LDI NRW: Personalausweis kopieren oftmals nach DSGVO verboten!

Fachbeitrag

In der Wirtschaft besteht häufig Unsicherheit darüber, wann das Personalausweis kopieren erlaubt ist und welche Daten aus Ausweisdokumenten gespeichert werden dürfen. Das Kopieren von Personalausweisen ist häufig Beschwerdegegenstand bei den Datenschutzaufsichtsbehörden. Die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen (LDI NRW) gibt daher eine gelungene Übersicht über häufige Sachverhalte aus der Praxis. Wir fassen die wichtigsten Erkenntnisse und Fälle zusammen.

Die Grundsätze der Datenminimierung und Speicherbegrenzung in der DSGVO

Werden zur Identifizierung personenbezogene Daten aus einem Personalausweis oder Reisepass erhoben und / oder als Kopie gespeichert, sind immer die Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 DSGVO zu beachten. In diesem Bereich kommt den Grundsätzen der Datenminimierung und Speicherbegrenzung gemäß Art. 5 Abs.1 lit. c und e DSGVO häufig eine überragende Bedeutung zu.

  • Der Grundsatz der Datenminimierung legt fest, dass personenbezogene Daten dem Zweck angemessen und erheblich, sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.
  • Der Grundsatz der Speicherbegrenzung legt fest, dass personenbezogene Daten in einer Form gespeichert werden sollen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

Werden Auseiskopien nicht mehr benötigt, sind sie unverzüglich nach Feststellung der erforderlichen Angaben zu löschen oder zu vernichten. Ausnahmen hiervon können sich allenfalls aus spezialgesetzlichen Aufbewahrungsfristen ergeben.

Personalausweis kopieren rechtswidrig, wenn nicht erforderlich

Häufig wird die Anfertigung einer Kopie des Personalausweises nicht erforderlich sein. In diesen Fällen ist konsequent auf die Anfertigung einer Ausweiskopie zu verzichten. Ein typischer Fall wäre die jährlich zweimalig durchzuführende Führerscheinkontrolle des Arbeitgebers, auf die in den Hinweisen der LDI NRW nicht eingegangen wird.

Hier sollte es genügen, dass der jeweilige Arbeitnehmer seinen Führerschein vorzeigt und der Arbeitgeber vermerkt, dass der Arbeitnehmer einen gültigen Führerschein besitzt. Die zusätzliche Anfertigung und Abheftung einer Personalausweiskopie würde die Datenverarbeitung daher nicht mehr auf das notwendige Maß beschränken und würde einen Verstoß gegen den Grundsatz der Datenminimierung darstellen. Der Verarbeitungszweck ließe sich auch ohne Kopieren des Personalausweises und Speicherung erreichen.

Anforderungen an die Erhebung und Speicherung von Ausweiskopien

Aus diesen Grundsätzen leiten sich in den meisten Fällen zur Bewertung der datenschutzrechtlichen Rechtmäßigkeit einer Kopie eines Ausweisdokuments folgende Anforderungen ab:

  1. Personalausweis kopieren muss erforderlich sein
    Es darf keine leichtere Möglichkeit der Feststellung der Berechtigung geben, etwa durch das reine Vorzeigen des Ausweises.
  2. Zweckbindung der Identifizierung
    Die Kopien dürfen ausschließlich für die der Erhebung zugrundeliegende Zwecke verwendet werden (hier die Identifizierung).
  3. Erkennbarkeit der Kopie als solche
    Die Kopie muss zum Schutz des Rechtsverkehrs immer als solche erkennbar sein (siehe § 20 Abs. 2 S. 1 Personalausweisgesetz).
  4. Notwendigkeit der Schwärzung
    Angaben, die für die Identifizierung nicht notwendig sind (Seriennummer, Größe, Augenfarbe etc.), sind zu schwärzen.
  5. Sofortige Vernichtung der Ausweiskopie
    Ist eine Protokollierung erforderlich, genügt die Protokollierung des Vermerks, dass eine Ausweiskopie vorgelegt wurde.
  6. Kein Scannen des Personalausweises mit anschließender Speicherung

Ausgewählte Beispiele zum Personalausweis kopieren

Wann im Einzelnen eine Pflicht zur Erhebung einer Personalausweiskopie besteht und wie der Identitätsnachweis datenschutzkonform gelingt, wird im Einzelnen von der Datenschutzaufsichtsbehörde anhand der angeführten Beispiele wie folgt bewertet:

Identifizierung im Rahmen von Selbstauskunftsersuchen gegenüber Unternehmen

Unternehmen, insbesondere Auskunfteien wie die Schufa, verlangen häufig Kopien von Personalausweisen zur Identifizierung im Rahmen des Auskunftsanspruchs. Dies ergibt sich vor dem Hintergrund, dass im Rahmen der Auskunft häufig höchstpersönliche Daten an den Anfragenden herausgegeben werden und sichergestellt werden muss, dass diese nicht an Unbefugte herausgegeben werden.

Bei Zweifeln über die Identität kann die Anforderung von Ausweiskopien nach Ansicht der Aufsichtsbehörde zulässig sein. Dann sind aber die oben aufgeführten 6. datenschutzrechtlichen Anforderungen im Blick zu behalten.

Vertragsabschluss und Reklamation

Die Aufsichtsbehörde erkennt an, dass es vor allem außerhalb von „Massengeschäften“ (Einkäufe im Supermarkt, Abendkasse Konzert, Stadionbesuch, Öffentlicher Nahverkehr, Parkplatz etc.) bei einem Vertragsschluss auf die Identität des Vertragspartners ankommen kann (z.B. bei einem Mietvertrag).

Hier wird es regelmäßig ausreichen, die Identität durch Vorlage des Personalausweises nachzuweisen. Auch können die im Dokument enthaltenen Daten entnommen und notiert werden, jedoch nur, soweit sie für das Vertragsverhältnis und die Identifikation von Bedeutung sind. Die Notierung weiterer Angaben (z.B. Seriennummer des Ausweisdokuments) wäre datenschutzrechtlich unzulässig.

Elektronischer Identitätsnachweis

Möchten Unternehmen einen elektronischen Identitätsnachweis durch einen neuen Personalausweis, der dies ermöglicht, benötigen solche Unternehmen ein sog. Berechtigungszertifikat gem. § 21 Personalausweisgesetz, welche durch das Bundesverwaltungsamt vergeben wird. Im Rahmen der Vergabe der technischen Berechtigungen werden Übermittlungen von Datenkategorien aus dem elektrischen Ausweisdokument technisch ausgeschlossen, womit sichergestellt wird, dass nur die Daten übermittelt und wahrgenommen werden, die tatsächlich benötigt werden. Dies stellt einen Vorteil zum analogen Verfahren dar, bei denen der Betroffene eventuell vor Upload einer Kopie keine Schwärzungen vornimmt und der Empfänger daher „unnötige“ Daten einsehen könnte wie Körpergröße, die Personalausweisnummer etc.

Kommt der elektronische Identitätsnachweis zum Einsatz, ist auch hier sichergestellt, dass nur solche Daten erhoben werden, die auch für die Erbringung der Dienstleistung nötig sind:

Im Rahmen einer Vertragsanbahnung (z.B. das Legen von Waren in einen Online-Warenkorb) wird eine Identitätsprüfung durch den elektronischen Personalausweis nicht erforderlich sein. Anders bei regionalen Angeboten, hier dürfte zur Bereitstellung die Erhebung des Wohnortes erforderlich sein, Straße und Hausnummer hingegen nicht.

Identitätsprüfung nach dem Geldwäschegesetz

Häufig ergibt sich die Pflicht von Verantwortlichen zur Erhebung und Speicherung von Personalausweiskopien zu Identitäts- und Dokumentationszwecken aus dem Geldwäschegesetz (insbesondere § 8 GwG). Verpflichtete im Sinne des Geldwäschegesetzes müssen ihre Vertragspartner für die Begründung der Geschäftsbeziehung oder Durchführung der Transaktion identifizieren. Seit dem 26.Juni 2017 stehen

  • Kredit- und Finanzdienstleistungsinstitute
  • Versicherungsunternehmen,
  • Steuerberater,
  • Immobilienmakler
  • und sog. Güterhändler

in der Pflicht, eine vollständige Kopie des Personalausweises anzufertigen oder diesen vollständig optisch digitalisiert zu erfassen. Die so getätigten Aufzeichnungen sind regelmäßig 5 Jahre nach Ende der Geschäftsbeziehung unverzüglich zu löschen. Als prominentes Beispiel wird das PostIdent-Verfahren erwähnt.

Mobilfunk- und Telefonverträge

Telekommunikationsanbieter können zur Überprüfung der Angaben des Kunden die Vorlage eines amtlichen Ausweises verlangen, wenn diese Angaben für die Überprüfung der Angaben erforderlich sind. In diesem Rahmen kann auch eine Kopie des Ausweises erstellt und zur Identitätsfeststellung genutzt werden. Diese ist jedoch durch den Telekommunikationsanbieter unverzüglich nach Feststellung der für den Vertrag erforderlichen Daten zu löschen.

Personalausweis kopieren durch den Vermieter

Auch hier kann im Wesentlichen auf die allgemeinen Ausführungen verwiesen werden. Die LDI NRW stellt fest, dass der Vermieter ein berechtigtes Interesse daran haben wird, die Identität des Mietinteressenten festzustellen.

Hierfür wird in den meisten Fällen die Vorlage des Personalausweises genügen, samt Vermerk, dass die Identität durch Einsichtnahme in Personalausweis bestätigt / nicht bestätigt wurde. Kopien dürften auch hier (mangels Erforderlichkeit) nicht angefertigt werden. Die Aufsichtsbehörde verweist ergänzend auf die Orientierungshilfe zur „Einholung von Selbstauskünften bei Mietinteressenten“ aus dem Jahr 2018.

Personalausweis kopieren im Hotel

Gem. § 29 Abs. 2 des Bundesmeldegesetzes (BMG) besteht für Hotels die Verpflichtung, bestimmte Angaben über die beherbergte Person in einem Meldeschein zu dokumentieren, wie etwa Name, Geburtsdatum und Anschrift. Es besteht jedoch keine Prüfpflicht auf Richtigkeit. Es besteht daher keine Rechtsgrundlage zur Erhebung von Identitätsdaten aus Ausweisdokumenten.

Eine Ausnahme hiervon gilt gem. § 29 Abs. 3 BMG. Hiernach sind ausländische Personen, die auf dem Meldeschein aufzugführen sind, durch Vorlage eines gültigen Identitätsdokuments auszuweisen. Daher besteht eine Prüfpflicht, jedoch keine Pflicht den Personalausweis zu kopieren. Eine solche Kopie könnten hier daher einen Verstoß gegen Art. 5 Abs.1 lit. c DSGVO darstellen.

Personalausweis als Pfand hinterlegen

Nach den behandelten Grundsätzen und besprochenen Beispielen ergeben sich auch hier keine Überraschungen:

Unternehmen, die einen Gegenstand verleihen oder vermieten, dürfen sich laut der Aufsichtsbehörde Vornamen, Nachnamen, Adresse und ggf. die Gültigkeitsdauer des Ausweisdokuments notieren, wobei bei letzterem nicht ersichtlich ist, wofür diese Angabe eine Rolle spielen wird. Die Anfertigung einer Kopie oder Scans des Ausweisdokuments wird hingegen unzulässig sein. Die Pfandhinterlegung des Personalausweises ist schon nach § 1 Abs.1 S. 3 Personalausweisgesetz unzulässig.

Mehr Klarheit für Behörden, Unternehmen und Betroffene

Die allgemeinen Voraussetzungen für das Anfertigen von Personalausweiskopien wurden im Sommer 2017 gelockert: Was früher verboten war, ist heute größtenteils erlaubt. Die Änderungen haben wir in diesem Artikel ausführlich beleuchtet.

Neben den Anforderungen aus dem Personalausweisgesetz ist die Datenerhebung durch den Verantwortlichen jedoch weiterhin nach den Datenschutzgesetzen zu bewerten. Die Ausführungen der Aufsichtsbehörde zeigen hierbei, dass den datenschutzrechtlichen Grundsätzen der Datenminimierung und Speicherbegrenzung im Bereich der Personalausweiskopien eine überragende Bedeutung zukommt: Nimmt man diese datenschutzrechtlichen Grundsätze ernst, ergibt sich meistens schon von selbst die richtige Vorgehensweise. Hier hat die LDI NRW durch ihre Fallbeispiele begrüßenswerte Klarheit geschaffen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

16 Kommentare zu diesem Beitrag

  1. Die LDI schreibt:
    „Verbot automatisierter Speicherung
    Eine automatisierte Speicherung der Ausweisdaten ist nur zur elektronischen Identitätsfeststellung gestattet und ansonsten unzulässig.
    Auch darf nach der Rechtsprechung der Personalausweis nicht gescannt und elektronisch gespeichert werden (Verwaltungsgericht Hannover, Urteil vom 28. November 2013, Aktenzeichen 10 A 5342/11).“
    Es wundert mich, dass die LDI hier auf ein Urteil verweist, das sich auf die alte Rechtslage stützt. Inzwischen (seit 2017) ist das Verbot in § 20 Abs. 2 PAuswG nicht mehr enthalten, vielmehr dürfen pbD auf dem Ausweis durch Ablichtung mit Einwilligung des Ausweisinhabers erhoben werden. Insofern ist die Einschätzung der LDI falsch.

    • Die Erwägungen im des vom LDI NRW zitierten Urteils des VG Hannover werden aufgrund der wesentlichen Änderungen des § 20 PAuswG nicht mehr 1:1 auf die derzeitige Rechtslage übertragbar sein. Insofern ist der Bezug der Behörde auf dieses Urteil bedenklich. Jedoch dürfte die Auffassung der Behörde in der Sache trotzdem zutreffend sein:
      Bei einem (Farb-)Scan wird regelmäßig nicht sichergestellt sein, dass die Ablichtung eindeutig und dauerhaft als Kopie erkennbar sein wird. Der Gesetzgeber hatte hier in der Gesetzesbegründung (Drucksache 18/11279, S.27.f) empfohlen, die Ablichtung (zu der auch Scans gehören) in Monochromstufen (bspw. schwarz-weiß) zu erstellen oder den Hinweis „Kopie“ auf der Ablichtung anzubringen.
      Darüber hinaus begegnet die dauerhafte Speicherung von Scans weiterhin Bedenken hinsichtlich der bestehenden datenschutzrechtlichen Grundsätze der Datenminimierung und Speicherbegrenzung, weshalb man den Aussagen der Behörde – trotz des „schiefen“ Bezugs auf das Urteil des VG Hannover- insgesamt zustimmen kann.

  2. „Ein typischer Fall wäre die jährlich zweimalig durchzuführende Führerscheinkontrolle des Arbeitgebers, auf die in den Hinweisen der LDI NRW nicht eingegangen wird.“

    Was haben die speziellen Regelungen für den Personalausweis mit Führerscheinen zu tun? Warum sollten sich Hinweise zum Personalausweis mit Fragen zur Vorlage von Führerscheinen befassen??

    • Das Führerschein-Beispiel hatten wir ausgewählt, weil es sich hierbei um ein amtliches Dokument mit Lichtbild handelt. Die grundsätzlichen datenschutzrechtlichen Erwägungen, die beim Personalausweis heranzuziehen sind, lassen sich auch auf die Vorlage des Führerschein zur Führerscheinkontrolle des Arbeitgebers übertragen.

      Sie haben natürlich recht, dass es für die Aufsichtsbehörde wenig Sinn macht dieses Beispiel aufzuführen, da es sich beim Führerschein nicht um ein amtliches Ausweisdokument i.S.d. § 1 Personalausweisgesetz handelt, das mit den Hinweisen adressiert wurde. Dies wurde im Artikel jedoch auch nicht behauptet.

  3. Ergänzung zum Thema Schufa, eine Kopie ist nur bei der Erstauskunft, danach kann man sich mit Nummer und Anschrift eindeutig identifizieren.

  4. @ Dr. Datenschutz

    Sie schreiben: „(…) bei einem Vertragsschluss auf die Identität des Vertragspartners ankommen kann (Hauskauf, Kreditaufnahme, Mietvertrag etc.). Hier wird es regelmäßig ausreichen, die Identität durch Vorlage des Personalausweises nachzuweisen.“

    Das stimmt so nicht. Wie Sie selbst schreiben, bestehen Pflichten gemäß Geldwäschegesetz. Ein Hauskauf oder eine Kreditaufnahme werden ohne Personalausweiskopie nicht möglich sein.

    Weiter schreiben Sie: „Telekommunikationsanbieter können zur Überprüfung der Angaben des Kunden die Vorlage eines amtlichen Ausweises verlangen, wenn diese Angaben für die Überprüfung der Angaben erforderlich sind.“
    Telekommunikationsanbieter sind zur Identifizierung ihrer Kunden verpflichtet. Dies erfolgt über eine Kopie des Personalausweises oder das PostIdent-Verfahren. Es handelt sich also nicht um ein Kann, sondern ein Muss.

    Zudem beschreiben Sie die Regelungen, wie sie sich für Vermieter, im Hotel und als Pfand darstellen. Hierzu ist zu sagen, dass Sie im Zweifelsfalle keine Wohnung, kein Hotelzimmer und den auszuleihenden/ zu mietenden Gegenstand einfach nicht erhalten, wenn Sie nicht kooperieren (Ausweis kopieren lassen oder hinterlegen).

    • Das Hauskauf- und Kreditbeispiel sind in diesem Kontext nicht gut gewählt worden, weil sich hier, wie sie richtig ausführen, Aufzeichnungspflichten aus dem Geldwäschegesetz ergeben können: Beim Hauskauf gegenüber Immobilienmaklern (§ 2 Nr.14 GwG), beteiligten Rechtsanwälten und Notaren, vor denen der Kaufvertrag notariell beurkundet wird (vgl. § 2 Nr. 10 GwG), beim Kreditvertrag gegenüber den Kreditinstituten (§ 2 Abs.1 Nr.1 GwG). Wir haben den Text entsprechend umgeändert und danken für den Hinweis.

      Bei § 95 Abs.4 TKG (Begründung/ Änderung des Vertragsverhältnisses mit TKG-Anbieter) handelt es sich dem Wortlaut nach um eine Kann-Vorschrift.

      Dass man im Zweifel ohne Hinterlegung seines Personalausweises eine Dienstleistung nicht annehmen können wird, ist sicherlich richtig. Daher ist es wichtig, Marktteilnehmer hinsichtlich der datenschutzrechtlichen (Un-)Zulässigkeit bestimmter, möglicherweise schon etablierter, Handlungen zu sensibilisieren.

  5. Ausweis kopieren, Lebenslauf bei Arbeitssuche.
    Wenn jemand arbeitssuchend ist, sollte viele Firmen und mögliche Arbeitgeber anschreiben. Auch unbekannte b.z.w. fragwürdige. Manche werden auch von Arbeitsamt gezwungen einfach jeden anzuschreiben.
    1. Kann der Arbeitgeber den Ausweis kopieren, obwohl er noch mit der Einstellung nicht sicher ist? Wie kann ich sicher sein, daß er diese Kopie vernichtet?
    2. Lebenslauf. Finde ich nicht Zeitgemäß an Unbekannte den Lebenslauf, das heißt ALLE Daten, zu schreiben. Man könnte so einen erst bei erweckte Interesse des Arbeitgebers nachsenden. Darüber sollte sich die heutige Gesellschaft darüber Gedanken machen.

  6. In einer Bankangelegenheit (Erbfall) verlangt die Bank (nicht die Hausbank) die Zusendung eine Fotokopie des Personalausweises. Können auch Stellen (z.B. Augenfarbe, Körpergröße, etc.) „geschwärzt“ bzw. unkenntlich gemacht werden oder muss die Kopie des Ausweises vollständig sein? Kann man verlangen, das die Daten anschließend gelöscht werden sollen? Wie sieht es in diesem Fall mit Datenschutz aus?

    • Eine konkrete Antwort ist aufgrund des „luftigen Sachverhalts“ nicht möglich, denn hier bleibt unklar in welchem Kontext sich die Anfrage der Bank bewegt.

      Grundsätzlich unterliegen Kreditinstitute dem sog. „Know Your Customer“ Prinzip zur Verhinderung von Geldwäsche. Hiernach gehören zu allgemeinen Sorgfaltspflichten der Banken auch die Identifizierung des Vertragspartners (vgl. § 10 Abs.1 Nr.1 GWG). Die für die Erfüllung der Sorgfaltspflichten erhobenen Angaben sind gem. § 8 Abs.2 S.2 GWG vollständige Kopien anzufertigen. Da die Identitätsüberprüfung gem. § 12 Abs.1 GWG anhand eines gültigen amtlichen Ausweises oder vergleichbarem Dokument zu erfolgen hat und vollständige Kopien anzufertigen sind, spricht zumindest einiges dafür, dass das Ausweisdokument keine Schwärzungen enthalten sollte.
      Hierauf geht der Artikel auch ein, wonach angegeben wird, dass im Rahmen der Identitätsprüfung vollständige Kopien des Personalausweises durch die Verpflichteten (siehe Auflistung) anzufertigen sind.

  7. Kurze Rückfrage zum Thema Geldwäschegesetz: Sie schreiben, hier wäre der Ausweis „vollständig zu erfassen“. Betrifft dies auch die auf der Personalausweis aufgedruckte Ziffernfolge, die ich als Identifikation ggü. Behörden nutzen kann? Das würde doch die Sicherheit dieser Funktion komplett aushebeln…

    • Eine Versicherung soll meinen Mann einen Geldbetrag auszahlen. Wir haben ein Gemeinschaftkonto. Die Versicherung verlangt von mir (Ehefrau) eine Ausweiskopie. Ist die Forderung der Versicherung berechtigt?

      • Nach dem Grundsatz der Datensparsamkeit sind, wie im Beitrag beschrieben, die zu erhebenden Daten auf das für den Zweck der Verarbeitung erforderliche Mindestmaß zu beschränken. Warum die Versicherung vorliegend von Ihnen eine Ausweiskopie verlangt, obwohl es offenbar um einen Auszahlungsanspruch Ihres Ehemanns geht, erschließt sich uns ohne weiteres nicht. Ob es sich dabei um ein Gemeinschaftskonto handelt oder nicht, dürfte dafür im Regelfall unerheblich sein. Wir weisen aber darauf hin, dass im Rahmen dieses Blogs keine konkrete Rechtsberatung erfolgen darf. Bei Bedarf holen Sie sich bitte anderweitig Rechtsrat ein.

  8. M.E. ein sinnloses unterfangen, das immer noch weit von der Praxis entfernt ist.
    Spätestens international wird mein Ausweis / Pass in fast allen Hotels und Pensionen kopiert, der Arbeitgeber hat Kopien, Post-ident (online) fotografiert den Ausweis, Firmen international behalten Ausweis / Pass als Pfand für einen Besucherausweis, ich habe selbst eine Kopie, falls auf Reisen mal was verloren gehen sollte…Und gerade bei Besucherausweisen für Firmen… versuchen Sie mal international die Empfangsdame auf das deutsche Personalausweisgesetzes oder DSGVO hinzuweisen :).
    Wie bei vielem bräuchte es hier eine weltweite Regelung oder das ist eh alles vergebene Liebesmüh :).

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.