVs geschlossen werden müssen, wird – soweit ersichtlich – in der einschlägigen Literatur nur oberflächlich angerisssen. Wir sind der Meinung, dass solche AVVs in einem Standard-Franchisesystem grundsätzlich vermeidbar sind. Je nach ausgestalteter Nutzung des CRMs könnte sich jedoch als rechtlich sicherster Weg ein AVV zwischen Franchisegeber und Franchisenehmer anbieten.

1.
Der Franchise-Geber ist auf einen Informationsaustausch mit dem Franchisepartner angewiesen, um zu kontrollieren, ob sein Franchisesystem erfolgreich ist oder an welcher Stelle es optimiert werden muss. Der Datenschutz ist immer dann betroffen, wenn dieser Datenaustausch personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO betrifft. Ein personenbezogenes Datum liegt immer dann vor, wenn von einem Datum auf eine bestimmte natürliche Person geschlossen werden kann. Im Franchisesystem könnte dies z.B.

  • Informationen über Kunden
  • über Mitarbeiter des Franchise-Nehmers oder
  • den Franchise-Nehmer selbst sein.

2.
Rechtlich gibt es drei Möglichkeiten einer wirksamen Verarbeitung von Kundendaten:

Übertragung von Daten zwischen den Franchise-Partnern
Eine Übertragung von personenbezogenen Daten zwischen Franchise-Geber und Franchise-Nehmer kann gestützt werden auf:

  • die Einwilligung nach Art. 6 Abs. 1, S. 1, lit. a) DSGVO, Art. 7 DSGVO
  • Verarbeitung aufgrund eines berechtigten Interesses Art. 6 Abs. 1, S. 1, lit. f)
  • der Abschluss eines AVV nach Art. 28 DSGVO

Aufgrund einer Einwilligung
Eine rechtmäßige Einwilligung des Betroffenen setzt voraus, dass diese freiwillig, eindeutig und informiert ist. Weiterhin hat der Betroffene das Recht seine Einwilligung jederzeit zu widerrufen. Auch muss der Verantwortliche nachweisen, dass der Betroffene in die Verarbeitung eingewilligt hat.

Der Betroffene müsste daher darüber informiert werden, dass er eine Leistung eines Franchiseunternehmens in Anspruch nimmt und das neben dem Franchisepartner auch der Franchisegeber Kenntnis über seine Daten erlangt. 

Dies wäre natürlich der rechtlich sicherste Weg und dürfte in einem Bestellprozess entsprechend abbildbar sein. Ein Nachteil ist natürlich, dass der Kunde seine Einwilligung jederzeit widerrufen kann.

Aufgrund eines berechtigten Interesses
Eine Übermittlung von Daten zwischen Franchisegeber und Franchisepartner könnte über Art. 6 Abs. 1, S. 1, lit. f) DSGVO berechtigt sein. Hiernach ist eine Verarbeitung zur Wahrung eines berechtigten Interesses des Verantwortliche oder eines Dritten gerechtfertigt, wenn dieses erforderlich ist und nicht Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Ein berechtigtes Interesse kann in einem rechtlichen als auch wirtschaftlichen Interesse liegen. Hier muss eine Interessenabwägung zwischen den Franchisepartnern auf der einen Seite und den Betroffenen auf der anderen Seite durchgeführt werden. Jedoch müssen bei der Abwägung die datenschutzrechtlichen Grundsätze wie z.B. das Gebot der Datenminimierung beachtet werden. Hierbei kann man zum Ergebnis kommen, dass auch z.B. eine Übertragung von anonymisierten Daten für eine Marktanalyse ausreichend sein kann. Falls Anonymisierungsmaßnahmen nicht vorgenommen werden können, besteht für die Franchisepartner die Gefahr, dass die Interessen der Betroffenen eine Datenübertragung überwiegen. Daher stellt auch der Art. 6 Abs. 1, S. 1, lit. f) DSGVO keine vollkommen verlässliche Rechtsgrundlage dar.

Der Vorteil der Annahme eines berechtigten Interesses ist es, dass weder eine Einwilligung, noch eine AVV notwendig sind.

Es ist sehr gut zu vertreten, dass die Franchisepartner ein berechtigtes Interesse an der Übertragung der Kundendaten zur Ausführung der Bestellung an den Franchisegeber hat. Dies ist vergleichbar mit der Weitergabe der Daten an einen Transportdienstleister wie DHL, DPD etc. Hier liegt gleichfalls ein berechtigtes Interesse zur Weitergabe der Daten vor, da ansonsten die Bestellung nicht ausführbar wäre.

Die Franchisepartner müssen auf diese Datenweitergabe natürlich in ihren jeweiligen Datenschutzerklärungen hinweisen.

Problematischer dürfte dies indes in der Konstellation b) sein, sofern der Franchisegeber ebenfalls Zugriff auf die Kundendaten im gemeinsam genutzten CRM-System hat. Soweit folglich für den Franchisenehmer keine eigene Partition mittels „Chinese Walls“ im CRM-System vorgesehen ist (in dem Fall wäre das Bereitstellen des CRM-Systems unproblematisch, da der Franchisegeber keine Daten der Kunden des Franchisepartners verarbeitet), könnte noch mit einer einheitlichen IT-Struktur innerhalb des Franchisesystems und damit einem berechtigten Interesse an der Datenverarbeitung argumentiert werden.

Allerdings stehen sich Franchisegeber und Franchisepartner als unabhängige Unternehmen gegenüber, die nicht einheitlich gesteuert werden. Selbst wenn der Franchisegeber faktisch die IT-Standards vorgibt und diese in seinen Vorgaben für den Franchisepartner verankert, gibt es keinen unmittelbaren Durchgriff des Franchisegebers auf den Franchisepartner im Hinblick auf die Umsetzung der Standards.

Sollten der Franchisegeber über den Abruf von reinen – nicht personenbezogenen – Umsatzzahlen hinausgehend die Kundendaten des Franchisepartners im Rahmen eines einheitlichen CRMs verarbeiten, so wäre ein entsprechender AVV einem Rückgriff auf die Interessensabwägung vorzuziehen.

Aufgrund einer Auftragsverarbeitung
Als Rechtsgrundlage für die Übertragung von personenbezogenen Daten könnte ferner eine Auftragsverarbeitung nach Art. 28 DSGVO zwischen Franchisepartner und Franchisegeber nach Art. 28 DSGVO herangezogen werden. Zudem müsste der Franchisegeber bei der Verarbeitung von personenbezogener Daten weisungsgebunden vom Franchisepartner handeln. Es ist vorstellbar, dass der Franchisegeber als Auftragsverarbeiter des Franchisepartners auftritt, wenn es um die Bereitstellung von IT-Systemen geht. Der Franchisegeber wäre dann vergleichbar mit einem externen IT-Dienstleister. So könnte eine Übertragung von personenbezogenen Daten gelingen, da der Franchisegeber als Auftragsverarbeiter nicht als Dritter gilt. Eine eigene Nutzung der erlangten Daten durch den Franchisegeber ist in der Rolle als Auftragsverarbeiter aber nicht möglich.

3.
Ergebnis

Wie oben dargelegt bedarf es unseres Erachtens solcher AVVs für die Ausführung der Bestellungen nicht. Sollten der Franchisegeber dies gleichwohl als sichersten Weg wünschen, so ist darauf zu achten, eine entsprechende Klausel im Franchisevertrag zu verankern.

Soweit der Franchisegeber m Rahmen des gemeinsamen CRMs ebenfalls – über die reine Bestellausführung hinausgehenden – Zugriff auf die Kundendaten des Franchisepartners hat, so empfehlen wir den Abschluss eines AVV mit dem jeweiligen Franchisepartner.

Haben Sie Fragen zum Datenschutz im Franchisesystem oder zum Franchise allgemein? Gerne steht Kraemer.Law Ihnen für Rückfragen und der Unterstützung bei der Formulierung von Franchise- und Auftragsverarbeitungsverträgen zur Verfügung.

Termin vereinbaren