1.
Einleitung ^
Ohne Zweifel stellen Schiedsverfahren im internationalen Kontext heutzutage die bevorzugte Konfliktlösungsmethode dar. Dies lässt sich zum einen mit der nahezu weltweiten Durchsetzbarkeit von Schiedssprüchen, andererseits aber auch mit der den Parteien zur Verfügung stehenden Flexibilität erklären. Ein Faktor, der bis vor einiger Zeit zusätzlich eine Rolle gespielt hatte, nun jedoch nur mehr bedingt zutreffend ist, sind mögliche Kostenersparnisse.1 Auf der Suche nach möglichen Einsparungsmöglichkeiten trifft man hier zwangsläufig auf gewisse Möglichkeiten der Effizienzsteigerung, die in vielen Fällen in einer verstärkten Implementierung von IT – bis hin zur kompletten Durchführung des Schiedsverfahrens online – bestehen.2 Ein oft mit dieser Entwicklung assoziiertes Schlagwort – unabhängig davon, ob das gesamte Schiedsverfahren oder nur Teile davon mit IT-Unterstützung durchgeführt werden – ist «E-Disclosure». Während dieser Begriff ursprünglich vor allem in Verbindung mit Beweisverfahren nach dem Modell der US-amerikanischen «Discovery» gebraucht wurde, lässt sich damit für die Zwecke einer rechtlichen Analyse grundsätzlich jeder Austausch und jede Vorlage von Dokumenten in digitaler Form beschreiben. Notwendig hierfür ist jedoch eine geeignete IT-Infrastruktur, die im wahrscheinlichsten Fall extern bereitgestellt wird. Mögliche Szenarien sind hier beispielsweise die Verwendung eines sonst im Rahmen von M&A Transaktionen üblicherweise verwendeten virtuellen Datenraums, eine vollintegrierte Kommunikations- und Datenaustausch-Plattform oder aber lediglich eine einfache Plattform zum Datenaustausch. Das erstgenannte Datenraumverfahren wäre insbesondere deswegen empfehlenswert, weil dies mit Digital Rights Management (DRM)3 kombiniert werden kann und so die Vertraulichkeit des Schiedsverfahrens zusätzlich gestärkt werden kann. Die in das Schiedsverfahren einbezogene IT und der diesbezügliche Provider wurden aufgrund ihrer besonderen Stellung treffend bereits als 4. bzw. 5. Partei des Schiedsverfahrens bezeichnet.4 Eine derartige Form von E-Disclosure ist jedoch nicht nur für ausschließlich online abgewickelte Schiedsverfahren interessant bzw. relevant.
Dieses Verfahren, das ohne weiteres auch zur Vereinfachung herkömmlicher Schiedsverfahren angewendet werden kann, wirft jedoch einige datenschutzrechtliche Fragen auf, die im Zuge dieses Beitrages beleuchtet werden.
2.1.
Anwendungsbereich ^
Praktisch jedes Dokument, das für die Zwecke eines Rechtsstreits als Beweismittel in Frage kommt, wird in irgendeiner Art und Weise personenbezogene Daten – seien es Namen und E-Mail-Adressen oder detailliertere Informationen – enthalten, die also eine oder mehrere Personen identifizieren oder zumindest identifizierbar machen.7 Daraus folgt, dass, für die Zwecke der Europäischen Datenschutzrichtlinie (DSRL) – die nach wie vor die Basis für die Harmonisierung des Datenschutzrechts innerhalb der Europäischen Union bildet – alle Dokumente, die derartige personenbezogene Daten enthalten, als «personenbezogene Daten» im Sinne des Art. 2 (a) DSRL zu behandeln sind. Im Anwendungsbereich der Richtlinie ist die Verarbeitung derartiger Daten, also insbesondere die Sammlung, Verwendung und Speicherung8, mit gewissen Verpflichtungen verknüpft und gewissen Restriktionen unterworfen. Während personenbezogene Daten enthaltende Dokumente in Papierform nur dann von der Datenschutzrichtlinie erfasst werden, wenn sie Teil einer «Datei», also einer strukturierten Sammlung9 sind, kommt Datenschutzrecht vollumfänglich zur Anwendung, wo Daten automatisiert verarbeitet werden.10 Seit einer Entscheidung des EuGH im Jahr 2003 ist diesbezüglich klargestellt, dass das Hochladen einer Seite auf einen Server sowie die «erforderlichen Vorgänge [...], um diese Seite den mit dem Internet verbundenen Personen zugänglich zu machen[,] [...] zumindest teilweise in automatisierter Form» erfolgen.11 Daher, sofern derjenige, der für die Verarbeitung der personenbezogenen Daten verantwortlich ist12, die Daten «im Rahmen der Tätigkeiten einer Niederlassung [...] im Hoheitsgebiet eines Mitgliedsstaats» verarbeitet, oder die Verarbeitung mithilfe von Mitteln durchführt, die im Hoheitsgebiet eines Mitgliedsstaats belegen sind, fällt die jeweilige Verarbeitung in den Anwendungsbereich der Datenschutzrichtlinie, bzw. eines oder mehrere in deren Umsetzung ergangener nationaler Datenschutzgesetze.13
2.2.1.
Datenschutzrichtlinie ^
Gemäß Art. 25 DSRL dürfen personenbezogene Daten nur dann ohne weitere Voraussetzungen außerhalb des EWR transferiert werden, «wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet». Nach Ansicht der Europäischen Kommission gewährleisten ein angemessenes Datenschutzniveau unter anderem Argentinien, Australien, Kanada, die Schweiz und, in Anwendung des sogenannten «Safe Harbor Abkommens» und bei Einhaltung der darin verankerten Prinzipien, die USA.14
Angesichts der möglichen Anzahl betroffener Personen und des hohen Maßstabs, der an eine wirksame Zustimmung angelegt wird, erscheint es nicht wirklich praktikabel, sich für die Zwecke eines Schiedsverfahrens auf Ausnahme (i) zu verlassen. Bezüglich der Anwendbarkeit von Ausnahme (ii) dürfte es unproblematisch sein, die EU Standardvertragsklauseln in die Verträge mit den jeweiligen Schiedsrichtern aufzunehmen bzw. zum Inhalt einer Vereinbarung mit dem jeweiligen IT-Provider zu machen, oder diesen gezielt als im EWR ansässig auszusuchen. Wie Kraayvanger16 zutreffend anmerkt, dürfte es sich jedoch in den meisten Fällen als schwierig erweisen eine außerhalb des EWR ansässige Gegenpartei zur Einhaltung europäischen Datenschutzrechts zu bewegen. Eine derartige Verpflichtung könnte zwar allenfalls bereits im Vorfeld berücksichtigt und in die betreffende Schiedsvereinbarung aufgenommen werden – die Wahrscheinlichkeit, dass dies abgelehnt wird, dürfte jedoch relativ groß sein.
Es existiert grundsätzlich keine einheitliche Methodik für die Interpretation von EU Rechtsakten, die in allen Amtssprachen authentisch sind, im Falle von Diskrepanzen zwischen einzelnen Sprachversionen. Im Jahr 1977 musste sich der EuGH mit einem ähnlichen Problem beschäftigen. In der Rechtssache Auditeur du Travail v. Bernard Dufour17 betraf eine der dem Gerichtshof vorgelegten Fragen die Auslegung des Begriffs «Unternehmen» in Verordnung (EWG) 543/69 über die Harmonisierung bestimmter Sozialvorschriften im Straßenverkehr. Mit Ausnahme der italienischen Ausgabe enthielten alle anderen Sprachversionen in der fraglichen Bestimmung nur den Begriff «Unternehmen» – die italienische hingegen sprach von «Transportunternehmen». Der Gerichtshof maß der größeren Zahl der Amtssprachen die den Begriff des Unternehmens nicht näher definierten keine Bedeutung bei und vertrat die Auffassung, die Reichweite der strittigen Regelung sei «[...] angesichts dieser unterschiedlichen Fassungen im maßgeblichen Zeitpunkt unter Berücksichtigung der von der Verordnung geschaffenen Regelung und ihrer Zielsetzung zu bestimmen».18 Diese Aussage lässt sich relativ unproblematisch auf die gegenständliche Auslegungsfrage übertragen. Auch wenn es für die Parteien keinen großen Unterschied bedeutet, in welchem Forum sie ein Recht durchsetzen oder verteidigen, kann die Wahl des Forums sehr wohl einen Unterschied für die betroffenen Personen, die durch die personenbezogenen Daten identifiziert oder identifizierbar gemacht werden, machen. Grundsätzlich ist hier Kraayvanger zuzustimmen, der in Schiedsverfahren, als ein Mittel privater Konfliktlösung, eine für die Parteien maßgeschneiderte Verfahrensart sieht, die jedoch wenig Rücksicht auf die Bedürfnisse und Interessen Dritter nimmt.19 Dies könnte in direktem Widerspruch zu einem der vorrangigen Ziele der Datenschutzrichtlinie stehen – dem Schutz personenbezogener Daten. Zu einem ähnlichen Ergebnis muss man auch bei Heranziehung des interpretativen Arbeitspapiers über die Auslegung von Art. 26 DSRL der Artikel 29 Datenschutzgruppe kommen. Diese wurde eingerichtet, um im Zusammenhang mit der Interpretation der Richtlinie zu beraten und kommt relativ deutlich zum Ergebnis, dass die Ausnahme in Art. 26 (1)(d) DSRL «eng auszulegen ist».20
2.2.2.
Datenschutzverordnung ^
Trotz gewisser gegenläufiger Tendenzen hat der Grundsatz der Vertraulichkeit in Schiedsverfahren nach wie vor einen wesentlich höheren Stellenwert als in staatlichen Gerichtsverfahren. Sofern das bereits geschilderte Datenraumkonzept implementiert wird, ist die Gefahr potenziellen Missbrauchs noch geringer. Abgesehen von diesen praktischen Überlegungen, beinhaltet jedoch die Verordnung selbst das stärkste Argument zur Unterstützung der Wortlautinterpretation. Warum beschränkt europäisches Datenschutzrecht Übermittlungen außerhalb des EWR? Es tut dies, da jede Datenverarbeitung außerhalb seines territorialen Anwendungsbereichs nicht mehr seinen Schutzvorschriften unterliegt. Im Falle eines internationalen Schiedsverfahrens wäre der Empfänger von personenbezogenen Daten außerhalb des EWR grundsätzlich nicht verpflichtet europäisches Datenschutzrecht zu beachten und könnte die Daten theoretisch ohne Einschränkung verwenden. Verarbeitet ein derartiger Empfänger nun seinerseits die Daten, wäre er selbst als für die Verarbeitung Verantwortlicher zu behandeln. Hätte er seinen Sitz (oder Mittel zur Verarbeitung) innerhalb der EU, würde er vollinhaltlich europäischem Datenschutzrecht unterliegen – andernfalls wäre dieses für ihn nicht anwendbar. Genau das würde sich nun mit der Datenschutzverordnung ändern. Würde ein solcher für die Verarbeitung Verantwortlicher Daten von Personen mit Wohnsitz in der EU mit dem Ziel «diesen Personen in der Union Waren oder Dienstleistungen anzubieten» verarbeitet, oder die Verarbeitung «der Beobachtung ihres Verhaltens dient», wäre die Verordnung auf ihn anwendbar – dies ungeachtet seines Sitzes außerhalb der EU.25 Dies würde eine drastische Ausweitung des territorialen Anwendungsbereiches europäischen Datenschutzrechts bedeuten und – insbesondere angesichts der angedachten drakonischen Strafen26 – die Gefahr von Datenschutzverletzungen deutlich einschränken, müssten doch nun auch außereuropäische Unternehmen mit Konsequenzen im Falle von Nichteinhaltung rechnen. Angesichts dessen ist es meines Erachtens durchaus wahrscheinlich, dass die Erweiterung der erörterten Ausnahmebestimmung von der Kommission in der Tat beabsichtigt war und hier auch die teleologische Auslegung zum selben Ergebnis wie die Wortlautinterpretation kommen muss.
3.
Fazit ^
Mag. Christian Tautschnig, LL.M. (UCL), BA, ist Rechtsanwaltsanwärter in Wien.
- 1 Vgl. CIArb, «CIArb Costs of International Arbitration Survey 2011», abrufbar unter: http://www.ciarb.org/conferences/costs/2011/09/28/CIArb%20costs%20of%20International% 20Arbitration%20Survey%202011.pdf (letzter Zugriff 11. Mai 2013).
- 2 Ethan Katsh, «Online Dispute Resolution: Some Lessons from the E-Commerce Revolution» (2001)28 NKyLRev 810, abrufbar unter: http://heinonline.org/HOL/LandingPage?handle=hein.journals/nkenlr28&div=38&id=&page=; Ethan Katsh, «Online Dispute Resolution: The Next Phase» (2002) 7 Lex Electronica 1, abrufbar unter: http://www.lex-electronica.org/docs/articles_140.htm.
- 3 Für weitere Informationen vgl. Wikipedia, Digitale Rechteverwaltung, abrufbar unter: http://de.wikipedia.org/wiki/Digitale_Rechteverwaltung (letzter Zugriff 26. Oktober 2013).
- 4 Arno Lodder, «The Third Party and Beyond. An Analysis of the Different Parties, in Particular The Fifth, Involved in Online Dispute Resolution» (2006) 15 Info & CommTechL 143; Dimitris Protopsaltou, Thomas Schultz und Nadia Magnenat-Thalmann, «Taking the Fourth Party Further? Considering a Shared Virtual Workspace for Arbitration» (2006) 15 Info & CommTechL 157.
- 5 Robert H. Smit und Tyler B Robinson, «E-Disclosure in International Arbitration» (2008) 24 Arb Intl 105.
- 6 Diese Analyse konzentriert sich auf die auf Grundlage der Europäischen Datenschutzrichtlinie harmonisierte Rechtslage. Relevante nationale Diskrepanzen werden gegebenenfalls hervorgehoben.
- 7 Hier sei darauf hingewiesen, dass in einigen nationalen Datenschutzgesetzen, wie z.B. dem österreichischen Datenschutzgesetz 2000, nicht nur Daten betreffend natürliche Personen als personenbezogene Daten behandelt werden, sondern auch Daten betreffend juristische Personen. Dies erhöht die Wahrscheinlichkeit, dass offen vorgelegte Dokumente personenbezogene Daten enthalten, zusätzlich.
- 8 Art. 2 (b) DSRL.
- 9 Art. 2 (c) DSRL.
- 10 Art. 3 (1) DSRL.
- 11 EuGH 6. November 2003, C-101/01, Lindqvist, Slg 2003, I-12992.
- 12 Art. 2 (d) DSRL.
- 13 Art. 4 DSRL.
- 14 Angemessenheitsentscheidungen der Europäischen Kommission, abrufbar unter: http://ec.europa.eu/justice/data-protection/document/international-transfers/adequacy/index_en.htm (letzter Zugriff 19. Oktober 2013).
- 15 Art. 26 (2) DSRL.
- 16 Jan Kraayvanger und Andrea Patzak, «Culture Clash: E-disclosure vs. EU Data Protection Law in International Arbitration» (2011) 11 World Data Protection Report 11.
- 17 EuGH 15. Dezember 1977, 76/77 Auditeur du Travail v. Bernard Dufour, Slg 1977, 2485.
- 18 EuGH 15. Dezember 1977, 76/77 Auditeur du Travail v. Bernard Dufour, Slg 1977, 2485, 2492.
- 19 Jan Kraayvanger und Andrea Patzak, «Culture Clash: E-disclosure vs. EU Data Protection Law in International Arbitration» (2011) 11 World Data Protection Report 11.
- 20 Art. 29 Datenschutzgruppe, «Arbeitspapier über eine gemeinsame Auslegung des Artikels 26 Absatz 1 der Richtlinie 95/46/EG vom 24. Oktober 1995», 17, abrufbar unter: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2005/wp114_de.pdf (letzter Zugriff 19. Oktober 2013).
- 21 Europäische Kommission, Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Der Schutz der Privatsphäre in einer vernetzten Welt – Ein europäischer Datenschutzrahmen für das 21. Jahrhundert, KOM (2012) 9 endgültig.
- 22 Art. 44 (1)(e) vDSVO.
- 23 EuGH 12. April 2005, C-265/03 Igor Simutenkov v. Ministerio de Educación y Cultura and Real Federación Española de Fútbol, Slg 2005, I-2596.
- 24 Schlussanträge der Generalanwältin Stix-Hackl, EuGH C-265/03 Igor Simutenkov v. Ministerio de Educación y Cultura and Real Federación Española de Fútbol, Slg 2005, I-2581.
- 25 Art. 3 (2) vDSVO.
- 26 Vorgesehen wären hier Strafen von bis zu 2% des weltweiten Gesamtumsatzes eines Unternehmens (Art. 79 vDSVO).