Die zunehmende Digitalisierung ist seit der COVID-Pandemie in vielen Bereichen zu beobachten. Darunter fällt auch das internationale Schiedsverfahren.

1. Einführung

Das Schiedsverfahren gehört zu den so genannten alternativen Streitbeilegungsmethoden (darunter fällt u.a. auch die Mediation). In dessen Rahmen wird der Rechtstreit auf Basis der Parteienvereinbarung (Schiedsvereinbarung) von einem Schiedsgericht entschieden (im Wege des Schiedsverfahrens werden u.a. die Vertragsstreitigkeiten, Investor-Staat-Streitigkeiten entschieden). Im Gegensatz zum staatlichen Gerichtsverfahren können die Parteien: die Sprache, die Anzahl der Schiedsrichter, den Gang des Schiedsverfahrens usw. festlegen bzw. mitgestalten. Die Entscheidung des Schiedsgerichtes (Schiedsspruch) ist bindend wie das Urteil eines staatlichen Gerichts.

Die Parteien haben die Möglichkeit entweder die Verfahrensregeln selbst zu bestimmen (das so genannte ad-hoc-Schiedsverfahren) oder auf Regeln einer Schiedsinstitution zurückzugreifen (institutionelles Schiedsverfahren).

Die bekannten Schiedsinstitutionen sind u.a.:

• the International Chamber of Commerce (ICC),
• the London Court of International Arbitration (LCIA),
• die Deutsche Institution für Schiedsgerichtsbarkeit e. V. (DIS),
• the Hong Kong International Arbitration Centre (HKIAC),
• the Vienna International Arbitral Centre (VIAC),
• the Stockholm Chamber of Commerce Arbitration Institute (SCC).

Im Laufe eines Schiedsverfahrens werden personenbezogene Daten der Betroffenen (Zeugen, Parteienvertreter, Schiedsrichter usw.) im großen Umfang von Verantwortlichen (Schiedsinstitutionen, Schiedsrichter, Parteienvertreter usw.) sowie von Dienstleistern (bspw. court-reporters) verarbeitet (siehe auch the ICCA-IBA Roadmap to Data Protection in International Arbitration, Seiten 12, 14). Wenn die DSGVO auf die Verarbeitung der oben genannten Daten anwendbar ist (Art. 3 DSGVO), haben die oben genannten Verantwortlichen die DSGVO-Bestimmungen einzuhalten (Art. 24 Abs. 1 DSGVO). Darunter fallen auch die technisch-organisatorischen Maßnahmen gemäß Art. 32 DSGVO.

2. Datenschutz/ IT-Sicherheit im internationalen Schiedsverfahren

Am 26.03.2023 hat in Wien die Konferenz „Arbitration, Breakfast, and Cyber Security“ bezüglich der IT-Sicherheit im internationalen Schiedsverfahren stattgefunden.

Im Laufe des Events wurde darauf hingewiesen, dass seit der COVID-19-Pandemie eine zunehmende Nachfrage bezüglich der IT-Lösungen im Bereich des internationalen Schiedsverfahrens zu beobachten ist (case-management-Portale der Schiedsinstitutionen, online-hearings usw.). In diesem Zusammenhang wurde auf die Entscheidung des österreichischen Obersten Gerichtshofes (OGH 23.07.2020, 18 ONc 3/20s) hingewiesen, wonach die Durchführung einer Verhandlung im Wege der Videokonferenz keine Verletzung des Art. 6 EMRK (Recht auf ein faires Verfahren) darstellt.

Im Zusammenhang mit den technisch-organisatorischen Maßnahmen wurde die Befürchtung geäußert, ob all die Sicherheitsmaßnahmen die Nutzung von bspw. den case-management-Portalen erschweren. Auf der anderen Seite wurde auf die wachsende Anzahl der Cyberstraftaten hingewiesen.

Es wurde auch über den Einsatz der künstlichen Intelligenz im internationalen Schiedsverfahren gesprochen. Diese soll u.a. im Bereich von e-discovery eingesetzt werden. Es wurde darauf hingewiesen, dass seitens Silicon Valley Arbitration and Mediation Center (SVAMC) an den Guidelines on the Use of Artificial Intelligence (AI) in Arbitration gearbeitet wird. Es wurde darüber gesprochen, wie und in welchem Umfang über den KI-Einsatz informiert werden soll.

3. Kommentare

Der zunehmende Einsatz der IT-Lösungen sowie der künstlichen Intelligenz wird einige Prozesse (bspw. case management, document production) vereinfachen. Jedoch sind die damit verbundenen Pflichten datenschutzrechtlicher Natur im Auge zu behalten.

3.1 Technisch-organisatorische Maßnahmen

Gemäß Art. 24 Abs.1 DSGVO sind Verantwortliche (u.a. Schiedsinstitutionen, Schiedsrichter, Parteienvertreter, Parteien usw.) zur DSGVO-tauglichen Verarbeitung der personenbezogenen Daten verpflichtet. Gemäß Art. 32 Abs. 2 DSGVO sind bei „der Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden“. Es ist darauf hinzuweisen, dass auch Daten verarbeitet werden, welche zwar nicht personenbezogen sind, jedoch als Geschäftsgeheimnisse zu betrachten sind.

Im Art. 32 Abs. 2 DSGVO wird u.a. der unbefugte Zugang zu personenbezogenen Daten erwähnt. In diesem Zusammenhang soll der Risikofaktor Mensch erwähnt werden (siehe auch „Datenschutz ist Wirtschaftsschutz“). Es können nämlich Unsummen in moderne IT-Sicherheitssysteme investiert werden, die dann nutzlos sind, da die Mitarbeiter sich nicht an die internen IT-Richtlinien halten. Das internationale Schiedsverfahren ist diesbezüglich keine Ausnahme (im Bericht „International Arbitration Survey: Cybersecurity in international arbitration“ ist wie folgt zu lesen: „Carelessness with data by tribunal members, counsel, experts or witnesses can be as dangerous as targeted attacks - mobile devices left in public places or data loaded on to USB sticks and forgotten about when the dispute ends“).

Die technisch-organisatorischen Maßnahmen werden umso wichtiger im Zusammenhang mit dem KI-Einsatz. Es wird seitens SVAMC auf die KI-bezogene Gefahr der Beweismanipulation und -fälschung (bspw. deep fakes) hingewiesen (Entwurf der Guidelines on the Use of Artificial Intelligence in Arbitration, Seite 16).

3.2 Externe Dienstleister

Im Rahmen des Schiedsverfahrens werden externe Dienstleister eingesetzt (bspw. Betreiber der case-management-Portale der Schiedsinstitutionen, court-reporters, e-discovery-Dienstleister, expert witnesses). Hier ist auf den Art. 28 DSGVO hinzuweisen. Mit Dienstleistern, welche unter diese Bestimmung fallen (case-management-Portal-Betreiber, court-reporters, e-discovery-Dienstleister), ist ein Auftragsverarbeitungsvertrag abzuschließen. Mit den anderen (bspw. expert witnesses) hingegen eine Vertraulichkeitsvereinbarung.

3.3 Notfallplan

Bei einem Notfallplan handelt es sich um eine Auflistung der Verhaltensweisen im Notfall (Siehe auch „Notfallplan: Ein Must-Have für jedes Unternehmen“). Somit sollen seitens u.a. Schiedsinstitutionen sowie Rechtsanwaltskanzleien Vorkehrungen für unerwartete Ereignisse getroffen werden, welche eine Gefahr für den Geschäftsbetrieb und den Unternehmensbestand darstellen. Als Notfälle können folgende Situationen in Betracht kommen: Ausfall eines kritischen Dienstleisters, Hackerangriff, Mitarbeiterausfall, Datenschutzvorfälle usw.

3.4 Informationspflichten

Gemäß Art. 12 ff DSGVO ist der Verantwortliche verpflichtet, die Betroffenen über die Tatsache der Verarbeitung ihrer personenbezogenen Daten zu informieren. Diese Informationspflicht umfasst u.a. Datenverarbeitungszwecke, Empfänger der personenbezogenen Daten, Dauer der Datenverarbeitung, Betroffenenrechte usw. Soll bspw. eine sich im DSGVO-Anwendungsbereich befindliche Schiedsinstitution einen KI-Dienstleister beauftragten, welcher im Auftrag (bspw. case management) personenbezogene Daten verarbeitet, dann sind die Betroffenen gemäß Art. 12 ff DSGVO diesbezüglich zu informieren (bspw. via Datenschutzerklärung auf der Portal-Homepage).

4. Schlussfolgerungen

Der österreichische Oberste Gerichtshof hat wie folgt festgestellt: „Der Einsatz von Videokonferenztechnologie ist im gerichtlichen Verfahren für Verhandlungen und/oder Beweisaufnahmen weit verbreitet und anerkannt (…)“ (OGH 23.07.2020, 18 ONc 3/20s, Rn. 11.2.2.). Das Gleiche wird für die weiteren IT-Lösungen und die KI-bezogenen Anwendungen im schiedsgerichtlichen Verfahren gelten. Aus diesem Grund wird der Datenschutz im Bereich des internationalen Schiedsverfahrens künftig eine noch größere Rolle spielen.