Personalausweise kopieren als DSGVO-Verstoß
Im täglichen Leben und insbesondere im Geschäftsleben verlangen Behörden, Arbeitgeber, Banken oder Versicherungen häufig Personalausweis-Kopien von Antragstellern, Kunden oder Mitarbeitenden. Was ist dabei zulässig in Sachen Datenschutz?
Auf Personalausweisen und Reisepässen findet sich eine Vielzahl von personenbezogenen Daten. Das Speichern dieser kompletten Daten steht mit den datenschutzrechtlichen Vorschriften häufig nicht in Einklang.
Gesetzeslage: Sind Ausweiskopien erlaubt?
Grundsätzlich existiert keine Pflicht, Dritten eine Kopie des Personalausweises oder diesen zum Kopieren zu überlassen. Die Anfertigung einer Ablichtung des Personalausweises ist nur mit Zustimmung des Ausweisinhabers zulässig (§ 20 Absatz 2 PAuswG). Die Vorschrift verlangt darüber hinaus, dass die Ausweiskopie eindeutig und dauerhaft als Kopie erkennbar sein muss.
Laut DSGVO umfasst der Begriff der Ablichtung das Fotokopieren, das Fotografieren und das Einscannen von Ausweispapieren.
Gemäß Art. 5 Abs. 1 (c und e) DSGVO dürfen personenbezogene Daten nur dann verarbeitet werden, wenn
- dies dem Zweck angemessen und
- auf das unbedingt notwendige Maß beschränkt ist.
Außerdem dürfen Daten nicht länger als erforderlich gespeichert werden. Nach Zweckerfüllung sind sie unverzüglich zu löschen.
Wer kann trotz DSGVO eine Ausweiskopie verlangen?
Nach dem Grundsatz der Datenminimierung ist die Speicherung sämtlicher in einem Personalausweis festgehaltenen Daten häufig nicht angemessen. Die Speicherung einer vollständigen Kopie oder eines Scans ist damit regelmäßig unzulässig.
Allerdings bestehen für bestimmte Geschäfts- und Lebensbereiche wichtige Ausnahmen:
Finanzdienstleistungen
Eine Ausnahme stellt die Speicherung zum Zweck der Personen-Identifizierung für bestimmte Finanztransaktionen dar. Dies betrifft unter anderem Kredit- und Finanzdienstleistungsinstitute, Versicherungsunternehmer, Steuerberater, Immobilienhändler sowie Güterhändler.
Nach § 8 Absatz 2 GWG (Geldwäschegesetz) ist die erforderliche Identifizierung der an einer Transaktion beteiligten Akteure unter anderem durch Vorlage des Personalausweises möglich. In diesem Fall ist die Ablichtung des Ausweises sogar zwingend vorgeschrieben.
Telekommunikationsdienstleister
Telekommunikationsanbieter dürfen gemäß § 172 Absatz 2 TKG (Telekommunikationsgesetz seit 1. Dezember 2021) Personalausweise kopieren. Sie müssen die Kopie aber unverzüglich wieder vernichten, wenn sie die Angaben festgestellt haben, die für den Vertragsabschluss erforderlich sind.
Auskunfteien
Gemäß Art. 15 DSGVO hat jeder ein Auskunftsrecht über die gespeicherten personenbezogenen Daten. Macht eine Privatperson dieses Recht zum Beispiel gegenüber der Schufa geltend, so möchte diese häufig einen Personalausweis sehen, um den Antragsteller zu identifizieren ( Art. 12 Abs. 6 DSGVO ).
Dafür ist auch die Anforderung einer Ausweiskopie zulässig. Das Auskunftsunternehmen darf die Kopie allerdings nur zum Zweck der Identitätsfeststellung verwenden und nicht weiter nutzen. Das heißt, nach der erfolgten Identifizierung muss die Kopie unverzüglich vernichtet werden. Zur Protokollierung genügt der Vermerk "Ausweiskopie geprüft".
Verkäufer/Händler
Bei Rechtsgeschäften des täglichen Lebens und Handelsgeschäften darf der Personalausweis gemäß § 20 Abs. 1 PAuswG gegenüber Händlern und Unternehmen zum Nachweis der Identität und als Legitimationspapier verwendet werden. Diese dürfen daraus aber nur Daten entnehmen und notieren, soweit diese für das Vertragsverhältnis notwendig sind. In der Regel sind dies Namen, Adresse und gegebenenfalls die Gültigkeitsdauer. Ausweisnummern dürfen nicht notiert werden.
Check-in am Flughafen
Beim Automaten-Check-in an Flughäfen darf der Personalausweis oder Reisepass zur Identifikation des Reisenden genutzt werden. Der Automatenscan darf aber die Seriennummer oder Sperrmerkmale des Ausweisdokuments nicht über längere Zeit speichern, sondern muss diese nach Abschluss des Check-in unverzüglich wieder löschen.
Vermieter
Mieterinnen und Mieter von Wohn- oder Geschäftsräumen werden vom Vermieter häufig zur Vorlage des Personalausweises aufgefordert. Dieses Verlangen ist nicht grundsätzlich verboten. Nach dem Grundsatz der Datenminimierung darf der Vermieter oder Immobilienmakler den Ausweis aber ohne Zustimmung nicht kopieren. Er ist lediglich befugt, nach Kontrolle des Ausweisdokuments einen Vermerk anzufertigen, dass der Personalausweis geprüft wurde. Die Seriennummer des Personalausweises darf der Vermieter nicht notieren.
Hoteliers
Gemäß § 29 Absatz 2 BMG (Bundesmeldegesetz) haben Hoteliers die Verpflichtung, Angaben zu beherbergten Personen in einem Meldeschein zu dokumentieren. Nach allgemeiner Meinung enthält die Vorschrift keine Rechtsgrundlage, die Vorlage eines Personalausweises zu verlangen. Ausländische Gäste müssen sich hingegen gemäß § 29 Absatz 3 BMG per Identitätsdokument ausweisen, Hoteliers müssen dies gemäß § 30 Absatz 2 BMG prüfen.
Jugendschutz
Die Pflicht zur Altersprüfung gemäß § 2 JuSchG kann Gewerbetreibende und Veranstalter bei Zweifeln hinsichtlich des Alters einer Person dazu berechtigen, die Vorlage eines Personalausweises zu verlangen. In diesen Fällen darf der Veranstalter aber nur die Identität und die Altersangaben prüfen.
Güterkraftverkehr
Im Güterkraftverkehr darf der Auftraggeber eines Fracht- oder Speditionsvertrags gemäß § 7c GüKG (Güterkraftverkehrsgesetz) anhand der Vorlage des Personalausweises die Identität, Nationalität und Gültigkeitsdauer eines Dokuments überprüfen. Diese Angaben dürfen auch notiert werden, eine Kopie des Personalausweises ist jedoch nicht erlaubt.
Personalausweis als Pfand ist rechtswidrig
Im Vermietungsgeschäft kommt es bei beweglichen Sachen (Fahrräder, Boote) häufig vor, dass der Vermieter vom Kunden den Personalausweis als Pfand fordert, um die ordnungsgemäße Rückgabe sicherzustellen. Diese Praxis ist allerdings rechtswidrig. Sie widerspricht § 1 Abs. 1 Satz 3 PAuswG. Denn bei solchen Hinterlegungen sind die Ausweisdaten regelmäßig dem Zugriff unbefugter Dritter preisgegeben. Verleiher sind in diesen Fällen ausreichend dadurch geschützt, dass sie sich den Ausweis vorlegen lassen und Namen und Adresse des Kunden notieren.
Elektronischer Identitätsnachweis nur mit Berechtigungszertifikat
Die Grundsätze der Datenminimierung und der Speicherbegrenzung gelten grundsätzlich auch für die Online-Identifizierung per Personalausweis. In diesen Fällen benötigen Unternehmen gemäß § 21 PAuswG ein Berechtigungszertifikat, das sie beim Bundesverwaltungsamt beantragen können. Über die Einhaltung des Erforderlichkeitsgrundsatzes wachen die zuständigen Datenschutzaufsichtsbehörden.
Datenschutz durch Schwärzen?
Grundsätzlich ist das Schwärzen von nicht benötigten Angaben in Ausweiskopien gestattet und häufig auch sinnvoll. Auf diese Weise können Betroffene sich effektiv davor schützen, dass unnötige Daten weder von unbefugten Dritten eingesehen werden können noch gespeichert werden.