Ratgeber & Podcast

für Franchisezentralen

003 – Impulsgespräch: Datenschutz im Franchise-Rekrutierungsprozess

003 – Impulsgespräch: Datenschutz im Franchise-Rekrutierungsprozess

Was ist von dem gesamten Rekrutierungsprozess von dem Kontakt eines anonymen Menschen bis hin zur Aufnahme oder Ablehnung des Franchisevertrags zu beachten?

Worum geht es eigentlich im Datenschutz- warum entsteht momentan so ein Hype- was ist das Ziel der DSVGO?

Willkommen zum Allerersten IMPULSGESPRÄCH im FranchiseUNIVERSUM des FranchisePORTAL. Mein Name ist Steffen Kessler und ich helfe Euch zu mehr Wachstum und Erfolg, indem wir gemeinsam die passenden Menschen zu erfolgreichen und zufriedenen Franchisepartnern machen. In meinen Worten heißt das, indem wir unser Glück mit anderen teilen.

Das Impulsgespräch ist eine Diskussionsrunde zum gegenseitigen Erfahrungsaustausch. Ziel ist es, Euch in den Systemzentralen wertvolle Impulse zur Verfügung zu stellen und die Möglichkeit zu geben, im Vorfeld eines Impulsgespräches oder live während eines Impulsgespräches über Facebook-Kommentare Fragen zu stellen.

Wir wollen uns ganz gezielt den Datenschutz bei der Franchisenehmergewinnung zur Brust nehmen. Spannende Antworten und Einblicke liefern Grischa Kehr (Jurist), Mathias Dehe (Datenschutzbeauftragter mit Struktur-, Prozessfokus in Systemzentralen) und Thorsten Wälde (zertifizierter Datenschutzbeauftragter).

Als Audio:

Als Video:

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Vorstellung der Teilnehmer

Mathias Dehe von Dehe- Consulting berät vor allem aus organisatorischer Sicht und zeigt wie man ein Datenschutzprojekt in seiner Systemzentrale umsetzt und wie sich die Franchisenehmer mit dem Datenschutzkonzept auseinandersetzen können.

Grischa Kehr ist Anwalt beim Franchiseteam von BUSSE & MIESSEN. Sein Beratungsschwerpunkt ist Franchiserecht auf Franchisegeberseite. Er befasst sich seit 1 ½ Jahren mit dem Thema Datenschutzrecht- Beratung von Franchisegebern im Datenschutzrecht.

Thorsten Wälde von Digimojo kommt aus dem Bereich Beratung im Inbound Marketing. Er ist zertifizierter Datenschutzbeauftragter und berät Unternehmen bei der Umsetzung von Datenschutzmanagementsystemen im Hinblick auf die DSVGO. In dem Kontext beschäftigt er sich auch mit dem Thema Informationssicherheit oder kümmert sich darum, wenn ältere Strukturen DSVGO konform abgebildet werden sollen.

Die DSVGO im Wesentlichen

Für jede Datenverarbeitung soll es eine eigene Rechtfertigungsgrundlage geben. Die DSVGO baut auf dem Bundesdatenschutzgesetz auf. Zwei Komponenten sind im neuen Recht hinzugekommen.

  • Erheblich höhere Bußgelder auch für organisatorische Mängel bei der Gewährleistung des Datenschutzes.
  • Für Internetseitenbetreiber: Verbandsklagebefugnis (bisher nur aus dem Bereich Verbraucherschutzrecht bekannt) in Zukunft auch fürs   Thema Datenschutz. Nicht nur Aufsichtsbehörden werden sich mit dem Thema befassen, sondern auch Abmahnverbände werden Kontakt aufnehmen können.
  • Prinzip DSVGO: Datenverarbeitung kann nur erfolgen, wenn ein berechtigtes Interesse besteht, zur Erfüllung eines Vertrages und wenn eine Einwilligung vorliegt. Es muss sich um eine informierte und freiwillige Einwilligung handeln. Eine Datenschutzerklärung muss in Zukunft vorgehalten werden.

Was bedeutet freiwillig für Systemzentralen? Vor allem in Bezug auf Vertragsanbahnung?

Wenn man personenbezogene Daten bekommt, gilt zu klären wie es im Unternehmen abläuft:

  • Wer bekommt die Daten?
  • Wie werden sie gespeichert?
  • Wo werden sie gespeichert?
  • Wie lange werden sie gespeichert?
  • Zu welchem Zweck werden sie gespeichert?

Die eigentliche Herausforderung im Moment stellt die Dokumentation der Daten dar! Ein System muss etabliert werden, in dem alle Informationen rund um diese Belange gespeichert werden, zum Beispiel zum Rekrutierungsprozess. Hier müssen alle Antworten auf diese Fragen hinterlegt sein.

  • Warum bin ich berechtigt diese Information zu verarbeiten?
  • Wie lange darf ich das tun?
  • Zu welchem Zweck werden die Daten eingesammelt?
  • Wann werden die Daten von Interessenten oder ehemaligen Interessenten gelöscht (z.B. ehemalige Franchisenehmer)?

Thema Dokumentation im Vordergrund

Was muss im Bereich Internet beachtet werden?
Landingpages zum Rekrutieren, Websites, etc.

Es wird sehr viel mit Emails gearbeitet und sorglos mit personenbezogenen Daten umgegangen. Bei einer Landingpage hat man die Sorgfaltspflicht als Franchisegeber, dafür zu sorgen, dass die Systeme, die dahinter stecken auf dem aktuellen Stand sind.
Bei Rekrutierungs- oder Anfrageformularen dürfen die Daten nicht einfach in Emails gesammelt und versendet werden. Es bietet sich an mit angeschlossenem System zu arbeiten, welches Daten in Empfang nimmt und IT-gestützt weiterverarbeitet. Nicht vertretbar: Exceltabellen, in denen für alle sichtbar alle personenbezogenen Daten gesammelt werden und jedem zugänglich sind. Ein Umdenken bei Mitarbeitern ist erforderlich, um festgefahrene Arbeitsweisen zu verändern!

Datenschutzbelehrung im Bereich Jobausschreibung auf Portalen – Wo und wann soll hier auf eine Datenschutzerklärung hingewiesen werden?

Auf die Datenschutzerklärung muss der Verantwortliche hinweisen, wenn die Daten erhoben werden.
Wer ist der Verantwortliche? Ein Franchisegeber, der auf Portalen inseriert, muss sich nicht darum kümmern, wenn das Portal die Strukturen und den Rahmen vorgibt. In dem Fall würde das Portal als Verantwortlicher über die Erhebung und Verarbeitung der Daten informieren müssen. Hierfür muss in der Datenschutzerklärung die Information aufgenommen werden, dass im Falle eines Interessenten die Daten an den Auftraggeber weitergegeben werden. Wenn der Franchisegeber die Daten erhält und weiterverarbeitet, geht die Verantwortung auch auf ihn über.

Wie verhält es sich mit der Datenschutzbelehrung im Bereich Jobausschreibung in Zeitschriften oder Läden?

Es muss nicht auf den Datenschutz hingewiesen werden, da keine Kontakte fließen. Erst wenn der Kontakt entsteht und Informationen eingehen.

Wie verweise ich auf die Datenschutzverordnung, wenn ich auf Messen oder offline unterwegs bin?

Angenommen man sammelt über Messefragebögen personenbezogene Daten ein, dann können kleine Lead Karten verteilt werden, auf denen auf die Information auf der Internetseite hingewiesen wird.

Wie muss man auf Tracking-Daten reagieren?

Derzeit sind wir noch in der Übergangsphase. Es wird auf die kommende E-Privacy Richtlinie gewartet. Als Webseitenbetreiber bin ich vor der Erhebung der Daten verpflichtet, dem User mitzuteilen, dass ich Daten erhebe und verarbeite. Technisch gesehen erfolgt die Datenverarbeitung bereits, indem der User auf die Seite gelangt und ein Cookie gesetzt wird.
Bevor dieser Cookie gesetzt wird, sollte demnach ein Opt-In auftauchen, indem detailliert über die Cookies aufgeklärt wird. Bestimmte Cookies sind notwendig, um die Seite zu betreiben und die Informationen zu liefern. Es gibt aber auch Drittanbieter- Cookies, für die man optional vom User eine Zustimmung erhalten lassen kann.

Was muss ich beachten, wenn ich Recruiter mit ins Boot hole, um Franchiseinteressenten ausfindig zu machen und den ersten Kontakt herzustellen?

Grundsätzlich geht es um die Frage, ob ich befugt bin die Daten zu verarbeiten.
Dies ist ohne Genehmigung des Interessenten erstmal nicht der Fall. Es wird eine vertragliche Vereinbarung zwischen Systemzentrale und Recruiter benötigt, in welcher geregelt wird, dass die Systemzentrale der Auftraggeber für den Recruiter ist, und dieser Daten verarbeiten soll. Er wird somit datenschutzrechtlich zu einer Art virtueller Abteilung der Systemzentrale.
Die Spielregeln für den Umgang mit den Daten werden in einer Vereinbarung (AVV) abgeschlossen. Die Systemzentrale übernimmt hier den Part des Auftragsverarbeitungsgebers, der Recruiter den des Auftragsverarbeitungsnehmers. Das bedeutet, dass sich der Recruiter an die Spielregeln halten muss, die ihm von der Systemzentrale vorgegeben werden. Durch diese einmalige AVV ist dann alles abgedeckt.
Es gibt Muster, an denen man sich orientieren kann. In dem Zuge hat das bayrische Landesamt eine Vorreiterrolle eingenommen. Hier kann man sich ansehen welche Grundbestandteile in einer Auftragsverarbeitungsvereinbarung vorhanden sind.
Der Auftraggeber muss aber sicherstellen, dass die Spielregeln eingehalten werden.

Was muss ich beachten, wenn in Vergangenheit über einen Newsletter Leads generiert wurden. Genügt es, wenn ab dem 25.05. über die neuen Datenschutzrichtlinien informiert wird?

Wenn ich bisher über ein Opt-In an die Daten gekommen bin, genügt eine Mitteilung mit den entsprechenden Informationen zur Datenschutzerklärung.

Welche Rechte hat ein Interessent, wenn er Kontakt aufnimmt und Informationen über seine Daten und die Verarbeitung einholt?

Entweder es gibt eine allgemeine Einwilligung, dass Daten der Systemzentrale zur Verfügung gestellt werden. Hierfür gilt auch das Recht sie für die Zukunft zu widerrufen.
Oder es gibt eine Vertragsanbahnung. Hier liegen andere Speicher- und Löschthemen in einer Systemzentrale vor.
Grundsätzlich hat jeder das Recht zu erfahren, welche Daten gespeichert wurden und wer sie gespeichert hat. Bei Beantwortung sind nur die entsprechenden Dienstleister zu nennen. Hierbei gilt eher die Nennung der Gattung der Dienstleistung als die einzelnen Firmennamen. Es gilt ein Berichtigungsrecht bei Einsicht und die Verlangung auf Einschränkung (Nichtweiterverwendung) der Verarbeitung oder Löschung der Daten. Hierbei kann es auch sein, dass es nicht möglich ist die Löschung vorzunehmen.

Wo liegt die Trennung zwischen allgemeinen Informationen und einer Vertragsanbahnung?

Es wird beachtet für welche Zwecke die Daten verwendet werden und welche Reichweite der Einwilligung vorliegt. Ist es eine bloße Übermittlung von Informationsmaterial oder geht es schon um einen Eintritt in eine konkrete Vertragsanbahnung mit vorvertraglichem Verhältnis mit konkreten Planungen und wechselseitigen Pflichten?
Im Zweifelsfall wird erneut darauf hingewiesen werden müssen, dass man in konkrete Verhandlungen kommt, in einen Vorvertrag eintritt und eine Reservierungsvereinbarung trifft.
Man muss sich immer wieder fragen in welcher Stufe der personenbezogenen Daten man sich befindet.

Praktischer Tipp: Wenn ich schon eine Geheimhaltungsvereinbarung zum Einsatz bringe, wird der Punkt des Umgangs mit allgemeinen Daten überschritten und eine zusätzliche Zustimmung der Verwendung der Daten sinnvoll.

Wenn der Vertragsnehmer zum Zeitpunkt der konkreten Anbahnung kein Verbraucher mehr ist, kann ich doch auf die DS-Infos verzichten, oder?

Die Differenzierung ist eigentlich nicht Verbraucher oder Nicht-Verbraucher, sondern personenbezug oder Nicht-Personenbezug. Wenn es zum Austausch der Informationen über Ansprechpartner kommt ist dies schon personenbezogen.

Wie verhält es sich mit öffentlich einsehbaren Daten? Kann man diese Daten in Listen einpflegen und weiterverarbeiten, weil sie öffentlich einsehbar sind?

Ehemaliges Listendatenprivileg aus dem Bundesdatenschutzgesetz ist so nicht mehr in der DSGVO verankert. Listendaten sind privilegiert und man darf diese Daten erwerben. Die Frage lautet: was darf ich mit diesen Daten tun? Die Listendaten beschränken sich auf Anschrift und Name der Gesellschaft. Es ist nicht nur eine datenschutzrechtliche Frage, sondern auch eine wettbewerbsrechtliche Frage. Kaltakquise z.B. darf nur auf bestimmten Wegen betrieben werden. Hierzu gehört nur die Papierpost. Daher ist die Schulung von Mitarbeitern im Bereich DSVGO besonders wichtig!

Wie verhält es sich mit der Löschung von Daten?

Bei einem Ablehnungsschreiben nach einer Jobausschreibung z.B. können die Daten der Bewerber nach einer Frist von 3 Monaten gelöscht werden.
Während der Mitarbeitervertrag läuft besteht ein Vertragsverhältnis und es gibt keine Probleme, da alles geregelt ist. Nach Ausscheidung des Mitarbeiters aus dem Unternehmen ist es erforderlich nach Abgabenordnung die Daten 10 Jahre lang aufzuheben.
Wenn ich Daten schützen möchte, kann ich sie zusätzlich verschlüsseln. Dies ist aber keine Option, um die Löschung zu umgehen!

Kann ich mit Exceltabellen arbeiten, in denen sämtliche Informationen gesammelt und von mehreren bearbeitet werden?

Aus Datenschutzsicht und aus der Perspektive der Informationssicherheit ist dies nicht erlaubt. Man kann sich informieren, ob es IT-Systeme gibt, die im Prozess unterstützen.

Praxistipp zum Schluss:

Benutzt die DSVGO Grafik mit 7 Kapiteln! Beginnt mit dem 6. Kapitel – Webauftritt und gestaltet ihn DSVGO kompatibel. Erst im Nachgang ganz systematisch die weiteren Schritte durcharbeiten.

 

SHOWNOTES

 

Aufbau eines Datenschutzkonzepts
Quelle: Dehe- Consulting GmbH

 

 

Über die Gesprächsteilnehmer:

Mathias Dehe
https://perfekter-datenschutz.de/

Grischa Kehr von Busse & Miessen
www.busse-miessen.de

Thorsten Wälde von Digimojo
www.digimojo.de

 

Diesmal mit dem Thema:

Datenschutz im Zusammenspiel zwischen Franchisegeber und Franchisenehmern – wie ihr die Lücke zwischen Praxis und Theorie im Datenschutz überwindet

Schickt uns gerne Fragen zum Thema an steffen@franchiseuniversum.de.

Erhalten Sie Experten-Knowhow im Newsletter!