Mathias Dehe 26 Jan 2018

Datenschutz in Franchise-Systemen: Ab Mai 2018 kann es teuer werden …

Keine Kommentare Allgemein, Recht, Systemaufbau, Systemsteuerung

Das Thema Datenschutz in Franchise-Systemen wird gerne stiefmütterlich behandelt. Kaum jemand in der Franchise-Zentrale ist mit diesem Thema vertraut. Gerne werden die IT-Abteilung oder ein externer IT-Dienstleister gebeten, diesen Bereich mit zu übernehmen. Doch Datenschutz ist Chefsache! Wer als Franchise-Geber noch nicht begonnen hat, sich dem Datenschutz in seinem System anzunehmen, sollte damit schleunigst beginnen.

Was viele noch nicht verstanden haben: Ab Mai 2018 ändert sich in puncto Datenschutz eine Reihe von Regeln.

  • Die Bußgelder bei Regelverstößen werden extrem viel teuer als bisher.
  • Die Wahrscheinlichkeit, „erwischt“ zu werden, steigt an.
  • Durch die Medienberichterstattung werden die Verbraucher zusätzlich sensibilisiert.

Wer also bisher einen Bogen um die Organisation seines Datenschutzes gemacht hat, sollte die nachstehenden Ausführungen besonders aufmerksam verfolgen.

Erfahren Sie in diesem Blog-Beitrag, wie Sie den Datenschutz in Ihrem Franchisesystem organisieren und welche Chancen sich aus der Neuausrichtung des Datenschutzes für das System ergeben.

Datenschutz

Worum geht es beim Datenschutz überhaupt?

Gerne wird der Datenschutz mit der Datensicherheit verwechselt. Man glaubt, ein geeignetes Datensicherheitskonzept („Wir sichern doch unsere Daten täglich ….“) würde auch die Anforderungen des Datenschutzes erfüllen. Datenschutz hat aber mit dem Thema Datensicherheit nur sehr bedingt etwas zu tun: Bei Datensicherheit geht es darum, dass elektronisch gespeicherte Daten nicht unbeabsichtigt gelöscht, verändert oder an Unbefugte weitergegeben werden. Es stehen also die elektronisch gespeicherten Daten im Zentrum des Interesses.

Das Thema Datenschutz hat eine völlig andere Perspektive: Hier geht es darum, dass jede Person ein Recht darauf hat, dass ihre personenbezogenen Daten nur auf eine ganz bestimmte Art erhoben, verarbeitet oder genutzt werden dürfen.

Im Kern steht, dass personenbezogene Daten vor dem unberechtigten Zugriff geschützt werden müssen – daher der Begriff „Datenschutz“.

 

Was ändert sich ab Mai 2018?

Bisher sind die Regeln, wie solche Daten geschützt werden müssen, im Bundesdatenschutzgesetz (BDSG) zusammengefasst. Im Rahmen einer EU-Vereinheitlichung wurde bereits 2016 beschlossen, dass ab Mai 2018 EU-einheitliche Regeln zu gelten haben. Diese sind in der Datenschutzgrundverordnung (DS-GVO) zusammengefasst. Ab dem 25. Mai 2018 müssen sie eingehalten werden. Am gleichen Tag tritt dann auch ein neues BDSG in Kraft. Ab diesem Zeitpunkt wird also der gesamte Themenbereich Datenschutz neu geregelt sein.

 

Welche Franchise-Systeme sind von der Neuregelung betroffen?

Alle Unternehmen, also auch alle Franchise-Systeme sind von der DS-GVO betroffen! In den Medien wird manchmal behauptet, dass nur größere Unternehmen ab einer Mitarbeiterzahl von 10 Personen betroffen wären. Dies ist ein Missverständnis. An die Datenschutzregeln müssen sich auch kleinere Unternehmen halten.

Sobald ein Unternehmen (egal ob Franchise-Geber oder Franchise-Nehmer) mehr als 9 Mitarbeiter hat, muss dieses auch einen Datenschutzbeauftragten bestellen und den Behörden melden. In bestimmten Fällen (z. B. wenn im System Gesundheitsdaten genutzt werden) ist sogar auch bei kleineren Unternehmen ein Datenschutzbeauftragter Pflicht!

Datenschutz ist also ein Thema für jedes Franchise-System.

Es gibt allerdings auch eine gute Nachricht: Bisher musste in einem Franchise-System jedes einzelne Unternehmen (Systemzentrale, jeder Partnerbetrieb) einen Datenschutzbeauftragten bestellen. Die neue DS-GVO eröffnet die Möglichkeit, einen unternehmensgruppenweiten Datenschutzbeauftragten zu bestellen. Ab Mai 2018 können Franchise-Geber also einen zentralen Datenschützer installieren und dieses Thema für die angeschlossenen Partnerbetriebe mit abdecken.

 

Welche Daten sind mit den Regeln der DS-GVO „geschützt“?

Grundsätzlich betrifft der Datenschutz nur Daten von natürlichen, lebenden Personen. Alle Unternehmensdaten sind somit vom Datenschutz nicht betroffen. Darüber hinaus müssen die Daten personenbezogen sein. Es muss also ein Bezug zwischen der Person und ihren Daten herstellbar sein. Dabei geht es nicht darum, ob diese Daten elektronisch verarbeitet werden, sondern nur, ob sie „strukturiert“ vorliegen. Ein Karteikasten mit Kundenakten ist ebenso betroffen wie der Aktenschrank mit Personalakten der Mitarbeiter oder das Archiv mit Stapeln alter Bewerbungsmappen.

Auch die Inhalte der Daten gehen über den Namen und die Anschrift weit hinaus: Telefonnummern, E-Mail-Adressen, Zeugnisse, Kfz-Kennzeichen, Konto- und Kreditkarteninformationen – alle Daten sind personenbezogen und daher nach DS-GVO zu schützen. Franchise-Geber müssen also in ihrem System nicht nur den Umgang mit Kundendaten prüfen, sondern auch den mit Daten über Mitarbeiter, Franchise-Partner, Franchise-Interessenten und Lieferanten.

Besonders sensible Daten wie z. B. ethnische Herkunft, religiöse Überzeugungen, Gewerkschaftszugehörigkeit oder Gesundheitsdaten werden von der DS-GVO unter einen besonderen Schutz gestellt. Unternehmen, die solche Daten erheben oder verarbeiten, müssen noch höhere Anforderungen an die Datenschutzorganisation erfüllen als andere Betriebe.

 

Wer ist verantwortlich für den Datenschutz?

Grundsätzlich ist das Unternehmen für den Datenschutz verantwortlich, das die Daten erhebt oder verarbeitet. Konkret ist die Geschäftsführung in der Haftung gegenüber den Behörden. Diese Haftung lässt sich auch nicht auf einen Datenschutzbeauftragten „abwälzen“. Denn der Datenschutzbeauftragte im Unternehmen haftet zwar auch (für die ordnungsgemäße Organisation des Datenschutzes), nicht aber für die Handlungen des Unternehmens.

In einem Franchise-System ist also jeder Franchise-Partner für die Einhaltung des Datenschutzes gegenüber Kundendaten zunächst selbst verantwortlich.

Komplizierter wird es, wenn personenbezogene Daten des Franchise-Betriebes durch die Systemzentrale weiterverarbeitet werden. Dann ist vor der Weitergabe an die Systemzentrale eine sogenannte ADV-Vereinbarung abzuschließen. ADV bedeutet „Auftrags-Datenverarbeitung“. Dabei handelt es sich im Falle eines Franchise-Systems um eine inhaltlich in der DS-GVO präzise beschriebene Vertragsstruktur zwischen Franchise-Partner und Systemzentrale.

Wurde bereits eine ADV-Vereinbarung vorab geschlossen, gilt die Systemzentrale (nur aus der Perspektive des Datenschutzes) als „Außenstelle“ des Franchise-Nehmers. Somit verbleibt die Verantwortung für den gesamten Verarbeitungsprozess beim Franchise-Nehmer. Sollte die ADV-Vereinbarung aber nicht rechtskonform abgeschlossen sein, werden die Datenschutzbehörden bei einer späteren Beurteilung der Franchise-Zentrale eine unerlaubte Datenverarbeitung unterstellen – und die entsprechenden Bußgeldern als Konsequenz verhängen.

Häufig wird beim Einsatz einer zentralen systemweiten Datenverarbeitung die Systemzentrale diese Daten gar nicht selbst in einem Rechner in der Zentrale verarbeiten, sondern dies durch geeignete Provider („Cloud-Computing“) erledigen lassen. Dann muss die „ADV-Kette“ in Richtung Provider durch eine weitere ADV verlängert werden. Im Ergebnis soll sich der Kunde bei der verantwortlichen Stelle (also dem Franchise-Nehmer) sicher sein können, dass die personenbezogenen Daten nicht unbefugt verwendet werden.

 

Welche Rechte hat der Inhaber der personenbezogenen Daten?

Generell ist im Bereich des Datenschutzes ein Grundprinzip des Rechts auf den Kopf gestellt. Fast überall gilt: „Was nicht verboten ist, ist erlaubt!“. Im Datenschutz sind die Rechte des Inhabers viel besser geschützt. Hier gilt: „Die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten ist grundsätzlich verboten; es sei denn, durch Einhaltung der DS-GVO wird eine (eng umrissene) Erlaubnis erteilt.“ In der Regel muss der Betroffene vorher eine Einwilligung erteilen, damit  der Franchise-Nehmer die Daten überhaupt verarbeiten darf. Über die Rechte und Konsequenzen aus der Einwilligung muss der Betroffene vorher aufgeklärt werden.

Konkret bedeutet dies dann auch, dass der Franchise-Nehmer nicht beliebig viele Daten einfach einsammeln kann, um sie später eventuell zu verwenden. Das Grundprinzip des Datenschutzes geht von absoluter Datensparsamkeit aus: Nur diejenigen Daten, die für einen bestimmten Zweck zwingend gebraucht werden, dürfen überhaupt erhoben werden („Need to have“-Prinzip). Dieser Zweck darf später auch nicht einfach erweitert werden. So dürfen z. B. Daten von Interessenten an einem speziellen Angebot des Franchise-Nehmers nicht einfach für einen allgemeinen Newsletter weiterverwendet werden. Jede Person hat einen Anspruch darauf, dass der Franchise-Nehmer ihr mitteilt, welche Daten zu welchem Zweck erhobenwurden, wohin diese Daten evtl. weitergegeben wurden und wann sie spätestens gelöscht werden.

Der Franchise-Nehmer hat organisatorisch sicherzustellen, dass nur diejenigen Mitarbeiter auf diese Daten zugreifen können, die für die Zweckerfüllung notwendig sind („Need to Know“-Prinzip). Unbefugten muss der Einblick oder Zugang zu diesen Daten verwehrt werden („Need to see“-Prinzip). Sobald der Betroffene der einmal erteilten Einwilligung widerspricht, muss der Franchise-Nehmer dessen personenbezogenen Daten löschen oder zumindest sperren. Darüber hinaus muss sichergestellt werden, dass weitergegebene Daten ebenfalls beim Empfänger gelöscht bzw. gesperrt werden.

Ein weiteres wichtiges Recht ist das Recht auf Herausgabe der Daten in maschinenlesbarer Form. Hiermit ist gemeint, dass z. B. ein Kunde verlangen kann, dass seine Daten so übergeben werden, dass er anschließend bei einem anderen Marktteilnehmer (also z. B. einem Wettbewerber des Franchise-Nehmers!) diese Daten wieder einsetzen kann.  Die Herausgabe der Daten als PDF erfüllt übrigens die Anforderung der Maschinenlesbarkeit nicht.

Letztlich hat der Betroffene natürlich auch das Recht, über erhebliche Datenpannen, die seine Daten tangieren, informiert zu werden. Hierzu muss der Franchise-Nehmer (oder bei Unternehmensgruppen-Datenschützern die Systemzentrale) einen Ablaufprozess etablieren und dokumentieren, der die Information innerhalb von 72 Stunden sicherstellt.

 

Was ist operativ zu tun, um die Datenschutzvorgaben einzuhalten?

Für Franchise-Systeme empfiehlt sich das nachfolgende Vorgehen:

  • Der Franchise-Geber muss sich zunächst einen Überblick verschaffen, in welchen Bereichen er von der neuen DS-GVO betroffen ist.
  • Dann ist sicherzustellen, dass alle Mitarbeiter, die in die Verarbeitung personenbezogener Daten involviert sind, entsprechend geschult und belehrt werden.
  • Es muss entschieden werden, ob ein interner oder externer Datenschutzbeauftragter bestellt und nach der Bestellung den Behörden gemeldet wird.
  • Es muss eine Datenschutzstrategie für die Verbindung zwischen Franchisegeber und -Nehmer entwickelt werden und ggf. eine gruppenübergreifende Datenschutzorganisation aufgebaut werden.
  • Alle Einverständnisermächtigungen sind auf Aktualität zu überprüfen. Alle Dienstleistungsverträge sind darauf zu überprüfen, ob eine ADV-Tätigkeit vorliegt und die entsprechenden ADV-Vereinbarungen vorhanden und aktuell sind.
  • Die Datenschutzdokumentation (Datenschutzstrategie, Liste der Verarbeitungstätigkeiten, Risikoanalysen, technische und organisatorische Maßnahmen, Prozessbeschreibungen, …) muss erstellt bzw. aktualisiert werden. Die formalen Vorgaben bei der Dokumentation sind sehr hoch, allerdings gibt es mittlerweile Software-Tools, mit denen die Datenschutzorganisation strukturell und organisatorisch unterstützt wird.
  • Das Thema „Datensicherheit“ ist rund um die personenbezogenen Daten zu überprüfen: Können die aktuellen Datensicherheitsmaßnahmen wirksam verhindern, dass personenbezogene Daten verloren, verfälscht oder Unbefugten zugänglich gemacht werden? Das Ergebnis dieser Untersuchung ist ebenfalls zu dokumentieren, negative Erkenntnisse müssen durch Maßnahmenlisten unterlegt und bearbeitet werden.

 

Worin besteht die besondere Herausforderung für Franchise-Nehmer und Franchise-Geber?

Die Einhaltung des Datenschutzes erfordert zunächst eine umfassende Kenntnis der notwendigen Regeln. Dieses Wissen wird aktuell durch entsprechende Seminare vermittelt, die aber aufgrund der Aktualität derzeit sehr häufig bereits ausgebucht sind. Darüber hinaus ist die Zeit, um die sehr umfangreiche Dokumentation des Datenschutzes im Betrieb und im gesamten System aufzubauen, bereits sehr knapp.

Die Geschäftsleitung eines Franchise-Systems hat die Möglichkeit, ein internes Projekt „Datenschutz nach DS-GVO“ zu starten oder auch einen externen Datenschutzbeauftragten zu buchen, der das Projekt steuert. Entscheidend ist jedoch, sich möglichst schnell einen Überblick über die offenen Punkte des Datenschutzes zu verschaffen. Hierzu gibt es entsprechende Checklisten, die von Datenschutzbehörden und Verbänden zur Verfügung gestellt werden (z.B. https://www.lda.bayern.de/media/dsgvo_fragebogen.pdf).

 

Was passiert, wenn ich die Regeln des DS-GVO nicht einhalte?

Die Strategie des „Aussitzens“ birgt ein ganz erhebliches Risiko, das sich ebenfalls aus der neuen DS-GVO ergibt: Bei der Erstellung der DS-GVO hatte man sich nämlich auch Gedanken darüber gemacht, wie man besser als in der Vergangenheit sicherstellen kann, dass die Datenschutzregeln eingehalten werden. Im Ergebnis wurde eine Regelung geschaffen, die gerade für Franchise-Systeme sehr unangenehm ist:

  1. Der Bußgeldrahmen wurde massiv erhöht (von 300.000 € auf 20 Mio. €).
  2. Die Berechnungsgrundlage für das Bußgeld wurde geändert: Bei der Höhe des Bußgeldes wird zukünftig der weltweite Gruppenumsatz herangezogen und davon 4 Prozent als Bußgeldhöhe definiert.

Das bedeutet konkret: Verstößt ein Franchisegeber ab Mai 2018 gegen die DS-GVO, ermittelt sich die Bußgeldhöhe aus dem weltweiten Systemumsatz aller angeschlossenen Franchise-, Lizenz- und Eigenbetriebe.

Bei einem Umsatz von 100 Millionen Euro ergäbe sich beispielweise ein Bußgeld von 4 Millionen Euro!

Dieses Bußgeldniveau kann nur dann reduziert werden, wenn die Datenschutzbehörden erkennen, dass die Systemzentrale Schritte unternommen hatte, das notwendige Datenschutzniveau herzustellen (nur gegen Vorlage entsprechender Dokumentationen möglich).

Schließlich möchte ich noch einen letzten Hinweis geben: Sobald ein einziger Betroffener (Ex-)Kunde, (Ex-)Mitarbeiter, (Ex-)Partner oder eine andere betroffene Stelle (Verbraucherschützer etc.) bei der Datenschutzbehörde einen Hinweis auf den Verdacht der missbräuchlichen Datenverarbeitung gibt, MUSS die Behörde ermitteln. Dann könnte genau jener Stein ins Rollen kommen, auf dem am Ende ein existenzbedrohendes Bußgeld steht.

Der Stichtag für die Einhaltung der DS-GVO ist der 24. Mai 2018 – dann sollten Sie das Thema Datenschutz im Griff haben …

Sie haben Fragen oder Anmerkungen zu diesem Thema? Dann kontaktiere Sie mich unter mathias.dehe@dehe-consulting.de

Alle Infos unter: http://www.dehe-consulting.de

 

Bildquelle: fotolia / © MK-Photo

Tags: , , , ,
Teilen
Ihren XING-Kontakten zeigen
Mathias Dehe
Related Posts
Keine Rückmeldung zu “Datenschutz in Franchise-Systemen: Ab Mai 2018 kann es teuer werden …”

Hinterlasse ein Kommentar