In der Wirtschaft besteht häufig Unsicherheit darüber, wann das Personalausweis kopieren erlaubt ist und welche Daten aus Ausweisdokumenten gespeichert werden dürfen. Das Kopieren von Personalausweisen ist häufig Beschwerdegegenstand bei den Datenschutzaufsichtsbehörden. Die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen (LDI NRW) gibt daher eine gelungene Übersicht über häufige Sachverhalte aus der Praxis. Wir fassen die wichtigsten Erkenntnisse und Fälle zusammen.
Die Grundsätze der Datenminimierung und Speicherbegrenzung in der DSGVO
Werden zur Identifizierung personenbezogene Daten aus einem Personalausweis oder Reisepass erhoben und / oder als Kopie gespeichert, sind immer die Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 DSGVO zu beachten. In diesem Bereich kommt den Grundsätzen der Datenminimierung und Speicherbegrenzung gemäß Art. 5 Abs.1 lit. c und e DSGVO häufig eine überragende Bedeutung zu.
Der Grundsatz der Datenminimierung legt fest, dass personenbezogene Daten dem Zweck angemessen und erheblich, sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.
Der Grundsatz der Speicherbegrenzung legt fest, dass personenbezogene Daten in einer Form gespeichert werden sollen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Werden Ausweiskopien nicht mehr benötigt, sind sie unverzüglich nach Feststellung der erforderlichen Angaben zu löschen oder zu vernichten. Ausnahmen hiervon können sich allenfalls aus spezialgesetzlichen Aufbewahrungsfristen ergeben.
Personalausweis kopieren rechtswidrig, wenn nicht erforderlich
Häufig wird die Anfertigung einer Kopie des Personalausweises nicht erforderlich sein. In diesen Fällen ist konsequent auf die Anfertigung einer Ausweiskopie zu verzichten. Ein typischer Fall wäre die jährlich zweimalig durchzuführende Führerscheinkontrolle des Arbeitgebers, auf die in den Hinweisen der LDI NRW nicht eingegangen wird.
Hier sollte es genügen, dass der jeweilige Arbeitnehmer seinen Führerschein vorzeigt und der Arbeitgeber vermerkt, dass der Arbeitnehmer einen gültigen Führerschein besitzt. Die zusätzliche Anfertigung und Abheftung einer Personalausweiskopie würde die Datenverarbeitung daher nicht mehr auf das notwendige Maß beschränken und würde einen Verstoß gegen den Grundsatz der Datenminimierung darstellen. Der Verarbeitungszweck ließe sich auch ohne Kopieren des Personalausweises und Speicherung erreichen.
Anforderungen an die Erhebung und Speicherung von Ausweiskopien
Aus diesen Grundsätzen leiten sich in den meisten Fällen zur Bewertung der datenschutzrechtlichen Rechtmäßigkeit einer Kopie eines Ausweisdokuments folgende Anforderungen ab:
Personalausweis kopieren muss erforderlich sein
Es darf keine leichtere Möglichkeit der Feststellung der Berechtigung geben, etwa durch das reine Vorzeigen des Ausweises.
Zweckbindung der Identifizierung
Die Kopien dürfen ausschließlich für die der Erhebung zugrundeliegende Zwecke verwendet werden (hier die Identifizierung).
Erkennbarkeit der Kopie als solche
Die Kopie muss zum Schutz des Rechtsverkehrs immer als solche erkennbar sein (siehe § 20 Abs. 2 S. 1 Personalausweisgesetz).
Notwendigkeit der Schwärzung
Angaben, die für die Identifizierung nicht notwendig sind (Seriennummer, Größe, Augenfarbe etc.), sind zu schwärzen.
Sofortige Vernichtung der Ausweiskopie
Ist eine Protokollierung erforderlich, genügt die Protokollierung des Vermerks, dass eine Ausweiskopie vorgelegt wurde.
Kein Scannen des Personalausweises mit anschließender Speicherung
Ausgewählte Beispiele zum Personalausweis kopieren
Wann im Einzelnen eine Pflicht zur Erhebung einer Personalausweiskopie besteht und wie der Identitätsnachweis datenschutzkonform gelingt, wird im Einzelnen von der Datenschutzaufsichtsbehörde anhand der angeführten Beispiele wie folgt bewertet:
Identifizierung im Rahmen von Selbstauskunftsersuchen gegenüber Unternehmen
Unternehmen, insbesondere Auskunfteien wie die Schufa, verlangen häufig Kopien von Personalausweisen zur Identifizierung im Rahmen des Auskunftsanspruchs. Dies ergibt sich vor dem Hintergrund, dass im Rahmen der Auskunft häufig höchstpersönliche Daten an den Anfragenden herausgegeben werden und sichergestellt werden muss, dass diese nicht an Unbefugte herausgegeben werden.
Bei Zweifeln über die Identität kann die Anforderung von Ausweiskopien nach Ansicht der Aufsichtsbehörde zulässig sein. Dann sind aber die oben aufgeführten 6. datenschutzrechtlichen Anforderungen im Blick zu behalten.
Vertragsabschluss und Reklamation
Die Aufsichtsbehörde erkennt an, dass es vor allem außerhalb von „Massengeschäften“ (Einkäufe im Supermarkt, Abendkasse Konzert, Stadionbesuch, Öffentlicher Nahverkehr, Parkplatz etc.) bei einem Vertragsschluss auf die Identität des Vertragspartners ankommen kann (z.B. bei einem Mietvertrag).
Hier wird es regelmäßig ausreichen, die Identität durch Vorlage des Personalausweises nachzuweisen. Auch können die im Dokument enthaltenen Daten entnommen und notiert werden, jedoch nur, soweit sie für das Vertragsverhältnis und die Identifikation von Bedeutung sind. Die Notierung weiterer Angaben (z.B. Seriennummer des Ausweisdokuments) wäre datenschutzrechtlich unzulässig.
Elektronischer Identitätsnachweis
Möchten Unternehmen einen elektronischen Identitätsnachweis durch einen neuen Personalausweis, der dies ermöglicht, benötigen solche Unternehmen ein sog. Berechtigungszertifikat gem. § 21 Personalausweisgesetz, welche durch das Bundesverwaltungsamt vergeben wird. Im Rahmen der Vergabe der technischen Berechtigungen werden Übermittlungen von Datenkategorien aus dem elektrischen Ausweisdokument technisch ausgeschlossen, womit sichergestellt wird, dass nur die Daten übermittelt und wahrgenommen werden, die tatsächlich benötigt werden. Dies stellt einen Vorteil zum analogen Verfahren dar, bei denen der Betroffene eventuell vor Upload einer Kopie keine Schwärzungen vornimmt und der Empfänger daher „unnötige“ Daten einsehen könnte wie Körpergröße, die Personalausweisnummer etc.
Kommt der elektronische Identitätsnachweis zum Einsatz, ist auch hier sichergestellt, dass nur solche Daten erhoben werden, die auch für die Erbringung der Dienstleistung nötig sind:
Im Rahmen einer Vertragsanbahnung (z.B. das Legen von Waren in einen Online-Warenkorb) wird eine Identitätsprüfung durch den elektronischen Personalausweis nicht erforderlich sein.
Anders bei regionalen Angeboten, hier dürfte zur Bereitstellung die Erhebung des Wohnortes erforderlich sein, Straße und Hausnummer hingegen nicht.
Identitätsprüfung nach dem Geldwäschegesetz
Häufig ergibt sich die Pflicht von Verantwortlichen zur Erhebung und Speicherung von Personalausweiskopien zu Identitäts- und Dokumentationszwecken aus dem Geldwäschegesetz (insbesondere § 8 GwG). Verpflichtete im Sinne des Geldwäschegesetzes müssen ihre Vertragspartner für die Begründung der Geschäftsbeziehung oder Durchführung der Transaktion identifizieren. Seit dem 26.Juni 2017 stehen
Kredit- und Finanzdienstleistungsinstitute,
Versicherungsunternehmen,
Steuerberater,
Immobilienmakler
und sog. Güterhändler
in der Pflicht, eine vollständige Kopie des Personalausweises anzufertigen oder diesen vollständig optisch digitalisiert zu erfassen. Die so getätigten Aufzeichnungen sind regelmäßig 5 Jahre nach Ende der Geschäftsbeziehung unverzüglich zu löschen. Als prominentes Beispiel wird das PostIdent-Verfahren erwähnt.
Mobilfunk- und Telefonverträge
Telekommunikationsanbieter können zur Überprüfung der Angaben des Kunden die Vorlage eines amtlichen Ausweises verlangen, wenn diese Angaben für die Überprüfung der Angaben erforderlich sind. In diesem Rahmen kann auch eine Kopie des Ausweises erstellt und zur Identitätsfeststellung genutzt werden. Diese ist jedoch durch den Telekommunikationsanbieter unverzüglich nach Feststellung der für den Vertrag erforderlichen Daten zu löschen.
Personalausweis kopieren durch den Vermieter
Auch hier kann im Wesentlichen auf die allgemeinen Ausführungen verwiesen werden. Die LDI NRW stellt fest, dass der Vermieter ein berechtigtes Interesse daran haben wird, die Identität des Mietinteressenten festzustellen.
Hierfür wird in den meisten Fällen die Vorlage des Personalausweises genügen, samt Vermerk, dass die Identität durch Einsichtnahme in Personalausweis bestätigt / nicht bestätigt wurde. Kopien dürften auch hier (mangels Erforderlichkeit) nicht angefertigt werden. Die Aufsichtsbehörde verweist ergänzend auf die Orientierungshilfe zur „Einholung von Selbstauskünften bei Mietinteressenten“ aus dem Jahr 2018.
Personalausweis kopieren im Hotel
Gem. § 29 Abs. 2 des Bundesmeldegesetzes (BMG) besteht für Hotels die Verpflichtung, bestimmte Angaben über die beherbergte Person in einem Meldeschein zu dokumentieren, wie etwa Name, Geburtsdatum und Anschrift. Es besteht jedoch keine Prüfpflicht auf Richtigkeit. Es besteht daher keine Rechtsgrundlage zur Erhebung von Identitätsdaten aus Ausweisdokumenten.
Eine Ausnahme hiervon gilt gem. § 29 Abs. 3 BMG. Hiernach sind ausländische Personen, die auf dem Meldeschein aufzugführen sind, durch Vorlage eines gültigen Identitätsdokuments auszuweisen. Daher besteht eine Prüfpflicht, jedoch keine Pflicht den Personalausweis zu kopieren. Eine solche Kopie könnten hier daher einen Verstoß gegen Art. 5 Abs.1 lit. c DSGVO darstellen.
Personalausweis als Pfand hinterlegen
Nach den behandelten Grundsätzen und besprochenen Beispielen ergeben sich auch hier keine Überraschungen:
Unternehmen, die einen Gegenstand verleihen oder vermieten, dürfen sich laut der Aufsichtsbehörde Vornamen, Nachnamen, Adresse und ggf. die Gültigkeitsdauer des Ausweisdokuments notieren, wobei bei letzterem nicht ersichtlich ist, wofür diese Angabe eine Rolle spielen wird. Die Anfertigung einer Kopie oder Scans des Ausweisdokuments wird hingegen unzulässig sein. Die Pfandhinterlegung des Personalausweises ist schon nach § 1 Abs.1 S. 3 Personalausweisgesetz unzulässig.
Mehr Klarheit für Behörden, Unternehmen und Betroffene
Die allgemeinen Voraussetzungen für das Anfertigen von Personalausweiskopien wurden im Sommer 2017 gelockert: Was früher verboten war, ist heute größtenteils erlaubt. Die Änderungen haben wir in diesem Artikel ausführlich beleuchtet.
Neben den Anforderungen aus dem Personalausweisgesetz ist die Datenerhebung durch den Verantwortlichen jedoch weiterhin nach den Datenschutzgesetzen zu bewerten. Die Ausführungen der Aufsichtsbehörde zeigen hierbei, dass den datenschutzrechtlichen Grundsätzen der Datenminimierung und Speicherbegrenzung im Bereich der Personalausweiskopien eine überragende Bedeutung zukommt: Nimmt man diese datenschutzrechtlichen Grundsätze ernst, ergibt sich meistens schon von selbst die richtige Vorgehensweise. Hier hat die LDI NRW durch ihre Fallbeispiele begrüßenswerte Klarheit geschaffen.