DSGVO und ihre Auswirkungen auf Schiedsverfahren

MAG. NIAMH LEINWATHER

ist Principal Associate und Rechtsanwältin im Bereich Konfiktlösung und internationaler Schiedsgerichtsbarkeit bei Freshfelds Bruckhaus Deringer LLP in Wien. Sie berät und vertritt Mandanten in Schiedsverfahren, insbesondere in komplexen internationalen Streitigkeiten im Bauwesen, im Handels- und Vertriebsrecht, im Post-M&A- Bereich, im Energiesektor und im Investitionsschutz. Sie ist auch als Schiedsrichterin tätig.

DR. DESIREE PRANTL

ist Rechtsanwältin und Principal Associate im Bereich Konfiktlösung und internationale Schiedsgerichtsbarkeit im Wiener Büro von Freshfelds Bruckhaus Deringer LLP tätig. Sie vertritt Mandanten in Verfahren unter renommierten Schiedsordnungen und war wiederholt als Sekretärin des Schiedsgerichts in ad hoc Schiedsverfahren tätig. Ihre Schiedsrechtsexpertise besteht insbesondere im Energiesektor, Anlagenbau, Real Estate sowie im Lösen komplexer vertragsrechtlicher Streitigkeiten


 

 

In Kürze

Vor über einem Jahr ist am 25. Mai 2018 die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Werden personenbezogene Daten verarbeitet, ist auch in Schiedsverfahren Datenschutz in angemessener und verhältnismäßiger Weise anzuwenden. Es gilt die Rechte der Betroffenen zu respektieren, gleichzeitig darf durch die Auswirkungen des Datenschutzes die ordnungsgemäße Rechtspfege durch Führung eines Schiedsverfahrens nicht beeinträchtigt werden.

 

1. Die Datenschutz-Grundverordnung

Mit der DSGVO wurde das Datenschutzrecht innerhalb der Europäischen Union auf neue Beine gestellt. Grundsätzlich bietet die DSGVO Schutz für natürliche Personen bei der „Verarbeitung“ von „personenbezogenen Daten“ und dem freien Verkehr solcher Daten. Die DSGVO verschärfte bestehende Regelungen und führte gänzlich neue Verpfichtungen ein. Verstöße gegen Vorgaben der DSGVO werden mit Geldbußen bis zu 20 Millionen Euro oder – wenn dies höher ausfällt – mit 4 % des gesamten weltweit erzielten Vorjahresumsatzes bestraft. Damit kommt der Rechenschaftsverpfichtung hinsichtlich der Einhaltung datenschutzrechtlicher Bestimmungen große Relevanz zu. 

 

2. Rechtfertigung im Schiedsverfahren

Die DSGVO enthält zwar keine Bestimmung zu Schiedsverfahren, nimmt diese aber auch nicht ausdrücklich von ihrem Anwendungsbereich aus. Zumal im Verlauf eines Schiedsverfahrens in unterschiedlichem Ausmaß Informationen über natürliche Personen verarbeitet werden, sollte an die in der DSGVO verankerten Datenschutzprinzipien bei der Vorbereitung, Durchführung wie auch im Nachgang eines Schiedsverfahrens gedacht werden. Nach dem der DSGVO zugrunde gelegten Konzept wird die unrechtmäßige Datenverarbeitung vermutet. Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn eine der sechs in der Verordnung abschließend angeführten Bedingungen erfüllt ist. Die personenbezogene Datenverarbeitung in Schiedsverfahren kann am ehesten damit gerechtfertigt werden, dass die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Allerdings ist hier abzuwägen, ob die schutzwürdigen Interessen der betroffenen Person überwiegen. 

 

3. Praktische Hinweise

In der Schiedsklausel wird in der Regel der Umfang des auf ein künftiges Schiedsverfahren anzuwendende Datenschutz, etwa durch die Wahl der Schiedsinstitution und den Sitz des Schiedsgerichts, festgelegt. Unter dem DSGVO-Regime ist der Datentransfer aus der EU, zum Beispiel bei Administration des Schiedsverfahrens durch eine in einem Drittland ansässige Schiedsinstitution, nur unter bestimmten Voraussetzungen rechtmäßig. Im Vorfeld eines Schiedsverfahrens empfehlt es sich sogenanntes „data mapping“ durchzuführen. Diese Übung dient dazu herauszufnden, welche personenbezogenen Daten in einem Schiedsverfahren überhaupt relevant sind, wie bzw. wer sie im Schiedsverfahren verarbeitet und wohin sie gelangen. So kann den Grundsätzen der Determinierung, des Datenschutzes und der Datensicherheit gerecht werden. Insbesondere bei der Vorbereitung der Schiedsklage ist Datenminimierung bei der Erhebung, Verarbeitung und Speicherung personenbezogener Daten zu wahren. Dies kann etwa durch Aufforderung an den Mandanten (i) erste Datenüberprüfungen oder (ii) Daten-Scrubs durchzuführen, erfolgen. Mit Beginn des Schiedsverfahrens sollten „cybersecurity“ Vorkehrungen getroffen werden. Generell sollte Datenschutz so früh wie möglich angesprochen werden. Dies erfolgt häufg durch Datenschutzhinweise auf Internetseiten der Parteien. Im Schiedsverfahren bietet sich die sogenannte 

Case-Management-Konferenz, in der das Schiedsgericht mit den Parteien bzw. deren Rechtsvertretern das weitere Schiedsverfahren abstimmt, an Datenminimierung, Pseudonymisierung und dergleichen zu thematisieren. Gegebenenfalls können entsprechende Bestimmungen in die erste prozessleitende Verfügung oder in ein Datenschutzprotokoll aufgenommen werden. Gibt es in einem Schiedsverfahren Discovery nach angloamerikanischem Vorbild, werden eine Reihe von Datenschutzproblemen aufgeworfen. Um eine

DSGVO-konforme Datenübertragung zu gewährleisten, bietet Artikel 9 der IBA-Regeln zur Beweisaufnahme dem Schiedsgerichten die Möglichkeit, Beweise aufgrund eines rechtlichen Hindernisses, oder weil die Last der Vorlage von Dokumenten unangemessen ist, auszuschließen. Wenn diese Bestimmung auch nicht speziell für den Datenschutz konzipierte ist, kann sie von einem Schiedsgericht in Anspruch genommen werden, um die Determinierung zu erreichen. Nach Beendigung des Schiedsverfahrens kann die vom weiten Begriffsverständnis der „Verarbeitung“ ebenso umfasste Löschung von Daten geboten sein, insbesondere wenn keine steuer-,

handels- oder arbeitsrechtlichen Aufbewahrungspflichten greifen. Davon betroffen sind Schiedsinstitutionen hinsichtlich abgeschlossener Verfahrensakten. Eine Löschung kann von den Parteien beantragt werden. Das International Council for Commercial Arbitration (ICCA) erkannte die Auswirkungen der DSGVO auf Schiedsverfahren und es wurde die ICCA-IBA Joint Task Force on Data Protection in International Arbitration Proceedings ins Leben gerufen. Die Ergebnisse der Task Force werden in Form einer „Roadmap to Data Protection in International Arbitration“ mit Spannung Ende des Jahres erwartet. Dieser Beitrag spiegelt ausschließlich die persönliche Sichtweise und Einschätzung der Autoren wider und nicht jene der Kanzlei Freshfields Bruckhaus Deringer LLP bzw. ihrer Mandanten.