Sprachen

Kampf der Titanen: GDPR und internationale Schiedsgerichtsbarkeit - ein Blick in die Zukunft

Veröffentlichungen: November 10, 2021

Zurück zur Übersicht

Autoren

Katharina Raudaschl

Verwandte Expertenleitfäden

Einleitung

In den letzten Jahren haben sich Fragen zu den praktischen Auswirkungen des Schutzes personenbezogener Daten und der Cybersicherheit auf die tatsächliche Durchführung internationaler Schiedsverfahren gestellt - vor allem, wenn man das ständige Tempo des technologischen Wandels berücksichtigt.

Die Allgemeine Datenschutzverordnung (GDPR)[1] feierte im Mai 2020 ihren zweiten Geburtstag. Der Datenschutzrahmen der DSGVO zielt darauf ab, den freien Verkehr personenbezogener Daten "identifizierter oder identifizierbarer natürlicher Personen"[2] zu gewährleisten. Sie gilt innerhalb der Europäischen Union und hat einen extraterritorialen Anwendungsbereich, der sich auch auf Länder außerhalb der EU erstrecken kann;[3] die DSGVO kann nicht nur alle natürlichen oder juristischen Personen betreffen, sondern unterwirft auch Behörden, Agenturen und andere Einrichtungen - möglicherweise einschließlich internationaler Organisationen - Verpflichtungen zum Schutz personenbezogener Daten.[4] Die GDPR-Sanktionen können bis zu 4 % des weltweiten Jahresumsatzes des verstoßenden Unternehmens im vorangegangenen Geschäftsjahr oder bis zu 20 Mio. EUR betragen, je nachdem, welcher Betrag höher ist. 5] Die Notwendigkeit, die Anwendung der GDPR ernst zu nehmen, wurde bereits durch Geldstrafen in Höhe von mehreren Millionen Euro deutlich, die in mehreren Ländern verhängt wurden. 6]

Die Anwendung der Datenschutzgesetze auf die Schiedsgerichtsbarkeit steht zwar fest, nicht aber die Art und Weise, in der die Gesetze angewandt werden sollten. Aus diesem Grund haben der Internationale Rat für Handelsschiedsgerichtsbarkeit (International Council for Commercial Arbitration, ICCA) und die Internationale Anwaltskammer (International Bar Association, IBA) im Februar 2019 eine gemeinsame Task Force zum Datenschutz in internationalen Schiedsverfahren eingerichtet, die einen Leitfaden mit praktischen Hinweisen zum Schutz personenbezogener Daten in internationalen Schiedsverfahren erstellen soll. Die Task Force hat im März 2020 einen Konsultationsentwurf dieses Leitfadens veröffentlicht,[7] auf den sich der vorliegende Kommentar stützt,[8] wobei die endgültige, überarbeitete Fassung des Leitfadens voraussichtlich im September 2021 veröffentlicht wird. Obwohl die Frist für Stellungnahmen zum Konsultationsentwurf bei Redaktionsschluss bereits verstrichen war, veranschaulicht die vorläufige Fassung der Roadmap dennoch die durch die DSGVO aufgeworfenen Fragen in internationalen Schiedsverfahren. Sie wird daher als Diskussionsgrundlage dienen.

Die meisten Gesetze zum Schutz personenbezogener Daten sind in Schiedsverfahren zwingend, das heißt, sie schreiben vor:

  • welche personenbezogenen Daten verarbeitet werden dürfen;
  • wo;
  • mit welchen Mitteln;
  • mit welchen Informationssicherheitsmaßnahmen; und
  • für wie lange.[9]

Sie gehen jedoch nicht darauf ein, wie diese verbindlichen Verpflichtungen in Schiedsverfahren eingehalten werden sollten. In Ermangelung spezifischer Leitlinien der Aufsichtsbehörden soll der Fahrplan Schiedsrichtern helfen, die Verpflichtungen zum Schutz personenbezogener Daten und zum Schutz der Privatsphäre zu erkennen und zu verstehen, denen sie im Rahmen eines internationalen Schiedsverfahrens unterliegen können. Darüber hinaus bleibt der Umfang des GDPR-Schutzes in internationalen Schiedsverfahren relevant, vor allem, ob die GDPR-Gesetze für Schiedsverfahren mit Sitz außerhalb der EU gelten. Wenn die DSGVO auf Schiedsverfahren anwendbar ist, ergeben sich verschiedene weitere Auswirkungen: Erstens, ob die Verarbeitung personenbezogener Daten verboten ist und zweitens, ob es Beschränkungen für die Übermittlung personenbezogener Daten außerhalb der EU gibt. Schließlich könnten die Folgen eines solchen Angriffs auf ein Schiedsverfahren aufgrund der zunehmenden Häufigkeit von Cyberangriffen erhebliche Schäden nach sich ziehen.

In diesem Artikel wird der Fahrplan kommentiert und es werden praktische Maßnahmen untersucht, die im Hinblick auf die Verpflichtungen zum Schutz personenbezogener Daten in internationalen Schiedsverfahren berücksichtigt werden sollten. Er sieht in der Roadmap ein vielversprechendes, wenn auch unvollständiges Instrument zur Ergänzung verschiedener Soft-Law-Versuche zur Harmonisierung der internationalen Schiedsgerichtsbarkeit, insbesondere der Instrumente der IBA und der Kommission der Vereinten Nationen für internationales Handelsrecht (UNCITRAL).

Zunächst wird eine kurze Zusammenfassung des Fahrplans gegeben, die auch auf die Grundsätze der Datenschutz-Grundverordnung Bezug nimmt. Es handelt sich dabei nicht um einen umfassenden Überblick, sondern um eine Einführung in die wichtigsten Punkte des Fahrplans, um dem Leser einen Kontext für die anschließende Diskussion zu geben. In einem zweiten Schritt wird ein Kommentar zu sechs relevanten Themen gegeben:

  • die Anwendbarkeit der DSGVO auf Schiedsverfahren außerhalb der EU;
  • die DSGVO im Zusammenhang mit Schiedsverfahren im Rahmen des Nordamerikanischen Freihandelsabkommens (NAFTA), wie in der Rechtssache Tennant Energy, LLC gegen die Regierung Kanadas dargestellt;[10]
  • die Frage der Videokonferenzen, die während der Covid-19-Pandemie stark an Bedeutung gewonnen hat, einschließlich Verweisen auf das 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration' (Cybersecurity Protocol)[11], die Cybersecurity Guidelines der IBA[12] und die ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic;[13]
  • Drittmittelgeber" und deren Berücksichtigung in der Roadmap;
  • Missbrauch der Datenschutz-Grundverordnung, insbesondere als Schutzschild für die Nichtweitergabe von Informationen; und
  • die Möglichkeit, die Nichteinhaltung der Datenschutzbestimmungen als Mittel zur Nichtigerklärung oder Verweigerung der Anerkennung und Vollstreckung des Schiedsspruchs zu nutzen.

Abschließende Gedanken werden in der Schlussfolgerung dargelegt.

Der Fahrplan

Natürliche und juristische Personen unterliegen der Verpflichtung, die personenbezogenen Daten der betroffenen Personen zu schützen. Das Schiedsverfahren selbst unterliegt nicht den Verpflichtungen zum Schutz personenbezogener Daten. Unterliegt jedoch nur ein Teilnehmer des Schiedsverfahrens den Verpflichtungen zum Schutz personenbezogener Daten, kann das Schiedsverfahren als Ganzes davon betroffen sein. Die Anwendbarkeit der Datenschutzgesetze hängt davon ab, ob die Verarbeitung personenbezogener Daten unter die einschlägigen Gesetze, den sachlichen und den gerichtlichen Geltungsbereich fällt[14].

Die modernen Gesetze zum Schutz personenbezogener Daten gelten immer dann, wenn personenbezogene Daten einer betroffenen Person im Rahmen von Tätigkeiten verarbeitet werden, die in den Anwendungsbereich der einschlägigen Gesetze zum Schutz personenbezogener Daten fallen.[15] Zu den personenbezogenen Daten gehören "alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen"[16] Während eines typischen Schiedsverfahrens werden in erheblichem Umfang Informationen ausgetauscht, die sich unter anderem auf die Parteien, ihre Anwälte, das Schiedsgericht und Dritte beziehen. Als solche fallen sie wahrscheinlich unter die Definition von "personenbezogenen Daten". Der Begriff "betroffene Personen" bezieht sich auf die oben genannten Personen, die identifiziert oder identifizierbar sind.[17] Die Verarbeitung umfasst aktive und passive Vorgänge, also die Verwendung, Verbreitung und Löschung personenbezogener Daten sowie den Empfang, die Organisation und die Speicherung personenbezogener Daten.[18] Der Anwendungsbereich umfasst Handlungen, wenn personenbezogene Daten im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der EU[19] und extraterritorial verarbeitet werden, z. B. wenn personenbezogene Daten außerhalb der EU an Stellen oder Personen übermittelt werden, die nicht bereits aus anderen Gründen der DSGVO unterliegen.[20]

Schiedsrichter werden als für die Datenverarbeitung Verantwortliche eingestuft, was bedeutet, dass sie für die Einhaltung der Vorschriften zum Schutz personenbezogener Daten verantwortlich sind. Ausgehend von der Definition des Begriffs "für die Verarbeitung Verantwortlicher"[21] dürften jedoch die meisten Teilnehmer des Schiedsverfahrens[22] als solche betrachtet werden, einschließlich Anwälte, Parteien und die Institution. Die für die Verarbeitung Verantwortlichen können die Datenverarbeitung an Datenverarbeiter delegieren,[23] die ihrer Kontrolle unterstehen und Datenverarbeitungsverträge zu den im geltenden Recht vorgeschriebenen Bedingungen benötigen. So können Sekretärinnen, Schreibkräfte, Übersetzer und andere Personen als Datenverarbeiter angesehen werden. Ein weiteres Problem sind die gemeinsam für die Verarbeitung Verantwortlichen, die gemeinsam die Zwecke und Mittel der Datenverarbeitung festlegen. Die gemeinsame Kontrolle wird weit ausgelegt, aber die Haftung des gemeinsam für die Verarbeitung Verantwortlichen beschränkt sich nur auf die Verarbeitung, die der für die Verarbeitung Verantwortliche bestimmt hat, sowie auf deren Zweck und Mittel, nicht aber auf die gesamte Verarbeitung.[24]

Bei internationalen Schiedsverfahren sind die Beschränkungen für die Übermittlung personenbezogener Daten zwischen verschiedenen Rechtsordnungen eine offensichtliche Art und Weise, in der die Datenschutzgesetze Anwendung finden. Der Hintergrund der verschiedenen Teilnehmer an einem Schiedsverfahren bestimmt die Anwendung der verschiedenen Datenschutzregelungen. Moderne Datenschutzgesetze beschränken die Übermittlung personenbezogener Daten in Drittländer, um sicherzustellen, dass rechtliche Verpflichtungen nicht durch die Übermittlung personenbezogener Daten in Länder mit niedrigeren Datenschutzstandards umgangen werden.[25] Die Datenschutz-Grundverordnung erlaubt die Übermittlung personenbezogener Daten in Drittländer, wenn einer der folgenden Fälle vorliegt

  • Das Land wurde von der EU-Kommission als angemessenes Land für den Schutz personenbezogener Daten eingestuft;
  • eine der ausdrücklich aufgelisteten Sicherheitsvorkehrungen wird getroffen;
  • eine Ausnahmeregelung, die Übermittlungen erlaubt, wenn sie für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind; oder
  • das zwingende berechtigte Interesse einer Partei[26].

Diese Regeln gelten für die Teilnehmer des Schiedsverfahrens und nicht für das Schiedsverfahren als Ganzes, so dass jeder Teilnehmer des Schiedsverfahrens prüfen muss, welche Beschränkungen für die Übermittlung personenbezogener Daten für ihn gelten.

Zu den in Schiedsverfahren geltenden Grundsätzen des Schutzes personenbezogener Daten gehören die faire und rechtmäßige Verarbeitung, die Verhältnismäßigkeit, die Datenminimierung, die Zweckbindung, die Rechte der betroffenen Person, die Richtigkeit, die Datensicherheit, die Transparenz und die Rechenschaftspflicht[27].

Einige dieser Grundsätze bedürfen einer näheren Erläuterung. Die Verarbeitung nach Treu und Glauben und auf rechtmäßige Weise bedeutet, dass personenbezogene Daten nur in einer Weise verarbeitet werden dürfen, die die betroffenen Personen vernünftigerweise erwarten können, und dass es eine Rechtsgrundlage für die Verarbeitung geben muss. Bei der Anwendung des Grundsatzes der Fairness sollten sich die Partei und ihr Rechtsbeistand fragen, ob die Personen unter Berücksichtigung aller Fakten erwartet hätten, dass ihre personenbezogenen Daten auf diese Weise verarbeitet werden, ob dies nachteilige Folgen für sie hat und ob diese Folgen gerechtfertigt sind. Dieser Grundsatz wird nicht verhindern, dass personenbezogene Daten, die in Geschäfts-E-Mails gefunden werden, als Beweismittel zugelassen werden.

Der Begriff der rechtmäßigen Verarbeitung setzt eine Rechtsgrundlage voraus, die faktenorientiert und fallspezifisch ist. Anstatt sich auf die Einwilligung zu berufen, sollten die spezifischen Rechtsgrundlagen der Datenschutz-Grundverordnung herangezogen werden[28].

Die Verhältnismäßigkeit erfordert eine Abwägung der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung im Verhältnis zu den Risiken für die betroffene Person.[29] Die Datenminimierung verlangt von den Teilnehmern des Schiedsverfahrens, die Verarbeitung auf personenbezogene Daten zu beschränken, die angemessen, relevant und auf das erforderliche Maß beschränkt sind.[30] Transparenz erfordert, dass die betroffenen Personen über die Verarbeitung und den Zweck der Verarbeitung personenbezogener Daten entweder durch allgemeine oder spezielle Mitteilungen oder durch beides informiert werden. 31] Rechenschaftspflicht bezieht sich auf die persönliche Verantwortung für die Einhaltung des Datenschutzes, d. h. die Teilnehmer des Schiedsverfahrens sollten alle Maßnahmen und Entscheidungen zum Schutz personenbezogener Daten dokumentieren, um die Einhaltung nachzuweisen. 32]

Die Einhaltung des Datenschutzes wirkt sich auf die einzelnen Schritte eines internationalen Schiedsverfahrens aus, nicht nur während des Schiedsverfahrens selbst, sondern auch während der Vorbereitung. Die Teilnehmer des Schiedsverfahrens sollten von Anfang an überlegen, welche Datenschutzgesetze für sie selbst und andere Teilnehmer des Schiedsverfahrens gelten und welche Teilnehmer des Schiedsverfahrens personenbezogene Daten als für die Verarbeitung Verantwortliche, Auftragsverarbeiter oder gemeinsam mit ihnen Verantwortliche verarbeiten werden. Auch die Vorschriften für die Übermittlung personenbezogener Daten aus Drittländern und die Vereinbarungen über die Verarbeitung personenbezogener Daten durch Drittdienstleister sollten berücksichtigt werden. Während der Sammlung und Prüfung von Dokumenten benötigen die Parteien und ihre Rechtsberater eine Rechtsgrundlage für die Verarbeitungstätigkeiten und die Übermittlung personenbezogener Daten in Drittländer[33].

Das Ersuchen um ein Schiedsverfahren sowie die nachfolgenden Schriftsätze werden personenbezogene Daten enthalten, die genau in den Bereich der Verarbeitung fallen. Wenn eine Schiedsinstitution an die geltenden Datenschutzgesetze gebunden ist, muss sie mögliche Verpflichtungen zum Schutz personenbezogener Daten berücksichtigen, die während jedes Verfahrensschritts gelten. Wenn eine Schiedsinstitution der DSGVO unterliegt, wird sie in der Regel zu einem für die Verarbeitung personenbezogener Daten Verantwortlichen. Um die Artikel 13 und 14 der DSGVO einzuhalten, sollte eine solche Einrichtung in ihrem Datenschutzhinweis Informationen über Sicherheitsmaßnahmen, die Ausübung der Rechte der betroffenen Person, die Aufbewahrung von Aufzeichnungen sowie über Maßnahmen bei Datenschutzverletzungen und die Aufbewahrung von Daten enthalten.[34] Internationale Organisationen, die Investor-Staat-Schiedsverfahren verwalten, können jedoch aufgrund von Vorrechten und Immunitäten im Gründungsstaat oder in einem Gastlandabkommen vom Anwendungsbereich der Datenschutzgesetze ausgeschlossen sein. Hier sind also gesonderte Überlegungen anzustellen, unter anderem, ob die Organisation an die Datenschutzgesetze gebunden ist und ob - und inwieweit - die Teilnehmer des Schiedsverfahrens unter die Vorrechte und Befreiungen fallen[35].

Bei der Ernennung von Schiedsrichtern für ein Schiedsgericht werden in der Regel in erheblichem Umfang personenbezogene Daten von potenziellen Schiedsrichtern ausgetauscht. Die Schiedsrichter sollten in ihren rechtlichen Hinweisen die Rechtsgrundlage für die Verarbeitung dieser personenbezogenen Daten angeben und die Schiedsrichter, die für eine Ernennung in Frage kommen, ausdrücklich auf die Verarbeitung ihrer personenbezogenen Daten hinweisen, insbesondere im Falle der Übermittlung personenbezogener Daten in Drittländer.[36]

Sobald das Schiedsverfahren angelaufen ist, sollten die Verantwortlichkeiten für die Einhaltung des Datenschutzes frühzeitig zugewiesen werden, um die Risiken zu minimieren. Der Schutz personenbezogener Daten sollte auf die Tagesordnung der ersten Verfahrenskonferenz gesetzt werden, und die Teilnehmer des Schiedsverfahrens sollten versuchen, sich so früh wie möglich darauf zu einigen, wie die Einhaltung des Datenschutzes gewährleistet werden kann. Die Parteien, ihre Anwälte und die Schiedsrichter sollten in Erwägung ziehen, ein Datenschutzprotokoll abzuschließen, um die Einhaltung der Vorschriften wirksam zu regeln. Ist dies nicht möglich, kann das Schiedsgericht alternativ die entsprechenden Bestimmungen in die Verfahrensordnung Nr. 1 aufnehmen.[37]

Bei der Erstellung und Offenlegung von Dokumenten ist der Grundsatz der Minimierung personenbezogener Daten besonders wichtig. Nach der Datenschutz-Grundverordnung würde dies wahrscheinlich Folgendes erfordern:

  • Beschränkung der offengelegten personenbezogenen Daten auf das, was relevant ist und keine Duplikate enthält;
  • Identifizierung der personenbezogenen Daten, die in dem zu beantwortenden Material enthalten sind; und
  • die Schwärzung oder Pseudonymisierung unnötiger personenbezogener Daten.

Auch diese Fragen sollten frühzeitig im Verfahren erörtert werden, vorzugsweise bei oder vor der ersten Verfahrenskonferenz.[38]

Wenn es um den Erlass von Schiedssprüchen geht, sollten Schiedsrichter und Institutionen die Grundlage und Notwendigkeit der Aufnahme personenbezogener Daten in Schiedssprüche prüfen. Wenn ein Schiedsverfahren vertraulich ist, besteht dennoch das Risiko, dass ein Schiedsspruch bei seiner Vollstreckung öffentlich wird. Selbst wenn personenbezogene Daten geschwärzt werden, bleiben sie in der Regel personenbezogene Daten, da die betroffene Person aus dem Rest des Schiedsspruchs oder damit zusammenhängenden Materialien identifizierbar ist[39].

Die Vorratsspeicherung und Löschung von Daten gelten als Verarbeitung im Sinne der Datenschutz-Grundverordnung, die vorsieht, dass personenbezogene Daten "so lange, wie es für die Erreichung der Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Person ermöglicht"[40]. Die für die Verarbeitung Verantwortlichen müssen die Dauer der Speicherung berücksichtigen, dokumentieren und begründen können. Die Teilnehmer an einem Schiedsverfahren müssen überlegen, welcher Zeitraum für die Datenspeicherung angemessen ist, und sollten einen verhältnismäßigen Ansatz wählen, um ihre Bedürfnisse mit den Auswirkungen der Datenspeicherung auf die betroffene Person abzuwägen.[41]

Die Anwendbarkeit der DSGVO auf Schiedsverfahren, die außerhalb der EU stattfinden

Der räumliche Geltungsbereich der Datenschutz-Grundverordnung ist relativ weit gefasst. Praktiker sollten sich ihrer Anwendung bewusst sein, unabhängig davon, ob sie in der EU ansässig sind oder das Schiedsverfahren in der EU durchgeführt wird. Die DS-GVO gilt für die Verarbeitung personenbezogener Daten durch für die Verarbeitung Verantwortliche oder Auftragsverarbeiter mit Sitz in der EU, unabhängig davon, ob die Verarbeitung selbst in der EU stattfindet (Artikel 3 Absatz 1). Wenn es darum geht, EU-Bürgern Waren oder Dienstleistungen anzubieten oder Verhaltensweisen zu überwachen, die innerhalb der EU stattfinden, gilt die DSGVO auch für die Verarbeitung personenbezogener Daten durch einen nicht in der EU niedergelassenen für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter (Artikel 3 Absatz 2).

Auf den schiedsrichterlichen Kontext angewandt, erlegt die DSGVO den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern - Schiedsrichtern, Anwälten, Parteien und Institutionen -, die in ihren sachlichen und räumlichen Geltungsbereich fallen, Verpflichtungen auf und nicht dem Schiedsgerichtsverfahren selbst. Selbst wenn nur ein Teilnehmer des Schiedsverfahrens eine Verbindung zur EU hat, ist er verpflichtet, personenbezogene Daten gemäß der DSGVO zu verarbeiten. Dies kann Auswirkungen auf das gesamte Verfahren haben[42].

Im Zusammenhang mit internationalen Schiedsverfahren, bei denen die Übermittlung von Schiedsunterlagen, die personenbezogene Daten enthalten, an der Tagesordnung ist, sind die Beschränkungen für die Übermittlung personenbezogener Daten in "Drittländer" außerhalb des Europäischen Wirtschaftsraums (EWR) vielleicht am bemerkenswertesten. In einem solchen Szenario ist eine von vier Rechtsgrundlagen erforderlich, damit die Übermittlung personenbezogener Daten zulässig ist. Erstens ist die Übermittlung in ein Drittland zulässig, wenn für das Drittland ein Angemessenheitsbeschluss vorliegt (Artikel 45 Absatz 1);[43] ist dies nicht der Fall, sollte nach Möglichkeit eine der geeigneten Garantien (Artikel 46 Absatz 1) vorgesehen werden.[44] Liegt kein Angemessenheitsbeschluss vor und ist eine geeignete Schutzmaßnahme nicht durchführbar, kann eine spezifische Ausnahmeregelung geltend gemacht werden (Artikel 49 Absatz 1)[45] Ist dies nicht der Fall, kann sich eine Partei auf ein zwingendes berechtigtes Interesse (Artikel 49 Absatz 1)[46] als Rechtsgrundlage für eine Übermittlung personenbezogener Daten an Dritte berufen.

Im Fahrplan werden die notwendigen Überlegungen, die die Teilnehmer an einem Schiedsverfahren anstellen müssen, recht umfassend dargelegt. Darin wird mehrfach betont, dass die Grundsätze des Schutzes personenbezogener Daten und die Übermittlungsvorschriften für die Teilnehmer des Schiedsverfahrens und nicht für das Schiedsverfahren als solches gelten[47], so dass davon auszugehen ist, dass ein in der EU ansässiger Schiedsrichter, der an einem Schiedsverfahren außerhalb der EU teilnimmt, das ansonsten nicht der DSGVO unterliegt, dennoch die Anforderungen der DSGVO an die Verarbeitung und Übermittlung personenbezogener Daten erfüllen muss. Dies wird in Handelsschiedsverfahren in der Tat allgemein akzeptiert,[48] aber die Situation ist nicht so klar, wenn es um Investor-Staat-Schiedsverfahren geht.

Der Fall Tennant Energy, LLC gegen die Regierung von Kanada

Im Jahr 2019 warf der Kläger Tennant Energy, LLC gegen die Regierung von Kanada (Tennant)[49] in einem Schiedsverfahren nach Kapitel 11 des NAFTA-Abkommens die Frage auf, ob die DSGVO angesichts der britischen Staatsangehörigkeit und des Wohnsitzes eines der Mitglieder des Schiedsgerichts auf das Verfahren anwendbar sei. Das Gericht wies die Parteien jedoch darauf hin, dass "ein Schiedsverfahren nach Kapitel 11 des NAFTA, einem Vertrag, dem weder die Europäische Union noch ihre Mitgliedstaaten beigetreten sind, vermutlich nicht in den sachlichen Anwendungsbereich der DSGVO fällt"[50].

Es ist wichtig, zwischen vertraglicher und kommerzieller Schiedsgerichtsbarkeit zu unterscheiden, wobei Tennant in die erste Kategorie fällt. Der Fahrplan geht auf diese Unterscheidung ein und stellt fest, dass internationale Organisationen vom Anwendungsbereich der Datenschutzgesetze ausgenommen sein können[51]. Die Mitglieder des Schiedsgerichts im Tennant-Schiedsverfahren können bestimmten Immunitäten unterliegen, die sich aus dem Sitzabkommen des Ständigen Schiedshofs (PCA) mit den Niederlanden ergeben. Das NAFTA-Schiedsgericht hat jedoch nicht geprüft, ob der PKA als internationale Organisation den Übermittlungsvorschriften der Datenschutz-Grundverordnung unterliegt oder ob die Mitglieder des Schiedsgerichts bestimmte Immunitäten aus dem Abkommen ableiten können.

Die Tennant-Richtlinie wirft mehr Fragen auf, als sie beantwortet, was die Anwendbarkeit der DSGVO auf NAFTA-Verfahren und auf Schiedsverfahren auf Vertragsbasis im Allgemeinen angeht, und eine nuancierte Erörterung dieser Fragen würde hier den Rahmen sprengen. Nichtsdestotrotz zeigt die Tennant-Richtlinie im Lichte der Roadmap, dass dieses Thema höchst unsicher bleibt. Es ist bestenfalls fraglich, ob die Roadmap den mit dieser Frage konfrontierten Schiedsgerichtsteilnehmern Klarheit verschafft, insbesondere wenn man bedenkt, dass die Roadmap nach dem Erlass der Tennant-Richtlinie herausgegeben wurde, dieser aber keine Beachtung geschenkt hat.

Die Frage der Videokonferenzen

In der Roadmap wird die Bedeutung des Schutzes personenbezogener Daten anerkannt. Angesichts der jüngsten Nutzung zusätzlicher Technologien zur Erleichterung virtueller Anhörungen und der Arbeit von zu Hause aus - vor allem aufgrund der aktuellen Umstände, die uns durch die Covid-19-Pandemie auferlegt wurden - erhält dieses Thema zusätzliches Gewicht. Das Cybersicherheitsprotokoll[52] und die Cybersicherheitsrichtlinien der IBA[53] haben das Thema etwas beleuchtet.

Wie der Fahrplan legt auch das Cybersicherheitsprotokoll mehrere Grundprinzipien fest. Es gilt der Grundsatz der Verhältnismäßigkeit, das Gericht hat die Befugnis und den Ermessensspielraum, Sicherheitsmaßnahmen festzulegen, und die Informationssicherheit ist ein Thema, das in der ersten Fallmanagementkonferenz erörtert werden sollte. Anhang A des Cybersicherheitsprotokolls enthält eine Checkliste, die die Parteien eines Schiedsverfahrens verwenden können, um das Verfahren zu sichern.

Infolge der jüngsten Verschiebung von Arbeitsmustern und -umgebungen aufgrund der Covid-19-Pandemie sollte diesen Fragen mehr Gewicht beigemessen werden. In einer Welt, die gezwungen ist, neue Wege der Geschäftsabwicklung zu finden und sich an unsichere Zeiten anzupassen, ist eines der Probleme, mit denen sich der Rechtssektor konfrontiert sieht, die Frage der Anhörungen in Verbindung mit Einschränkungen und der Notwendigkeit sozialer Distanzierung. Die Beliebtheit von Videokonferenzen und deren Einsatz in internationalen Schiedsverfahren ist daher ein Thema, das im Fahrplan behandelt werden sollte, aber nicht behandelt wurde - oder zumindest noch nicht.

Obwohl viele die Probleme von Videoanhörungen erörtert und aufgezeigt haben, haben die meisten nicht darauf eingegangen, wie die Datenschutzgesetze auf sie angewandt werden sollten, und zwar nicht nur im Hinblick auf den Schutz personenbezogener Daten, sondern auch auf die Sicherheit, da einige Plattformen Gegenstand von Sicherheitsangriffen waren[54].

Wie bereits erwähnt, ist es wichtig, die verschiedenen Rollen der an einem Schiedsverfahren bezüglich der DSGVO beteiligten Parteien zu verstehen, d. h. wer die "für die Verarbeitung Verantwortlichen" und die "Datenverarbeiter" sind. Wenn die Videokonferenzsoftware personenbezogene Daten verarbeitet, wie z. B. den Benutzernamen und die E-Mail-Adresse einer Partei, die den Dienst nutzt, wird sie als "Datenverarbeiter" betrachtet. Das bedeutet, dass sie die GDPR-Vorschriften einhalten müssen, wenn einer der Teilnehmer seinen Wohnsitz in der EU hat. Da das Gericht der "für die Verarbeitung Verantwortliche" ist, obliegt es dem Gericht, die Einhaltung der Vorschriften sicherzustellen.

Die Internationale Handelskammer (ICC) hat einen Leitfaden[55] herausgegeben, der den Parteien Klauselvorschläge für Cybersicherheitsprotokolle und virtuelle Anhörungen enthält. Er zielt auf den Sicherheitsaspekt ab, geht aber nicht auf den Aspekt des Schutzes personenbezogener Daten ein. Im Fahrplan sollten die Möglichkeiten erörtert werden, inwieweit der Schutz personenbezogener Daten bei virtuell durchgeführten Anhörungen Anwendung findet und wie dieser einzuhalten ist. Die Datenschutz-Grundverordnung legt zwar Anforderungen fest, die in Bezug auf Videokonferenzen erfüllt werden müssen, gibt aber keine Hinweise darauf, wie diese Anforderungen direkt anzuwenden sind.

Obwohl der Fahrplan keine Empfehlungen zu bestimmten Softwareanbietern enthält, könnte er eine Liste mit den erforderlichen Spezifikationen einer idealen Software für Videoanhörungen zusammenstellen und den Praktikern zur Verfügung stellen, so wie er in seinen Anhängen Checklisten zu verschiedenen anderen Fragen enthält.

Welche Rolle spielen Drittmittelgeber?

Unter einem Drittmittelgeber versteht man jede nicht am Schiedsverfahren beteiligte Partei, die eine Vereinbarung zur vollständigen oder teilweisen Finanzierung der Verfahrenskosten gegen einen ganz oder teilweise vom Ausgang des Verfahrens abhängigen Betrag trifft.[56] Drittmittelgeber haben Zugang zu verschiedenen personenbezogenen Daten in Schiedsverfahren, die sie finanzieren oder deren Finanzierung sie in Betracht ziehen. Obwohl sich der Fahrplan ausdrücklich nur an die Teilnehmer von Schiedsverfahren richtet, wird darauf hingewiesen, dass der Leitfaden auch für Dienstleister relevant ist, die ebenfalls von den Anforderungen des Schutzes personenbezogener Daten betroffen sind[57].

In der Roadmap werden unter den Dienstleistern "E-Discovery-Experten, Informationstechnologieexperten, Gerichtsberichterstatter, Übersetzungsdienste usw."[58] genannt, aber Drittmittelgeber werden nicht ausdrücklich erwähnt. Nach der Datenschutz-Grundverordnung ist die Erhebung und Speicherung personenbezogener Daten Teil der Verarbeitung. Wenn die Drittmittelgeber also personenbezogene Daten von anderen erheben, gelten die Rechtsvorschriften über personenbezogene Daten auch für sie.[59]

Die DSGVO erlaubt es einer Partei, personenbezogene Daten zu verarbeiten, wenn "die Verarbeitung zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich ist"[60], was von den Teilnehmern des Schiedsverfahrens möglicherweise als Rechtsgrundlage für die Verarbeitung relevanter personenbezogener Daten angeführt werden kann. Zu diesem Thema gibt es nur begrenzte Leitlinien[61], und im Fahrplan heißt es:

Der erste Schritt bei der Bewertung des berechtigten Interesses besteht darin, ein berechtigtes Interesse zu ermitteln - was ist der Zweck der Verarbeitung der personenbezogenen Daten und warum ist er für Sie als für die Verarbeitung Verantwortlicher wichtig? Im Zusammenhang mit einem Schiedsverfahren kann das berechtigte Interesse die Rechtspflege, die Wahrung der Rechte der Parteien und die zügige und faire Beilegung von Streitigkeiten nach den geltenden Schiedsregeln sowie viele andere Interessen umfassen."[62]

Zu den "vielen anderen Interessen" könnte möglicherweise auch das berechtigte finanzielle Interesse von Drittmittelgebern gehören. In diesem Fall wären sie eindeutig verpflichtet, Datenverarbeitungsverträge mit den Parteien des Schiedsverfahrens abzuschließen, und würden in den Anwendungsbereich der Vorschriften und Anforderungen zum Schutz personenbezogener Daten einbezogen. Interessanterweise geht der Fahrplan nicht ausdrücklich darauf ein, wie Drittmittelgeber in das Bild passen, insbesondere angesichts der zunehmenden Einbeziehung von Drittmittelgebern in Schiedsverfahren.

Ein Schutzschild für die Nichtoffenlegung

Die Verpflichtung zum Schutz personenbezogener Daten birgt die Gefahr des Missbrauchs. Schiedsparteien können die DSGVO in böser Absicht als Schutzschild nutzen, um die Offenlegung von Informationen zu verhindern, die für das Verfahren relevant sind oder von der Gegenpartei verlangt werden. So kann eine Partei beispielsweise die Offenlegung mit der Begründung ablehnen, dass die Dokumente personenbezogene Daten enthalten, die nichts mit dem Streitfall zu tun haben, oder dass die Schwärzung personenbezogener Daten eine unangemessene Belastung darstellen würde[63].

Der Fahrplan befasst sich mit dem Potenzial für Missbrauch. Er schlägt vor, die Verpflichtungen zum Schutz personenbezogener Daten so früh wie möglich anzusprechen und zu klären, um das Risiko zu verringern, dass sich diese auf die Verfahren auswirken. Die Teilnehmer sollten in Erwägung ziehen, ein "Datenschutzprotokoll" zu schließen - eine Vereinbarung darüber, wie der Schutz personenbezogener Daten in einem bestimmten Kontext angewendet wird. Wenn es nicht möglich ist, ein Datenschutzprotokoll zu unterzeichnen, sollten diese Fragen alternativ in der Verfahrensanordnung Nr. 1 behandelt werden.[64]

Zum Vergleich kann man die Einhaltung der DSGVO während der Offenlegung in US-Prozessen betrachten. US-Bundesgerichte haben Abwägungstests angewandt, um zu entscheiden, ob sie die Offenlegung oder Befolgung von Vorladungen oder Offenlegungsanordnungen anordnen, die möglicherweise gegen ausländische Gesetze, einschließlich der Gesetze zum Schutz personenbezogener Daten, verstoßen.[65] Eine nicht erschöpfende Liste von Faktoren, die von US-Bundesgerichten berücksichtigt werden, ist

  • die Bedeutung der angeforderten Dokumente oder anderen Informationen für den Rechtsstreit;
  • der Grad der Spezifizität des Ersuchens;
  • ob die Informationen aus den USA stammen;
  • die Verfügbarkeit von alternativen Mitteln zur Beschaffung der Informationen; und
  • das Ausmaß, in dem die Nichterfüllung wichtige Interessen der USA beeinträchtigen würde[66].

In den meisten Fällen verlangen Bundesgerichte die Offenlegung trotz möglicher Verstöße gegen ausländische Datenschutzgesetze[67].

Schiedsrichter müssen andere Erwägungen anstellen als Gerichte, wenn sie entscheiden, ob sie die Offenlegung durch eine Partei anordnen. Es ist richtig, wie in der Literatur argumentiert wird,[68] dass die Gerichte angesichts der drohenden Nichtigerklärung oder Verweigerung der Vollstreckung nach dem Übereinkommen über die Anerkennung und Vollstreckung ausländischer Schiedssprüche von 1958 (New Yorker Übereinkommen) konkurrierende Rechte und Pflichten berücksichtigen müssen. Diese Ansicht berücksichtigt jedoch nicht die Tatsache, dass Offenlegungsanordnungen angesichts des Grundsatzes der richterlichen Nichteinmischung nur einer minimalen Überprüfung durch staatliche Gerichte unterliegen[69]. Beispiele für staatliche Gerichte, die von einer Überprüfung von Offenlegungsanordnungen absehen, gibt es zuhauf[70].

Angesichts des Ermessensspielraums, der den Gerichten in Verfahrensfragen eingeräumt wird, dürfte die Gefahr einer Aufhebung oder Verweigerung der Vollstreckung kaum eine zentrale Rolle spielen. Da es unvermeidlich ist, dass Parteien versuchen, die Verpflichtungen der Datenschutz-Grundverordnung zu missbrauchen, um sich einen potenziellen Verfahrensvorteil zu verschaffen, werden die Gerichte in die schwierige Lage versetzt, einerseits die Interessen der betroffenen Person abzuwägen und andererseits ein solides Beweisverfahren aufrechtzuerhalten.[71] Die Klärung der Verpflichtungen zur Einhaltung des Schutzes personenbezogener Daten zu Beginn des Verfahrens - vorzugsweise in einem unterzeichneten Datenschutzprotokoll - im Einklang mit den Empfehlungen des Fahrplans scheint ein notwendiger Schritt zu sein, um dieses Verhalten zu kontrollieren.

Nichteinhaltung der Anforderungen an den Schutz personenbezogener Daten als Weg zur Nichtigerklärung und Versagung der Anerkennung und Vollstreckung

Der Fahrplan befasst sich nicht mit der Frage, ob die Nichteinhaltung der Anforderungen an den Schutz personenbezogener Daten zur Aufhebung eines Schiedsspruchs oder zur Verweigerung seiner Anerkennung und Vollstreckung verwendet werden kann. Die Parteien haben nur sehr begrenzte Möglichkeiten, gegen Schiedssprüche vorzugehen. Dennoch kann eine unterlegene Partei den Schiedsspruch anfechten und einen der wichtigsten gemeinsamen Gründe anführen, um den Schiedsspruch anzufechten oder seine Anerkennung oder Vollstreckung zu verhindern.

Das New Yorker Übereinkommen hat derzeit 168 Vertragsstaaten und ist damit die wichtigste Rechtsgrundlage für die Anerkennung und Vollstreckung ausländischer Schiedssprüche in internationalen Handelsschiedsverfahren. Das Übereinkommen sieht in Artikel V begrenzte Gründe vor, aus denen die Anerkennung und Vollstreckung eines Schiedsspruchs verweigert werden kann. Vor allem Artikel V Absatz 2 Buchstabe b räumt der zuständigen Behörde eines Unterzeichnerstaates die Möglichkeit ein, die Anerkennung oder Vollstreckung eines Schiedsspruchs zu verweigern, der gegen die öffentliche Ordnung (ordre public) verstößt[72].

Die Gründe, aus denen ein Schiedsspruch aufgehoben werden kann, sind in den verschiedenen Rechtsordnungen unterschiedlich. Das UNCITRAL-Modellgesetz über die internationale Handelsschiedsgerichtsbarkeit, das weithin übernommen wurde, enthält in Artikel 34(2) eine Liste von Aufhebungsgründen. Diese Liste lehnt sich eng an Artikel V des New Yorker Übereinkommens an.[73] Artikel 34 Absatz 2 Buchstabe b) Ziffer ii) besagt, dass ein Schiedsspruch vom Gericht aufgehoben werden kann, wenn der Schiedsspruch gegen die öffentliche Ordnung (ordre public) des Staates verstößt.[74]

Der Europäische Gerichtshof (EuGH) hat in der Rechtssache Eco Swiss/Benetton entschieden, dass zwingende Vorschriften des EU-Rechts Grundregeln der öffentlichen Ordnung darstellen können, deren Verletzung ein Grund für die Aufhebung eines Schiedsspruchs sein kann, der sich auf einen solchen Grund im nationalen Recht stützt.[75] Ob ein Schiedsspruch wegen Nichteinhaltung der Anforderungen an den Schutz personenbezogener Daten aufgehoben oder seine Anerkennung oder Vollstreckung verweigert werden kann, hängt daher davon ab, ob die Vorschriften der Datenschutz-Grundverordnung als zwingende Vorschriften anzusehen sind, deren Verletzung der nationalen öffentlichen Ordnung widerspricht.[76]

Artikel 9 Absatz 1 der Rom-I-Verordnung definiert zwingende Vorschriften als Vorschriften, "deren Einhaltung ein Staat für die Wahrung seiner öffentlichen Interessen ... als so entscheidend ansieht, dass sie ungeachtet des sonst geltenden Rechts auf jeden Sachverhalt anwendbar sind, der in ihren Anwendungsbereich fällt". Wie Cervenka und Schwarz bereits festgestellt haben, können die meisten Vorschriften der Datenschutz-Grundverordnung wahrscheinlich als zwingende Vorschriften des EU-Rechts angesehen werden. Als solche kann ihre Verletzung als Verstoß gegen die öffentliche Ordnung angesehen werden[77].

Die Möglichkeit, dass die Nichteinhaltung der Anforderungen an den Schutz personenbezogener Daten zur Nichtigerklärung oder zur Nichtanerkennung und Nichtvollstreckung eines Schiedsspruchs führen kann, wirft verschiedene Bedenken auf. Erstens sollte genau definiert werden, welche Verpflichtungen zum Schutz personenbezogener Daten zwingende Vorschriften darstellen würden, da nicht alle Verstöße gleich schwer wiegen. Letztendlich wird der EuGH wahrscheinlich aufgefordert werden, weitere Klarstellungen vorzunehmen. Zweitens sollte auch der potenzielle Missbrauch der Möglichkeit berücksichtigt werden, die Vollstreckung eines Schiedsspruchs aufgrund eines Verstoßes gegen die DSGVO anzufechten oder anzufechten, um zu verhindern, dass Parteien absichtlich gegen die Vorschriften zum Schutz personenbezogener Daten verstoßen, um zu einem späteren Zeitpunkt gegen den Schiedsspruch vorgehen zu können. Schließlich sollte festgelegt werden, ob die Vorschriften zum Schutz personenbezogener Daten Teil des Verfahrensrechts oder des materiellen Rechts sind und auf welche Weise.[78]

Auch wenn es noch viel zu definieren gibt, sollten die Folgen der Nichteinhaltung der Datenschutzbestimmungen für die Nichtigerklärung sowie die Anerkennung und Vollstreckung von Schiedssprüchen angesprochen werden. Es ist höchst interessant, dass dies in der Roadmap nicht erwähnt wird.

Schlussfolgerung

Der Fahrplan soll Fachleuten in der Schiedsgerichtsbarkeit helfen, die Verpflichtungen zum Schutz personenbezogener Daten und der Privatsphäre zu erkennen und zu verstehen, denen sie in einem internationalen Schiedsverfahren unterliegen können. Wie bereits erwähnt, geht er jedoch nicht auf einige spezifische Fragen ein, die heute relevant und dringlich sind. Die sechs Fragen, die in diesem Papier behandelt werden, sind:

  • die Anwendbarkeit der Datenschutz-Grundverordnung auf Schiedsverfahren, die außerhalb der EU stattfinden;
  • GDPR im Kontext von NAFTA-Schiedsverfahren;
  • die Frage der virtuellen Schiedsgerichtsverhandlungen;
  • Drittfinanzierer und ihr Platz im Fahrplan;
  • potenzieller Missbrauch der DSGVO; und
  • die mögliche Nichteinhaltung der DSGVO als Weg zur Aufhebung oder Verweigerung der Anerkennung und Vollstreckung des Schiedsspruchs.

Alle diese Fragen müssen weiter erörtert werden, da sie in den kommenden Jahren voraussichtlich noch an Bedeutung gewinnen werden. Es bleibt zu hoffen, dass sich gezeigt hat, dass sie es wert sind, in den Fahrplan aufgenommen zu werden.

Die Anhänge[79], die dem Fahrplan hinzugefügt wurden, sollen den Fachleuten helfen, mit diesen Anforderungen praktisch umzugehen. Die hinzugefügte Datenschutz-Checkliste, die Checkliste zur Bewertung des berechtigten Interesses, die Beispiel-Datenschutzerklärungen und die EU-Standardvertragsklauseln sind allesamt äußerst wertvolle Ressourcen und sollten von Fachleuten genutzt werden, um sicherzustellen, dass sie die DSGVO einhalten.

In einer Konfliktsituation zwischen verschiedenen Rechtsordnungen können die Unterschiede zwischen den verschiedenen nationalen Rechtsvorschriften zum Schutz personenbezogener Daten jedoch zu Unklarheiten führen. Auch wenn die Leitlinien des Fahrplans weitreichend sind, sind sie dennoch nicht verbindlich. Die UNCITRAL und die IBA haben sich in der Vergangenheit bemüht, die internationale Schiedsgerichtsbarkeit durch ihre Regeln, Leitlinien und Ähnliches zu harmonisieren; diese sind zwar nicht verbindlich, aber sie haben durchaus eine gewisse Überzeugungskraft. So wie UNCITRAL und IBA versucht haben, verschiedene Aspekte der internationalen Schiedsgerichtsbarkeit zu harmonisieren, besteht auch bei den Anforderungen an den Schutz personenbezogener Daten im Zusammenhang mit der Schiedsgerichtsbarkeit ein dringender Bedarf an Harmonisierung; daher sollten die erforderlichen Leitlinien mit Blick auf die Harmonisierung erstellt werden.

Solange die Harmonisierung, das Verständnis und das Bewusstsein für die Anforderungen der Datenschutz-Grundverordnung und ihre Auswirkungen im Kontext der internationalen Schiedsgerichtsbarkeit fehlen, werden wir als Fachleute der Schiedsgerichtsbarkeit weiterhin mit dem derzeit geltenden Rechtsrahmen auskommen müssen. Nichtsdestotrotz ist der Fahrplan trotz seiner Mängel ein dringend benötigter und ermutigender Schritt in Richtung eines gemeinsamen Verständnisses der Verpflichtungen zum Schutz personenbezogener Daten für die Teilnehmer an Schiedsverfahren.

Ressources

  1. Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. 2016 L 119/1.
  2. Der Begriff "personenbezogene Daten" wird in Art. 4 der DSGVO definiert als: (1) "Personenbezogene Daten" sind alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
  3. Der territoriale Anwendungsbereich der DSGVO ist in Artikel 3 wie folgt definiert:
    1. "Diese Verordnung gilt für die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters in der Union, unabhängig davon, ob die Verarbeitung in der Union stattfindet oder nicht.

    2. Diese Verordnung gilt für die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union aufhalten, durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter, wenn die Verarbeitungstätigkeiten im Zusammenhang stehen mit:

      (a) das Anbieten von Waren oder Dienstleistungen an diese betroffenen Personen in der Union, unabhängig davon, ob eine Zahlung der betroffenen Person erforderlich ist, oder

      (b) die Beobachtung ihres Verhaltens, soweit ihr Verhalten innerhalb der Union stattfindet.

    3. Diese Verordnung gilt für die Verarbeitung personenbezogener Daten durch einen für die Verarbeitung Verantwortlichen, der nicht in der Union, sondern an einem Ort ansässig ist, an dem das Recht eines Mitgliedstaats aufgrund des Völkerrechts gilt.
  4. Siehe die Definition des Begriffs "Auftragsverarbeiter" in Artikel 4 der DS-GVO.
  5. Artikel 83(4), DSGVO.
  6. Largest fine under GDPR levied against Google" (Simmons + Simmons, 22. Januar 2019), siehe www.simmons-simmons.com/en/publications/ck0cq8kiru2hf0b36maziwal9/220119-largest-fine-yet-under-the-gdpr-levied-against-google; Joe Tidy, "British Airways fined £20m over data breach" (BBC, 16. Oktober 2020), siehe www.bbc.com/news/technology-54568784.
  7. ICCA-IBA Joint Task Force on Data Protection in International Arbitration" (ICCA), siehe www.arbitration-icca.org/icca-iba-joint-task-force-data-protection-international-arbitration, Zugriff am 18. August 2021.
  8. The ICCA-IBA Roadmap to Data Protection in International Arbitration" (ICCA, Februar 2020), siehe https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_28.02.20.pdf, Zugriff am 18. August 2021.
  9. Ibid, 1.
  10. PCA Case No. 2018-54.
  11. ICCA and New York City Bar and International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)', siehe https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, Zugriff am 18. August 2021.
  12. 'Cybersecurity Guidelines' (IBA, Oktober 2018), siehe www.ibanet.org/LPRU/Cybersecurity, Zugriff am 1. Dezember 2020.
  13. ICC Guidance Note on Possible Measures Aim" (Internationale Handelskammer, 9. April 2020), Zugriff am 18. August 2021.
  14. Roadmap, Abschnitt B.
  15. Ibid.
  16. Art. 4, GDPR.
  17. Ibid.
  18. Art. 4, DSGVO
  19. Ebd., Artikel 3(1).
  20. Fahrplan, 7.
  21. Artikel 4, DSGVO.
  22. Der Fahrplan definiert "Teilnehmer am Schiedsverfahren" als "einschließlich der Parteien, ihrer Rechtsbeistände, der Schiedsrichter und (nur) der Schiedsinstitutionen". Siehe Roadmap (n 3), 2.
  23. Art. 4, GDPR.
  24. Siehe Urteil vom 29. Juli 2019, Fashion ID GmbH & Co KG vs. Verbraucherzentrale NRW eV, C-40/17, ECLI:EU:C:2019:629, Rn. 74, 85. Siehe auch Urteil vom 5. Juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388; Urteil vom 10. Juli 2018, Jehovan todistajat, C-25/17, EU:C:2018:551.
  25. Roadmap, 11.
  26. Ibid, 12.
  27. Art. 5 und 12-22, GDPR; Roadmap 14-15.
  28. Beispielsweise ist nach der DSGVO die Verarbeitung personenbezogener Daten im Zusammenhang mit einem internationalen Schiedsverfahren rechtmäßig, wenn sie für die Zwecke der berechtigten Interessen des für die Verarbeitung Verantwortlichen erforderlich ist - vorbehaltlich der Einschränkungen, die auf den Interessen und Grundrechten der betroffenen Person beruhen -, und sensible Daten können im Rahmen der Ausnahmeregelung für Rechtsansprüche (Artikel 9 Absatz 2 Buchstabe f) im Zusammenhang mit einem Schiedsverfahren verarbeitet werden.
  29. Fahrplan, 19.
  30. Ebd., 20-21.
  31. Ebd., 30-31.
  32. Ebd., 32.
  33. Ebd., 33-36.
  34. Ebd., 37-39.
  35. Ebd., 37.
  36. Ebd., 39.
  37. Ebd., 40-41.
  38. Ebd., 42.
  39. Ebd., 43.
  40. Artikel 5(1)(e), GDPR.
  41. Fahrplan, 44.
  42. Emily Hay, 'The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Go Away?" (Kluwer Arbitration Blog, 29. August 2019), siehe http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/#:~:text=Territorial%20Scope%20of%20the%20GDPR,the%20tribunal%20derives%20its%20mandate, abgerufen am 18. August 2021.
  43. Die EU-Kommission hat festgestellt, dass das Land einen angemessenen Datenschutz bietet.
  44. Im Falle einer internationalen Schiedsgerichtsbarkeit wäre dies höchstwahrscheinlich eine Standardvertragsklausel.
  45. Die Ausnahmeregelung für Rechtsansprüche, die Übermittlungen zulässt, wenn sie "für die Feststellung, Geltendmachung oder Verteidigung von Rechtsansprüchen" erforderlich sind, ist im schiedsrichterlichen Kontext am ehesten anwendbar.
  46. Aufgrund der hohen Schwelle und der Meldepflicht ist die Berufung auf zwingende berechtigte Interessen in der Praxis wenig relevant. Siehe EDPB, "Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679", 6. Februar 2018 (Data Transfer Guidance).
  47. Roadmap, 8, 13.
  48. Emily Hay, "The Invisible Arm of GDPR in International Treaty Arbitration: Can't We Make It Go Away?" (Kluwer Arbitration Blog, 29. August 2019), siehe http://arbitrationblog.kluwerarbitration.com/2019/08/29/the-invisible-arm-of-gdpr-in-international-treaty-arbitration-cant-we-make-it-go-away/ [Zugriff am 18. August 2021].
  49. PCA Case No 2018-54.
  50. Ibid, Tribunal's Communication to the Parties (Perm Ct Arb, 2019).
  51. Roadmap, 37.
  52. ICCA and New York City Bar and International Institute for Conflict Prevention & Resolution, 'ICCA-NYC Bar-CPR Protocol on Cybersecurity in International Arbitration (2020 Edition)' (ICCA), siehe https://cdn.arbitration-icca.org/s3fs-public/document/media_document/icca-nyc_bar-cpr_cybersecurity_protocol_for_international_arbitration_-_electronic_version.pdf, Zugriff am 18. August 2021.
  53. 'Cybersecurity Guidelines' (IBA, Oktober 2018), siehe www.ibanet.org/LPRU/Cybersecurity, Zugriff am 1. Dezember 2020.
  54. Andreas Respondek, Tasha Lim, "Should the ICCA/IBA's Task Force on Data Protection 'Roadmap' address the impact of GDPR on Video Conferencing in International Arbitration Proceedings?" (Kluwer Arbitration Blog, 18. Juli 2020), siehe http://arbitrationblog.kluwerarbitration.com/2020/07/18/should-the-icca-ibas-task-force-on-data-protection-roadmap-address-the-impact-of-the-gdpr-on-video-conferencing-in-international-arbitration-proceedings, abgerufen am 18. August 2021.
  55. ICC Guidance Note on Possible Measures Aimed at Mitigating the Effects of the COVID-19 Pandemic" (ICC, 9. April 2020), abgerufen am 18. August 2021.
  56. 'Third-Party Funding in International Arbitration: The ICCA-QMUL report', (ICCA, Mai 2018), https://cdn.arbitration-icca.org/s3fs-public/document/media_document/Third-Party-Funding-Report%20.pdf, Zugriff am 18. August 2018.
  57. Roadmap, 2.
  58. Ibid, 23-25.
  59. Art. 4(2), GDPR, siehe Nr. 1 oben.
  60. Art. 6(1)(f), GDPR.
  61. Allan J Arffa und andere, "GDPR Issues in International Arbitration" (Lexology, 10. August 2020), siehe www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, Zugriff am 18. August 2021.
  62. Fahrplan, Anhang 5.
  63. Allan J Arffa u. a., "GDPR Issues in International Arbitration" (Lexology, 10. August 2020), siehe www.lexology.com/library/detail.aspx?g=49cf607b-d82f-4cb6-a2f7-2790f4cfeb91, Zugriff am 18. August 2021.
  64. Fahrplan 40-41.
  65. Siehe z. B.: David M Howard, "Foreign Data Protection Laws in International Arbitration and United States Litigation" (2020) 55 Tex Int'l L J 395.
  66. Ibid; Richmark Corp gegen Timber Falling Consultants, 959 F.2d 1468, 1475 (9th Cir 1992).
  67. Foreign Data Protection Laws in U.S. Litigation and International Arbitration" (Baker Botts, 6. Februar 2020), siehe www.bakerbotts.com/thought-leadership/publications/2020/february/foreign-data-protection-laws-in-us-litigation-and-international-arbitration, abgerufen am 18. August 2021.
  68. David M Howard, 'Foreign Data Protection Laws in International Arbitration and United States Litigation' (2020) 55 Tex Int'l L J 395. 406.
  69. Gary Born, Internationale Handelsschiedsgerichtsbarkeit (2. Aufl., Kluwer Law International 2014), 2335.
  70. Ibid. Born führt die folgenden Urteile an, um dieses Argument zu untermauern: Urteil vom 22. Januar 2004, Société Nat'l Cie for Fishing & Marketing "Nafimco" gegen Société Foster Wheeler Trading Co. AG, 2004 Rev arb 647 (Pariser Cour d'appel): "Die Entscheidung des Schiedsgerichts, Offenlegung anzuordnen, liegt in seinem verfahrensrechtlichen Ermessen und kann von den Gerichten nicht überprüft werden"; Karaha Bodas Co gegen Perusahaan Pertambangan Minyak Dan Gas Bumi Negara, 190 F Suppd 936, 952 (S D Tex 2001), aff'd, 364 F 3d 274 (5th Cir 2004): Offenlegungsanträge liegen "im Rahmen der angemessenen Ausübung des Ermessens des Gerichts".
  71. Natalia M Szlarb, "GDPR and International Arbitration at a Crossroads" (The National Law Review, 4. Dezember 2019), siehe www.natlawreview.com/article/gdpr-and-international-arbitration-crossroads, abgerufen am 18. August 2021.
  72. New Yorker Übereinkommen, Art. V(2): "Die Anerkennung und Vollstreckung eines Schiedsspruchs kann auch versagt werden, wenn die zuständige Behörde des Landes, in dem die Anerkennung und Vollstreckung beantragt wird, feststellt, dass... (b) die Anerkennung oder Vollstreckung des Schiedsspruchs der öffentlichen Ordnung (ordre public) dieses Landes widersprechen würde.
  73. UN-Generalsekretär, Analytical Commentary on Draft Text of a Model Law on International Commercial Arbitration, A/CN.9/264 (1985), Artikel 34, Absatz 6.
  74. UNCITRAL-Modellgesetz über die internationale Handelsschiedsgerichtsbarkeit, Art. 34(2): Ein Schiedsspruch kann von dem in Artikel 6 genannten Gericht nur dann aufgehoben werden, wenn...(b) das Gericht feststellt, dass...(ii) der Schiedsspruch mit der öffentlichen Ordnung (ordre public) dieses Staates unvereinbar ist".
  75. Urteil vom 1. Juni 1999, Eco Swiss China Time Ltd/Benetton International NV C-126/97, Slg. 1999, I-03055, Rn. 39 und 41. Für eine ausführliche Erörterung der öffentlichen Ordnung der EU, siehe: Sacha Prechal und Natalya Shelkoplyas, "National Procedures, Public Policy and EC Law. From Van Schijndel to Eco Swiss and Beyond" (2004) 5 European Review of Private Law 589, 598.
  76. Anja Cervenka und Philipp Schwarz, "Datenschutz im Schiedsverfahren - die Rolle des Schiedsgerichts" (SchiedsVZ 2020, 78) 84.
  77. Ebd.
  78. Für eine ausführlichere Erörterung dieser und anderer Fragen, siehe: Alexander Blumrosen, 'The Allocation of GDPR Compliance in Arbitration' in José R Mata Dona and Nikos Lavranos (eds), International Arbitration and EU Law (Edward Elgar Publishing, 2021) paras 5.63 et seq; Cervenka and Schwarz, see n 76 above, 84-85.
  79. The ICCA-IBA Roadmap to Data Protection in International Arbitration, Annexes", (ICCA, Februar 2020), siehe https://cdn.arbitration-icca.org/s3fs-public/document/media_document/roadmap_annexes_28.02.20.pdf, abgerufen am 18. August 2021.

Dieser Artikel wurde erstmals in Dispute Resolution International, Band 15 Nr. 2, Oktober 2021, veröffentlicht und wird mit freundlicher Genehmigung der International Bar Association, London, UK, wiedergegeben. © International Bar Association.

Zurück zur Übersicht