Auswirkungen der Datenschutz-Grundverordnung auf das Mediationsverfahren

Die EU-Datenschutz-Grundverordnung (DSGVO) hat einen breiten sachlichen und räumlichen Anwendungsbereich und sie wird auch während der Streitbeilegung relevant. In diesem Beitrag werden die Anwendung der DSGVO auf die Mediation sowie ausgewählte Fragen zur Verarbeitung personenbezogener Daten im Rahmen der Mediation erörtert.

I. Einleitung

II. Allgemeine Anwendung der DSGVO auf die Mediation

ΙΙΙ. Verarbeitung personenbezogener Daten im Rahmen der Mediation

1. Datenverarbeitung

2. Grundsätze des Datenschutzes

3. Rechtmäßige Verarbeitung

ΙV. Schlussbemerkungen


I. Einleitung

Der Zugang zu und die Verarbeitung von Informationen war schon immer ein wesentlicher Bestandteil jedes Streitbeilegungsverfahrens. Die rasante technologische Entwicklung und die Digitalisierung haben jedoch zu einem erheblichen Anstieg des Umfangs, der Art und der Komplexität der während eines Streitbeilegungsverfahrens verarbeiteten Informationen geführt.

Besteht die Verarbeitung von Informationen während der Beilegung eines Rechtsstreits aus „personenbezogenen Daten“, wird das Datenschutzrecht relevant. Die wichtigste Datenschutzvorschrift in der Europäischen Union (EU), die seit Mai 2018 gilt, ist die Datenschutz-Grundverordnung (DSGVO), die einen starken und kohärenteren Datenschutzrahmen mit einer innovativen extraterritorialen Wirkung vorsieht.

In der DSGVO werden „personenbezogene Daten“ definiert als alle Informationen über eine bestimmte oder bestimmbare natürliche Person, die als „betroffene Person“ bezeichnet wird. Außerdem wird klargestellt, dass die Verordnung auch für die Tätigkeit von Gerichten und anderen Justizbehörden gilt.  Auch die Datenverarbeitung durch Rechtsanwälte wird von der Verordnung erfasst. Somit sind Tätigkeiten zur Verarbeitung personenbezogener Daten im Rahmen der Streitbeilegung, sei es bei Gerichtsverfahren oder im Rahmen außergerichtlicher Streitbeilegungsmechanismen, nicht von den Anforderungen der DSGVO ausgenommen. Darüber hinaus dürfen die Streitparteien trotz des Grundsatzes der Parteiautonomie in außergerichtlichen Verfahren wie Mediation und Schiedsverfahren die Anwendung der DSGVO nicht ausschließen, wenn letztere nach ihrem sachlichen und räumlichen Anwendungsbereich anwendbar ist.

Obwohl die DSGVO die Datenverarbeitung in der Mediation als außergerichtlichem Verfahren zur Streitbeilegung abdeckt, wird in der Verordnung nicht ausdrücklich geklärt, wie sie auf die Mediation anzuwenden ist. Der Europäische Datenschutzausschuss (EDPB), früher bekannt als die Datenschutzgruppe nach Art. 29 (WP29), hat bisher keine Leitlinien zur Anwendung der DSGVO (oder der aufgehobenen Datenschutzrichtlinie) auf „außergerichtliche“ Streitbeilegungsmechanismen erlassen.

Da es an direkten Leitlinien für die Anwendung der DSGVO auf Mediation mangelt, zielt dieser Beitrag darauf ab, bestimmte Auswirkungen der DSGVO auf die Mediation und auf die Hauptakteure, die personenbezogene Daten im Mediationsverfahren verarbeiten, zu untersuchen. Dabei wird der Schwerpunkt dieses Beitrags auf der DSGVO und der EU-Mediationsrichtlinie liegen; in der Praxis kann es jedoch notwendig sein, auch die einschlägigen nationalen Rechtsvorschriften zu berücksichtigen.

II. Allgemeine Anwendung der DSGVO auf die Mediation

In der DSGVO wird nur zweimal auf „außergerichtliche Verfahren“ Bezug genommen, beide Male lediglich in den Erwägungsgründen. Darüber hinaus enthält die Verordnung weder eine ausdrückliche Definition des Begriffs „außergerichtliche Verfahren“ noch einen Hinweis auf die einschlägigen anwendbaren Bestimmungen.

Einerseits erwähnt die DSGVO nicht ausdrücklich die Datenverarbeitung im Mediationsverfahren, andererseits enthält auch die EU-Mediationsrichtlinie keine Bestimmungen, die sich mit Datenschutzfragen befassen. In Ermangelung spezieller Bestimmungen zum Datenschutz im Rahmen der Mediation gilt die DSGVO im Rahmen ihres sachlichen und räumlichen Anwendungsbereichs allgemein für die Verarbeitung personenbezogener Daten im Zusammenhang mit den Tätigkeiten, die während eines Mediationsverfahrens stattfinden, und zwar unabhängig vom Herkunftsberuf des Mediators und der Anzahl der durchgeführten Mediationen.

In Bezug auf die alternative Streitbeilegung bei verbraucherrechtlichen Streitigkeiten in der EU wird in Erwägungsgrund 28 der Richtlinie über alternative Streitbeilegung in Verbraucherangelegenheiten (AS-RL) bekräftigt, dass „[d]ie Verarbeitung von Informationen über unter diese Richtlinie fallende Streitigkeiten mit den Regelungen zum Schutz persönlicher Daten vereinbar sein [sollte], die von den Mitgliedstaaten durch Rechts- oder Verwaltungsvorschriften zur Umsetzung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr erlassen wurden“. In Erwägungsgrund 29 wird hinzugefügt, dass die Vertraulichkeit und die Privatsphäre während des AS-Verfahrens jederzeit gewahrt werden sollten.

Dementsprechend sieht Art. 5 Abs. 2 Buchst. f der AS-RL vor, dass die Verarbeitung personenbezogener Daten durch AS-Stellen den Vorschriften zum Schutz personenbezogener Daten entsprechen muss, die in den nationalen Rechtsvorschriften zur Umsetzung der Richtlinie 95/46/EG in dem Mitgliedstaat, in dem die AS-Stelle niedergelassen ist, festgelegt sind. Da die Richtlinie 95/46/EG aufgehoben wurde, bilden nunmehr die DSGVO und die einschlägigen nationalen Rechtsvorschriften, die ergänzende Bestimmungen zu der Verordnung enthalten, die aktuelle Datenschutzregelung für AS-Stellen.

In der DSGVO finden sich Regelungen, die die Justiz betreffen, um ihre Unabhängigkeit zu wahren: Die Gerichte der Mitgliedstaaten und andere Justizbehörden sind, wenn sie im Rahmen ihrer justiziellen Tätigkeit Datenverarbeitungen vornehmen, von der Aufsicht durch die zuständige Datenschutzaufsichtsbehörde ausgeschlossen.

Die Befreiung der Gerichte von der Aufsicht durch die zuständige Behörde sollte allerdings nicht zu der Schlussfolgerung führen, dass die DSGVO nicht für die Gerichte gelte. Vielmehr geht die DSGVO davon aus, dass die Justizbehörden die Datenverarbeitung bei der richterlichen Tätigkeit gesetzeskonform ausgestalten und intern überwachen, wenn sie Recht sprechen. Diesbezüglich heißt es in Erwägungsgrund 20 DSGVO wie folgt: „Diese Verordnung gilt zwar unter anderem für die Tätigkeiten der Gerichte und anderer Justizbehörden, doch könnte im Unionsrecht oder im Recht der Mitgliedstaaten festgelegt werden, wie die Verarbeitungsvorgänge und Verarbeitungsverfahren bei der Verarbeitung personenbezogener Daten durch Gerichte und andere Justizbehörden im Einzelnen auszusehen haben. Damit die Unabhängigkeit der Justiz bei der Ausübung ihrer gerichtlichen Aufgaben einschließlich ihrer Beschlussfassung unangetastet bleibt, sollten die Aufsichtsbehörden nicht für die Verarbeitung personenbezogener Daten durch Gerichte im Rahmen ihrer justiziellen Tätigkeit zuständig sein. Mit der Aufsicht über diese Datenverarbeitungsvorgänge sollten besondere Stellen im Justizsystem des Mitgliedstaats betraut werden können, die insbesondere die Einhaltung der Vorschriften dieser Verordnung sicherstellen, Richter und Staatsanwälte besser für ihre Pflichten aus dieser Verordnung sensibilisieren und Beschwerden in Bezug auf derartige Datenverarbeitungsvorgänge bearbeiten sollten“. In Übereinstimmung mit dem oben Gesagten sieht Art. 55 DSGVO ausdrücklich vor, dass „die Aufsichtsbehörden nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen sind“.

Während allerdings die Begriffe „Justizbehörden“ und „Beschlussfassung“ so ausgelegt werden könnten, dass sie auch die Schiedsgerichtsbarkeit einschließen, bei der es sich um eine Entscheidungsinstitution handelt, die mit Gerichtsverfahren vergleichbar ist, kann diese Ausnahme von der Aufsicht durch die zuständige Aufsichtsbehörde ihrem Wortlaut nach nicht für die Mediation gelten, die von Natur aus keine gerichtsähnlichen Funktionen hat. In jedem Fall stellt Art. 55 DSGVO klar, dass die Aufsichtsbehörden nicht für die Überwachung der Verarbeitungsvorgänge von Gerichten zuständig sind, die im Rahmen ihrer justiziellen Tätigkeit handeln, ohne dass auf die Schiedsgerichtsbarkeit oder die Mediation Bezug genommen wird. Daher ist die Mediation nicht von der Aufsicht durch die zuständige Datenschutzbehörde ausgeschlossen. (...)