--- name: datenschutz-crm-arbeitsrecht description: "Datenschutz im Franchisesystem regeln: gemeinsame Verantwortlichkeit nach Art. 26 DSGVO für CRM und Kundendaten, Auftragsverarbeitungsverträge nach Art. 28 DSGVO, Rechenschaftspflichten und Bussgeldrisiken. Perspektive Franchisegeber und Franchisenehmer im Franchiserecht." --- # Franchiserecht: Datenschutz, CRM, Kundendaten und gemeinsame Verantwortlichkeit ## Arbeitsweg - Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht? - Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich). - Tragende Normen verifizieren: GWB §§ 1, 2, 18, 19, 20, 33, 35, 36, AEUV Art. 101, 102, FKVO 139/2004; BGB §§ 311 ff., 305 ff., HGB §§ 84 ff., MarkenG, EU-Vertikal-GVO 2022/720, WettbR — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate. - Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail). - Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis. ## Mandantenfall Ein Franchisesystem nutzt ein zentrales CRM-System, in das alle Franchisenehmer Kundendaten einpflegen. Es ist unklar, ob der Franchisegeber Verantwortlicher, Auftragsverarbeiter oder gemeinsam Verantwortlicher mit den Franchisenehmern ist. Eine Datenschutzaufsichtsbehörde fragt nach oder ein Kunde macht Auskunftsrechte geltend. ## Erste Schritte 1. Datenflüsse im System kartieren: Welche Kundendaten werden erhoben, wo gespeichert, wer hat Zugriff, welche Dritte erhalten Daten? 2. Verantwortlichkeit bestimmen: Franchisegeber als alleiniger Verantwortlicher, Franchisenehmer als alleiniger Verantwortlicher oder gemeinsame Verantwortlichkeit nach Art. 26 DSGVO? 3. Vertragliche Grundlagen prüfen: Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO oder Vereinbarung über gemeinsame Verantwortlichkeit nach Art. 26 DSGVO? 4. Datenschutzerklärungen aller Touchpoints prüfen: Website, Kassenbon, App, Treueprogramm. 5. Technisch-organisatorische Massnahmen (TOMs) nach Art. 32 DSGVO bewerten. 6. Auskunfts-, Lösch- und Portabilitätsanfragen: Klären, wer für Betroffenenanfragen zuständig ist. ## Rechtsrahmen - Art. 4 Nr. 7 DSGVO: Definition Verantwortlicher - Art. 26 DSGVO: Gemeinsame Verantwortlichkeit (Joint Controllership) - Art. 28 DSGVO: Auftragsverarbeitung - Art. 32 DSGVO: Technisch-organisatorische Massnahmen - Art. 83 DSGVO: Bussgeldrahmen (bis 4 % des weltweiten Jahresumsatzes) - §§ 38 ff. BDSG: Aufsichtsbehörden und nationale Ergänzungen ## Prüfraster - Ist die Zweckentscheidung über die Kundendatenverarbeitung beim Franchisegeber, beim Franchisenehmer oder bei beiden? - Liegt eine Vereinbarung nach Art. 26 DSGVO vor, die Zuständigkeiten und Informationspflichten regelt? - Haben alle Franchisepartner einen datenschutzkonformen AVV nach Art. 28 DSGVO abgeschlossen? - Sind die Datenschutzerklärungen der Franchisees korrekt und vollständig (Art. 13 und 14 DSGVO)? - Besteht ein konzernähnliches Datentransfer-Problem, wenn Franchisedaten in ein Drittland übermittelt werden? - Wie werden Betroffenenanfragen im System koordiniert (zentraler Kontaktpunkt oder dezentral)? - Gibt es ein Verarbeitungsverzeichnis nach Art. 30 DSGVO auf Franchisegeber- und Franchisenehmersebene? ## Fallstricke - Franchisegeber und -nehmer gehen beide davon aus, der andere sei Verantwortlicher; niemand kümmert sich um Betroffenenanfragen. - CRM-System des Franchisegebers verarbeitet Daten ohne AVV; Franchisegeber ist Auftragsverarbeiter ohne Vertrag. - Treueprogramm sammelt Daten über das Franchisesystem hinaus und überträgt diese an Muttergesellschaft ohne Rechtsgrundlage. - Löschfristen für Kundendaten sind nicht definiert; Daten werden unbegrenzt gespeichert. ## Quellen - https://gesetze-im-internet.de/dsgvo/art_26.html - https://gesetze-im-internet.de/dsgvo/art_28.html - https://gesetze-im-internet.de/dsgvo/art_32.html - https://gesetze-im-internet.de/dsgvo/art_83.html - https://gesetze-im-internet.de/bdsg_2018/ - https://gesetze-im-internet.de/dsgvo/art_4.html ## Vertiefung Die EuGH-Entscheidung Wirtschaftsakademie Schleswig-Holstein (C-210/16) und Fashion ID (C-40/17) haben den Begriff der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO erheblich erweitert. Danach können auch wirtschaftlich eigenständige Unternehmen gemeinsam Verantwortliche sein, wenn sie gemeinsam über Zweck und Mittel einer Datenverarbeitung entscheiden. Im Franchisekontext ist besonders kritisch, wer die Entscheidung über den Einsatz von CRM-Systemen und deren Konfiguration trifft. Wenn der Franchisegeber das CRM-System vorschreibt und konfiguriert, während der Franchisenehmer die Daten eingibt, liegt eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO nahe. ## Praxishinweise - CRM-System-Einführung immer mit DSGVO-Folgenabschätzung nach Art. 35 DSGVO beginnen. - Art.-26-Vereinbarung vor Einsatz des CRM-Systems abschliessen; keine nachträgliche Regulierung. - Kundendaten-Eigentum im Franchisevertrag klar regeln: Wessen Daten sind es nach Vertragsende? - Löschfristen für Kundendaten in einem Verarbeitungsverzeichnis nach Art. 30 DSGVO dokumentieren. - Datenschutz-Audits in das Franchise-Audit-Programm integrieren.