VK Ber­lin: Iden­ti­fi­ka­ti­on über die Stim­me nicht mög­lich; Begriff der “Ver­ar­bei­tung”

Die Ver­ga­be­kam­mer Ber­lin (VK Ber­lin) hat in einem Ver­ga­be­ver­fah­ren mit Beschluss vom 24. Sep­tem­ber 2020 inter­es­san­te daten­schutz­recht­li­che Aus­füh­run­gen gemacht. Gegen­stand der Beschaf­fung waren tele­fo­ni­sche Dol­met­scher­dien­ste. Die unter­leg­te­ne Bie­te­rin mach­te gel­tend, der Zuschlag sei unwirk­sam, weil das erfolg­rei­che Ange­bot dem Daten­schutz­recht nicht entspreche:

Nach Auf­fas­sung der Antrag­stel­le­rin sei­en daten­schutz­recht­li­che Anfor­de­run­gen an die Lei­stungs­er­brin­gung trotz Anonymisierung/Pseudonymisierung durch den Antrags­geg­ner erfor­der­lich. Eine Pseud­ony­mi­sie­rung ent­sprä­che nicht den Anfor­de­run­gen nach Art. 32 DSGVO. Sowohl die Stim­me als auch die Gesprächs­in­hal­te sei­en per­so­nen­be­zo­ge­nen Daten. Die Ver­ga­be­un­ter­la­gen ent­hiel­ten zunächst kei­ne kon­kre­ten Aus­sa­gen zu den daten­schutz­recht­li­chen Anfor­de­run­gen an die Ange­bo­te der Bie­ter, was den Antrags­geg­ner jedoch nicht aus sei­ner Ver­ant­wor­tung für die Ein­hal­tung daten­schutz­recht­li­cher Vor­ga­ben entlasse.

Das Ange­bot der Bei­gela­de­nen sei wegen feh­len­der Ver­schlüs­se­lung aus­zu­schlie­ßen. Der Antrags­geg­ner habe im Rah­men der Ange­bots­wer­tung die Ein­hal­tung daten­schutz­recht­li­cher Vor­ga­ben nicht geprüft. Auch hät­te der Antrags­geg­ner im Rah­men der Eig­nungs­prü­fung nur sol­che Auf­trags­ver­ar­bei­ter aus­wäh­len dür­fen, die hin­rei­chend Garan­tien zur Ein­hal­tung der Vor­ga­ben der DSGVO bieten.

Die VK Ber­lin weist die Beschwer­de der unter­le­ge­nen Bie­te­rin u.a. aus fol­gen­den Über­le­gun­gen ab:

Nach Art. 4 Nr. 1 DSGVO sind per­so­nen­be­zo­ge­ne Daten sol­che Daten, die eine Iden­ti­fi­zie­rung einer natür­li­chen Per­son ermög­li­chen. Zwar mag der Dol­met­scher anhand der Stim­me mög­li­cher­wei­se erken­nen, woher die zu bera­ten­de Per­son stammt. Eine Iden­ti­fi­zie­rung ist allein anhand der Stim­me hin­ge­gen nicht mög­lich. Auch reicht die fik­ti­ve Mög­lich­keit einer Iden­ti­fi­zie­rung nicht aus, um ein Datum als per­so­nen­be­zo­ge­nes Datum zu qua­li­fi­zie­ren, wel­ches die Pflich­ten nach der DSGVO aus­löst (vgl. Schild in: Beck­OK Daten­schutz­recht, Wolff/Brink, 33. Edi­ti­on, Stand: 01.08.2020, DS-GVO Art. 4 Rn. 18).

Inter­es­sant ist auch die wei­te­re Aus­füh­rung zur “Erhe­bung” von Personendaten:

Sofern die zu bera­ten­de Per­son von sich aus, ohne dass sie sei­tens der Mit­ar­bei­ter des zustän­di­gen Amtes danach gefragt wird, per­so­nen­be­zo­ge­ne Daten preis­gibt, han­delt es sich nicht um eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch den Antrags­geg­ner bzw. das zustän­di­ge Amt, wel­ches Pflich­ten nach der DSGVO aus­löst. Denn nach der DSGVO sind per­so­nen­be­zo­ge­ne Daten bei der Ver­ar­bei­tung zu schüt­zen. Nach Art. 4 Nr. 2 DSGVO ist die Ver­ar­bei­tung jeder mit oder ohne Hil­fe auto­ma­ti­sier­ter Ver­fah­ren aus­ge­führ­te Vor­gang oder jeder sol­che Vor­gangs­rei­he im Zusam­men­hang mit per­so­nen­be­zo­ge­nen Daten wie bei­spiels­wei­se das Erhe­ben oder das Erfas­sen. Gibt die zu bera­ten­de Per­son von sich aus Daten preis, wer­den die­se nicht vom Antrags­geg­ner bzw. dem zustän­di­gen Amt erho­ben, son­dern die­se wach­sen ihnen zu. Denn die Erhe­bung setzt ein akti­ves Tun der erhe­ben­den Stel­le vor­aus (vgl. Schild in: Beck­OK Daten­schutz­recht, Wolff/Brink, 33. Edi­ti­on, Stand: 01.08.2020, DSGVO Art. 4 Rn. 35 f.). Die­se sog. auf­ge­dräng­ten Infor­ma­tio­nen sind erst dann durch den Auf­trag­ge­ber zu schüt­zen, wenn er sie ver­ar­bei­ten und nut­zen möch­te. Es gibt vor­lie­gend aber kei­ne Anhalts­punk­te, dass eine Ver­ar­bei­tung sol­cher auf­ge­dräng­ten Infor­ma­tio­nen durch den Auf­trag­ge­ber beab­sich­tigt ist. Viel­mehr erklär­te der Antrags­geg­ner, dass sich die zu bera­ten­den Per­so­nen im Regel­fall gar nicht äußern. Auch wur­de sei­tens der Antrag­stel­le­rin nicht behaup­tet, dass der Antrags­geg­ner bzw. das zustän­di­ge Amt sol­che Infor­ma­tio­nen ver­ar­bei­ten möch­te. Die Über­tra­gung über die Tele­fon­lei­tung stellt nach Ansicht der Kam­mer kei­ne Ver­ar­bei­tung im Sin­ne des Art. 4 Nr. 2 DSGVO dar. Sofern sich der zustän­di­ge Mit­ar­bei­ter Gesprächs­no­ti­zen über das Gesag­te anfer­tigt, tref­fen die­sen die daten­schutz­recht­li­chen Pflich­ten, nicht jedoch den Auftragnehmer.

Damit ent­steht bei die­sem “Anwach­sen” von Daten nicht nur kei­ne Infor­ma­ti­ons­pflicht, son­dern das Daten­schutz­recht ist gar nicht anwend­bar, son­dern der Emp­fän­ger die­se Daten nicht wil­lent­lich nutzt.