06.02.2018

Datenschutz in Franchise-Zentralen: Was konkret zu tun ist…

 

 

Fast jeder hat mittlerweile davon gehört: Im Bereich des Datenschutzes werden sich im Mai 2018 ein paar Dinge ändern. In Artikeln, Fachbeiträgen und Seminaren kann man lesen, welche neuen Anforderungen die sogenannte „Datenschutz-Grundverordnung“ an alle Unternehmen stellt. Aber nur wenige Artikel erklären konkret und praxisnah, was denn nun im Unternehmen zu tun ist. Diese Lücke soll der nachfolgende Beitrag schließen.

 

 

Hintergrundwissen zum Thema Datenschutz in Unternehmen

Bevor wir aber in die Praxis abtauchen, hier noch einmal der Hintergrund zum Thema „Datenschutz“: Zunächst wird im Unternehmen der Datenschutz gerne mit Datensicherheit verwechselt. Dabei sind das zwei getrennte „Baustellen“: Die Datensicherheit konzentriert sich darauf, dass vorhandene Daten nicht unbeabsichtigt oder auch vorsätzlich zerstört, gelöscht, verfälscht oder manipuliert werden. Der Fokus liegt also auf den Daten bzw. deren Hard- und Software.

Der Datenschutz hingegen schützt alle Menschen davor, dass seine/ihre personenbezogenen Daten unrechtmäßig verarbeitet werden. Es geht also darum, dass die personenbezogenen Daten nur dann erhoben, verarbeitet, ausgewertet, gespeichert und weitergegeben werden dürfen, wenn hierzu die gesetzlichen Bestimmungen eingehalten werden.

In Deutschland waren die Spielregeln des Datenschutzes im Bundesdatenschutzgesetz (BDSG) seit vielen Jahren geregelt. Eigentlich hätten sich also auch früher schon alle Unternehmen mit dem Thema auseinandersetzen müssen. Aber dieses Thema wurde bisher eher stiefmütterlich behandelt. Denn zum einen waren die Sanktionen bei Verstößen gegen den Datenschutz eher harmlos (selbst für große Unternehmen max. 300.000 Euro), zum anderen mussten die Betroffenen erst einmal den Beweis erbringen, dass ihre Daten nicht ordnungsgemäß verarbeitet wurden. Dieser Nachweis war oft sehr schwierig.

 

 

DS-GVO: Das ändert sich ab Mai 2018

Im Rahmen einer EU-Initiative wurde dann im Jahr 2016 eine neue Regelung EU-weit verabschiedet. Diese neue Regelung, die Datenschutz-Grundverordnung (DS-GVO) wurde im Mai 2016 verabschiedet und gilt nach einer 2-jährigen Übergangsfrist ab dem 25. Mai 2018 in allen EU-Ländern einheitlich. Um dem Datenschutz einen höheren Stellenwert einzuräumen, hat die EU zwei für alle Unternehmen wesentliche Änderungen vorgenommen:

 

  1. Der Bußgeldrahmen wurde massiv erhöht (max. 20 Mio. Euro, für große Unternehmen 4% vom weltweiten Jahresumsatz).
  2. Was aber viel gravierender ist: Die Beweislast wurde umgedreht. Das heißt, früher musste der Betroffene nachweisen, dass seine Daten nicht ordnungsgemäß verarbeitet wurden.

 

Ab Mai 2018 müssen alle Unternehmen den Beweis antreten, dass sie ordnungsgemäß gehandelt haben, sobald irgendjemand (z.B. ehemaliger Mitarbeiter/ Franchisepartner/ Kunde) den Verdacht äußert, dass seine Daten nicht ordnungsgemäß verarbeitet wurden.

Dies hat weitreichende Konsequenzen auf die Organisation des Datenschutzes. Die Hauptaufgabe besteht nämlich nun nicht mehr darin, die Datenschutzregeln einzuhalten, sondern darüber hinaus die Einhaltung auch auf eine Art zu dokumentieren, die für die Datenschutzbehörden verständlich ist. Es entsteht sozusagen eine „Datenschutz-Buchhaltung“ im Unternehmen, die einen davor schützt, im Falle einer Verdachtsüberprüfung mit einem existenzbedrohenden Bußgeld belegt zu werden.

 

 

Was ist konkret zu tun, um die gesetzlichen Anforderungen der DS-GVO zu erfüllen?

In einem ersten Schritt sollten Sie die Führungskräfte, Geschäftsleitung, IT,... darüber informieren, dass Handlungsbedarf besteht und Sie vorhaben, ein Datenschutz-Projekt im Unternehmen zu starten.

Danach sollten Sie überprüfen, in welchen Bereichen Sie betroffen sind. Dazu gibt es mehrere Wege: Entweder wird ein Mitarbeiter im Unternehmen durch entsprechende Seminarteilnahme qualifiziert, diese Überprüfung durchzuführen.

Sie können auch Fragebögen aus dem Internet downloaden (hier ein Beispiel von der bayrischen Datenschutzbehörde. Oder Sie lassen die Überprüfung von einem externen Berater durchführen, der sich mit dieser Materie auskennt.

Im Unternehmen wird dazu der Ist-Zustand der Datenschutz-Umsetzung erhoben. Insbesondere die verwendeten Prozesse, in denen personenbezogene Daten verarbeitet werden, stehen im Fokus:

 

  • Sind diese ausreichend beschrieben/dokumentiert?
  • Ist der Zweck der Verarbeitung und die Rechtsgrundlage geklärt und dokumentiert?
  • Werden besonders geschützte Daten (z.B. Gesundheitsdaten, Infos über Religionszugehörigkeit, …) verarbeitet?
  • Kann die eingesetzte IT die Betroffenenrechte umsetzen (Löschung, Herausgabe, Sperrung, …)?
  • Sind die Mitarbeiter, Freiberufler und Aushilfs-/Teilzeitkräfte geschult und belehrt?

 

Am Ende der Überprüfung werden Sie wissen, in welchem Umfang Sie den Datenschutz im Unternehmen aktualisieren müssen.

Ab einer gewissen Unternehmensgröße (über neun Personen) haben Sie die Verpflichtung, einen Datenschutzbeauftragten zu benennen. Dies kann ein eigener Mitarbeiter sein, der aber wegen einer möglichen Interessenkollision nicht der Geschäftsleitung angehören oder IT-Leiter sein darf. Sie können aber auch einen externen Dienstleister damit beauftragen, wie das eventuell ja bereits auch bei Betriebsärzten oder Unfallschutz schon bei Ihnen praktiziert wird. Der Datenschutzbeauftragte sollte nach seiner Bestellung dann allen Mitarbeitern benannt werden, er ist dann zukünftig der erste Ansprechpartner für alle weiteren Aufgaben und Fragen.

Nun beginnt die eigentliche Arbeit: Sie arbeiten Schritt für Schritt eine Liste aller Datenverarbeitungsvorgänge einzeln ab und dokumentieren jeweils deren Prozess, Zweck, Verantwortlichkeit,... Mittlerweile gibt es für die Dokumentation des kompletten Datenschutzbereiches entsprechende Standard-Software zu mieten oder zu kaufen. Über die Dokumentation Ihrer Datenverarbeitungsvorgänge hinaus entwickeln Sie dann ein Datenschutzmanagementsystem. Dieses System enthält nicht nur die Beschreibung aller Strategien und operativen Handlungen rund um den Datenschutz, sondern muss auch nachprüfbare Elemente enthalten.

Um es an einem Beispiel zu verdeutlichen: Es ist nicht ausreichend, im Datenschutzmanagement zu dokumentieren, dass alle Mitarbeiter geschult werden. Sie müssten darüber hinaus dann einen Schulungsplan, das Curriculum der Schulung sowie die unterzeichneten Teilnehmerlisten jeder einzelnen Schulung für eine Überprüfung aufbewahren.

 

 

Denn wie bereits oben gesagt: Sie müssen in Zukunft nachweisen, dass Sie den Datenschutz in Ihrem Unternehmen rechtskonform umgesetzt haben, daher ist „Warten, bis der Prüfer kommt…“ keine gute Strategie. Der Prüfer würde dann nämlich sehr schnell feststellen, dass vielleicht die geplanten Datenschutz-Maßnahmen o.k. sind; da er aber auch überprüft, ob Sie sich an die Vorschriften in der Vergangenheit gehalten haben, braucht er entsprechende Nachweise.

 

 

Daher ist neben dem Aufbau des Datenschutz-Managementsystems auch die Dokumentation neu zu organisieren. Es geht darum, zukünftig den Nachweis für rechtskonformes Verhalten zweifelsfrei zu belegen. Denn die Unternehmen stehen in der Beweislast, nicht die Betroffenen.

Ein besonderes Thema im Rahmen der Analyse aller Datenverarbeitungsvorgänge ist der Nachweis über die Rechtmäßigkeit der Datennutzung: Denn in der DS-GVO wird ein Schwerpunkt darauf gelegt, dass die Betroffenen vor der Verarbeitung über alle Betroffenenrechte aufgeklärt wurden und der Zweck der Verarbeitung genau eingehalten wird.

Auch hier ein Beispiel: Wenn ein Interessent im Rahmen einer Werbeaktion zustimmt, über eine bestimmte Aktion informiert zu werden und hierfür z.B. seine Mailadresse angibt, darf das Unternehmen dann nicht einfach diese Mailadresse nutzen, um ihm dann später immer wieder einen Newsletter zu schicken. Denn der Zweck der Erlaubnis war ja (nur) die Information über eine Aktion, nicht die Zustimmung zur Vereinbarung eines Newsletter-Abos.

Besonders komplex wird es dann, wenn in dem Unternehmen die personenbezogenen Daten nicht „inhouse“ verarbeitet werden, sondern externe Dienstleister die Daten bekommen. Der Trend zum Cloud-Computing hat dazu geführt, dass mittlerweile viele Daten den geschützten Raum des Unternehmens verlassen und bei Servicepartnern gespeichert und gegebenenfalls verarbeitet werden. Auch hierfür sind in der DS-GVO entsprechende Regeln hinterlegt, an die sich der Unternehmer halten muss (sogenannte „Auftragsverarbeiter-Vereinbarungen, kurz „ADV´s“). Eine der Aufgaben des Datenschutzbeauftragten besteht daher darin, mit allen Dienstleistern, die für das Unternehmen personenbezogene Daten speichern oder verarbeiten, entsprechende ADV´s zu vereinbaren.

Letztlich gehört es für den Datenschutzbeauftragten auch zu seinen Aufgaben, für jede Verarbeitung zu überprüfen (und zu dokumentieren!), dass für die personenbezogenen Daten die notwendigen Datensicherheitsmaßnahmen geplant wurden und diese auch umgesetzt und eingehalten werden.

Daher ist das Datenschutzprojekt nicht damit beendet, dass alle Verarbeitungen dokumentiert wurden und ein Datenschutzmanagementsystem etabliert wurde, die Tätigkeit verlagert sich nach dem ersten großen Aufwand hin zu laufenden Kontroll- und Weiterentwicklungs-Tätigkeiten. Daher hört für den DSB seine Arbeit nie auf.

 

 

Besonderheiten für Franchise-Systeme

In Franchisezentralen gibt es neben den oben beschriebenen Maßnahmen ein weiteres, franchisespezifisches Thema zu bearbeiten: Die datenschutzrechtliche Verbindung zwischen den einzelnen Franchisepartnern und der Systemzentrale. Denn je nach Ausgestaltung sind mehrere Alternativen denkbar: Die Franchisezentrale kann die Strategie verfolgen, sich selbst möglichst weitgehend aus der Haftung für Datenschutzverstöße der Franchisenehmer herauszuhalten. Dann darf es aber auch keinen Zugriff auf personenbezogene Daten des Franchisenehmer-Kunden geben. Außerdem kann dann die Systemzentrale nur eingeschränkt reagieren, wenn Verstöße eines Franchisenehmers öffentlichkeitswirksam werden und das Markenimage gefährden.

Alternativ kann die Systemzentrale das Datenschutzmanagement-System für die Franchisepartner vorgeben und vertraglich bestimmen. Dann ist das Datenschutzniveau erfahrungsgemäß im System deutlich höher. Allerdings birgt diese Strategie die Gefahr, dass bei Bußgeldern ein höherer Haftungsrahmen zur Anwendung kommt (Bemessungsgrundlage: Gruppenumsatz). Eine weitere Variante ist die Bestellung eines systemweiten Datenschutzbeauftragten in der Zentrale, dessen Kosten dann auf alle Partnerbetriebe umgelegt werden. Auch hier steht dem Vorteil eines kompetenten Experten für alle Betriebe der Nachteil eines höheren Bußgeldrahmens entgegen. Welche Alternative für das einzelne System am geeignetsten ist, muss die Geschäftsleitung entscheiden.

 

 

Fazit

Die konkrete Umsetzung der neuen Datenschutz-Grundverordnung erfordert einen hohen Analyse- und Dokumentationsaufwand. Hierfür ist nur noch bis zum 25. Mai 2018 Zeit. Danach drohen den Zentralen wegen der Beweislastumkehr und dem massiv erhöhten Bußgeldrahmen erhebliche Sanktionen. Daher ist für die Etablierung des Datenschutz-Projektes Eile geboten.

Autor:

Glossar