Achtung bei Ausweiskopien

Odoo • A picture with a caption

In der Wirtschaft besteht häufig Unsicherheit darüber, wann das Personalausweis kopieren erlaubt ist und welche Daten aus Ausweisdokumenten gespeichert werden dürfen. Das Kopieren von Personalausweisen ist häufig Beschwerdegegenstand bei den Datenschutzaufsichtsbehörden. Die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen (LDI NRW) gibt daher eine gelungene Übersicht über häufige Sachverhalte aus der Praxis. Wir fassen die wichtigsten Erkenntnisse und Fälle zusammen.

Die Grundsätze der Datenminimierung und Speicherbegrenzung in der DSGVO

Werden zur Identifizierung personenbezogene Daten aus einem Personalausweis oder Reisepass erhoben und / oder als Kopie gespeichert, sind immer die Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 DSGVO zu beachten. In diesem Bereich kommt den Grundsätzen der Datenminimierung und Speicherbegrenzung gemäß Art. 5 Abs.1 lit. c und e DSGVO häufig eine überragende Bedeutung zu.
Der Grundsatz der Datenminimierung legt fest, dass personenbezogene Daten dem Zweck angemessen und erheblich, sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.
Der Grundsatz der Speicherbegrenzung legt fest, dass personenbezogene Daten in einer Form gespeichert werden sollen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Werden Ausweiskopien nicht mehr benötigt, sind sie unverzüglich nach Feststellung der erforderlichen Angaben zu löschen oder zu vernichten. Ausnahmen hiervon können sich allenfalls aus spezialgesetzlichen Aufbewahrungsfristen ergeben.

Personalausweis kopieren rechtswidrig, wenn nicht erforderlich 

Häufig wird die Anfertigung einer Kopie des Personalausweises nicht erforderlich sein. In diesen Fällen ist konsequent auf die Anfertigung einer Ausweiskopie zu verzichten. Ein typischer Fall wäre die jährlich zweimalig durchzuführende Führerscheinkontrolle des Arbeitgebers, auf die in den Hinweisen der LDI NRW nicht eingegangen wird.
Hier sollte es genügen, dass der jeweilige Arbeitnehmer seinen Führerschein vorzeigt und der Arbeitgeber vermerkt, dass der Arbeitnehmer einen gültigen Führerschein besitzt. Die zusätzliche Anfertigung und Abheftung einer Personalausweiskopie würde die Datenverarbeitung daher nicht mehr auf das notwendige Maß beschränken und würde einen Verstoß gegen den Grundsatz der Datenminimierung darstellen. Der Verarbeitungszweck ließe sich auch ohne Kopieren des Personalausweises und Speicherung erreichen.

Anforderungen an die Erhebung und Speicherung von Ausweiskopien

Aus diesen Grundsätzen leiten sich in den meisten Fällen zur Bewertung der datenschutzrechtlichen Rechtmäßigkeit einer Kopie eines Ausweisdokuments folgende Anforderungen ab:

  • Personalausweis kopieren muss erforderlich sein

  • Es darf keine leichtere Möglichkeit der Feststellung der Berechtigung geben, etwa durch das reine Vorzeigen des Ausweises.

  • Zweckbindung der Identifizierung

  • Die Kopien dürfen ausschließlich für die der Erhebung zugrundeliegende Zwecke verwendet werden (hier die Identifizierung).

  • Erkennbarkeit der Kopie als solche

  • Die Kopie muss zum Schutz des Rechtsverkehrs immer als solche erkennbar sein (siehe § 20 Abs. 2 S. 1 Personalausweisgesetz).

  • Notwendigkeit der Schwärzung

  • Angaben, die für die Identifizierung nicht notwendig sind (Seriennummer, Größe, Augenfarbe etc.), sind zu schwärzen.

  • Sofortige Vernichtung der Ausweiskopie

  • Ist eine Protokollierung erforderlich, genügt die Protokollierung des Vermerks, dass eine Ausweiskopie vorgelegt wurde.

  • Kein Scannen des Personalausweises mit anschließender Speicherung

  • Ausgewählte Beispiele zum Personalausweis kopieren

Wann im Einzelnen eine Pflicht zur Erhebung einer Personalausweiskopie besteht und wie der Identitätsnachweis datenschutzkonform gelingt, wird im Einzelnen von der Datenschutzaufsichtsbehörde anhand der angeführten Beispiele wie folgt bewertet:

Identifizierung im Rahmen von Selbstauskunftsersuchen gegenüber Unternehmen

Unternehmen, insbesondere Auskunfteien wie die Schufa, verlangen häufig Kopien von Personalausweisen zur Identifizierung im Rahmen des Auskunftsanspruchs. Dies ergibt sich vor dem Hintergrund, dass im Rahmen der Auskunft häufig höchstpersönliche Daten an den Anfragenden herausgegeben werden und sichergestellt werden muss, dass diese nicht an Unbefugte herausgegeben werden.
Bei Zweifeln über die Identität kann die Anforderung von Ausweiskopien nach Ansicht der Aufsichtsbehörde zulässig sein. Dann sind aber die oben aufgeführten 6. datenschutzrechtlichen Anforderungen im Blick zu behalten.

Vertragsabschluss und Reklamation 

Die Aufsichtsbehörde erkennt an, dass es vor allem außerhalb von „Massengeschäften“ (Einkäufe im Supermarkt, Abendkasse Konzert, Stadionbesuch, Öffentlicher Nahverkehr, Parkplatz etc.) bei einem Vertragsschluss auf die Identität des Vertragspartners ankommen kann (z.B. bei einem Mietvertrag).
Hier wird es regelmäßig ausreichen, die Identität durch Vorlage des Personalausweises nachzuweisen. Auch können die im Dokument enthaltenen Daten entnommen und notiert werden, jedoch nur, soweit sie für das Vertragsverhältnis und die Identifikation von Bedeutung sind. Die Notierung weiterer Angaben (z.B. Seriennummer des Ausweisdokuments) wäre datenschutzrechtlich unzulässig.

Elektronischer Identitätsnachweis 

Möchten Unternehmen einen elektronischen Identitätsnachweis durch einen neuen Personalausweis, der dies ermöglicht, benötigen solche Unternehmen ein sog. Berechtigungszertifikat gem. § 21 Personalausweisgesetz, welche durch das Bundesverwaltungsamt vergeben wird. Im Rahmen der Vergabe der technischen Berechtigungen werden Übermittlungen von Datenkategorien aus dem elektrischen Ausweisdokument technisch ausgeschlossen, womit sichergestellt wird, dass nur die Daten übermittelt und wahrgenommen werden, die tatsächlich benötigt werden. Dies stellt einen Vorteil zum analogen Verfahren dar, bei denen der Betroffene eventuell vor Upload einer Kopie keine Schwärzungen vornimmt und der Empfänger daher „unnötige“ Daten einsehen könnte wie Körpergröße, die Personalausweisnummer etc.
Kommt der elektronische Identitätsnachweis zum Einsatz, ist auch hier sichergestellt, dass nur solche Daten erhoben werden, die auch für die Erbringung der Dienstleistung nötig sind:
Im Rahmen einer Vertragsanbahnung (z.B. das Legen von Waren in einen Online-Warenkorb) wird eine Identitätsprüfung durch den elektronischen Personalausweis nicht erforderlich sein.
Anders bei regionalen Angeboten, hier dürfte zur Bereitstellung die Erhebung des Wohnortes erforderlich sein, Straße und Hausnummer hingegen nicht.

Identitätsprüfung nach dem Geldwäschegesetz 

Häufig ergibt sich die Pflicht von Verantwortlichen zur Erhebung und Speicherung von Personalausweiskopien zu Identitäts- und Dokumentationszwecken aus dem Geldwäschegesetz (insbesondere § 8 GwG). Verpflichtete im Sinne des Geldwäschegesetzes müssen ihre Vertragspartner für die Begründung der Geschäftsbeziehung oder Durchführung der Transaktion identifizieren. Seit dem 26.Juni 2017 stehen

  • Kredit- und Finanzdienstleistungsinstitute,

  • Versicherungsunternehmen,

  • Steuerberater,

  • Immobilienmakler

  • und sog. Güterhändler

in der Pflicht, eine vollständige Kopie des Personalausweises anzufertigen oder diesen vollständig optisch digitalisiert zu erfassen. Die so getätigten Aufzeichnungen sind regelmäßig 5 Jahre nach Ende der Geschäftsbeziehung unverzüglich zu löschen. Als prominentes Beispiel wird das PostIdent-Verfahren erwähnt.

Mobilfunk- und Telefonverträge 

Telekommunikationsanbieter können zur Überprüfung der Angaben des Kunden die Vorlage eines amtlichen Ausweises verlangen, wenn diese Angaben für die Überprüfung der Angaben erforderlich sind. In diesem Rahmen kann auch eine Kopie des Ausweises erstellt und zur Identitätsfeststellung genutzt werden. Diese ist jedoch durch den Telekommunikationsanbieter unverzüglich nach Feststellung der für den Vertrag erforderlichen Daten zu löschen.

Personalausweis kopieren durch den Vermieter 

Auch hier kann im Wesentlichen auf die allgemeinen Ausführungen verwiesen werden. Die LDI NRW stellt fest, dass der Vermieter ein berechtigtes Interesse daran haben wird, die Identität des Mietinteressenten festzustellen.
Hierfür wird in den meisten Fällen die Vorlage des Personalausweises genügen, samt Vermerk, dass die Identität durch Einsichtnahme in Personalausweis bestätigt / nicht bestätigt wurde. Kopien dürften auch hier (mangels Erforderlichkeit) nicht angefertigt werden. Die Aufsichtsbehörde verweist ergänzend auf die Orientierungshilfe zur „Einholung von Selbstauskünften bei Mietinteressenten“ aus dem Jahr 2018.

Personalausweis kopieren im Hotel 

Gem. § 29 Abs. 2 des Bundesmeldegesetzes (BMG) besteht für Hotels die Verpflichtung, bestimmte Angaben über die beherbergte Person in einem Meldeschein zu dokumentieren, wie etwa Name, Geburtsdatum und Anschrift. Es besteht jedoch keine Prüfpflicht auf Richtigkeit. Es besteht daher keine Rechtsgrundlage zur Erhebung von Identitätsdaten aus Ausweisdokumenten.
Eine Ausnahme hiervon gilt gem. § 29 Abs. 3 BMG. Hiernach sind ausländische Personen, die auf dem Meldeschein aufzugführen sind, durch Vorlage eines gültigen Identitätsdokuments auszuweisen. Daher besteht eine Prüfpflicht, jedoch keine Pflicht den Personalausweis zu kopieren. Eine solche Kopie könnten hier daher einen Verstoß gegen Art. 5 Abs.1 lit. c DSGVO darstellen.

Personalausweis als Pfand hinterlegen 

Nach den behandelten Grundsätzen und besprochenen Beispielen ergeben sich auch hier keine Überraschungen:
Unternehmen, die einen Gegenstand verleihen oder vermieten, dürfen sich laut der Aufsichtsbehörde Vornamen, Nachnamen, Adresse und ggf. die Gültigkeitsdauer des Ausweisdokuments notieren, wobei bei letzterem nicht ersichtlich ist, wofür diese Angabe eine Rolle spielen wird. Die Anfertigung einer Kopie oder Scans des Ausweisdokuments wird hingegen unzulässig sein. Die Pfandhinterlegung des Personalausweises ist schon nach § 1 Abs.1 S. 3 Personalausweisgesetz unzulässig.

Mehr Klarheit für Behörden, Unternehmen und Betroffene 

Die allgemeinen Voraussetzungen für das Anfertigen von Personalausweiskopien wurden im Sommer 2017 gelockert: Was früher verboten war, ist heute größtenteils erlaubt. Die Änderungen haben wir in diesem Artikel ausführlich beleuchtet.
Neben den Anforderungen aus dem Personalausweisgesetz ist die Datenerhebung durch den Verantwortlichen jedoch weiterhin nach den Datenschutzgesetzen zu bewerten. Die Ausführungen der Aufsichtsbehörde zeigen hierbei, dass den datenschutzrechtlichen Grundsätzen der Datenminimierung und Speicherbegrenzung im Bereich der Personalausweiskopien eine überragende Bedeutung zukommt: Nimmt man diese datenschutzrechtlichen Grundsätze ernst, ergibt sich meistens schon von selbst die richtige Vorgehensweise. Hier hat die LDI NRW durch ihre Fallbeispiele begrüßenswerte Klarheit geschaffen.