Im Rahmen eines Vergabenachprüfungsverfahrens hat die Berliner Vergabekammer (VK Berlin) mit Beschluss vom 24. September 2020, Az. VK -B1-10/19 unter anderem beschlossen, dass die Identifizierung einer Person allein anhand der Stimme nicht möglich sei. Was Anlass des Vergabenachprüfungsverfahrens war und warum die Stimme im vorliegenden Fall von der Berliner VK nicht als personenbezogenes Datum i.S.d der DSGVO angesehen wird, lesen Sie hier: Worum ging es im Vergabeverfahren? Gegenstand des Vergabeverfahrens war die Beschaffung von telefonischen Dolmetscherdiensten. Explizit ging es um telefonische Sprachmittlung nach § 10 ProstSchG. Demnach werden Personen, die als Prostituierte tätig sind oder solch eine Tätigkeit aufnehmen wollen, eine gesundheitliche Beratung durch eine für den Öffentlichen Gesundheitsdienst zuständige Behörde angeboten. Hierbei sollen insbesondere Fragen der Krankheitsverhütung, der Empfängnisregelung, der Schwangerschaft und der Risiken des Alkohol-und Drogenmissbrauchs eingeschlossen werden. Die Antragsgegnerin schrieb Leistungen zu dieser telefonischen Sprachmittlung aus. Antragstellerin: Zuschlag an den anderen Bieter ist unwirksam Die Antragstellerin, die unterlegene Bieterin ist der Ansicht, dass die Zuschlagserteilung an den Mitbieter unwirksam erfolgt sei, da das erfolgreiche Angebot des Mitbieters datenschutzrechtlichen Regelungen nicht entspreche. Es seien datenschutzrechtliche Anforderungen an die Leistungserbringung trotz Anonymisierung/Pseudonymisierung durch den Antragsgegner erforderlich. Zudem ist sie der Ansicht, dass die Stimme und auch die Gesprächsinhalte personenbezogene Daten seien. Die Vergabeunterlagen enthielten keinerlei Angaben zu datenschutzrechtlichen Anforderungen an die Angebote der Bieter. Das Angebot des zuschlagerhaltenden Mitbieters sei demnach wegen fehlender Verschlüsselung nicht zu berücksichtigen. Der Antragsgegner hätte nur solche Auftragsverarbeiter auswählen dürfen, die hinreichend Garantien zur Einhaltung der DSGVO bieten. Hingegen ist der Antragsgegner der Ansicht, der Zuschlag sei wirksam erfolgt. Es haben keine datenschutzrechtlichen Vorkehrungen in der Leistungsbeschreibung aufgenommen werden müssen. Dies sei damit zu begründen, dass im Beratungsgespräch mit den zu beratenden Personen unter Einschaltung der Dolmetscher keine personenbezogenen Daten abgefragt werden würden. Kein Verstoß gegen die DSGVO Die VK Berlin hat beschlossen, dass der Zuschlag an den Mitbieter wirksam war. Der Antragsgegner habe nach den Ausführungen der VK Berlin nicht gegen datenschutzrechtliche Vorgaben verstoßen, indem keine datenschutzrechtlichen Vorgaben in der Leistungsbeschreibung aufgenommen wurden. Vorliegend führen die aus Sicht der Antragstellerin fehlenden Regelungen zum Datenschutz, nicht zu einer Produktvorgabe oder Einschränkung des Wettbewerbs. Die eingesetzten Dolmetscher und der Auftragnehmer erhalten keinerlei personenbezogenen Daten über die zu beratenden Personen. Gegenüber den Dolmetschern und Auftragnehmern wird ein Alias verwendet. Die VK Berlin hat weiter ausgeführt: „Soweit die Antragstellerin meint, dass die zu beratende Person im Beratungsgespräch selbst personenbezogene Daten nennen könnte, die Stimme ein personenbezogenes Datum sei bzw. das gesamte Gespräch, kann sie damit nicht durchdringen.“ Ist die Stimme kein personenbezogenes Datum? Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten, alle Informationen, die eine Identifizierung einer natürlichen Person ermöglichen. Nach der VK Berlin, ist es allein anhand der Stimme nicht möglich, eine Identifizierung vorzunehmen. In dem Beschluss heißt es konkret: „Zwar mag der Dolmetscher anhand der Stimme möglicherweise erkennen, woher die zu beratende Person stammt. Eine Identifizierung ist allein anhand der Stimme hingegen nicht möglich. Auch reicht die fiktive Möglichkeit einer Identifizierung nicht aus, um ein Datum als personenbezogenes Datum zu qualifizieren, welches die Pflichten nach der DSGVO auslöst.“ Und was, wenn der Gesprächspartner seinen Namen preisgibt? Sollte die zu beratende Person von sich aus personenbezogene Daten preisgeben, liegt keine Verarbeitung im Sinne der DSGVO vor. Nach Art. 4 Nr. 2 DSGVO ist die Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jeder solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie zum Beispiel das Erheben oder das Erfassen. „Sofern die zu beratende Person von sich aus, ohne dass sie seitens der Mitarbeiter des zuständigen Amtes danach gefragt wird, personenbezogene Daten preisgibt, handelt es sich nicht um eine Verarbeitung personenbezogener Daten durch den Antragsgegner bzw. das zuständige Amt, welches Pflichten nach der DSGVO auslöst.‘‘ „Gibt die zu beratende Person von sich aus Daten preis, werden diese nicht vom Antragsgegner bzw. dem zuständigen Amt erhoben, sondern diese wachsen ihnen zu. Denn die Erhebung setzt ein aktives Tun der erhebenden Stelle voraus. Diese sog. aufgedrängten Informationen sind erst dann durch den Auftraggeber zu schützen, wenn er sie verarbeiten und nutzen möchte.“ Resultat des Beschlusses Der Anwendungsbereich der DSGVO ist nicht eröffnet, wenn personenbezogene Daten „anwachsen''. Aber keine Sorge: Das Fernmeldegeheimnis schützt die telefonischen Gesprächsinhalte. Eine Identifizierung anhand der Stimme ist laut der VK Berlinin diesem Fall für den Gesprächspartner an der anderen Leitung so nicht möglich. „Auch reicht die fiktive Möglichkeit einer Identifizierung nicht aus, um ein Datum als personenbezogenes Datum zu qualifizieren, welches die Pflichten nach der DSGVO auslöst.“ Beitrag hier kommentieren |