Jusletter IT

Data Protection Implications of E-Disclosure in (Online-) Arbitration

  • Author: Christian Tautschnig
  • Category: Articles
  • Region: Austria
  • Field of law: Data Protection
  • Citation: Christian Tautschnig, Data Protection Implications of E-Disclosure in (Online-) Arbitration, in: Jusletter IT 11 December 2013
The increasing digitisation of international commercial transaction is beginning to require dispute resolution mechanisms such as arbitration to be technologically «upgraded». In this context «E-Disclosure» stands for the integration of IT and the boundless possibilities of the internet in the conduct of arbitral evidentiary hearings. Due to the borderless nature of the internet in conjunction with the fact that documents produced or to be produced in the course of arbitral proceedings in most cases contain personal data, this development is to be considered in the light of data protection laws. This article will assess the impact of European Data Protection Law on the use of E-Disclosure in international arbitration.

Inhaltsverzeichnis

  • 1. Einleitung
  • 2. Datenschutz 
  • 2.1. Anwendungsbereich
  • 2.2. Übermittlung
  • 2.2.1. Datenschutzrichtlinie
  • 2.2.2. Datenschutzverordnung
  • 3. Fazit

1.

Einleitung ^

[1]

Ohne Zweifel stellen Schiedsverfahren im internationalen Kontext heutzutage die bevorzugte Konfliktlösungsmethode dar. Dies lässt sich zum einen mit der nahezu weltweiten Durchsetzbarkeit von Schiedssprüchen, andererseits aber auch mit der den Parteien zur Verfügung stehenden Flexibilität erklären. Ein Faktor, der bis vor einiger Zeit zusätzlich eine Rolle gespielt hatte, nun jedoch nur mehr bedingt zutreffend ist, sind mögliche Kostenersparnisse.1 Auf der Suche nach möglichen Einsparungsmöglichkeiten trifft man hier zwangsläufig auf gewisse Möglichkeiten der Effizienzsteigerung, die in vielen Fällen in einer verstärkten Implementierung von IT – bis hin zur kompletten Durchführung des Schiedsverfahrens online – bestehen.2 Ein oft mit dieser Entwicklung assoziiertes Schlagwort – unabhängig davon, ob das gesamte Schiedsverfahren oder nur Teile davon mit IT-Unterstützung durchgeführt werden – ist «E-Disclosure». Während dieser Begriff ursprünglich vor allem in Verbindung mit Beweisverfahren nach dem Modell der US-amerikanischen «Discovery» gebraucht wurde, lässt sich damit für die Zwecke einer rechtlichen Analyse grundsätzlich jeder Austausch und jede Vorlage von Dokumenten in digitaler Form beschreiben. Notwendig hierfür ist jedoch eine geeignete IT-Infrastruktur, die im wahrscheinlichsten Fall extern bereitgestellt wird. Mögliche Szenarien sind hier beispielsweise die Verwendung eines sonst im Rahmen von M&A Transaktionen üblicherweise verwendeten virtuellen Datenraums, eine vollintegrierte Kommunikations- und Datenaustausch-Plattform oder aber lediglich eine einfache Plattform zum Datenaustausch. Das erstgenannte Datenraumverfahren wäre insbesondere deswegen empfehlenswert, weil dies mit Digital Rights Management (DRM)3 kombiniert werden kann und so die Vertraulichkeit des Schiedsverfahrens zusätzlich gestärkt werden kann. Die in das Schiedsverfahren einbezogene IT und der diesbezügliche Provider wurden aufgrund ihrer besonderen Stellung treffend bereits als 4. bzw. 5. Partei des Schiedsverfahrens bezeichnet.4 Eine derartige Form von E-Disclosure ist jedoch nicht nur für ausschließlich online abgewickelte Schiedsverfahren interessant bzw. relevant.

[2]
Die Beweisaufnahme basierend auf vorgelegten Dokumenten war schon immer wichtiger Bestandteil jedes Schiedsverfahrens. Obwohl jedoch auch in herkömmlichen Schiedsverfahren vor- oder offenzulegende Dokumente meist bereits in elektronischer Form vorliegen, erfolgt die eigentliche Vorlage in den meisten Fällen nach wie vor in Hard Copy. Mit der immer weiter zunehmenden Anzahl von Vertragsabschlüssen auf dem Wege von Online-Kommunikation, explodiert mittlerweile die Menge an digitalen Dokumenten, die potentielle Beweismittel in allfälligen – aus derartigen Verträgen resultierenden – Streitigkeiten darstellen. Es ist daher heutzutage nicht verwunderlich, dass auch im Zuge von online geführten Schiedsverfahren E-Disclosure in der Form eines Austausches und einer Offenlegung oder Vorlage von elektronisch gespeicherter Information, eine immer wichtigere Rolle spielt.5
[3]

Dieses Verfahren, das ohne weiteres auch zur Vereinfachung herkömmlicher Schiedsverfahren angewendet werden kann, wirft jedoch einige datenschutzrechtliche Fragen auf, die im Zuge dieses Beitrages beleuchtet werden.

2.

Datenschutz6   ^

2.1.

Anwendungsbereich ^

[4]

Praktisch jedes Dokument, das für die Zwecke eines Rechtsstreits als Beweismittel in Frage kommt, wird in irgendeiner Art und Weise personenbezogene Daten – seien es Namen und E-Mail-Adressen oder detailliertere Informationen – enthalten, die also eine oder mehrere Personen identifizieren oder zumindest identifizierbar machen.7 Daraus folgt, dass, für die Zwecke der Europäischen Datenschutzrichtlinie (DSRL) – die nach wie vor die Basis für die Harmonisierung des Datenschutzrechts innerhalb der Europäischen Union bildet – alle Dokumente, die derartige personenbezogene Daten enthalten, als «personenbezogene Daten» im Sinne des Art. 2 (a) DSRL zu behandeln sind. Im Anwendungsbereich der Richtlinie ist die Verarbeitung derartiger Daten, also insbesondere die Sammlung, Verwendung und Speicherung8, mit gewissen Verpflichtungen verknüpft und gewissen Restriktionen unterworfen. Während personenbezogene Daten enthaltende Dokumente in Papierform nur dann von der Datenschutzrichtlinie erfasst werden, wenn sie Teil einer «Datei», also einer strukturierten Sammlung9 sind, kommt Datenschutzrecht vollumfänglich zur Anwendung, wo Daten automatisiert verarbeitet werden.10 Seit einer Entscheidung des EuGH im Jahr 2003 ist diesbezüglich klargestellt, dass das Hochladen einer Seite auf einen Server sowie die «erforderlichen Vorgänge [...], um diese Seite den mit dem Internet verbundenen Personen zugänglich zu machen[,] [...] zumindest teilweise in automatisierter Form» erfolgen.11 Daher, sofern derjenige, der für die Verarbeitung der personenbezogenen Daten verantwortlich ist12, die Daten «im Rahmen der Tätigkeiten einer Niederlassung [...] im Hoheitsgebiet eines Mitgliedsstaats» verarbeitet, oder die Verarbeitung mithilfe von Mitteln durchführt, die im Hoheitsgebiet eines Mitgliedsstaats belegen sind, fällt die jeweilige Verarbeitung in den Anwendungsbereich der Datenschutzrichtlinie, bzw. eines oder mehrere in deren Umsetzung ergangener nationaler Datenschutzgesetze.13

[5]
Neben Verpflichtungen betreffend die Rechtmäßigkeit der jeweiligen Datenverwendung – die für die Zwecke dieser Analyse vorausgesetzt wird – enthält die Datenschutzrichtlinie einen Katalog von Vorschriften im Zusammenhang mit dem Transfer von personenbezogenen Daten. Während der freie Datenverkehr innerhalb des EWR einer der Hauptzwecke der Richtlinie war und daher keine mitgliedsstaatliche Beeinträchtigung zulässig ist, unterliegt jeder Transfer personenbezogener Daten, dessen Ziel außerhalb des EWR liegt, gewissen Einschränkungen.
[6]
Im Falle eines Schiedsverfahrens würde dies bedeuten: Wo sich der Empfänger von personenbezogenen Daten – das wären einerseits der oder die Schiedsrichter sowie die gegnerische Partei, darüber hinaus allerdings auch der Provider der jeweiligen IT-Lösung und/oder das IT-Equipment selbst – außerhalb des EWR befindet, hat ein Transfer im Einklang mit Art. 25 ff DSRL, bzw. der jeweiligen nationale Umsetzung, zu erfolgen.
[7]
Im Zusammenhang mit externen IT-Providern sind darüber hinaus die Vorschriften der Art. 16 und 17 DSRL zu beachten. Ein Anbieter von derartigen IT-Lösungen für Schiedsverfahren wäre als Auftragsverarbeiter im Sinne des Art. 2 (e) DSRL zu behandeln. Als solcher hat er Daten nur auf Weisung des für die Verarbeitung Verantwortlichen zu verarbeiten und geeignete Sicherheitsmaßnahmen zu implementieren. Diese Verpflichtungen sind in einem schriftlichen Vertrag zu dokumentieren und gelten unabhängig davon, wo der IT-Provider sich befindet. Sollte sich dieser außerhalb des EWR befinden, sind jedoch überdies die Vorschriften für derartige Transfers zu beachten.

2.2.

Übermittlung ^

2.2.1.

Datenschutzrichtlinie ^

[8]

Gemäß Art. 25 DSRL dürfen personenbezogene Daten nur dann ohne weitere Voraussetzungen außerhalb des EWR transferiert werden, «wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet». Nach Ansicht der Europäischen Kommission gewährleisten ein angemessenes Datenschutzniveau unter anderem Argentinien, Australien, Kanada, die Schweiz und, in Anwendung des sogenannten «Safe Harbor Abkommens» und bei Einhaltung der darin verankerten Prinzipien, die USA.14

[9]
Übermittlungen personenbezogener Daten in Länder außerhalb des EWR und ohne angemessenes Datenschutzniveau dürfen nur durchgeführt werden, sofern eine der Ausnahmen in Art. 26 DSRL anwendbar ist. Die Ausnahmen die eine Übermittlung im Zuge eines Schiedsverfahrens definitiv zulässig machen würden, sind (i) die Zustimmung der jeweiligen betroffenen Person, oder (ii) die Autorisierung der Übermittlung durch eine zuständige mitgliedsstaatliche Behörde unter der Voraussetzung der Einhaltung gewisser Sicherheitsmaßnahmen. Diese Sicherheitsmaßnahmen können insbesondere durch die Verwendung von «entsprechenden Vertragsklauseln», wie z.B. den EU Standardvertragsklauseln garantiert werden.15
[10]

Angesichts der möglichen Anzahl betroffener Personen und des hohen Maßstabs, der an eine wirksame Zustimmung angelegt wird, erscheint es nicht wirklich praktikabel, sich für die Zwecke eines Schiedsverfahrens auf Ausnahme (i) zu verlassen. Bezüglich der Anwendbarkeit von Ausnahme (ii) dürfte es unproblematisch sein, die EU Standardvertragsklauseln in die Verträge mit den jeweiligen Schiedsrichtern aufzunehmen bzw. zum Inhalt einer Vereinbarung mit dem jeweiligen IT-Provider zu machen, oder diesen gezielt als im EWR ansässig auszusuchen. Wie Kraayvanger16 zutreffend anmerkt, dürfte es sich jedoch in den meisten Fällen als schwierig erweisen eine außerhalb des EWR ansässige Gegenpartei zur Einhaltung europäischen Datenschutzrechts zu bewegen. Eine derartige Verpflichtung könnte zwar allenfalls bereits im Vorfeld berücksichtigt und in die betreffende Schiedsvereinbarung aufgenommen werden – die Wahrscheinlichkeit, dass dies abgelehnt wird, dürfte jedoch relativ groß sein.

[11]
Die einzig verbleibende Ausnahme, die allenfalls im Rahmen eines Schiedsverfahrens herangezogen werden könnte, ist in Art. 26 (1)(d) DSRL zu finden. Nach dieser Bestimmung darf eine Übermittlung in Nicht-EWR-Staaten ohne angemessenes Schutzniveau ohne weitere Voraussetzungen erfolgen, wenn dies «[...] zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich oder gesetzlich vorgeschrieben ist». Im Gegensatz zur deutschen Version der Richtlinie – und auch der spanischen und italienischen – verlangt beispielsweise die englische Version keineswegs ein Gerichtsverfahren, sondern spricht lediglich von «legal proceedings». Es ist demnach durchaus fraglich, ob Schiedsverfahren von dieser Ausnahme gedeckt sind.
[12]

Es existiert grundsätzlich keine einheitliche Methodik für die Interpretation von EU Rechtsakten, die in allen Amtssprachen authentisch sind, im Falle von Diskrepanzen zwischen einzelnen Sprachversionen. Im Jahr 1977 musste sich der EuGH mit einem ähnlichen Problem beschäftigen. In der Rechtssache Auditeur du Travail v. Bernard Dufour17 betraf eine der dem Gerichtshof vorgelegten Fragen die Auslegung des Begriffs «Unternehmen» in Verordnung (EWG) 543/69 über die Harmonisierung bestimmter Sozialvorschriften im Straßenverkehr. Mit Ausnahme der italienischen Ausgabe enthielten alle anderen Sprachversionen in der fraglichen Bestimmung nur den Begriff «Unternehmen» – die italienische hingegen sprach von «Transportunternehmen». Der Gerichtshof maß der größeren Zahl der Amtssprachen die den Begriff des Unternehmens nicht näher definierten keine Bedeutung bei und vertrat die Auffassung, die Reichweite der strittigen Regelung sei «[...] angesichts dieser unterschiedlichen Fassungen im maßgeblichen Zeitpunkt unter Berücksichtigung der von der Verordnung geschaffenen Regelung und ihrer Zielsetzung zu bestimmen».18 Diese Aussage lässt sich relativ unproblematisch auf die gegenständliche Auslegungsfrage übertragen. Auch wenn es für die Parteien keinen großen Unterschied bedeutet, in welchem Forum sie ein Recht durchsetzen oder verteidigen, kann die Wahl des Forums sehr wohl einen Unterschied für die betroffenen Personen, die durch die personenbezogenen Daten identifiziert oder identifizierbar gemacht werden, machen. Grundsätzlich ist hier Kraayvanger zuzustimmen, der in Schiedsverfahren, als ein Mittel privater Konfliktlösung, eine für die Parteien maßgeschneiderte Verfahrensart sieht, die jedoch wenig Rücksicht auf die Bedürfnisse und Interessen Dritter nimmt.19 Dies könnte in direktem Widerspruch zu einem der vorrangigen Ziele der Datenschutzrichtlinie stehen – dem Schutz personenbezogener Daten. Zu einem ähnlichen Ergebnis muss man auch bei Heranziehung des interpretativen Arbeitspapiers über die Auslegung von Art. 26 DSRL der Artikel 29 Datenschutzgruppe kommen. Diese wurde eingerichtet, um im Zusammenhang mit der Interpretation der Richtlinie zu beraten und kommt relativ deutlich zum Ergebnis, dass die Ausnahme in Art. 26 (1)(d) DSRL «eng auszulegen ist».20

[13]
Es ist daher insgesamt sehr wahrscheinlich, dass die Ausnahme des Art. 26 (1)(d) DSRL nicht auf Schiedsverfahren anwendbar ist und eine Übermittlung von personenbezogenen Daten in Nicht-EWR-Staaten ohne angemessenes Datenschutzniveau im Zuge eines Schiedsverfahrens grundsätzlich eine Datenschutzrechtsverletzung darstellt. Sofern der Empfänger einer Übermittlung personenbezogener Daten außerhalb des EWR nicht mithilfe von EU Standardvertragsklauseln an europäisches Datenschutzrecht gebunden werden kann, oder der für die Verarbeitung Verantwortliche die Zustimmung aller betroffenen Personen hat, ist E-Disclosure gegenwärtig nicht mit europäischem Datenschutzrecht vereinbar.

2.2.2.

Datenschutzverordnung ^

[14]
Die soeben für die geltende Rechtslage geschilderte Situation könnte sich ändern, sollte die von der Europäischen Kommission vorgeschlagene EU Datenschutzverordnung21 (vDSVO) in der vorgeschlagenen Form in Kraft treten. Während sich an der Mehrzahl der datenschutzrechtlichen Grundprinzipien nicht sehr viel ändern würde, könnte eine der im gegenwärtigen Zustand erkennbaren Änderungen direkte Auswirkungen auf die Zulässigkeit von Datenübermittlungen im Zuge von Schiedsverfahren haben. Das nunmehrige Pendant zur Ausnahmebestimmung des Art. 26 DSRL findet sich in Art. 44 vDSVO. Während die Ausnahme betreffend Rechtsdurchsetzung/-verteidigung in Art. 26 (1)(d) der Richtlinie unter anderem in der deutschsprachigen Version eine Einschränkung auf Gerichtsverfahren enthält, verlangen die jeweiligen Art. 44 der (u.a.) deutsch-, französisch- und englischsprachigen Verordnungsentwürfe einheitlich nur mehr, dass «[...] die Übermittlung zur Begründung, Geltendmachung oder Verteidigung von Rechtsansprüchen erforderlich ist».22 Obwohl nach wie vor nicht alle Sprachversionen einheitlich sind – und es sich klarerweise um eine Verordnung im Entwurfsstadium handelt – könnte diese Veränderung gegenüber der Richtlinie für eine zukünftige Verordnung eine im Verhältnis zur aktuellen Situation abweichende Interpretation zur Folge haben. Die nunmehrige Situation, in der die Verordnungsentwürfe in allen Arbeitssprachen der Europäischen Kommission (Deutsch, Englisch und Französisch) den im Endeffekt gleichen Wortlaut beinhalten, vermag zwar nichts an der Authentizität aller Amtssprach-Versionen zu ändern, bietet jedoch Argumente für eine im Vergleich zur aktuellen Lage abweichende Interpretation der sprachlichen Diskrepanzen. Wie von Generalanwältin Stix-Hackl in Simutenkov v. Ministerio de Educacion23 vorgeschlagen, macht es Sinn, ergänzend zur Auslegung im Lichte der Zielsetzung eines Rechtsaktes, eine Methode heranzuziehen, nach der «[...] vom Urtext auszugehen ist, also von jener Fassung des Abkommens, die als Ausgangstext für die Übersetzungen in die anderen Sprachen gedient hat».24 Da hier nun alle Versionen in Arbeitssprachen der Europäischen Kommission, die den Verordnungsvorschlag erstellt hat, gleichlautend keine Qualifikation des notwendigen Forums vornehmen, scheint die deutliche Absicht zu sein diese Ausnahme auf außergerichtliche Verfahren zu erstrecken. Eine textbasierende Interpretation dürfte daher – im Falle unveränderter Adoption der vorgeschlagenen Verordnung – zum Ergebnis führen, dass die Ausnahmebestimmung für Rechtsdurchsetzung/-verteidigung sich nunmehr auch auf Schiedsverfahren erstreckt, bestünden doch hier grundsätzlich keine Zweifel mehr an der Intention des Konzipienten, der Europäischen Kommission.
[15]
In Ermangelung einer klaren Interpretationsrichtlinie könnte diese auf den Wortlaut abstellende Auslegung dennoch im Widerspruch zu einer teleologischen Interpretation stehen. Wie bereits zur Datenschutzrichtlinie ausgeführt, könnte auch hier die Unvereinbarkeit dieser Auslegung mit der Zielsetzung der Verordnung ins Treffen geführt werden – dies ebenfalls mit dem Argument, Gerichte seien in einer besseren Position das Recht Dritter auf Datenschutz zu wahren und Schiedsrichter würden nur die Interessen der Parteien verfolgen.
[16]
Während diese Argumentation sicher nicht absolut unbegründet ist, lässt sie zwei Aspekte außer Acht – den Status von Vertraulichkeit in Schiedsverfahren sowie den heiß umkämpften räumlichen Anwendungsbereich der geplanten Verordnung.
[17]

Trotz gewisser gegenläufiger Tendenzen hat der Grundsatz der Vertraulichkeit in Schiedsverfahren nach wie vor einen wesentlich höheren Stellenwert als in staatlichen Gerichtsverfahren. Sofern das bereits geschilderte Datenraumkonzept implementiert wird, ist die Gefahr potenziellen Missbrauchs noch geringer. Abgesehen von diesen praktischen Überlegungen, beinhaltet jedoch die Verordnung selbst das stärkste Argument zur Unterstützung der Wortlautinterpretation. Warum beschränkt europäisches Datenschutzrecht Übermittlungen außerhalb des EWR? Es tut dies, da jede Datenverarbeitung außerhalb seines territorialen Anwendungsbereichs nicht mehr seinen Schutzvorschriften unterliegt. Im Falle eines internationalen Schiedsverfahrens wäre der Empfänger von personenbezogenen Daten außerhalb des EWR grundsätzlich nicht verpflichtet europäisches Datenschutzrecht zu beachten und könnte die Daten theoretisch ohne Einschränkung verwenden. Verarbeitet ein derartiger Empfänger nun seinerseits die Daten, wäre er selbst als für die Verarbeitung Verantwortlicher zu behandeln. Hätte er seinen Sitz (oder Mittel zur Verarbeitung) innerhalb der EU, würde er vollinhaltlich europäischem Datenschutzrecht unterliegen – andernfalls wäre dieses für ihn nicht anwendbar. Genau das würde sich nun mit der Datenschutzverordnung ändern. Würde ein solcher für die Verarbeitung Verantwortlicher Daten von Personen mit Wohnsitz in der EU mit dem Ziel «diesen Personen in der Union Waren oder Dienstleistungen anzubieten» verarbeitet, oder die Verarbeitung «der Beobachtung ihres Verhaltens dient», wäre die Verordnung auf ihn anwendbar – dies ungeachtet seines Sitzes außerhalb der EU.25 Dies würde eine drastische Ausweitung des territorialen Anwendungsbereiches europäischen Datenschutzrechts bedeuten und – insbesondere angesichts der angedachten drakonischen Strafen26 – die Gefahr von Datenschutzverletzungen deutlich einschränken, müssten doch nun auch außereuropäische Unternehmen mit Konsequenzen im Falle von Nichteinhaltung rechnen. Angesichts dessen ist es meines Erachtens durchaus wahrscheinlich, dass die Erweiterung der erörterten Ausnahmebestimmung von der Kommission in der Tat beabsichtigt war und hier auch die teleologische Auslegung zum selben Ergebnis wie die Wortlautinterpretation kommen muss.

[18]
Es dürfte demnach davon auszugehen sein, dass, sollte die vorgeschlagene Verordnung tatsächlich – und auch wie vorgeschlagen – umgesetzt werden, auch Datenübermittlungen im Rahmen von Schiedsverfahren von den sonst einschlägigen Restriktionen befreit und ohne weiteres zulässig sind.
[19]
Vorerst bleibt allerdings abzuwarten, wie die finale Version der vorgeschlagenen Verordnung aussehen wird und ob sie tatsächlich das Licht der Welt erblicken wird. Nicht zuletzt aufgrund der geschilderten Erweiterung des räumlichen Anwendungsbereichs ist sie vor allem von Seiten der USA heftig unter Beschuss geraten. Erst eine in Kraft getretene Verordnung wird tatsächlich einer (gerichtlichen) Interpretation zugeführt werden und erst dann werden sich die letztendlichen Auswirkungen auf E-Disclosure im Schiedsverfahren abschätzen lassen. Zu hoffen wäre allerdings, dass bis zu ihrem Inkrafttreten sprachliche Diskrepanzen möglichst beseitigt werden – würde dies doch einige Unklarheiten bereits im Vorhinein beseitigen.

3.

Fazit ^

[20]
Zusammenfassend kann festgehalten werden, dass, während grundsätzlich technologischer Fortschritt neue Werkzeuge wie virtuelle Datenräume oder Plattformen zum Datenaustausch auch als taugliche Mittel zur Vereinfachung von Schiedsverfahren – egal ob online oder offline – erscheinen lassen würde, steht der tatsächlichen Verwendung dieser Mechanismen gegenwärtiges Datenschutzrecht grundsätzlich deutlich entgegen. Aktuell sind Schiedsverfahren von keiner Ausnahme betreffend die Datenübermittlung in Nicht-EWR-Staaten erfasst, was Übermittlungen im Rahmen von üblicherweise internationalen Schiedsverfahren nicht unbedingt fördert. Die verbleibenden Möglichkeiten um eine derartige Übermittlung im Einklang mit europäischem Datenschutzrecht durchzuführen – die Zustimmung aller betroffenen Personen, die Vereinbarung von EU Standardvertragsklauseln, oder eine spezifische Genehmigung einer zuständigen nationalen Behörde – dürften in den meisten Fällen kaum praktikabel sein. Aktuell ist daher jede Form von E-Disclosure in Schiedsverfahren vor Durchführung eingehend auf die Vereinbarkeit mit europäischem Datenschutzrecht zu prüfen.
[21]
Sollte jedoch die vorgeschlagene EU Datenschutzverordnung im gegenwärtig bekannten Umfang in Kraft treten, könnte die bestehende Ausnahme für Gerichtsverfahren auch auf Schiedsverfahren ausgedehnt werden. Diese Änderung könnte die Tür zur weitreichenden Adoption von IT-Unterstützungslösungen im Rahmen von internationalen Schiedsverfahren mit einem Schlag weit aufstoßen.
[22]
Nachdem anzunehmen sein dürfte, dass die Verwendung von E-Disclosure Mechanismen in Schiedsverfahren bereits wesentlich weiter fortgeschritten und verbreitet ist als das Wissen um die damit einhergehende Datenschutzproblematik, würde sich die Praxis wohl nicht stark wandeln – sehr wohl ändern würde sich allerdings die Vereinbarkeit dieser Praxis mit europäischem Datenschutzrecht. In Anbetracht der vertraulichen Natur von Schiedsverfahren – die überdies durch die Verwendung von IT gestärkt werden könnte – sowie die Erstreckung des Anwendungsbereichs der vorgeschlagenen Datenschutzverordnung, sollte diese Veränderung jedoch keine Verschlechterung des Datenschutzniveaus bedeuten, gleichzeitig jedoch zahlreiche Vorteile mit sich bringen und wäre demnach insgesamt eine begrüßenswerte Neuerung.

 

Mag. Christian Tautschnig, LL.M. (UCL), BA, ist Rechtsanwaltsanwärter in Wien.

  1. 1 Vgl. CIArb, «CIArb Costs of International Arbitration Survey 2011», abrufbar unter: http://www.ciarb.org/conferences/costs/2011/09/28/CIArb%20costs%20of%20International% 20Arbitration%20Survey%202011.pdf (letzter Zugriff 11. Mai 2013).
  2. 2 Ethan Katsh, «Online Dispute Resolution: Some Lessons from the E-Commerce Revolution» (2001)28 NKyLRev 810, abrufbar unter: http://heinonline.org/HOL/LandingPage?handle=hein.journals/nkenlr28&div=38&id=&page=; Ethan Katsh, «Online Dispute Resolution: The Next Phase» (2002) 7 Lex Electronica 1, abrufbar unter: http://www.lex-electronica.org/docs/articles_140.htm.
  3. 3 Für weitere Informationen vgl. Wikipedia, Digitale Rechteverwaltung, abrufbar unter: http://de.wikipedia.org/wiki/Digitale_Rechteverwaltung (letzter Zugriff 26. Oktober 2013).
  4. 4 Arno Lodder, «The Third Party and Beyond. An Analysis of the Different Parties, in Particular The Fifth, Involved in Online Dispute Resolution» (2006) 15 Info & CommTechL 143; Dimitris Protopsaltou, Thomas Schultz und Nadia Magnenat-Thalmann, «Taking the Fourth Party Further? Considering a Shared Virtual Workspace for Arbitration» (2006) 15 Info & CommTechL 157.
  5. 5 Robert H. Smit und Tyler B Robinson, «E-Disclosure in International Arbitration» (2008) 24 Arb Intl 105.
  6. 6 Diese Analyse konzentriert sich auf die auf Grundlage der Europäischen Datenschutzrichtlinie harmonisierte Rechtslage. Relevante nationale Diskrepanzen werden gegebenenfalls hervorgehoben.
  7. 7 Hier sei darauf hingewiesen, dass in einigen nationalen Datenschutzgesetzen, wie z.B. dem österreichischen Datenschutzgesetz 2000, nicht nur Daten betreffend natürliche Personen als personenbezogene Daten behandelt werden, sondern auch Daten betreffend juristische Personen. Dies erhöht die Wahrscheinlichkeit, dass offen vorgelegte Dokumente personenbezogene Daten enthalten, zusätzlich.
  8. 8 Art. 2 (b) DSRL.
  9. 9 Art. 2 (c) DSRL.
  10. 10 Art. 3 (1) DSRL.
  11. 11 EuGH 6. November 2003, C-101/01, Lindqvist, Slg 2003, I-12992.
  12. 12 Art. 2 (d) DSRL.
  13. 13 Art. 4 DSRL.
  14. 14 Angemessenheitsentscheidungen der Europäischen Kommission, abrufbar unter: http://ec.europa.eu/justice/data-protection/document/international-transfers/adequacy/index_en.htm (letzter Zugriff 19. Oktober 2013).
  15. 15 Art. 26 (2) DSRL.
  16. 16 Jan Kraayvanger und Andrea Patzak, «Culture Clash: E-disclosure vs. EU Data Protection Law in International Arbitration» (2011) 11 World Data Protection Report 11.
  17. 17 EuGH 15. Dezember 1977, 76/77 Auditeur du Travail v. Bernard Dufour, Slg 1977, 2485.
  18. 18 EuGH 15. Dezember 1977, 76/77 Auditeur du Travail v. Bernard Dufour, Slg 1977, 2485, 2492.
  19. 19 Jan Kraayvanger und Andrea Patzak, «Culture Clash: E-disclosure vs. EU Data Protection Law in International Arbitration» (2011) 11 World Data Protection Report 11.
  20. 20 Art. 29 Datenschutzgruppe, «Arbeitspapier über eine gemeinsame Auslegung des Artikels 26 Absatz 1 der Richtlinie 95/46/EG vom 24. Oktober 1995», 17, abrufbar unter: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2005/wp114_de.pdf (letzter Zugriff 19. Oktober 2013).
  21. 21 Europäische Kommission, Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Der Schutz der Privatsphäre in einer vernetzten Welt – Ein europäischer Datenschutzrahmen für das 21. Jahrhundert, KOM (2012) 9 endgültig.
  22. 22 Art. 44 (1)(e) vDSVO.
  23. 23 EuGH 12. April 2005, C-265/03 Igor Simutenkov v. Ministerio de Educación y Cultura and Real Federación Española de Fútbol, Slg 2005, I-2596.
  24. 24 Schlussanträge der Generalanwältin Stix-Hackl, EuGH C-265/03 Igor Simutenkov v. Ministerio de Educación y Cultura and Real Federación Española de Fútbol, Slg 2005, I-2581.
  25. 25 Art. 3 (2) vDSVO.
  26. 26 Vorgesehen wären hier Strafen von bis zu 2% des weltweiten Gesamtumsatzes eines Unternehmens (Art. 79 vDSVO).