Personalausweis und  DSGVO: Wann ist scannen/kopieren erlaubt?

Im täglichen Leben und insbesondere im Geschäftsleben ziehen Behörden, Arbeitgeber, Banken oder Versicherungen gerne Kopien des Personalausweises von Antragstellern, Kunden oder Mitarbeitern. Hierbei wird der Datenschutz häufig sträflich vernachlässigt. Was ist zulässig, was ist unrechtmäßig.

Die Kopie des Personalausweises dient Behörden und Geschäftspartnern häufig als einfache Möglichkeit der Identifizierung. Personalausweise und Reisepässe enthalten eine Vielzahl von personenbezogenen Daten. Die Speicherung dieser kompletten Daten steht mit den datenschutzrechtlichen Vorschriften häufig nicht in Einklang.

Sind Ausweiskopien erlaubt bzw. durchsetzbar?

Grundsätzlich existiert keine Pflicht, Dritten eine Kopie des Personalausweises oder diesen zum Kopieren zu überlassen. Die Anfertigung einer Ablichtung des Personalausweises ist nur mit Zustimmung des Ausweisinhabers zulässig, § 20 Abs. 2 PersAuswG. Die Vorschrift verlangt darüber hinaus, dass die Ausweiskopie eindeutig und dauerhaft als Kopie erkennbar sein muss.

Begriff der „Ablichtung“ in der DSGVO umfasst auch das Einscannen

Nach der alten Rechtslage - bis zum Inkrafttreten der DSGVO am 15.7.2017 - war das Scannen von Ausweispapieren grundsätzlich nicht gestattet. Die DSGVO verwendet jetzt den Begriff der Ablichtung und stellt klar, dass darunter das Fotokopieren, das Fotografieren und das Einscannen von Ausweispapieren zu verstehen ist.

Grundsatz der Datenminimierung und Speicherbegrenzung widerspricht häufig der Ausweiskopie

So sehr die Ausweiskopie in einigen Lebensbereichen zur Vereinfachung der Identifizierung der beteiligten Personen beitragen kann, so bedeutet dieses Verfahren in den meisten Fällen die Speicherung für den konkreten Zweck nicht erforderlicher Daten und läuft damit dem in Art. 5 Abs. 1 c) u. e) kodifizierten datenschutzrechtlichen Grundsatz der Datenminimierung zuwider. Nach diesem Grundsatz dürfen personenbezogene Daten nur dann verarbeitet werden, wenn

  • dies dem Zweck angemessen und
  • auf das unbedingt notwendige Maß beschränkt ist.
  • Außerdem dürfen Daten nicht länger als erforderlich gespeichert werden.
  • Nach Zweckerfüllung sind sie unverzüglich zu löschen.

Wer kann trotz DSGVO eine Ausweiskopie verlangen?

Nach dem Grundsatz der Datenminimierung ist die Speicherung sämtlicher in einem Personalausweis festgehaltenen Daten häufig nicht angemessen und die Speicherung einer vollständigen Kopie oder eines Scans damit regelmäßig unzulässig. Allerdings bestehen für bestimmte Geschäfts- und Lebensbereiche wichtige Ausnahmen:

Finanzdienstleistungen

Eine wichtige Ausnahme ist die Speicherung zum Zweck der Identifizierung von Personen bei bestimmten Finanztransaktionen. Diese Verpflichtung trifft unter anderem Kredit- und Finanzdienstleistungsinstitute, Versicherungsunternehmer, Steuerberater, Immobilienhändler sowie Güterhändler. Nach § 8 Abs. 2 des am 26.6.2017 in Kraft getretenen Geldwäschegesetzes (GWG) ist die erforderliche Identifizierung der an einer Transaktion beteiligten Akteure u.a. durch Vorlage des Personalausweises möglich. In diesem Fall ist die Anfertigung einer Kopie bzw. eine vollständige optische Digitalisierung des Ausweises zwingend vorgeschrieben.

Telekommunikationsdienstleister

Telekommunikationsanbieter dürfen gemäß § 95 Abs. 4 Satz 3 TKG Personalausweise kopieren, müssen die Kopie nach Feststellung der für den Vertragsabschluss erforderlichen Angaben aber unverzüglich wieder vernichten.

Auskunfteien

Gemäß Art. 15 DSGVO hat jedermann ein Auskunftsrecht über die zu ihm gespeicherten personenbezogenen Daten. Macht eine Privatperson Auskunftsansprüche beispielsweise gegenüber der SCHUFA oder anderen Auskunfteien geltend, so wird häufig die Vorlage des Personalausweises verlangt. Der zur Auskunft Verpflichtete kann bei begründeten Zweifeln an der Identität des Antragstellers die Vorlage des Personalausweises gemäß Art. 12 Abs. 6 DSGVO fordern. Verlangt der Auskunftsberechtigte die Auskunft schriftlich, so ist die Anforderung einer Ausweiskopie regelmäßig zulässig. Das Auskunftsunternehmen darf die Kopie allerdings nur zum Zwecke der Identitätsfeststellung verwenden und diese nicht weiter nutzen, d.h. nach erfolgter Identifizierung muss die Kopie unverzüglich vernichtet werden. Zur Protokollierung genügt der Vermerk „Ausweiskopie geprüft“.

Hinweis: Nach einer Entscheidung des VG Hannover darf der Personalausweis in diesen Fällen nicht gescannt oder elektronisch gespeichert werden (VG Hannover, Urteil v. 28.11. 2013, 10 A 5342/11).

Verkäufer/Händler

Bei Rechtsgeschäften des täglichen Lebens und Handelsgeschäften darf der Personalausweis gemäß § 20 Abs. 1 PersAuswG gegenüber Händlern und Unternehmen zum Nachweis der Identität und als Legitimationspapier verwendet werden. Die andere Vertragspartei darf daraus aber nur Daten entnehmen und notieren, soweit diese für das Vertragsverhältnis notwendig sind, dies sind in der Regel, Namen, Adresse und gegebenenfalls die Gültigkeitsdauer. Ausweisnummern dürfen nicht notiert werden.

Check-in am Flughafen

Beim Automaten-Check-in an Flughäfen darf der Personalausweis oder Reisepass zur Identifikation des Reisenden genutzt werden. Der Automatenscan darf aber die Seriennummer oder Sperrmerkmale des Ausweisdokuments nicht über längere Zeit speichern, sondern muss diese nach Abschluss des Check-in wieder unverzüglich löschen.

Vermieter

Mieter von Wohn- oder Geschäftsraum sehen sich immer wieder mit der Forderung des Vermieters nach einer Vorlage des Personalausweises konfrontiert. Dieses Verlangen ist nicht grundsätzlich verboten. Nach dem Grundsatz der Datenminimierung darf der Vermieter oder Immobilienmakler den Ausweis aber ohne Zustimmung nicht kopieren. Er ist lediglich befugt, nach Kontrolle des Ausweisdokuments einen Vermerk anzufertigen, dass der Personalausweis geprüft wurde. Die Seriennummer des Personalausweises darf der Vermieter nicht notieren.

Hotel Schild

Hoteliers

Gemäß § 29 Abs. 2 BMG (Bundesmeldegesetz) haben Hoteliers die Verpflichtung, Angaben zu beherbergten Personen in einem Meldeschein zu dokumentieren. Nach allgemeiner Meinung enthält die Vorschrift keine Rechtsgrundlage, die Vorlage eines Personalausweises zu verlangen.

Bei ausländischen Gästen ist demgegenüber die Prüfung eines Identitätsdokumentes gemäß § 30 Abs. 2 BMG verpflichtend.

Jugendschutz

Die Pflicht zur Altersprüfung gemäß § 2 JuSchG kann Gewerbetreibende und Veranstalter bei Zweifeln hinsichtlich des Alters einer Person dazu berechtigen, die Vorlage eines Personalausweises zu verlangen. In diesen Fällen darf der Veranstalter aber nur die Identität und die Altersangaben prüfen.

Güterkraftverkehr

Im Güterkraftverkehr darf der Auftraggeber eines Fracht- oder Speditionsvertrages gemäß § 7 c GüKG anhand der Vorlage des Personalausweises die Identität, Nationalität und Gültigkeitsdauer eines Dokuments überprüfen. Diese Angaben dürfen auch notiert werden, eine Kopie des Personalausweises ist jedoch nicht erlaubt.

Hinterlegung des Personalausweises als Pfand ist rechtswidrig

Im Vermietungsgeschäft kommt es bei beweglichen Sachen (Fahrräder, Boote) häufig vor, dass der Vermieter vom Kunden die Hinterlegung des Personalausweises als Pfand fordert, um eine ordnungsgemäße Rückgabe sicherzustellen. Diese Praxis ist rechtswidrig, denn sie widerspricht § 1 Abs. 1 Satz 3 PersAuswG. Grund dieses gesetzlichen Verbotes ist, dass bei solchen Hinterlegungen die Ausweisdaten regelmäßig dem Zugriff unbefugter Dritter preisgegeben sind. Verleiher sind in diesen Fällen ausreichend dadurch geschützt, dass sie sich den Ausweis vorlegen lassen und Namen und Adresse des Kunden notieren.

Elektronischer Identitätsnachweis nur mit Berechtigungszertifikat

Die Grundsätze der Datenminimierung und der Speicherbegrenzung gelten grundsätzlich auch für die Online-Identifizierung per Personalausweis. Um in diesen Fällen die datenschutzrechtlich erforderliche Begrenzung sicherzustellen, benötigen Unternehmen in diesen Fällen gemäß § 21 PersAuswG ein Berechtigungszertifikat, das beim Bundesverwaltungsamt zu beantragen ist. Über die Einhaltung des Erforderlichkeitsgrundsatzes wachen in diesen Fällen die zuständigen Datenschutzaufsichtsbehörden.

Hinweis: Im frühen Stadium einer Vertragsanbahnung über Waren oder Dienstleistungen ist auch online eine Identitätsprüfung durch Vorlage eines Personalausweises in der Regel nicht erforderlich und daher auch nicht gestattet. Gegebenenfalls genügt zur Identifizierung in diesem Fall eine Identifikationsnummer oder ein Kennwort. Tritt eine Vertragsseite in Vorleistung, so kann jedoch ein berechtigtes Interesse an einer Identifizierung bestehen.

Datenschutz durch Schwärzen?

Grundsätzlich ist das Schwärzen von nicht benötigten Angaben in Ausweiskopien gestartet und häufig auch sinnvoll. Auf diese Weise können Betroffene sich effektiv davor schützen, dass nicht benötigte Daten weder zur Kenntnis unbefugter Dritter gebracht noch unnötig gespeichert werden.

Weitere News zum Thema:

Viele Datenschutzverstöße in der Wohnungswirtschaft

Behörden kopieren Personalausweise

Datenschutz und Speicherung der Daten ehemaliger Mitarbeiter im Unternehmen

DSGVO_Buisness Mann zeigt auf Schriftzug DSGVO mit Schloss

Hintergrund:

Datenschutzgrundverordnung brachte strengere Regeln für die Speicherung persönlicher Daten:

Von höchster Wichtigkeit ist, dass die Verarbeitung transparent gemacht wird. Die Person, deren Daten verarbeitet werden, muss jederzeit wissen, 

  • warum,
  • zu welchem Zweck,
  • wie lange genau welche Informationen verarbeitet werden,
  • welche Wege sie gehen,
  • wie sie gespeichert und geschützt werden. 

Art. 5 DSGVO zählt die Datenschutzprinzipien auf, die Niederschlag in der Betriebsvereinbarung finden sollten, am besten mit einfachen, verständlichen Erklärungen und mit den dazu passenden Maßnahmen, die deren Einhaltung gewährleisten: Daten müssen auf

  • rechtmäßige Weise, nach Treu und Glauben in einer für die betroffene Person nachvollziehbaren Weise verarbeitet,
  • nur für vorher festgelegte, eindeutige, legitime Zwecke im Beschäftigtenkontext erhoben,
  • nur so wenig wie nötig verarbeitet werden und müssen immer richtig und auf dem aktuellen Stand sein.
  • Die Daten dürfen nur so lange wie nötig gespeichert und müssen so schnell wie möglich anonymisiert oder gelöscht werden.
  • Sie müssen vor Verlust und unberechtigtem Zugriff geschützt werden.

Derjenige, der für die Datenverarbeitung verantwortlich ist, muss kontrollieren, dass die vorstehenden Grundsätze eingehalten werden und jederzeit bereit sein, hierüber Rechenschaft abzulegen.

Schlagworte zum Thema:  Datensicherheit, Datenmanagement