Im täglichen Leben und insbesondere im Geschäftsleben ziehen Behörden, Arbeitgeber, Banken oder Versicherungen gerne Kopien des Personalausweises von Antragstellern, Kunden oder Mitarbeitern. Hierbei wird der Datenschutz häufig sträflich vernachlässigt. Was ist zulässig, was ist unrechtmäßig.
Die Kopie des Personalausweises dient Behörden und Geschäftspartnern häufig als einfache Möglichkeit der Identifizierung. Personalausweise und Reisepässe enthalten eine Vielzahl von personenbezogenen Daten. Die Speicherung dieser kompletten Daten steht mit den datenschutzrechtlichen Vorschriften häufig nicht in Einklang.
Sind Ausweiskopien erlaubt bzw. durchsetzbar?
Die Anfertigung von Kopien des Personalausweises war früher in Deutschland gesetzlich verboten und wurde erst mit Inkrafttreten des Personalausweisgesetzes (PersAuswG) im Jahr 2010 gesetzlich in Grenzen erlaubt. Dem Ausweisinhaber selbst steht es hiernach frei, eine Kopie seines Ausweises anzufertigen. Grundsätzlich existiert aber keine Pflicht, Dritten eine Kopie des Personalausweises oder diesen zum Kopieren zu überlassen.
Ausweiskopien nur mit Zustimmung des Ausweisinhabers
Die Anfertigung einer Ablichtung des Personalausweises ist nur mit Zustimmung des Ausweisinhabers zulässig, § 20 Abs. 2 PersAuswG. Die Vorschrift verlangt in allen Fällen, dass die Ausweiskopie eindeutig und dauerhaft als Kopie erkennbar sein muss. Die Kopie darf – außer durch den Ausweisinhaber selbst – nicht an Dritte weitergegeben werden, § 20 Abs. 2 Satz 2 PersAuswG. Wichtig: Personen innerhalb der gleichen Organisation (z.B. Behörden, Banken) gelten nicht als Dritte.
Besonderheiten bei Anfertigung von Ablichtungen des Reisepasses
Ähnliche Grundsätze gelten für die Anfertigung von Ablichtungen von Reisepässen mit der Maßgabe, dass die Kopie eines Reisepasses von Dritten nur weitergegeben werden darf, wenn ein Visum für die Passinhaberin oder den Passinhaber beantragt wird und die antragstellende Person dem zugestimmt hat.
Begriff der „Ablichtung“ in der DSGVO umfasst auch das Einscannen
Nach der alten Rechtslage - bis zum Inkrafttreten der DSGVO am 15.7.2017 - war das Scannen von Ausweispapieren grundsätzlich nicht gestattet. Die DSGVO verwendet jetzt den Begriff der Ablichtung und stellt klar, dass darunter das Fotokopieren, das Fotografieren und das Einscannen von Ausweispapieren zu verstehen ist.
Das Problem mit den Seriennummern
Die Seriennummern der Personalausweise dürfen nicht mit Hilfe automatisierter Verfahren zum Abruf oder zur Verknüpfung personenbezogener Daten verwendet werden, § 20 Abs. 3 Satz 1 PersAuswG. Ausnahmen gelten in eng begrenzten Fällen für die Personalausweisbehörden selbst zum Zwecke der Erfüllung ihrer Aufgaben sowie für Polizeibehörden, den Bundesnachrichtendienst sowie ähnliche Behörden in vom Gesetz aufgelisteten Ausnahmefällen, § 20 Abs. 3 Satz 2 PersAuswG.
Grundsatz der Datenminimierung und Speicherbegrenzung widersprechen häufig der Ausweiskopie
So sehr die Ausweiskopie in einigen Lebensbereichen zur Vereinfachung der Identifizierung der beteiligten Personen beitragen kann, so bedeutet dieses Verfahren in den meisten Fällen die Speicherung für den konkreten Zweck nicht erforderlicher Daten und läuft damit dem in Art. 5 Abs. 1 c) u. e) DSGVO kodifizierten datenschutzrechtlichen Grundsatz der Datenminimierung zuwider. Nach diesem Grundsatz dürfen personenbezogene Daten nur dann verarbeitet werden, wenn
- dies dem Zweck angemessen und
- auf das unbedingt notwendige Maß beschränkt ist.
- Außerdem dürfen Daten nicht länger als erforderlich gespeichert werden.
- Nach Zweckerfüllung sind sie unverzüglich zu löschen.
Recht auf Schwärzung nicht benötigter Daten bei Kopieren eines Ausweises
Aus dem Grundsatz der Datenminimierung folgt, dass Ausweisdaten, die nicht zur Identifizierung benötigt werden, auf der Kopie zu schwärzen sind. Die Schwärzung kann der Ausweisinhaber entweder verlangen oder selbst durchführen. Die Schwärzung eines Teils der Daten ist auch sinnvoll, um Missbrauch wie beispielsweise einem Identitätsdiebstahl entgegenzuwirken. Die Angaben zu Augenfarbe, Größe, Geburtsort, Seriennummer, Zugangsnummer werden zur Feststellung der Identität selten benötigt.
Wer kann trotz DSGVO eine Ausweiskopie verlangen?
Nach dem Grundsatz der Datenminimierung ist die Speicherung sämtlicher in einem Personalausweis festgehaltenen Daten häufig nicht angemessen und die Speicherung einer vollständigen Kopie oder eines Scans damit regelmäßig unzulässig. Allerdings bestehen für bestimmte Geschäfts- und Lebensbereiche wichtige Ausnahmen:
Finanzdienstleistungen
Eine wichtige Ausnahme ist die Speicherung zum Zweck der Identifizierung von Personen bei bestimmten Finanztransaktionen. Diese Verpflichtung trifft unter anderem Kredit- und Finanzdienstleistungsinstitute, Versicherungsunternehmer, Steuerberater, Immobilienhändler sowie Güterhändler. Nach