Logo der Internationalen Anwaltsvereinigung

Kampf der Titanen: GDPR und internationale Schiedsgerichtsbarkeit - ein Blick in die Zukunft

Autor: Neva Cirkveni und Per Neuburger

Einführung

In den letzten Jahren haben sich Fragen zu den praktischen Auswirkungen des Schutzes personenbezogener Daten und der Cybersicherheit auf die tatsächliche Durchführung internationaler Schiedsverfahren gestellt - vor allem, wenn man das ständige Tempo des technologischen Wandels berücksichtigt.

Die Allgemeine Datenschutzverordnung (GDPR)[i] feierte im Mai 2020 ihren zweiten Geburtstag. Der Datenschutzrahmen der DSGVO zielt darauf ab, den freien Verkehr personenbezogener Daten "identifizierter oder identifizierbarer natürlicher Personen" zu gewährleisten.[ii] Sie gilt innerhalb der Europäischen Union und hat einen extraterritorialen Geltungsbereich, der sich auch auf Länder außerhalb der EU erstrecken kann;[iii] Die Datenschutz-Grundverordnung kann nicht nur alle natürlichen oder juristischen Personen betreffen, sondern auch Behörden, Agenturen und andere Einrichtungen - möglicherweise einschließlich internationaler Organisationen - verpflichten personenbezogene Daten zu schützen.[iv] GDPR-Sanktionen können bis zu 4 % des weltweiten Jahresumsatzes des verletzenden Unternehmens im vorangegangenen Geschäftsjahr oder 20 Millionen Euro betragen, je nachdem, welcher Betrag höher ist.[v] Die Notwendigkeit, ihre Anwendung ernst zu nehmen, wurde bereits durch Bußgelder in Höhe von mehreren Millionen Euro, die in verschiedenen Rechtsordnungen verhängt wurden, deutlich.[vi]

Die Anwendung von Datenschutzgesetzen auf Schiedsverfahren ist zwar bekannt, nicht aber die Art und Weise, wie die Gesetze angewendet werden sollten. Aus diesem Grund haben der International Council for Commercial Arbitration (ICCA) und die International Bar Association (IBA) im Februar 2019 eine gemeinsame Task Force zum Datenschutz in internationalen Schiedsverfahren eingerichtet, die einen Leitfaden mit praktischen Hinweisen zum Schutz personenbezogener Daten in internationalen Schiedsverfahren erstellen soll. Die Task Force hat im März 2020 einen Konsultationsentwurf für diesen Leitfaden veröffentlicht.[vii] Der vorliegende Kommentar stützt sich auf diesen Entwurf eines Fahrplans.[viii] Die endgültige, überarbeitete Fassung des Fahrplans soll im September 2021 veröffentlicht werden. Obwohl die Frist für Stellungnahmen zum Konsultationsentwurf bei Redaktionsschluss bereits verstrichen ist, veranschaulicht die vorläufige Fassung des Fahrplans dennoch die Fragen, die die DSGVO in internationalen Schiedsverfahren aufwirft. Sie wird daher als Diskussionsgrundlage dienen.

Die meisten Gesetze zum Schutz personenbezogener Daten sind in Schiedsverfahren zwingend, d. h. sie schreiben sie vor:

  • welche personenbezogenen Daten verarbeitet werden dürfen;
  • wo;
  • mit welchen Mitteln;
  • mit welchen Informationssicherheitsmaßnahmen; und
  • für wie lange.[ix]

Sie gehen jedoch nicht darauf ein, wie diese verbindlichen Verpflichtungen in Schiedsverfahren eingehalten werden sollten. In Ermangelung spezifischer Leitlinien der Aufsichtsbehörden soll der Fahrplan Schiedsrichtern dabei helfen, die Verpflichtungen zum Schutz personenbezogener Daten und der Privatsphäre zu erkennen und zu verstehen, denen sie im Rahmen eines internationalen Schiedsverfahrens unterliegen können. Darüber hinaus bleibt der Umfang des GDPR-Schutzes in internationalen Schiedsverfahren relevant, vor allem, ob die GDPR-Gesetze für Schiedsverfahren mit Sitz außerhalb der EU gelten. Wenn die DSGVO auf ein Schiedsverfahren anwendbar ist, ergeben sich weitere Auswirkungen: erstens, ob die Verarbeitung personenbezogener Daten verboten ist und zweitens, ob es Beschränkungen für die Übermittlung personenbezogener Daten außerhalb der EU gibt. Schließlich könnten die Folgen eines solchen Angriffs auf ein Schiedsverfahren aufgrund der zunehmenden Häufigkeit von Cyberangriffen erhebliche Schäden nach sich ziehen.

In diesem Artikel wird der Fahrplan kommentiert und es werden praktische Maßnahmen untersucht, die im Hinblick auf die Verpflichtungen zum Schutz personenbezogener Daten in internationalen Schiedsverfahren berücksichtigt werden sollten. Er sieht den Fahrplan als ein vielversprechendes, wenn auch unvollständiges Instrument zur Ergänzung verschiedener Soft-Law-Versuche zur Harmonisierung der internationalen Schiedsgerichtsbarkeit, insbesondere der Instrumente der IBA und der Kommission der Vereinten Nationen für internationales Handelsrecht (UNCITRAL).

Zunächst wird eine kurze Zusammenfassung des Fahrplans gegeben, die auch auf die Grundsätze der Datenschutz-Grundverordnung Bezug nimmt. Es handelt sich dabei nicht um einen umfassenden Überblick, sondern um eine Einführung in die wichtigsten Punkte des Fahrplans, um dem Leser einen Kontext für die anschließende Diskussion zu geben. Zweitens wird ein Kommentar gegeben, der sechs einschlägige Themen berührt:

  • die Anwendbarkeit der Datenschutz-Grundverordnung auf Schiedsverfahren außerhalb der EU;
  • DSGVO im Zusammenhang mit Schiedsverfahren im Rahmen des Nordamerikanischen Freihandelsabkommens (NAFTA), wie in der Rechtssache Tennant Energy, LLC gegen die kanadische Regierung dargestellt;[x]
  • die Frage der Videokonferenzen, die während der Covid-19-Pandemie stark an Bedeutung gewonnen hat, einschließlich der Verweise auf das "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration" (Cybersecurity Protocol)[xi] die Cybersecurity-Leitlinien der IBA[xii] und den ICC-Leitfaden für mögliche Maßnahmen zur Abschwächung der Auswirkungen der COVID-19-Pandemie;[xiii]
  • Drittmittelgeber' und wie sie im Fahrplan berücksichtigt werden;
  • Missbrauch der Datenschutzgrundverordnung, insbesondere als Schutzschild für die Nichtweitergabe von Informationen; und
  • die Möglichkeit, die Nichteinhaltung der Anforderungen an den Schutz personenbezogener Daten als Mittel zur Nichtigerklärung oder Verweigerung der Anerkennung und Vollstreckung des Schiedsspruchs zu nutzen.

Die abschließenden Überlegungen werden in der Schlussfolgerung dargelegt.

Der Fahrplan

Natürliche und juristische Personen sind verpflichtet, die personenbezogenen Daten der betroffenen Personen zu schützen. Das Schiedsverfahren selbst unterliegt nicht den Verpflichtungen zum Schutz personenbezogener Daten. Unterliegt jedoch nur ein Teilnehmer des Schiedsverfahrens den Verpflichtungen zum Schutz personenbezogener Daten, kann das Schiedsverfahren als Ganzes davon betroffen sein. Die Anwendbarkeit der Datenschutzgesetze hängt davon ab, ob die Verarbeitung personenbezogener Daten unter die einschlägigen Gesetze und den sachlichen und gerichtlichen Geltungsbereich fällt.[xiv]

Die modernen Gesetze zum Schutz personenbezogener Daten gelten immer dann, wenn personenbezogene Daten einer betroffenen Person im Rahmen von Tätigkeiten verarbeitet werden, die in den Geltungsbereich der einschlägigen Gesetze zum Schutz personenbezogener Daten fallen.[xv] Personenbezogene Daten sind "alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen".[xvi] Während typischer Schiedsverfahren werden erhebliche Mengen an Informationen ausgetauscht, die sich unter anderem auf die Parteien, ihre Anwälte, das Gericht und Dritte beziehen. Als solche fallen sie wahrscheinlich unter die Definition von "personenbezogenen Daten". Der Begriff "betroffene Personen" bezieht sich auf die oben erwähnten Personen, die identifiziert oder identifizierbar sind.[xvii] Die Verarbeitung umfasst aktive und passive Vorgänge, also die Nutzung, Verbreitung und Löschung personenbezogener Daten sowie den Empfang, die Organisation und die Speicherung personenbezogener Daten.[xviii] Der Anwendungsbereich umfasst Maßnahmen, wenn personenbezogene Daten im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der EU verarbeitet werden[xix] und extraterritorial, z. B. wenn personenbezogene Daten außerhalb der EU an Einrichtungen oder Personen übermittelt werden, die nicht bereits aus anderen Gründen der DSGVO unterliegen.[xx]

Die Schiedsrichter werden als für die Datenverarbeitung Verantwortliche eingestuft, was bedeutet, dass sie für die Einhaltung der Rechtsvorschriften zum Schutz personenbezogener Daten verantwortlich sind. Basierend auf der Definition des Begriffs "für die Verarbeitung Verantwortlicher";[xxi] die meisten Teilnehmer am Schiedsverfahren[xxii] als solche betrachtet werden können, einschließlich Anwälte, Parteien und das Organ. Die für die Datenverarbeitung Verantwortlichen können die Datenverarbeitung an Datenverarbeiter delegieren,[xxiii] die unter ihrer Kontrolle stehen und Datenverarbeitungsverträge zu den im geltenden Recht vorgeschriebenen Bedingungen benötigen. So werden Sekretärinnen, Schreibkräfte, Übersetzer und andere wahrscheinlich als Datenverarbeiter betrachtet. Ein weiteres Problem sind die gemeinsam für die Verarbeitung Verantwortlichen, die gemeinsam die Zwecke und Mittel der Datenverarbeitung festlegen. Die gemeinsame Kontrolle wird weit ausgelegt, aber die Haftung des gemeinsam für die Verarbeitung Verantwortlichen beschränkt sich nur auf die Verarbeitung, die der für die Verarbeitung Verantwortliche bestimmt hat, sowie auf deren Zweck und Mittel und nicht auf die gesamte Verarbeitung.[xxiv]

Bei internationalen Schiedsverfahren sind die Beschränkungen für die Übermittlung personenbezogener Daten zwischen verschiedenen Gerichtsbarkeiten eine offensichtliche Art und Weise, in der Gesetze zum Schutz personenbezogener Daten Anwendung finden. Der Hintergrund der verschiedenen Teilnehmer an einem Schiedsverfahren bestimmt die Anwendung der verschiedenen Datenschutzregelungen. Moderne Datenschutzgesetze schränken die Übermittlung personenbezogener Daten in Drittländer ein, um sicherzustellen, dass rechtliche Verpflichtungen nicht durch die Übermittlung personenbezogener Daten in Länder mit einem niedrigeren Datenschutzniveau umgangen werden.[xxv] Die Datenschutz-Grundverordnung erlaubt die Übermittlung personenbezogener Daten in Drittländer, wenn einer der folgenden Fälle vorliegt:

  • das Land nach Ansicht der EU-Kommission einen angemessenen Schutz personenbezogener Daten bietet;
  • eine der ausdrücklich aufgeführten Sicherheitsvorkehrungen getroffen wird;
  • eine Ausnahmeregelung, die Übermittlungen erlaubt, wenn sie für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind; oder
  • das zwingende berechtigte Interesse einer Partei.[xxvi]

Diese Regeln gelten für die Teilnehmer des Schiedsverfahrens und nicht für das Schiedsverfahren als Ganzes, so dass jeder Teilnehmer des Schiedsverfahrens prüfen muss, welche Beschränkungen für die Übermittlung personenbezogener Daten für ihn gelten.

Zu den Grundsätzen des Schutzes personenbezogener Daten, die in der Schiedsgerichtsbarkeit gelten, gehören die faire und rechtmäßige Verarbeitung, die Verhältnismäßigkeit, die Datenminimierung, die Zweckbindung, die Rechte der betroffenen Person, die Richtigkeit, die Datensicherheit, die Transparenz und die Rechenschaftspflicht.[xxvii]

Einige dieser Grundsätze bedürfen weiterer Erläuterung. Die Verarbeitung nach Treu und Glauben und auf rechtmäßige Weise bedeutet, dass personenbezogene Daten nur in einer Weise verarbeitet werden sollten, die die betroffenen Personen vernünftigerweise erwarten würden, und dass es eine Rechtsgrundlage für die Verarbeitung geben muss. Bei der Anwendung des Grundsatzes der Fairness sollten sich die Partei und ihr Rechtsbeistand fragen, ob die Personen unter Berücksichtigung aller Fakten erwartet hätten, dass ihre personenbezogenen Daten auf diese Weise verarbeitet werden, ob dies nachteilige Folgen für sie hat und ob diese Folgen gerechtfertigt sind. Dieser Grundsatz verhindert nicht, dass personenbezogene Daten, die in geschäftlichen E-Mails gefunden werden, als Beweismittel zugelassen werden.

Der Begriff der rechtmäßigen Verarbeitung setzt eine Rechtsgrundlage voraus, die faktenorientiert und fallspezifisch ist. Anstatt sich auf die Einwilligung zu berufen, sollten die spezifischen Rechtsgrundlagen der DSGVO herangezogen werden.[xxviii]

Die Verhältnismäßigkeit erfordert eine Abwägung von Art, Umfang, Kontext und Zweck der Verarbeitung im Verhältnis zu den Risiken für die betroffene Person.[xxix] Die Datenminimierung verlangt von den Schiedsgerichtsteilnehmern, dass sie die Verarbeitung auf personenbezogene Daten beschränken, die angemessen, relevant und auf das notwendige Maß beschränkt sind.[xxx] Transparenz setzt voraus, dass die betroffenen Personen über die Verarbeitung und den Zweck der Verarbeitung personenbezogener Daten entweder durch allgemeine oder spezielle Mitteilungen oder durch beides informiert werden.[xxxi] Die Rechenschaftspflicht bezieht sich auf die persönliche Verantwortung für die Einhaltung des Datenschutzes, d. h. die Teilnehmer des Schiedsverfahrens sollten alle Maßnahmen und Entscheidungen zum Schutz personenbezogener Daten dokumentieren, um die Einhaltung der Vorschriften nachzuweisen.[xxxii]

Die Einhaltung der Vorschriften zum Schutz personenbezogener Daten wirkt sich auf die einzelnen Schritte eines internationalen Schiedsverfahrens aus und zwar nicht nur während des Schiedsverfahrens selbst, sondern auch während der Vorbereitung. Die Teilnehmer des Schiedsverfahrens sollten von Anfang an überlegen, welche Datenschutzgesetze für sie selbst und andere Teilnehmer des Schiedsverfahrens gelten und welche Teilnehmer des Schiedsverfahrens personenbezogene Daten als für die Verarbeitung Verantwortliche, Auftragsverarbeiter oder gemeinsam mit ihnen Verantwortliche verarbeiten werden. Auch die Vorschriften von Drittländern für die Übermittlung personenbezogener Daten und Vereinbarungen über die Verarbeitung personenbezogener Daten durch dritte Dienstleister sollten berücksichtigt werden. Während des Prozesses der Dokumentensammlung und -überprüfung benötigen die Parteien und ihre Rechtsberater eine rechtmäßige Grundlage für die Verarbeitungstätigkeiten und die Übermittlung personenbezogener Daten in Drittländer.[xxxiii]

Der Antrag auf ein Schiedsverfahren sowie die nachfolgenden Schriftsätze werden personenbezogene Daten enthalten, die in den Bereich der Verarbeitung fallen. Wenn eine Schiedsinstitution an die geltenden Datenschutzgesetze gebunden ist, muss sie mögliche Verpflichtungen zum Schutz personenbezogener Daten berücksichtigen, die während jedes Verfahrensschritts gelten. Wenn eine Schiedsinstitution der DSGVO unterliegt, wird sie in der Regel zu einem für die Verarbeitung personenbezogener Daten Verantwortlichen. Um die Artikel 13 und 14 der DSGVO einzuhalten, sollte eine solche Einrichtung Informationen über Sicherheitsmaßnahmen, die Ausübung der Rechte der betroffenen Personen, die Pflege von Aufzeichnungen sowie Richtlinien für Datenschutzverletzungen und die Aufbewahrung von Daten in ihren Datenschutzhinweis aufnehmen.[xxxiv] Internationale Organisationen, die Investor-Staat-Schiedsverfahren durchführen, können jedoch aufgrund von Vorrechten und Immunitäten im Gründungsstaat oder in einem Gastlandabkommen vom Anwendungsbereich der Datenschutzgesetze ausgeschlossen sein. Hier müssen also gesonderte Überlegungen angestellt werden, unter anderem, ob die Organisation an die Gesetze zum Schutz personenbezogener Daten gebunden ist und ob - und inwieweit - die Teilnehmer des Schiedsverfahrens unter die Vorrechte und Befreiungen fallen würden.[xxxv]

Bei der Ernennung von Schiedsrichtern für ein Schiedsgericht werden in der Regel in erheblichem Umfang personenbezogene Daten der potenziellen Schiedsrichter ausgetauscht. Die am Schiedsverfahren Beteiligten sollten in ihren rechtlichen Hinweisen die Rechtsgrundlage für die Verarbeitung dieser personenbezogenen Daten angeben und die Schiedsrichter, die für eine Ernennung in Betracht kommen, ausdrücklich über die Verarbeitung ihrer personenbezogenen Daten informieren, insbesondere im Falle der Übermittlung personenbezogener Daten in Drittländer.[xxxvi]

Sobald das Schiedsverfahren angelaufen ist, sollten die Zuständigkeiten für die Einhaltung des Datenschutzes frühzeitig verteilt werden, um die Risiken zu minimieren. Der Schutz personenbezogener Daten sollte auf die Tagesordnung der ersten Verfahrenskonferenz gesetzt werden, und die Teilnehmer des Schiedsverfahrens sollten versuchen, sich so früh wie möglich darauf zu einigen, wie die Einhaltung der Vorschriften zum Schutz personenbezogener Daten geregelt werden soll. Die Parteien, ihre Anwälte und die Schiedsrichter sollten in Erwägung ziehen, ein Datenschutzprotokoll abzuschließen, um die Einhaltung der Vorschriften wirksam zu regeln. Ist dies nicht möglich, kann das Schiedsgericht diese Fragen alternativ in die Verfahrensordnung Nr. 1 aufnehmen.[xxxvii]

Bei der Erstellung und Offenlegung von Dokumenten ist der Grundsatz der Minimierung personenbezogener Daten besonders wichtig. Nach der DSGVO wäre dies wahrscheinlich erforderlich:

  • die Weitergabe personenbezogener Daten auf das Relevante und nicht Duplizierbare zu beschränken;
  • Identifizierung der im Antwortmaterial enthaltenen personenbezogenen Daten; und
  • die Schwärzung oder Pseudonymisierung unnötiger personenbezogener Daten.

Auch diese Fragen sollten frühzeitig im Verfahren behandelt werden, vorzugsweise bei oder vor der ersten Verfahrenskonferenz.[xxxviii]

Wenn es um den Erlass von Schiedssprüchen geht, sollten Schiedsrichter und Institutionen die Grundlage und Notwendigkeit der Aufnahme personenbezogener Daten in Schiedssprüche prüfen. Wenn ein Schiedsverfahren vertraulich ist, besteht dennoch das Risiko, dass ein Schiedsspruch bei seiner Vollstreckung öffentlich wird. Selbst wenn personenbezogene Daten geschwärzt werden, bleiben sie in der Regel personenbezogene Daten, da die betroffene Person aus dem Rest des Schiedsspruchs oder den damit verbundenen Materialien identifizierbar ist.[xxxix]

Die Vorratsspeicherung und Löschung von Daten gelten als Verarbeitung im Sinne der DSGVO, die vorsieht, dass personenbezogene Daten "so lange, wie es für die Erreichung der Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Person ermöglicht".[xl] Die für die Verarbeitung Verantwortlichen müssen die Dauer der Speicherung berücksichtigen, dokumentieren und begründen können. Die Teilnehmer an einem Schiedsverfahren müssen überlegen, welche Dauer der Datenspeicherung angemessen ist, und sollten einen verhältnismäßigen Ansatz wählen, um ihre Bedürfnisse mit den Auswirkungen der Datenspeicherung auf die betroffene Person abzuwägen.[xli]

Die Anwendbarkeit der Datenschutz-Grundverordnung auf Schiedsverfahren außerhalb der EU

Der territoriale Geltungsbereich der Datenschutzverordnung ist relativ weit gefasst. Praktiker sollten sich ihrer Anwendung bewusst sein, unabhängig davon, ob sie in der EU ansässig sind oder nicht oder ob das Schiedsverfahren in der EU stattfindet. Die DS-GVO gilt für die Verarbeitung personenbezogener Daten durch für die Verarbeitung Verantwortliche oder Auftragsverarbeiter mit Sitz in der EU, unabhängig davon, ob die Verarbeitung selbst in der EU stattfindet (Artikel 3 Absatz 1). Wenn es darum geht, EU-Bürgern Waren oder Dienstleistungen anzubieten oder Verhaltensweisen zu überwachen, die innerhalb der EU stattfinden, gilt die DSGVO auch für die Verarbeitung personenbezogener Daten durch einen nicht in der EU niedergelassenen für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter (Artikel 3 Absatz 2).

Auf den schiedsrichterlichen Kontext angewandt, erlegt die DSGVO den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern - Schiedsrichtern, Anwälten, Parteien und Institutionen -, die in ihren materiellen und territorialen Anwendungsbereich fallen, Verpflichtungen auf, und nicht dem Schiedsverfahren selbst. Selbst wenn nur ein Teilnehmer des Schiedsverfahrens eine Verbindung zur EU hat, ist er verpflichtet, personenbezogene Daten gemäß der DSGVO zu verarbeiten. Dies kann Auswirkungen auf das gesamte Verfahren haben.[xlii]

Im Kontext der internationalen Schiedsgerichtsbarkeit, in der die Übermittlung von Schiedsunterlagen mit personenbezogenen Daten an der Tagesordnung ist, sind die Beschränkungen für die Übermittlung personenbezogener Daten in "Drittländer" außerhalb des Europäischen Wirtschaftsraums (EWR) vielleicht am bemerkenswertesten. In einem solchen Szenario ist eine von vier Rechtsgrundlagen erforderlich, damit die Übermittlung personenbezogener Daten zulässig ist. Erstens ist die Übermittlung in ein Drittland zulässig, wenn für das Drittland ein Angemessenheitsbeschluss vorliegt (Artikel 45 Absatz 1).[xliii] Ist dies nicht der Fall, sollte nach Möglichkeit eine der geeigneten Schutzmaßnahmen (Artikel 46 Absatz 1) ergriffen werden.[xliv] Liegt kein Angemessenheitsbeschluss vor und ist eine angemessene Schutzmaßnahme nicht durchführbar, kann eine spezifische Ausnahmeregelung in Anspruch genommen werden (Artikel 49 Absatz 1).[xlv] Ist dies nicht der Fall, kann sich eine Partei auf ein zwingendes berechtigtes Interesse berufen (Artikel 49 Absatz 1).[xlvi] als rechtmäßige Grundlage für die Übermittlung personenbezogener Daten an Dritte.

Im Fahrplan werden die notwendigen Überlegungen, die die Teilnehmer an einem Schiedsverfahren anstellen müssen, recht umfassend dargelegt. Es wird mehrfach betont, dass die Grundsätze des Schutzes personenbezogener Daten und die Übermittlungsvorschriften für die Teilnehmer des Schiedsverfahrens und nicht für das Schiedsverfahren als solches gelten.[xlvii] Daraus folgt, dass ein in der EU ansässiger Schiedsrichter in einem Schiedsverfahren außerhalb der EU, das ansonsten nicht der DSGVO unterliegt, dennoch die Anforderungen der DSGVO an die Verarbeitung und Übermittlung personenbezogener Daten erfüllen muss. Dies wird in der Tat allgemein in Handelsschiedsverfahren akzeptiert,[xlviii] Bei den Investor-Staat-Schiedsverfahren ist die Lage jedoch nicht so eindeutig.

Der Fall Tennant Energy, LLC gegen die Regierung von Kanada

2019, im NAFTA-Schiedsverfahren nach Kapitel 11 Tennant Energy, LLC gegen Regierung von Kanada (Tennant),[xlix] Tennant, der Kläger, warf die Frage auf, ob die Datenschutz-Grundverordnung (DSGVO) angesichts der britischen Staatsangehörigkeit und des Wohnsitzes eines der Mitglieder des Schiedsgerichts auf das Verfahren anwendbar sei. Das Gericht wies die Parteien jedoch darauf hin, dass "ein Schiedsverfahren nach Kapitel 11 des NAFTA, einem Vertrag, bei dem weder die Europäische Union noch ihre Mitgliedstaaten Vertragspartei sind, vermutlich nicht in den materiellen Anwendungsbereich der DSGVO fällt".[l]

Es ist wichtig, zwischen vertraglicher und kommerzieller Schiedsgerichtsbarkeit zu unterscheiden, wobei Tennant in die erste Kategorie fällt. Der Fahrplan geht auf diese Unterscheidung ein und stellt fest, dass internationale Organisationen vom Anwendungsbereich der Gesetze zum Schutz personenbezogener Daten ausgenommen sein können.[li] Die Mitglieder des Schiedsgerichts im Tennant-Schiedsverfahren können bestimmten Immunitäten unterliegen, die sich aus dem Sitzabkommen des Ständigen Schiedsgerichtshofs (PCA) mit den Niederlanden ergeben. Das NAFTA-Schiedsgericht hat jedoch nicht geprüft, ob der PKA als internationale Organisation den Übermittlungsvorschriften der Datenschutz-Grundverordnung unterliegt oder ob die Mitglieder des Schiedsgerichts bestimmte Immunitäten aus dem Abkommen ableiten können.

Die Tennant In Bezug auf die Anwendbarkeit der Datenschutz-Grundverordnung auf NAFTA-Verfahren und auf Schiedsverfahren auf Vertragsbasis im Allgemeinen wirft die Tennant-Richtlinie mehr Fragen auf, als sie Antworten liefert, und eine nuancierte Erörterung dieser Fragen würde den Rahmen dieser Arbeit sprengen. Nichtsdestotrotz zeigt die Tennant-Richtlinie im Lichte des Fahrplans, dass dieses Thema höchst unsicher bleibt. Es ist bestenfalls fraglich, ob die Roadmap den Schiedsgerichtsteilnehmern, die mit dieser Frage konfrontiert sind, überhaupt Klarheit verschafft, insbesondere wenn man bedenkt, dass die Roadmap nach dem Tennant Es wurde eine Anweisung erteilt, die jedoch keine Gegenleistung vorsah.

Die Frage der Videokonferenzen

Im Fahrplan wird die Bedeutung der Sicherheit personenbezogener Daten anerkannt. Angesichts der jüngsten Nutzung zusätzlicher Technologien zur Erleichterung virtueller Anhörungen und der Arbeit von zu Hause aus - vor allem aufgrund der aktuellen Umstände, die uns durch die Covid-19-Pandemie auferlegt wurden - erhält dieses Thema zusätzliches Gewicht. Das Cybersecurity-Protokoll[lii] und die IBA-Leitlinien für Cybersicherheit[liii] haben etwas Licht in diese Angelegenheit gebracht.

Wie der Fahrplan legt auch das Cybersicherheitsprotokoll mehrere Grundprinzipien fest. Es gilt der Grundsatz der Verhältnismäßigkeit, das Schiedsgericht hat die Befugnis und den Ermessensspielraum, Sicherheitsmaßnahmen festzulegen, und die Informationssicherheit ist ein Thema, das in der ersten Fallmanagementkonferenz erörtert werden sollte. Anhang A des Cybersicherheitsprotokolls enthält eine Checkliste, die die Parteien eines Schiedsverfahrens zur Absicherung des Verfahrens verwenden können.

Nach den jüngsten Veränderungen in den Arbeitsmustern und -umgebungen aufgrund der Covid-19-Pandemie sollte diesen Fragen mehr Gewicht beigemessen werden. In einer Welt, die gezwungen ist, neue Wege der Geschäftsabwicklung zu finden und sich an unsichere Zeiten anzupassen, ist eines der Probleme, mit denen der Rechtssektor konfrontiert ist, die Frage der Anhörungen in Verbindung mit Einschränkungen und der Notwendigkeit sozialer Distanzierung. Die Beliebtheit von Videokonferenzen und deren Einsatz in internationalen Schiedsverfahren ist daher ein Thema, mit dem sich der Fahrplan befassen sollte, dies aber nicht getan hat - oder zumindest noch nicht.

Obwohl viele die Problematik der Videoanhörungen erörtert und darauf hingewiesen haben, haben die meisten nicht darauf eingegangen, wie die Gesetze zum Schutz personenbezogener Daten auf sie angewandt werden sollten, und zwar nicht nur im Hinblick auf den Schutz personenbezogener Daten, sondern auch auf die Sicherheit, da einige Plattformen Gegenstand von Sicherheitsangriffen waren.[liv]

Wie bereits erwähnt, ist es wichtig, die verschiedenen Rollen der an der Schlichtung beteiligten Parteien in Bezug auf die DSGVO zu verstehen, nämlich wer die "für die Verarbeitung Verantwortlichen" und die "Datenverarbeiter" sind. Wenn die Videokonferenzsoftware personenbezogene Daten verarbeitet, wie z. B. den Benutzernamen und die E-Mail-Adresse einer Partei, die den Dienst nutzt, wird sie als "Datenverarbeiter" betrachtet. Das bedeutet, dass sie die GDPR-Vorschriften einhalten müssen, wenn einer der Teilnehmer seinen Wohnsitz in der EU hat. Da das Gericht der "für die Verarbeitung Verantwortliche" ist, liegt es in der Verantwortung des Gerichts, die Einhaltung dieser Vorschriften sicherzustellen.

Die Internationale Handelskammer (ICC) hat einen Leitfaden herausgegeben[lv] die den Parteien Klauselvorschläge für Cybersicherheitsprotokolle und virtuelle Anhörungen liefert. Sie zielt darauf ab, den Sicherheitsaspekt zu behandeln, geht aber nicht auf den Aspekt des Schutzes personenbezogener Daten ein. Im Fahrplan sollten die Möglichkeiten erörtert werden, wie der Schutz personenbezogener Daten bei virtuell durchgeführten Anhörungen gewährleistet werden kann und wie dies zu bewerkstelligen ist. Die Datenschutz-Grundverordnung legt zwar Anforderungen fest, die in Bezug auf Videokonferenzen zu erfüllen sind, gibt aber keine Hinweise darauf, wie diese Anforderungen direkt anzuwenden sind.

Obwohl der Fahrplan keine Empfehlungen zu bestimmten Softwareanbietern enthält, könnte er eine Liste der notwendigen Spezifikationen einer idealen Software für Videoanhörungen zusammenstellen und den Praktikern zur Verfügung stellen, so wie er in seinen Anhängen Checklisten zu verschiedenen anderen Themen enthält.

Welche Rolle spielen Drittmittelgeber?

Als Drittmittelgeber gilt jeder am Schiedsverfahren Unbeteiligte, der eine Vereinbarung zur vollständigen oder teilweisen Finanzierung der Verfahrenskosten gegen einen ganz oder teilweise vom Ausgang des Verfahrens abhängigen Betrag trifft.[lvi] Drittfinanzierer haben Zugang zu verschiedenen personenbezogenen Daten in Schiedsverfahren, die sie finanzieren oder deren Finanzierung sie in Erwägung ziehen. Obwohl sich der Fahrplan ausdrücklich nur an die Teilnehmer von Schiedsverfahren richtet, wird darauf hingewiesen, dass der Leitfaden auch für Dienstleister relevant ist, die ebenfalls von den Anforderungen an den Schutz personenbezogener Daten betroffen sind.[lvii]

Im Fahrplan werden unter den Dienstleistern "E-Discovery-Experten, Informationstechnologieexperten, Gerichtsschreiber, Übersetzungsdienste usw." verstanden.[lviii] aber Drittmittelgeber werden nicht ausdrücklich erwähnt. Nach der Datenschutz-Grundverordnung ist die Erhebung und Speicherung personenbezogener Daten Teil der Verarbeitung. Wenn die Drittmittelgeber also personenbezogene Daten von anderen erheben, würden die Rechtsvorschriften über personenbezogene Daten auch für sie gelten.[lix]

Die DSGVO erlaubt es einer Partei, personenbezogene Daten zu verarbeiten, wenn "die Verarbeitung zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich ist".[lx] die von den Schiedsgerichtsteilnehmern möglicherweise als Rechtsgrundlage für die Verarbeitung relevanter personenbezogener Daten herangezogen werden können. Zu diesem Thema gibt es nur wenige Leitlinien.[lxi] Im Fahrplan heißt es:

Der erste Schritt bei der Bewertung des berechtigten Interesses besteht darin, ein berechtigtes Interesse zu ermitteln - was ist der Zweck der Verarbeitung der personenbezogenen Daten und warum ist er für Sie als für die Verarbeitung Verantwortlicher wichtig? Im Zusammenhang mit einem Schiedsverfahren kann das berechtigte Interesse die Rechtspflege, die Wahrung der Rechte der Parteien und die zügige und faire Beilegung von Ansprüchen nach den geltenden Schiedsregeln sowie viele andere Interessen betreffen".[lxii]

Die Einbeziehung "vieler anderer Interessen" könnte möglicherweise das berechtigte finanzielle Interesse von Drittmittelgebern einschließen. Sollte dies der Fall sein, wären sie eindeutig verpflichtet, Datenverarbeitungsverträge mit den Parteien des Schiedsverfahrens abzuschließen und in den Anwendungsbereich der Vorschriften und Anforderungen zum Schutz personenbezogener Daten einbezogen zu werden. Interessanterweise geht der Fahrplan nicht ausdrücklich darauf ein, wie Drittmittelgeber in das Bild passen, insbesondere angesichts der zunehmenden Einbeziehung von Drittmittelgebern in Schiedsgerichtsverfahren.

Ein Schutzschild für die Nichtveröffentlichung

Die Verpflichtung zum Schutz personenbezogener Daten birgt die Gefahr des Missbrauchs. Schiedsparteien können die DSGVO in böser Absicht als Schutzschild verwenden, um die Offenlegung von Informationen zu verhindern, die für das Verfahren relevant sind oder von der Gegenpartei verlangt werden. So kann eine Partei beispielsweise einen Antrag auf Offenlegung mit der Begründung ablehnen, dass die Dokumente personenbezogene Daten enthalten, die nichts mit dem Streitfall zu tun haben, oder dass die Schwärzung personenbezogener Daten eine unangemessene Belastung darstellen würde.[lxiii]

Der Fahrplan befasst sich mit dem Potenzial für Missbrauch. Er schlägt vor, die Verpflichtungen zum Schutz personenbezogener Daten so früh wie möglich anzusprechen und zu klären, um das Risiko zu verringern, dass sie sich auf Verfahren auswirken. Die Teilnehmer sollten den Abschluss eines "Datenschutzprotokolls" in Erwägung ziehen - eine Vereinbarung darüber, wie der Schutz personenbezogener Daten in einem bestimmten Kontext angewendet wird. Wenn es nicht möglich ist, ein Datenschutzprotokoll zu unterzeichnen, sollten diese Fragen in der Verfahrensanordnung Nummer eins behandelt werden.[lxiv]

Zum Vergleich kann man die Einhaltung der DSGVO bei der Offenlegung in US-Rechtsstreitigkeiten betrachten. US-Bundesgerichte haben Abwägungstests angewandt, um zu entscheiden, ob sie die Offenlegung oder Befolgung von Vorladungen oder Offenlegungsanordnungen anordnen, die möglicherweise gegen ausländische Gesetze, einschließlich Gesetze zum Schutz personenbezogener Daten, verstoßen.[lxv] Eine nicht erschöpfende Liste von Faktoren, die von US-Bundesgerichten geprüft werden, ist folgende:

  • die Bedeutung der angeforderten Dokumente oder sonstigen Informationen für den Rechtsstreit;
  • den Grad der Spezifizität des Ersuchens;
  • ob die Informationen aus den USA stammen;
  • die Verfügbarkeit von alternativen Mitteln zur Sicherung der Informationen; und
  • das Ausmaß, in dem die Nichteinhaltung wichtige Interessen der USA beeinträchtigen würde.[lxvi]

In den meisten Fällen verlangen die Bundesgerichte die Offenlegung trotz möglicher Verstöße gegen ausländische Datenschutzgesetze.[lxvii]

Schiedsrichter müssen bei der Entscheidung, ob sie die Offenlegung durch eine Partei anordnen, andere Überlegungen anstellen als Gerichte. Es ist richtig, wie in der Literatur argumentiert wird,[lxviii] dass die Gerichte angesichts der drohenden Nichtigerklärung oder Verweigerung der Vollstreckung nach dem Übereinkommen von 1958 über die Anerkennung und Vollstreckung ausländischer Schiedssprüche (New Yorker Übereinkommen) die konkurrierenden Rechte und Pflichten berücksichtigen müssen. Diese Ansicht berücksichtigt jedoch nicht die Tatsache, dass Offenlegungsanordnungen aufgrund des Grundsatzes der richterlichen Nichteinmischung nur einer minimalen Überprüfung durch staatliche Gerichte unterliegen.[lxix] Es gibt zahlreiche Beispiele dafür, dass staatliche Gerichte von einer Überprüfung von Offenlegungsanordnungen absehen.[lxx]

Angesichts des Ermessensspielraums, der den Gerichten in Verfahrensfragen eingeräumt wird, dürfte die Gefahr einer Nichtigerklärung oder einer verweigerten Vollstreckung kaum eine zentrale Rolle spielen. Die Unvermeidlichkeit, dass Parteien versuchen, die Verpflichtungen der DSGVO zu missbrauchen, um sich einen potenziellen Verfahrensvorteil zu verschaffen, wird die Gerichte in die schwierige Lage versetzen, einerseits die Interessen der betroffenen Person abzuwägen und andererseits ein robustes Beweisverfahren aufrechtzuerhalten.[lxxi] Die Klärung der Verpflichtungen zur Einhaltung des Schutzes personenbezogener Daten zu Beginn des Verfahrens - vorzugsweise in einem unterzeichneten Datenschutzprotokoll - im Einklang mit den Empfehlungen des Fahrplans scheint ein wichtiger Schritt zur Kontrolle dieses Verhaltens zu sein.

Nichteinhaltung der Anforderungen an den Schutz personenbezogener Daten als Weg zur Nichtigerklärung und Verweigerung der Anerkennung und Vollstreckung

Der Fahrplan befasst sich nicht mit der Frage, ob die Nichteinhaltung der Anforderungen an den Schutz personenbezogener Daten zur Aufhebung eines Schiedsspruchs oder zur Verweigerung seiner Anerkennung und Vollstreckung verwendet werden kann. Die Parteien haben nur sehr begrenzte Möglichkeiten, gegen Schiedssprüche vorzugehen. Dennoch kann eine unterlegene Partei den Schiedsspruch anfechten und einen der wichtigsten gemeinsamen Gründe anführen, um den Schiedsspruch anzufechten oder seine Anerkennung oder Vollstreckung zu verhindern.

Das New Yorker Übereinkommen hat derzeit 168 Vertragsstaaten und ist damit die wichtigste Rechtsgrundlage für die Anerkennung und Vollstreckung ausländischer Schiedssprüche in internationalen Handelsschiedsverfahren. Das Übereinkommen sieht in Artikel V begrenzte Gründe vor, aus denen die Anerkennung und Vollstreckung eines Schiedsspruchs verweigert werden kann. Vor allem Artikel V Absatz 2 Buchstabe b räumt der zuständigen Behörde eines Unterzeichnerstaates die Möglichkeit ein, die Anerkennung oder Vollstreckung eines Schiedsspruchs zu verweigern, der gegen die öffentliche Ordnung (ordre public) verstößt.[lxxii]

Die Gründe, aus denen ein Schiedsspruch aufgehoben werden kann, sind in den verschiedenen Rechtsordnungen unterschiedlich. Das UNCITRAL-Modellgesetz über die internationale Handelsschiedsgerichtsbarkeit, das weithin übernommen wurde, enthält in Artikel 34(2) eine Liste von Aufhebungsgründen. Diese Liste wurde eng an Artikel V des New Yorker Übereinkommens angelehnt.[lxxiii] Artikel 34 Absatz 2 Buchstabe b) Ziffer ii) besagt, dass ein Schiedsspruch vom Gericht aufgehoben werden kann, wenn der Schiedsspruch gegen die öffentliche Ordnung (ordre public) des Staates verstößt.[lxxiv]

Der Europäische Gerichtshof (EuGH) hat in der Rechtssache Eco Swiss/Benetton entschieden, dass zwingende Bestimmungen des EU-Rechts Grundregeln der öffentlichen Ordnung darstellen können, deren Verletzung ein Grund für die Aufhebung eines Schiedsspruchs sein kann, der auf einen solchen Grund im nationalen Recht gestützt ist.[lxxv] Ob ein Schiedsspruch wegen Nichteinhaltung der Datenschutzbestimmungen aufgehoben oder seine Anerkennung oder Vollstreckung verweigert werden kann, hängt daher davon ab, ob die Vorschriften der DSGVO als zwingende Vorschriften zu betrachten sind, deren Verletzung der nationalen öffentlichen Ordnung widerspricht.[lxxvi]

Artikel 9 (1) der Rom-I-Verordnung definiert zwingende Bestimmungen als Bestimmungen, "deren Einhaltung von einem Land als entscheidend für die Wahrung seiner öffentlichen Interessen angesehen wird, und zwar in einem solchen Ausmaß, dass sie ungeachtet des sonst anwendbaren Rechts auf jeden Sachverhalt anwendbar sind, der in ihren Anwendungsbereich fällt". Wie Cervenka und Schwarz bereits festgestellt haben, können die meisten Vorschriften der Datenschutz-Grundverordnung wahrscheinlich als zwingende Vorschriften des EU-Rechts angesehen werden. Als solche kann ihre Verletzung als ein Verstoß gegen die öffentliche Ordnung angesehen werden.[lxxvii]

Die Möglichkeit, dass die Nichteinhaltung der Anforderungen an den Schutz personenbezogener Daten zur Nichtigerklärung oder zur Nichtanerkennung und Nichtvollstreckung eines Schiedsspruchs führen kann, wirft verschiedene Bedenken auf. Erstens sollte genau definiert werden, welche Verpflichtungen zum Schutz personenbezogener Daten zwingende Vorschriften darstellen, da nicht alle Verstöße gleich schwer wiegen. Letztendlich wird der EuGH wahrscheinlich aufgefordert werden, weitere Klarstellungen vorzunehmen. Zweitens sollte auch der potenzielle Missbrauch der Möglichkeit berücksichtigt werden, die Vollstreckung eines Schiedsspruchs aufgrund eines Verstoßes gegen die DSGVO anzufechten oder anzufechten, um zu verhindern, dass Parteien absichtlich gegen die Vorschriften zum Schutz personenbezogener Daten verstoßen, um zu einem späteren Zeitpunkt die Möglichkeit zu haben, gegen den Schiedsspruch vorzugehen. Schließlich sollte festgelegt werden, ob die Vorschriften zum Schutz personenbezogener Daten Teil des Verfahrensrechts oder des materiellen Rechts sind und auf welche Weise.[lxxviii]

Auch wenn es noch viel zu definieren gibt, sollten die Folgen der Nichteinhaltung der Anforderungen an den Schutz personenbezogener Daten für die Aufhebung sowie die Anerkennung und Vollstreckung von Schiedssprüchen angesprochen werden. Es ist höchst interessant, dass dies in dem Fahrplan nicht erwähnt wird.

Schlussfolgerung

Der Fahrplan soll Fachleuten in der Schiedsgerichtsbarkeit helfen, die Verpflichtungen zum Schutz personenbezogener Daten und zum Schutz der Privatsphäre zu erkennen und zu verstehen, denen sie in einem internationalen Schiedsverfahren unterworfen sein können. Wie bereits erwähnt, geht er jedoch nicht auf einige spezifische Fragen ein, die heute relevant und dringend sind. Die sechs Themen, die in diesem Papier behandelt werden, sind:

  • die Anwendbarkeit der Datenschutz-Grundverordnung auf Schiedsverfahren außerhalb der EU;
  • GDPR im Kontext von NAFTA-Schiedsverfahren;
  • die Frage der virtuellen Schiedsgerichtsverhandlungen;
  • Drittmittelgeber und ihr Platz im Fahrplan;
  • potenzieller Missbrauch der DSGVO; und
  • die mögliche Nichteinhaltung der Datenschutz-Grundverordnung als Weg zur Aufhebung oder Verweigerung der Anerkennung und Vollstreckung des Schiedsspruchs.

Über diese Themen muss weiter nachgedacht werden, da sie in den kommenden Jahren voraussichtlich noch an Bedeutung gewinnen werden. Es bleibt zu hoffen, dass sich gezeigt hat, dass sie es wert sind, in den Fahrplan aufgenommen zu werden.

Die Anhänge[lxxix] die dem Fahrplan hinzugefügt wurden, sollen Fachleuten helfen, diese Anforderungen praktisch zu erfüllen. Die hinzugefügte Datenschutz-Checkliste, die Checkliste zur Bewertung des berechtigten Interesses, die Beispiel-Datenschutzerklärungen und die EU-Standardvertragsklauseln sind allesamt äußerst wertvolle Ressourcen und sollten von Fachleuten genutzt werden, um sicherzustellen, dass sie die DSGVO einhalten.

In einer Konfliktsituation zwischen verschiedenen Rechtsordnungen können die Unterschiede zwischen den verschiedenen nationalen Rechtsvorschriften zum Schutz personenbezogener Daten jedoch zu Unklarheiten führen. Auch wenn die Leitlinien des Fahrplans weitreichend sind, sind sie dennoch nicht verbindlich. Die UNCITRAL und die IBA haben sich in der Vergangenheit bemüht, die internationale Schiedsgerichtsbarkeit durch ihre Regeln, Leitlinien und Ähnliches zu harmonisieren; diese sind zwar nicht verbindlich, aber sie haben durchaus eine gewisse Überzeugungskraft. So wie UNCITRAL und IBA versucht haben, verschiedene Aspekte der internationalen Schiedsgerichtsbarkeit zu harmonisieren, besteht auch bei den Anforderungen an den Schutz personenbezogener Daten im Zusammenhang mit der Schiedsgerichtsbarkeit ein dringender Bedarf an Harmonisierung; daher sollten die erforderlichen Leitlinien mit Blick auf die Harmonisierung aufgestellt werden.

Solange die Harmonisierung, das Verständnis und das Bewusstsein für die Anforderungen der Datenschutz-Grundverordnung und ihre Auswirkungen im Kontext der internationalen Schiedsgerichtsbarkeit noch fehlen, werden wir als Fachleute der Schiedsgerichtsbarkeit weiterhin mit dem derzeit geltenden Rechtsrahmen auskommen müssen. Nichtsdestotrotz ist der Fahrplan trotz seiner Mängel ein dringend benötigter und ermutigender Schritt in Richtung eines gemeinsamen Verständnisses der Verpflichtungen zum Schutz personenbezogener Daten für die Teilnehmer an Schiedsverfahren.

[i] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. 2016 L 119/1.

[ii] Personenbezogene Daten" werden in Artikel 4 der Datenschutz-Grundverordnung definiert als:

(1) "Personenbezogene Daten" sind alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

[iii] Der räumliche Geltungsbereich der DSGVO ist in Artikel 3 wie folgt definiert:

  1. Diese Verordnung gilt für die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union, unabhängig davon, ob die Verarbeitung in der Union erfolgt oder nicht.
  2. Diese Verordnung gilt für die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union aufhalten, durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter, wenn die Verarbeitungstätigkeiten im Zusammenhang stehen mit:

(a) das Angebot von Waren oder Dienstleistungen an die betroffenen Personen in der Union, unabhängig davon, ob eine Zahlung der betroffenen Person erforderlich ist, oder

(b) die Überwachung ihres Verhaltens, soweit sie sich innerhalb der Union verhalten.

  1. Diese Verordnung gilt für die Verarbeitung personenbezogener Daten durch einen für die Verarbeitung Verantwortlichen, der nicht in der Union, sondern an einem Ort ansässig ist, an dem das Recht eines Mitgliedstaats aufgrund des Völkerrechts gilt.

[iv] Siehe die Definition des Begriffs "Auftragsverarbeiter" in Artikel 4 der Datenschutz-Grundverordnung.

[v] Art 83(4), GDPR.

[vi] 'Largest fine under GDPR levied against Google' (Simmons + Simmons, 22. Januar 2019), siehe www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google>; Joe Tidy, 'British Airways fined £20m over data breach' (BBC, 16. Oktober 2020), siehe www.bbc.com/news/technology-54568784.

[vii] ICCA-IBA Joint Task Force on Data Protection in International Arbitration" (ICCA), siehe www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, Zugriff am 18. August 2021.

[viii] The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, Februar 2020), siehe https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, Zugriff am 18. August 2021.

[ix] Ibid, 1.

[x] PCA Fall Nr. 2018-54.

[xi] ICCA und New York City Bar and International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)', siehe https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, Zugriff am 18. August 2021.

[xii] 'Cybersecurity Guidelines' (IBA, Oktober 2018), siehe www.ibanet.org/LPRU/Cybersecurity, Zugriff am 1. Dezember 2020.

[xiii] ICC Guidance Note on Possible Measures Aim" (Internationale Handelskammer, 9. April 2020), abgerufen am 18. August 2021.

[xiv] Fahrplan, Abschnitt B.

[xv] Ibid.

[xvi] Artikel 4, GDPR.

[xvii] Ibid.

[xviii] Artikel 4, GDPR

[xix] Ibid, Art 3(1).

[xx] Fahrplan, 7.

[xxi] Artikel 4, GDPR.

[xxii] Der Fahrplan definiert die "Teilnehmer am Schiedsverfahren" als "einschließlich der Parteien, ihrer Rechtsbeistände, der Schiedsrichter und (nur) der Schiedsinstitutionen". Siehe Roadmap (n 3), 2.

[xxiii] Artikel 4, GDPR.

[xxiv] Siehe Urteil vom 29. Juli 2019, Fashion ID GmbH & Co KG gegen Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, Rn. 74, 85. Siehe auch Urteil vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; Urteil vom 10. Juli 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.

[xxv] Fahrplan, 11

[xxvi] Ibid, 12.

[xxvii] Artikel 5 und 12-22, GDPR; Fahrplan 14-15.

[xxviii] So ist beispielsweise nach der DSGVO die Verarbeitung personenbezogener Daten im Rahmen eines internationalen Schiedsverfahrens rechtmäßig, wenn sie für die Zwecke der berechtigten Interessen des für die Verarbeitung Verantwortlichen erforderlich ist - vorbehaltlich von Einschränkungen, die auf den Interessen und Grundrechten der betroffenen Person beruhen -, und sensible Daten können im Rahmen der Ausnahmeregelung für Rechtsansprüche (Artikel 9 Absatz 2 Buchstabe f) im Rahmen eines Schiedsverfahrens verarbeitet werden.

[xxix] Fahrplan, 19.

[xxx] Ebd., 20-21.

[xxxi] Ebd., 30-31.

[xxxii] Ebd., 32.

[xxxiii] Ebd., 33-36.

[xxxiv] Ebd., 37-39.

[xxxv] Ebd., 37.

[xxxvi] Ebd., 39.

[xxxvii] Ebd., 40-41.

[xxxviii] Ebd., 42.

[xxxix] Ebd., 43.

[xl] Art. 5(1)(e), GDPR.

[xli] Fahrplan, 44.

[xlii] Emily Hay, ‘The Invisible Arm of GDPR in International Treaty Arbitration: Can’t We Make It Go Away?’ (Kluwer Arbitration Blog, 29 August 2019), see http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, accessed 18 August 2021.

[xliii] Die EU-Kommission hat festgestellt, dass das Land einen angemessenen Datenschutz bietet.

[xliv] Im Falle einer internationalen Schiedsgerichtsbarkeit wäre dies höchstwahrscheinlich eine Standardvertragsklausel.

[xlv] Die Ausnahmeregelung für Rechtsansprüche, die Übermittlungen erlaubt, wenn sie für die Feststellung, Geltendmachung oder Verteidigung von Rechtsansprüchen erforderlich sind, ist im schiedsrichterlichen Kontext am ehesten anwendbar.

[xlvi] Aufgrund des hohen Schwellenwerts und der Meldepflicht hat die Berufung auf zwingende berechtigte Interessen wenig praktische Bedeutung. Siehe EDPB, "Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679", 6. Februar 2018 (Data Transfer Guidance).

[xlvii] Fahrplan, 8, 13.

[xlviii] Emily Hay, 'The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Go Away? (Kluwer Arbitration Blog, 29. August 2019), siehe http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [Zugriff am 18. August 2021].

[xlix] PCA Fall Nr. 2018-54.

[l] Ibid, Mitteilung des Gerichts an die Parteien (Perm Ct Arb, 2019).

[li] Fahrplan, 37.

[lii] ICCA und New York City Bar and International Institute for Conflict Prevention & Resolution, "ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)" (ICCA), siehe https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, Zugriff am 18. August 2021.

[liii] 'Cybersecurity Guidelines' (IBA, Oktober 2018), siehe www.ibanet.org/LPRU/Cybersecurity, Zugriff am 1. Dezember 2020.

[liv] Andreas Respondek, Tasha Lim, "Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings? (Kluwer Arbitration Blog, 18. Juli 2020), siehe http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, Zugriff am 18. August 2021.

[lv] ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic" (ICC, 9. April 2020), abgerufen am 18. August 2021.

[lvi] ‘Third-Party Funding in International Arbitration: The ICCA-QMUL report’, (ICCA, May 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, accessed 18 August 2018.

[lvii] Fahrplan, 2.

[lviii] Ebd., 23-25.

[lix] Artikel 4 Absatz 2 der Datenschutz-Grundverordnung, siehe Punkt 1 oben.

[lx] Art. 6(1)(f), GDPR.

[lxi] Allan J. Arffa und andere, "GDPR Issues in International Arbitration" (Lexology, 10. August 2020), siehe www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, Zugriff am 18. August 2021.

[lxii] Fahrplan, Anhang 5.

[lxiii] Allan J Arffa und andere, "GDPR Issues in International Arbitration" (Lexology, 10. August 2020), siehe www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91> Zugriff am 18. August 2021.

[lxiv] Fahrplan 40-41.

[lxv] Siehe z. B.: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.

[lxvi] Ibid; Richmark Corp gegen Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).

[lxvii] Foreign Data Protection Laws in U.S. Litigation and International Arbitration" (Baker Botts, 6. Februar 2020), siehe www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration> Zugriff am 18. August 2021.

[lxviii] David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395. 406.

[lxix] Gary Born, Internationale Handelsschiedsgerichtsbarkeit (2. Aufl., Kluwer Law International 2014), 2335.

[lxx] Ebd. Born führt die folgenden Urteile an, um dieses Argument zu untermauern: Urteil vom 22. Januar 2004, Société Nat'l Cie for Fishing & Marketing 'Nafimco' gegen Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Cour d'appel Paris): "Die Entscheidung des Schiedsgerichts, eine Offenlegung anzuordnen, liegt in seinem verfahrensrechtlichen Ermessen und kann von den Gerichten nicht überprüft werden"; Karaha Bodas Co gegen Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Supp 2d 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Offenlegungsanträge liegen "im Rahmen der angemessenen Ausübung des Ermessens des Gerichts".

[lxxi] Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 4. Dezember 2019), siehe www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, abgerufen am 18. August 2021.

[lxxii] New Yorker Übereinkommen, Artikel V Absatz 2: "Die Anerkennung und Vollstreckung eines Schiedsspruchs kann auch versagt werden, wenn die zuständige Behörde des Landes, in dem die Anerkennung und Vollstreckung beantragt wird, feststellt, dass... (b) die Anerkennung oder Vollstreckung des Schiedsspruchs gegen die öffentliche Ordnung (ordre public) dieses Landes verstoßen würde".

[lxxiii] UN-Generalsekretär, Analytical Commentary on Draft Text of a Model Law on International Commercial Arbitration, A/CN.9/264 (1985), Artikel 34, Absatz 6.

[lxxiv] UNCITRAL Model Law on International Commercial Arbitration, Art. 34(2): "Ein Schiedsspruch kann von dem in Artikel 6 genannten Gericht nur dann aufgehoben werden, wenn...(b) das Gericht feststellt, dass...(ii) der Schiedsspruch mit der öffentlichen Ordnung (ordre public) dieses Staates unvereinbar ist".

[lxxv] Urteil vom 1. Juni 1999, Eco Swiss China Time Ltd gegen Benetton International NV C-126/97, Slg. 1999, I-03055, Randnrn. 39 und 41. Für eine ausführliche Erörterung der öffentlichen Ordnung der EU, siehe: Sacha Prechal und Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.

[lxxvi] Anja Cervenka und Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.

[lxxvii] Ibid.

[lxxviii] Für eine ausführlichere Diskussion dieser und anderer Fragen siehe: Alexander Blumrosen, "The Allocation of GDPR Compliance in Arbitration" in José R Mata Dona and Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) paras 5.63 et seq; Cervenka and Schwarz, see n 76 above, 84-85.

[lxxix] The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes", (ICCA, Februar 2020), siehe https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, Zugriff am 18. August 2021.

Dieser Artikel wurde zuerst in Dispute Resolution International, Band 15 Nr. 2, Oktober 2021, veröffentlicht und wird mit freundlicher Genehmigung der International Bar Association, London, UK, wiedergegeben. © International Bar Association.