Im Rahmen eines Vergabenachprüfungsverfahrens hat die Berliner Vergabekammer (VK Berlin) mit Beschluss vom 24. September 2020, Az. VK -B1-10/19 unter anderem beschlossen, dass die Identifizierung einer Person allein anhand der Stimme nicht möglich sei. Was Anlass des Vergabenachprüfungsverfahrens war und warum die Stimme im vorliegenden Fall von der Berliner VK nicht als personenbezogenes Datum i.S.d der DSGVO angesehen wird, lesen Sie hier:
Der Inhalt im Überblick
Worum ging es im Vergabeverfahren?
Gegenstand des Vergabeverfahrens war die Beschaffung von telefonischen Dolmetscherdiensten. Explizit ging es um telefonische Sprachmittlung nach § 10 ProstSchG. Demnach werden Personen, die als Prostituierte tätig sind oder solch eine Tätigkeit aufnehmen wollen, eine gesundheitliche Beratung durch eine für den Öffentlichen Gesundheitsdienst zuständige Behörde angeboten. Hierbei sollen insbesondere Fragen der Krankheitsverhütung, der Empfängnisregelung, der Schwangerschaft und der Risiken des Alkohol-und Drogenmissbrauchs eingeschlossen werden. Die Antragsgegnerin schrieb Leistungen zu dieser telefonischen Sprachmittlung aus.
Antragstellerin: Zuschlag an den anderen Bieter ist unwirksam
Die Antragstellerin, die unterlegene Bieterin ist der Ansicht, dass die Zuschlagserteilung an den Mitbieter unwirksam erfolgt sei, da das erfolgreiche Angebot des Mitbieters datenschutzrechtlichen Regelungen nicht entspreche. Es seien datenschutzrechtliche Anforderungen an die Leistungserbringung trotz Anonymisierung/Pseudonymisierung durch den Antragsgegner erforderlich. Zudem ist sie der Ansicht, dass die Stimme und auch die Gesprächsinhalte personenbezogene Daten seien. Die Vergabeunterlagen enthielten keinerlei Angaben zu datenschutzrechtlichen Anforderungen an die Angebote der Bieter.
Das Angebot des zuschlagerhaltenden Mitbieters sei demnach wegen fehlender Verschlüsselung nicht zu berücksichtigen. Der Antragsgegner hätte nur solche Auftragsverarbeiter auswählen dürfen, die hinreichend Garantien zur Einhaltung der DSGVO bieten.
Hingegen ist der Antragsgegner der Ansicht, der Zuschlag sei wirksam erfolgt. Es haben keine datenschutzrechtlichen Vorkehrungen in der Leistungsbeschreibung aufgenommen werden müssen. Dies sei damit zu begründen, dass im Beratungsgespräch mit den zu beratenden Personen unter Einschaltung der Dolmetscher keine personenbezogenen Daten abgefragt werden würden.
Kein Verstoß gegen die DSGVO
Die VK Berlin hat beschlossen, dass der Zuschlag an den Mitbieter wirksam war. Der Antragsgegner habe nach den Ausführungen der VK Berlin nicht gegen datenschutzrechtliche Vorgaben verstoßen, indem keine datenschutzrechtlichen Vorgaben in der Leistungsbeschreibung aufgenommen wurden. Vorliegend führen die aus Sicht der Antragstellerin fehlenden Regelungen zum Datenschutz, nicht zu einer Produktvorgabe oder Einschränkung des Wettbewerbs.
Die eingesetzten Dolmetscher und der Auftragnehmer erhalten keinerlei personenbezogenen Daten über die zu beratenden Personen. Gegenüber den Dolmetschern und Auftragnehmern wird ein Alias verwendet. Die VK Berlin hat weiter ausgeführt:
„Soweit die Antragstellerin meint, dass die zu beratende Person im Beratungsgespräch selbst personenbezogene Daten nennen könnte, die Stimme ein personenbezogenes Datum sei bzw. das gesamte Gespräch, kann sie damit nicht durchdringen.“
Ist die Stimme kein personenbezogenes Datum?
Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten, alle Informationen, die eine Identifizierung einer natürlichen Person ermöglichen. Nach der VK Berlin, ist es allein anhand der Stimme nicht möglich, eine Identifizierung vorzunehmen. In dem Beschluss heißt es konkret:
„Zwar mag der Dolmetscher anhand der Stimme möglicherweise erkennen, woher die zu beratende Person stammt. Eine Identifizierung ist allein anhand der Stimme hingegen nicht möglich. Auch reicht die fiktive Möglichkeit einer Identifizierung nicht aus, um ein Datum als personenbezogenes Datum zu qualifizieren, welches die Pflichten nach der DSGVO auslöst.“
Und was, wenn der Gesprächspartner seinen Namen preisgibt?
Sollte die zu beratende Person von sich aus personenbezogene Daten preisgeben, liegt keine Verarbeitung im Sinne der DSGVO vor. Nach Art. 4 Nr. 2 DSGVO ist die Verarbeitung jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jeder solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie zum Beispiel das Erheben oder das Erfassen.
„Sofern die zu beratende Person von sich aus, ohne dass sie seitens der Mitarbeiter des zuständigen Amtes danach gefragt wird, personenbezogene Daten preisgibt, handelt es sich nicht um eine Verarbeitung personenbezogener Daten durch den Antragsgegner bzw. das zuständige Amt, welches Pflichten nach der DSGVO auslöst.‘‘
„Gibt die zu beratende Person von sich aus Daten preis, werden diese nicht vom Antragsgegner bzw. dem zuständigen Amt erhoben, sondern diese wachsen ihnen zu. Denn die Erhebung setzt ein aktives Tun der erhebenden Stelle voraus. Diese sog. aufgedrängten Informationen sind erst dann durch den Auftraggeber zu schützen, wenn er sie verarbeiten und nutzen möchte.“
Resultat des Beschlusses
Der Anwendungsbereich der DSGVO ist nicht eröffnet, wenn personenbezogene Daten „anwachsen“. Aber keine Sorge: Das Fernmeldegeheimnis schützt die telefonischen Gesprächsinhalte. Eine Identifizierung anhand der Stimme ist laut der VK Berlinin diesem Fall für den Gesprächspartner an der anderen Leitung so nicht möglich.
„Auch reicht die fiktive Möglichkeit einer Identifizierung nicht aus, um ein Datum als personenbezogenes Datum zu qualifizieren, welches die Pflichten nach der DSGVO auslöst.“
Na, ob der EuGH das auch so sehen würde, darf wohl stark bezweifelt werden. Mit dieser Begründung wäre eine IP-Adresse oder ein Foto einer unbekannten Person schon sehr fiktiv. Und das Sprachmuster einer Person dürfte sehr wohl ein Merkmal der physischen bzw. physiologischen Identität einer natürlichen Person i.S.v. Art. 4 Nr. 1 DSGVO sein. Zumal mit den schon lange vorhandenen Technologien – und das nicht erst seit es KI gibt – die Sprache eindeutig einer Person zugeordnet werden kann. Wird in der Kriminalistik seit Jahrzehnten praktiziert.
Sehe ich genau so.
Aber wenn dieses Urteil rechtskräftig ist, wie wirkt es sich auf die ganzen Tonband- und andere digitalen Aufnahmen etc aus, die während der Vergangenheit als Beweise gegen Verdächtige vorgelegt wurden und noch werden. Wenn anhand der Sprache keine Identifizierung mehr möglich sein sollte, wären die ganzen Urteile nichtig, oder sehe ich das falsch?
Gibt es die Entscheidung auch im Volltext? Die Ihrerseits zitierten Stellen sind im verlinkten Text leider nicht aufzufinden.
Die Entscheidung im Volltext finden Sie bisher nur bei beck-online (€).
Die Damen und Herren der VK Berlin haben sich vermutlich noch nie mit blinden Personen unterhalten. Die hätten darüber auskunft geben können, ob man Menschen an der Stimme erkennen kann…
Aber die Stimme wird doch in dem streitigen Fall nicht aufgenommen oder dergleichen, sondern es wird lediglich telefoniert. Wenn die Stimme innerhalb eines Telefonats ohne jede Aufzeichnung unter den Schutzbereich der DSGVO fiele, müsste doch stets vor jedem Telefonat zum Beispiel mit einer Behörde zunächst eine Einwilligung eingeholt werden und zwar unabhängig vom Gesprächsinhalt. Worin läge dann noch der Sinn des angesprochenen Fernmeldegeheimnisses?
Grundsätzlich wird der Schutz von telefonischen Gesprächsinhalten über das Fernmeldegeheimnis abgedeckt, so auch die VK Berlin in ihrem Beschluss:
„Der Schutz von telefonischen Gesprächsinhalten wird vielmehr über das Fernmeldegeheimnis abgedeckt. Nach §§ TKG § 88, TKG § 109 TKG werden zur Einhaltung des Fernmeldegeheimnisses aber die entsprechenden Diensteanbieter verpflichtet, wozu Antragsgegner und Beigeladenen auch nach Auffassung der Antragstellerin nicht gehören.“
Dem Fernmeldegeheimnis unterliegt der Inhalt der Telekommunikation. Was dem Fernmeldegeheimnis unterfällt, ergibt sich aus § 88 TKG und § 109 TKG ist unter anderem zu entnehmen, dass technische Vorkehrungen gegen die Verletzung des Schutzes personenbezogener Daten getroffen werden müssen.
Spätestens seit Nutzung der Voice over IP-Funktion lässt sich eine Trennung zwischen „Telefonieren“ und „Aufnehmen“ nicht mehr durchhalten. Spätestend in dem Moment wo die Stimme in digitale Segmente verarbeitet wird, ist man voll im Bereich der DSGVO.
Wenn man der vorliegenden Argumentation folgt, bedeutet das nicht auch, dass die anonyme Transkription eines digital durchgeführten Gesprächs (beispielsweise über Voice over IP oder Meeting Lösungen wie MS Teams) ohne Einwilligung der Gesprächsteilnehmer möglich wäre?
Vorrausgesetzt, die Audioaufzeichnung wird nirgends gespeichert (§ 201 Strafgesetzbuch) und die Transkripte werden nicht wieder mit personenbezogenen Daten wie Email Adressen verknüpft, so wird ausschließlich die Stimme der Teilnehmer in Echtzeit verarbeitet.
Wenn die Stimme nicht personenbezogen ist, so würde die gesamte Transkription nicht unter DSGVO fallen.
Im Vordergrund steht hier die technische Frage, ob eine anonyme Transkription ohne Speicherung überhaupt denkbar wäre. Grundsätzlich liegt im Umkehrschluss zur Argumentation des VK Berlin nach Art. 4 DSGVO eine Identifizierung der Stimme vor, wenn bei einem Telefonat keine Anonymisierung hergestellt wird. Damit läge ein personenbezogenes Datum vor. Die Argumentation lässt sich somit grundsätzlich auch auf ein Online-Telefonat übertragen.