Ausweiskopien sind selten datenschutzkonform

Im täglichen Leben und insbesondere im Geschäftsleben ziehen Behörden, Arbeitgeber, Banken oder Versicherungen gerne Kopien des Personalausweises von Antragstellern, Kunden oder Mitarbeitern. Hierbei wird der Datenschutz häufig sträflich vernachlässigt. Was ist zulässig, was ist unrechtmäßig.

Die Kopie des Personalausweises dient Behörden und Geschäftspartnern häufig als einfache Möglichkeit der Identifizierung. Personalausweise und Reisepässe enthalten eine Vielzahl von personenbezogenen Daten. Die Speicherung dieser kompletten Daten steht mit den datenschutzrechtlichen Vorschriften häufig nicht in Einklang.

Sind Ausweiskopien erlaubt bzw. durchsetzbar?

Die Anfertigung von Kopien des Personalausweises war früher in Deutschland gesetzlich verboten und wurde erst mit Inkrafttreten des Personalausweisgesetzes (PersAuswG) im Jahr 2010 gesetzlich in Grenzen erlaubt. Dem Ausweisinhaber selbst steht es hiernach frei, eine Kopie seines Ausweises anzufertigen. Grundsätzlich existiert aber keine Pflicht, Dritten eine Kopie des Personalausweises oder diesen zum Kopieren zu überlassen.

Ausweiskopien nur mit Zustimmung des Ausweisinhabers

Die Anfertigung einer Ablichtung des Personalausweises ist nur mit Zustimmung des Ausweisinhabers zulässig, § 20 Abs. 2 PersAuswG. Die Vorschrift verlangt in allen Fällen, dass die Ausweiskopie eindeutig und dauerhaft als Kopie erkennbar sein muss. Die Kopie darf – außer durch den Ausweisinhaber selbst – nicht an Dritte weitergegeben werden, § 20 Abs. 2 Satz 2 PersAuswG. Wichtig: Personen innerhalb der gleichen Organisation (z.B. Behörden, Banken) gelten nicht als Dritte.

Besonderheiten bei Anfertigung von Ablichtungen des Reisepasses

Ähnliche Grundsätze gelten für die Anfertigung von Ablichtungen von Reisepässen mit der Maßgabe, dass die Kopie eines Reisepasses von Dritten nur weitergegeben werden darf, wenn ein Visum für die Passinhaberin oder den Passinhaber beantragt wird und die antragstellende Person dem zugestimmt hat.

Begriff der „Ablichtung“ in der DSGVO umfasst auch das Einscannen

Nach der alten Rechtslage - bis zum Inkrafttreten der DSGVO am 15.7.2017 - war das Scannen von Ausweispapieren grundsätzlich nicht gestattet. Die DSGVO verwendet jetzt den Begriff der Ablichtung und stellt klar, dass darunter das Fotokopieren, das Fotografieren und das Einscannen von Ausweispapieren zu verstehen ist.

Das Problem mit den Seriennummern

Die Seriennummern der Personalausweise dürfen nicht mit Hilfe automatisierter Verfahren zum Abruf oder zur Verknüpfung personenbezogener Daten verwendet werden, § 20 Abs. 3 Satz 1 PersAuswG. Ausnahmen gelten in eng begrenzten Fällen für die Personalausweisbehörden selbst zum Zwecke der Erfüllung ihrer Aufgaben sowie für Polizeibehörden, den Bundesnachrichtendienst sowie ähnliche Behörden in vom Gesetz aufgelisteten Ausnahmefällen, § 20 Abs. 3 Satz 2 PersAuswG.

Grundsatz der Datenminimierung und Speicherbegrenzung widersprechen häufig der Ausweiskopie

So sehr die Ausweiskopie in einigen Lebensbereichen zur Vereinfachung der Identifizierung der beteiligten Personen beitragen kann, so bedeutet dieses Verfahren in den meisten Fällen die Speicherung für den konkreten Zweck nicht erforderlicher Daten und läuft damit dem in Art. 5 Abs. 1 c) u. e) DSGVO kodifizierten datenschutzrechtlichen Grundsatz der Datenminimierung zuwider. Nach diesem Grundsatz dürfen personenbezogene Daten nur dann verarbeitet werden, wenn

  • dies dem Zweck angemessen und
  • auf das unbedingt notwendige Maß beschränkt ist.
  • Außerdem dürfen Daten nicht länger als erforderlich gespeichert werden.
  • Nach Zweckerfüllung sind sie unverzüglich zu löschen.

Recht auf Schwärzung nicht benötigter Daten bei Kopieren eines Ausweises

Aus dem Grundsatz der Datenminimierung folgt, dass Ausweisdaten, die nicht zur Identifizierung benötigt werden, auf der Kopie zu schwärzen sind. Die Schwärzung kann der Ausweisinhaber entweder verlangen oder selbst durchführen. Die Schwärzung eines Teils der Daten ist auch sinnvoll, um Missbrauch wie beispielsweise einem Identitätsdiebstahl entgegenzuwirken. Die Angaben zu Augenfarbe, Größe, Geburtsort, Seriennummer, Zugangsnummer werden zur Feststellung der Identität selten benötigt.

Wer kann trotz DSGVO eine Ausweiskopie verlangen?

Nach dem Grundsatz der Datenminimierung ist die Speicherung sämtlicher in einem Personalausweis festgehaltenen Daten häufig nicht angemessen und die Speicherung einer vollständigen Kopie oder eines Scans damit regelmäßig unzulässig. Allerdings bestehen für bestimmte Geschäfts- und Lebensbereiche wichtige Ausnahmen:

Finanzdienstleistungen

Eine wichtige Ausnahme ist die Speicherung zum Zweck der Identifizierung von Personen bei bestimmten Finanztransaktionen. Diese Verpflichtung trifft unter anderem Kredit- und Finanzdienstleistungsinstitute, Versicherungsunternehmer, Steuerberater, Immobilienhändler sowie Güterhändler. Nach § 8 Abs. 2 des am 26.6.2017 in Kraft getretenen Geldwäschegesetzes (GWG) ist die erforderliche Identifizierung der an einer Transaktion beteiligten Akteure u.a. durch Vorlage des Personalausweises möglich. In diesem Fall ist die Anfertigung einer Kopie bzw. eine vollständige optische Digitalisierung des Ausweises zwingend vorgeschrieben.

Telekommunikationsdienstleister

Nach dem seit dem 1.12.2021 in Kraft getretenen „Telekommunikations-Telemedien-Datenschutzgesetz“ (TTDSG) können Anbieter im Zusammenhang mit der Begründung und dem Ändern eines Vertragsverhältnisses mit dem Endnutzer über das Erbringen von Telekommunikationsdiensten die Vorlage eines amtlichen Ausweises verlangen, wenn dies zur Überprüfung der Angaben des Nutzers erforderlich ist. Gemäß § 7 Abs. 3 TTDSG darf von dem Ausweis eine Kopie erstellt werden, die nach Feststellung der für den Vertragsabschluss erforderlichen Angaben des Endnutzers unverzüglich zu vernichten ist.

Straßenverkehr

Die zuständigen Straßenverkehrszulassungsbehörden können bei Erteilung von Auskünften über die Fahreignung gemäß § 30 Abs. 8 StVG oder über Zulassung von Personen zum Straßenverkehr nach § 64 der Fahrerlaubnisverordnung (FeV) als Identitätsnachweis eine Ablichtung des Personalausweises oder Reisepasses verlangen.

Auskunfteien

Gemäß Art. 15 DSGVO hat jedermann ein Auskunftsrecht über die zu ihm gespeicherten personenbezogenen Daten. Macht eine Privatperson Auskunftsansprüche beispielsweise gegenüber der SCHUFA oder anderen Auskunfteien geltend, so wird häufig die Vorlage des Personalausweises verlangt. Der zur Auskunft Verpflichtete kann bei begründeten Zweifeln an der Identität des Antragstellers die Vorlage des Personalausweises gemäß Art. 12 Abs. 6 DSGVO fordern. Verlangt der Auskunftsberechtigte die Auskunft schriftlich, so ist die Anforderung einer Ausweiskopie regelmäßig zulässig. Das Auskunftsunternehmen darf die Kopie allerdings nur zum Zwecke der Identitätsfeststellung verwenden und diese nicht weiter nutzen, d.h. nach erfolgter Identifizierung muss die Kopie unverzüglich vernichtet werden. Zur Protokollierung genügt der Vermerk „Ausweiskopie geprüft“.

Hinweis: Nach einer Entscheidung des VG Hannover darf der Personalausweis in diesen Fällen nicht gescannt oder elektronisch gespeichert werden (VG Hannover, Urteil v. 28.11. 2013, 10 A 5342/11).

Verkäufer/Händler

Bei Rechtsgeschäften des täglichen Lebens und Handelsgeschäften darf der Personalausweis gemäß § 20 Abs. 1 PersAuswG gegenüber Händlern und Unternehmen zum Nachweis der Identität und als Legitimationspapier verwendet werden. Die andere Vertragspartei darf daraus aber nur Daten entnehmen und notieren, soweit diese für das Vertragsverhältnis notwendig sind, dies sind in der Regel, Namen, Adresse und gegebenenfalls die Gültigkeitsdauer. Ausweisnummern dürfen nicht notiert werden.

Check-in am Flughafen

Beim Automaten-Check-in an Flughäfen darf der Personalausweis oder Reisepass zur Identifikation des Reisenden genutzt werden. Der Automatenscan darf aber die Seriennummer oder Sperrmerkmale des Ausweisdokuments nicht über längere Zeit speichern, sondern muss diese nach Abschluss des Check-in wieder unverzüglich löschen.

Vermieter

Mieter von Wohn- oder Geschäftsraum sehen sich immer wieder mit der Forderung des Vermieters nach einer Vorlage des Personalausweises konfrontiert. Dieses Verlangen ist nicht grundsätzlich verboten. Nach dem Grundsatz der Datenminimierung darf der Vermieter oder Immobilienmakler den Ausweis aber ohne Zustimmung nicht kopieren. Er ist lediglich befugt, nach Kontrolle des Ausweisdokuments einen Vermerk anzufertigen, dass der Personalausweis geprüft wurde. Die Seriennummer des Personalausweises darf der Vermieter nicht notieren.

Hotel Schild

Hoteliers

Gemäß § 30 Abs. 1 BMG (Bundesmeldegesetz) haben Hoteliers die Verpflichtung, Angaben zu beherbergten Personen in einem Meldeschein zu dokumentieren. Nach allgemeiner Meinung enthält die Vorschrift keine Rechtsgrundlage, die Vorlage eines Personalausweises zu verlangen.

Bei ausländischen Gästen ist auf dem Meldeschein ein ausdrücklicher Vermerk anzubringen, wenn kein gültiges Identitätsdokument vorgelegt wird, § 30 Abs. 2 Satz 4 BMG verpflichtend.

Jugendschutz

Die Pflicht zur Altersprüfung gemäß § 2 JuSchG kann Gewerbetreibende und Veranstalter bei Zweifeln hinsichtlich des Alters einer Person dazu berechtigen, die Vorlage eines Personalausweises zu verlangen. In diesen Fällen darf der Veranstalter aber nur die Identität und die Altersangaben prüfen.

Güterkraftverkehr

Im Güterkraftverkehr darf der Auftraggeber eines Fracht- oder Speditionsvertrages gemäß § 7 b, c GüKG anhand der Vorlage des Personalausweises die Identität, Nationalität und Gültigkeitsdauer eines Dokuments überprüfen. Diese Angaben dürfen auch notiert werden, eine Kopie des Personalausweises ist jedoch nicht erlaubt.

Hinterlegung des Personalausweises als Pfand ist rechtswidrig

Im Vermietungsgeschäft kommt es bei beweglichen Sachen (Fahrräder, Boote) häufig vor, dass der Vermieter vom Kunden die Hinterlegung des Personalausweises als Pfand fordert, um eine ordnungsgemäße Rückgabe sicherzustellen. Diese Praxis ist rechtswidrig, denn sie widerspricht § 1 Abs. 1 Satz 3 PersAuswG. Grund dieses gesetzlichen Verbotes ist, dass bei solchen Hinterlegungen die Ausweisdaten regelmäßig dem Zugriff unbefugter Dritter preisgegeben sind. Verleiher sind in diesen Fällen ausreichend dadurch geschützt, dass sie sich den Ausweis vorlegen lassen und Namen und Adresse des Kunden notieren.

Elektronischer Identitätsnachweis nur mit Berechtigungszertifikat

Die Grundsätze der Datenminimierung und der Speicherbegrenzung gelten grundsätzlich auch für die Online-Identifizierung per Personalausweis. Um in diesen Fällen die datenschutzrechtlich erforderliche Begrenzung sicherzustellen, benötigen Unternehmen in diesen Fällen gemäß § 21 PersAuswG ein Berechtigungszertifikat, das beim Bundesverwaltungsamt zu beantragen ist. Über die Einhaltung des Erforderlichkeitsgrundsatzes wachen in diesen Fällen die zuständigen Datenschutzaufsichtsbehörden.

Hinweis: Im frühen Stadium einer Vertragsanbahnung über Waren oder Dienstleistungen ist auch online eine Identitätsprüfung durch Vorlage eines Personalausweises in der Regel nicht erforderlich und daher auch nicht gestattet. Gegebenenfalls genügt zur Identifizierung in diesem Fall eine Identifikationsnummer oder ein Kennwort. Tritt eine Vertragsseite in Vorleistung, so kann jedoch ein berechtigtes Interesse an einer Identifizierung bestehen.

DSGVO_Buisness Mann zeigt auf Schriftzug DSGVO mit Schloss

Hintergrund:

Datenschutzgrundverordnung brachte strengere Regeln für die Speicherung persönlicher Daten:

Von höchster Wichtigkeit ist, dass die Verarbeitung transparent gemacht wird. Die Person, deren Daten verarbeitet werden, muss jederzeit wissen, 

  • warum,
  • zu welchem Zweck,
  • wie lange genau welche Informationen verarbeitet werden,
  • welche Wege sie gehen,
  • wie sie gespeichert und geschützt werden. 

Art. 5 DSGVO zählt die Datenschutzprinzipien auf, die Niederschlag in der Betriebsvereinbarung finden sollten, am besten mit einfachen, verständlichen Erklärungen und mit den dazu passenden Maßnahmen, die deren Einhaltung gewährleisten: Daten müssen auf

  • rechtmäßige Weise, nach Treu und Glauben in einer für die betroffene Person nachvollziehbaren Weise verarbeitet,
  • nur für vorher festgelegte, eindeutige, legitime Zwecke im Beschäftigtenkontext erhoben,
  • nur so wenig wie nötig verarbeitet werden und müssen immer richtig und auf dem aktuellen Stand sein.
  • Die Daten dürfen nur so lange wie nötig gespeichert und müssen so schnell wie möglich anonymisiert oder gelöscht werden.
  • Sie müssen vor Verlust und unberechtigtem Zugriff geschützt werden.

Derjenige, der für die Datenverarbeitung verantwortlich ist, muss kontrollieren, dass die vorstehenden Grundsätze eingehalten werden und jederzeit bereit sein, hierüber Rechenschaft abzulegen.


Schlagworte zum Thema:  Datensicherheit, Datenmanagement