Europäischer Datenschutz im internationalen Schiedsverfahren

Die neue DS-GVO und ihre Auswirkungen

Europäischer Datenschutz im internationalen Schiedsverfahren

Dr. Friedrich PoppSenior Associate bei Debevoise & Plimpton LLPDie im Mai in Kraft getretene Europäische Datenschutz-Grundverordnung (“DS-GVO”) gilt auch für die Verarbeitung europäischer personenbezogener Daten im internationalen Schiedsverfahren. Und dies kann die Compliance der nicht selten über den gesamten Globus verteilten Parteien, Rechtsanwälte, Schiedsrichter und Schiedsinstitutionen gründlich herausfordern. Denn wer als Verantwortlicher Informationen über Menschen verarbeitet, hat nicht nur Prinzipien wie Rechtmäßigkeit oder Zweckbindung der Datennutzung zu beachten, sondern auch den Betroffenen Auskunft über die Datenverwendung zu geben. Sollen die Daten dann auch noch ins außereuropäische Ausland übermittelt werden, sind häufig Schutzvorkehrungen beim Empfänger zu treffen. Nicht zuletzt fordert die Verordnung auch angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit.Personenbezogene Informationen kommen nahezu in jedem Verfahrensstadium vor, sei es in Form der als Beweismittel vorgelegten E-Mail der namentlich genannten Mitarbeiterin oder der Unterschrift des Schiedsrichters im Urteil. Und damit gerät praktisch jede Verfahrenshandlung auch zur Datenverarbeitung. Erfolgt diese im Zusammenhang mit einer europäischen Niederlassung, ist die DS-GVO nach den neuen Regeln über den territorialen Anwendungsbereich selbst dann anzuwenden, wenn die tatsächliche Verarbeitung außerhalb der Union stattfindet. Ein Charakteristikum des Schiedsverfahrens ist die gemeinsame Verwendung von Daten durch mehrere Verfahrensbeteiligte, etwa in Form der Würdigung von Beweismitteln durch Streitparteien, Rechtsanwälte und Schiedsrichter. Auch wenn die einzelnen Protagonisten verfahrensrechtlich eine je verschiedene Zielsetzung verfolgen – aus Sicht der betroffenen Person handelt es sich um einen einheitlichen Vorgang, der möglicherweise eine gemeinsame Verantwortlichkeit für die Verarbeitung nach sich ziehen kann. Anliegen des Datenschutzes und die mit einem internationalen Schiedsverfahren verfolgten Interessen stehen nicht immer im Einklang: Liefert eine Prozesspartei dem Gegner im Rahmen des international üblichen “Discovery”-Beweisverfahrens sämtliche beweisrelevanten Dokumente in nicht redigierter Form, kann das datenschutzrechtliche Prinzip der Datenminimierung berührt sein. Schiedsverfahren können gerade bei internationalen Sachverhalten das einzig brauchbare Streitbeilegungsinstrument sein, weil ein Schiedsurteil außerhalb der Union eher als ein mitgliedsstaatliches Gerichtsurteil vollstreckt wird. Die DS-GVO erschwert aber die Verfahrensführung außerhalb der Union, weil personenbezogene Daten nur an solche Empfänger geliefert werden dürfen, die zur Einhaltung europäischer Datenschutzstandards verpflichtet sind, oder aber eine der eng auszulegenden Ausnahmen greift. Die Verordnung selbst berücksichtigt, dass manche Betroffenenrechte nur schwer mit zivilrechtlicher Rechtsdurchsetzung zu vereinbaren sind. Sie nimmt deshalb zur Rechtsverfolgung erforderliche Daten vom Löschungsanspruch von vornherein aus und erhält sie so dem Verfahren als Beweismittel. Übereinstimmung zwischen den Anliegen der DS-GVO und den Schiedsparteien besteht im Bereich der Datensicherheit: Rechtsanwälte, Schiedsrichter und Schiedsinstitutionen haben im Umgang mit personenbezogenen Informationen, Betriebs- und Geschäftsgeheimnissen oder sonst gesetzlich geschützten Informationen ein hohes Maß an Datensicherheit zu gewährleisten. Und sollte es dennoch einmal zur Datenpanne kommen, meldet der Verantwortliche diese auch im internationalen Schiedsverfahren der Datenschutzbehörde und möglicherweise den betroffenen Personen innerhalb der kurzen gesetzlichen Fristen.Die Diskussion um die Konsequenzen von Datenschutzverletzungen rankt vor allem um Bußgelder, Strafen oder Schadensersatz. Risiken für eine effiziente Streitbeilegung bergen aber auch die Befugnisse der Datenschutzbehörden, eine Datenverarbeitung vorübergehend oder endgültig zu verbieten oder die Drittstaatsübermittlung auszusetzen. Eine vergleichbar hemmende Wirkung für das Verfahren kann auch ein durch eine einstweilige Verfügung gesicherter Anspruch auf Unterlassung weiterer Datenverarbeitung einer betroffenen Person haben. Die Vertragsparteien sollten daher bereits bei Abschluss der Schiedsvereinbarung die Anwendbarkeit europäischen Datenschutzrechts prüfen und wechselseitige Unterstützung bei der Compliance und der Datensicherheit vereinbaren. Die Administration des Verfahrens übernimmt eine mit den Anforderungen der DS-GVO vertraute Schiedsinstitution.Die Datenschutz-Compliance sollte gerade wegen der möglichen Haftungsfolgen im gemeinsamen Interesse sämtlicher Verfahrensbeteiligter liegen, Schiedsrichter und Schiedsinstitution mit eingeschlossen. Die Koordinierung der bei erster Gelegenheit anzusprechenden datenschutzrechtlichen Pflichten kann dann in einem gemeinsamen Protokoll erfolgen, in dem sich die Verfahrensbeteiligten auch auf die Verantwortlichkeiten und Haftungen im Innenverhältnis verständigen können. Sollte eine Einigung nicht möglich sein, kann das Schiedsgericht noch immer eine Regelung treffen.Im Unternehmen ist der Datenschutzbeauftragte frühzeitig in die Vorbereitung des Verfahrens einzubeziehen. Sollen Arbeitnehmerdaten verarbeitet werden, ist vorsorglich auch der Betriebsrat zu verständigen. Ein eigenes Verfahrensverzeichnis dokumentiert die für das Schiedsverfahren erforderlichen Abläufe. Drittstaatentransfers sichern geeignete Instrumente, meist Standarddatenschutzklauseln. Weitere Vorkehrungen beziehen sich auf die Information betroffener Personen sowie die Gewährleistung von Betroffenenrechten. Im Ergebnis dient die gründliche Dokumentation der datenschutzrelevanten Entscheidungen im internationalen Schiedsverfahren nicht nur der Erfüllung der Rechenschaftspflicht der Verantwortlichen, sondern ermöglicht den Verfahrensbeteiligten gerade im kritischen Fall der Behördenintervention den Nachweis der Einhaltung europäischen Datenschutzes.