Personalausweis kopieren und Datenschutz

Das Scannen und Kopieren von Personalausweisen und Reisepässen war zunächst nach § 20 Personalausweisgesetz und § 18 Passgesetz im Regelfall verboten, wurde dann am 14.07.2017 durch eine Änderung von § 20 Abs. 2 PAuswG und § 18 Abs 3. PaßG in bestimmten Fällen unter Verweis auf das Datenschutzrecht erlaubt.

§ 20 Abs. 2 PAuswG: Der Ausweis darf nur vom Ausweisinhaber oder von anderen Personen mit Zustimmung des Ausweisinhabers in der Weise abgelichtet werden, dass die Ablichtung eindeutig und dauerhaft als Kopie erkennbar ist. Andere Personen als der Ausweisinhaber dürfen die Kopie nicht an Dritte weitergeben. Werden durch Ablichtung personenbezogene Daten aus dem Personalausweis erhoben oder verarbeitet, so darf die datenerhebende oder -verarbeitende Stelle dies nur mit Einwilligung des Ausweisinhabers tun. Die Vorschriften des allgemeinen Datenschutzrechts über die Erhebung und Verwendung personenbezogener Daten bleiben unberührt.

§ 18 Abs. 3 PaßG: Der Pass darf nur vom Passinhaber oder von anderen Personen mit Zustimmung des Passinhabers in der Weise abgelichtet werden, dass die Ablichtung eindeutig und dauerhaft als Kopie erkennbar ist. Andere Personen als der Passinhaber dürfen die Kopie nicht an Dritte weitergeben. Werden durch Ablichtung personenbezogene Daten aus dem Pass erhoben oder verarbeitet, so darf die datenerhebende oder -verarbeitende Stelle dies nur mit Einwilligung des Passinhabers tun. Die Vorschriften des allgemeinen Datenschutzrechts über die Erhebung und Verwendung personenbezogener Daten bleiben unberührt.

Der Landesdatenschutzbeauftragte für Nordrhein-Westfalen hat nun zum Datenschutzrecht im Juni 2019 eine Publikation unter dem Titel „Personalausweis und Datenschutz“ veröffentlicht (siehe hierzu auch Beitrag „Ausweiskopie in der Arztpraxis unter der DSGVO„). In der Broschüre werden die Grundzüge zur datenschutzrechtlichen Zulässigkeit der Ausweiskopie aus Sicht der Aufsichtsbehörde dargelegt. Eine Zusammenfassung der Publikation bleibt einem weiteren Blogbeitrag vorbehalten.

Dies ist Anlass, die Besprechung der Entscheidung des VG Hannovers online zu stellen, da sie viele Parallelen zur aktuellen Stellungnahme der Aufsicht enthält und zahlreiche mögliche Rechtsgrundlagen dargestellt werden.

Zu Zulässigkeit und Verbot des Kopierens, Einscannens und Speicherns von Personalausweisen – zugleich Anmerkung zu VG Hannover, Urt. v. 28.11.2013 -10 A 5342/11 – Fundstelle: Seiler, jurisPR-BKR 3/2014 Anm. 1

A. Einleitung und Problemstellung

In der Praxis wird das Kopieren von Ausweisen bei zahlreichen Geschäften des Alltages gefordert, z.B. bei Banken, Hotels, Mietwagenunternehmen, beim Ausstellen von Großhandelsausweisen, von Telekommunikationsfirmen, von Reisebüros, von Personalabteilungen bei Einstellungen, bei Auskunftsverlangen z.B. von Auskunfteien, bei der Online-Beantragung der Partner-BahnCard oder bei Notaren. Dass dies seit Inkrafttreten der Novelle des Personalausweisgesetzes¹zum 1.1.2010 nur mit besonderer gesetzlicher Erlaubnis zulässig ist, ist in der Praxis ebenso wenig angekommen, wie das Verbot, vom Ausweisinhaber die Hinterlegung des Ausweises als Pfand zu fordern, vgl. § 1 Abs. 1 Satz 2 PAuswG.

B. Beispielsfall VG Hannover, Urt.v. 28.11.2013 – 10 A 5342/11

In einem beispielhaften und hier zugleich besprochenen Fall des VG Hannover (Urt.v. 28.11.2013 – 10 A 5342/11) ging es um die Frage, ob die Datenschutzaufsichtsbehörde einen Verstoß gegen das Personalausweisgesetz, der zugleich einen Verstoß gegen das Bundesdatenschutzgesetz darstellt, durch eine Anordnung untersagen darf.

Dem Fall lag zugrunde, dass ein Automobillogistik- und Autotransportunternehmen zur Überwachung der Speditionsvorgänge die Ausweise der Abholer eingescannt und gespeichert hatte, bis die Autos erfolgreich abgeliefert worden waren. Die Speicherung erfolgte üblicherweise für einige Tage und in einem abgesicherten Verfahren. Die Landesdatenschutzaufsichtsbehörde wurde aufgrund von Beschwerden betroffener Fahrer auf dieses Verfahren aufmerksam. Sie teilte die Auffassung des Unternehmens nicht, welches sein Vorgehen durch § 28 Abs. 1 Nr. 2 BDSG zur Wahrung seiner berechtigten Interessen in Anbetracht der hohen Werte der Fahrzeuge als gerechtfertigt ansah. Die Aufsichtsbehörde erließ unter Zwangsgeldandrohung eine Anordnung (§ 38 Abs. 5 Satz 2 BDSG), wonach das Einscannen der Personalausweise zu unterlassen und die rechtswidrig gespeicherten Daten zu löschen seien.

Das VG Hannover sah im Scannen und Speichern der Personalausweise einen schwerwiegenden Verstoß gegen datenschutzrechtliche Vorschriften. In den datenschutzrechtlichen Bestimmungen des Personalausweisgesetzes (§§ 14 PAuswG ff) sah das Gericht eine lex specialis mit Vorrang vor dem BDSG (§ 1 Abs. 2 Nr. 3 BDSG), so dass die gesetzlichen Erlaubnisnormen des § 28 BDSG nicht anwendbar seien. Nach § 20 PAuswG darf der Personalausweis zwar von Privatunternehmen zur Identitätsfeststellung verwendet werden, aber lediglich durch Zeigenlassen und Aufschreiben der relevanten Daten. Das Einscannen wird als unzulässige automatisierte Speicherung personenbezogener Daten i.S.d. § 20 Abs. 2 PAuswG gewertet.

Auch wenn, soweit ersichtlich, keine wirksame Einwilligung des Personalausweisinhabers in das Scannen seines Ausweises vorgetragen wurde, führte das Gericht aus, dass es eine rechtfertigende Einwilligung nach §§ 4 Abs. 1, 4a BDSG nicht für möglich halte, weil das Personalausweisgesetz als Spezialvorschrift keine Einwilligung vorsehe.

C. Kritik der Datenschutzaufsichtsbehörden / sicherheitstechnische Aspekte

Die Datenschutzaufsichtsbehörden haben die vom VG Hannover thematisierte Praxis des Kopierens von Ausweisen bereits auf der Grundlage des Datenschutzrechts wegen des Verstoßes gegen den Grundsatz der Datensparsamkeit und Datenvermeidung (§ 3a BDSG) kritisiert und – allerdings wenig praktikabel – den Einsatz von Kopiermasken, die nicht zu kopierende Angaben abdecken, gefordert. Gefordert wurde alternativ das anschließende Schwärzen von nicht zu erhebenden Daten, wie z.B. der Körpergröße und der Augenfarbe, teils aber auch der Fotografien.

Gegen das Kopieren des Ausweises sprechen auch sicherheitstechnische Aspekte: Auf der Kartenvorderseite ist neben dem Gültigkeitsdatum eine Zugangsnummer (CAN = Card Access Number) aufgedruckt, mit der man den dritten Versuch der PIN-Eingabe bei der Online-Ausweisfunktion freischalten kann.²

D. Rechtsgrundlagen für parallele Problemfelder

Jeder, der bisher von seinen Kunden oder Mandanten eine Kopie ihres Ausweises gefordert hat, ist spätestens durch das besprochene Urteil des VG Hannover gehalten, diese Praxis einer datenschutzrechtlichen Überprüfung zu unterziehen und, sofern keine verlässliche Rechtsgrundlage zu finden ist, seine Prozesse entsprechend anzupassen und statt der bisherigen Handhabung eine manuelle Erfassung der erforderlichen Daten vorzusehen.

Neben einer Löschungs- und Unterlassungsanordnung, wie im Fall des VG Hannover, könnte die Aufsichtsbehörde die unzulässige Datenverarbeitung als Ordnungswidrigkeit nach § 43 Abs. 2 Nr. 1 BDSG ansehen und nach § 43 Abs. 3 BDSG mit einem Bußgeld bis zu 300.000 Euro – oder bei höherem Verletzergewinn auch mehr – ahnden. Zudem könnten Wettbewerber oder Verbraucherschutzverbände gegen die datenschutzwidrige Praxis mittels wettbewerbsrechtlicher Abmahnungen vorgehen.³

Zu einigen der eingangs genannten Gelegenheiten, bei denen Ausweiskopien angefertigt bzw. eingefordert werden, folgt eine datenschutzrechtliche Einwertung gesetzlicher Regelungen.

§ 27 des Meldegesetzes stellt für den Hotelier keine Rechtsgrundlage zum Kopieren des Personalausweises dar.⁴Eine Ausweiskopie verstößt gegen das Gebot der Datensparsamkeit (§ 3a BDSG) und stellt ggf. eine Ordnungswidrigkeit dar.

Wer eine Selbstauskunft über die zu seiner Person gespeicherten Daten nach dem Fahrerlaubnisregister, § 58 Straßenverkehrsgesetz, oder dem Verkehrszentralregister (§ 30 Abs. 8 Straßenverkehrsgesetz) einholen will, hat einen Identitätsausweis beizufügen, in der Praxis also eine Ausweiskopie (vgl. § 64 Abs. 1 Nr. 2 FeV).⁵

Eine vergleichbare Regelung zum Identitätsnachweis durch Vorlage (Übersendung) einer Ausweiskopie gibt es bei § 34 BDSG jedoch nicht. Gleichwohl wird teilweise von den Aufsichtsbehörden⁶und der Kommentarliteratur⁷vertreten, dass die zur Auskunft verpflichtete Stelle eine Ausweiskopie als Identitätsnachweis⁸fordern darf, wobei die Betroffenen über das Recht zur Schwärzung von irrelevanten Daten wie z.B. Größe, Augenfarbe, Foto⁹und Kartenzugangsnummer zu informieren sind und die Ausweiskopie nach erfolgter Identifizierung zu vernichten ist.¹⁰Die Anforderung einer Ausweiskopie erfolgt um sicher zu gehen, dass die Auskunft über die gespeicherten personenbezogenen Daten nicht fahrlässig an einen Unberechtigten erteilt wird – was seinerseits als Ordnungswidrigkeit nach § 43 Abs. 2 Nr. 4 BDSG geahndet werden kann.¹¹Die Forderung nach einer persönlichen Vorlage des Ausweises bei der auskunftspflichtigen Stelle stellt ihrerseits eine unzulässig hohe Hürde für das Auskunftsverlangen dar, wenn der Betroffene weit entfernt wohnt. Hier wäre zur Schaffung von Rechtssicherheit für die Auskunftspflichten dringend eine gesetzliche Erlaubnis, eine Ausweiskopie einzufordern, angebracht, da weder das persönliche Erscheinen noch die Anschaffung bzw. der Einsatz der technischen Ausstattung zum elektronischen Identitätsnachweis vom Betroffenen verlangt werden kann. Derzeit bleibt als Ausweg nur das Post-Ident-Verfahren, sofern sich nicht aus den Umständen des Einzelfalles ergibt, dass eine hohe Wahrscheinlichkeit für die korrekte Identität des Anfragenden spricht (z.B. Auskunftsverlangen eines Kunden an die dem Unternehmen bekannte Lieferadresse).¹²

Der Düsseldorfer Kreis (Anm. jetzt: DSK) als Zusammenschluss der Datenschutzaufsichtsbehörden hat zumindest in einer Stellungnahme vor dem hier besprochenen Urteil die Auffassung vertreten, dass ein generelles Vervielfältigungsverbot von Ausweisen zu erheblichen praktischen Schwierigkeiten bei der Umsetzung des Auskunftsrechts führen würde. Daher sei die Forderung nach einer Ausweiskopie in strittigen Fällen zulässig.¹³Dies ist z.B. der Fall, wenn jemand eine Auskunft an eine andere als die dem Auskunftspflichtigen bekannte Adresse verlangt¹⁴oder wenn Verwechslungsgefahr bei Namensgleichheit besteht.

Banken müssen sich im Rahmen der Legitimationsprüfung nach § 154 Abs. 2 AO Gewissheit über die Person und Anschrift des Verfügungsberechtigten eines Kontos oder Schließfaches verschaffen. Die entsprechenden Angaben sind in geeigneter Form „festzuhalten“. Diese Regelung stellt keine ausdrückliche gesetzliche Erlaubnis zur Ausweiskopie dar. Die Kommentarliteratur¹⁵spricht davon, dass die Angaben in einem Kontostammblatt erfasst werden und zum Kontoabruf nach § 24c KWG zur Verfügung stehen müssen. Es ist also nur eine Datenerfassung, aber keine Ausweiskopie erforderlich. In der Praxis ist die Differenzierung nach Identifizierungspflicht nach Geldwäschegesetz mit Ausweiskopie und Legitimationsprüfung nach Abgabenordnung ohne Ausweiskopie nur schwer trennscharf durchzuhalten.¹⁶Zumindest sollte der Gesetzgeber hier eine Erlaubniszur temporären Ausweiskopie zur qualitätsgesicherten Datenerfassung im Back-Office, vergleichbar der Regelung in § 95 Abs. 4 S. 2 TKG, einführen.

Nach § 8 Abs. 2 Nr. 1 Signaturverordnung sind zur Identitätsprüfung durch den Zertifizierungsdienstleiter bestimmte Angaben durch Aufzeichnung auf der Grundlage des Identitätsnachweises, z.B. des Personalausweises, zu dokumentieren. Diese Formulierung stellt aber keine Erlaubnis zur Kopie des Ausweises dar, sondern fordert zum Abschreiben auf.

§ 95 Abs. 4 S. 2 Telekommunikationsgesetz¹⁷regelt, dass TK-Diensteanbieter Ausweise von Teilnehmern kopieren dürfen, um deren Identität zuverlässig festzustellen, die Kopien aber nach erfolgter Feststellung – gemeint ist wohl nach der Datenerfassung im Back-Office – zu vernichten sind.

Notare haben nach § 26 der Dienstordnung für Notare¹⁸„die Person der Beteiligten mit besonderer Sorgfalt festzustellen“. Nach Auffassung der bayrischen Datenschutzaufsicht genügt hierzu in der Regel die Vorlage des Ausweises. Die Anfertigung einer Kopie kommt nur in Ausnahmefällen in Betracht, etwa wenn das Geldwäschegesetz für bestimmte Beurkundungsvorgänge besondere Aufzeichnungs- und Aufbewahrungspflichten vorsieht.

Da § 8 Abs. 1 S. 3 GWG eine Rechtsgrundlage für die Anfertigung einer Ausweiskopie darstellt, lohnt für alle nach dem Geldwäschegesetz zur Identifizierung Verpflichteten (§ 2 GWG) ein Blick in das Geldwäschegesetz. Zu den nach § 2 GWG Verpflichteten zählen Kreditinstitute, Finanz- und Zahlungsdienstleister, E-Geld-Unternehmen, Lebensversicherer, Rechtsanwälte und Notare bei bestimmten Geschäften (z.B. Immobilien- und Finanzgeschäften), Wirtschaftsprüfer, Steuerberater, Immobilienmakler, Spielbanken und Anbieter von Glücksspielen im Internet.

§ 8 Abs. 1 Satz 3 GWG regelt, dass die Anfertigung einer Kopie des zur Überprüfung der Identität vorgelegten Dokumentes – in der Regel eines Personalausweises oder Reisepasses (§ 4 Abs. 4 Nr. 1 GWG) – als Aufzeichnung der darin enthaltenen Angaben gilt. § 8 Abs. 2 GWG bestimmt, dass die Aufzeichnung auch als Wiedergabe auf einem Bildträger oder auf einem anderen Datenträger gespeichert werden kann, wobei die Integrität gewährleistet sein muss.

Banken und die anderen nach GWG zur Identifizierung Verpflichteten, z.B. Versicherungen bei der Beantragung von Lebens- und Unfallversicherungen¹⁹(vgl. § 2 Abs. 1 Nr. 4 GWG), dürfen also nach GWG weiterhin die Ausweise ihrer Kunden fotokopieren bzw. einscannen und entsprechend speichern. Die Ausweiskopie für die Personalakte ist aber nicht durch das GWG gedeckt. Folgt man der Auffassung des VG Hannover, ist die Ausweiskopieanfertigung und -speicherung auch nicht im Rahmen der Begründung des Beschäftigungsverhältnisses nach § 32 BDSG oder aufgrund einer Einwilligung zu rechtfertigen, da § 20 PAuswG die Ausweisdatenverarbeitung abschließend regelt.

Die Auffassung aber, dass neben § 20 PAuswG kein Platz zur Anwendung von Normen des BDSG bleibt, vermag nicht zu überzeugen. Auch wenn man zusammen mit der Gesetzesbegründung § 20 PAuswG als Verbot zur Ausweiskopie lesen kann, entspricht dies doch dem Grundkonzept des BDSG – Verbot mit Erlaubnisvorbehalt. Dass das Selbstbestimmungsrecht des Betroffenen, in die Ausweiskopie einzuwilligen, ausgeschlossen sein soll, ist nicht nachvollziehbar. Die Interessen des Betroffenen werden durch die strengen Anforderungen an eine freiwillige und informierte sowie schriftliche Einwilligung nach § 4a BDSG ausreichend gewahrt. Da sich das Personalausweisgesetz nicht zur Frage von Einwilligungen in Ausweiskopien äußert, bleibt das BDSG im Hinblick auf Einwilligungen neben dem PAuswG anwendbar.²⁰

Die Entscheidung des VG Hannover mag auch in Banken zur Verunsicherung beigetragen haben und einige Kunden zu entsprechenden Nachfragen verlassen. Das besprochene Urteil bestätigt aber bei genauerem Hinsehen, dass der Hauptanwendungsfall in Banken, die Ausweiskopie zur Kundenidentifikation nach Geldwäschegesetz anzufertigen, zulässig ist. Problematisch bleibt mangels klarer gesetzlicher Regelung die Identifizierung des Auskunftsberechtigten bei datenschutzrechtlichen Selbstauskunftsverlangen nach § 34 BDSG und die Legitimationsprüfung nach § 154 AO.

Rechtsanwalt David Seiler, veröffentlicht in jurisPR-BKR 3/2014 Anm. 1

Fußnoten

1 Polenz, Der neue elektronische Personalausweis – E-Govermet im Scheckkartenformat, MMR 2010, 671; Borges, Der neue Personalausweis und der elektronische Identitätsnachweis; NJW 2010, 3334.

2 https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/Personalausweis/Funktionen/Schutzfunktionalitaeten/schutzfunktionalitaeten.html (Stand 2/2014).

3 Vgl. OLG Karlsruhe, §§ 4 Abs. 1, 28 BDSG als Marktverhaltensregeln, Urteil vom 09.05.2012, Az. 6 U 38/11, DuD 2012, 911.

4 Orientierungshilfe „Datenschutz im Hotelgewerbe“ des Landesdatenschutzbeauftragten Rheinland-Pfalz, S. 4.http://www.datenschutz.rlp.de/downloads/oh/Datenschutz_Hotel.pdf(Stand: 4/2013).

5 § 64 Identitätsnachweis Abs. 1 Als Identitätsnachweis bei Auskünften … werden anerkannt …2. Die Ablichtung des Personalausweises oder Passes …

6 Zustimmend mit Einschränkungen (Schwärzen bestimmter Angaben, nur in Ausnahmefällen) Hessische Datenschutzaufsicht zu SCHUFA-Selbstauskünften, 41. Tätigkeitsbericht 2012, Ziff 2.1.2.2,http://www.datenschutz.hessen.de/tb41k02.htm#entry3869(Stand 3/2013); Hamburger Datenschutzbeauftragter, 23. Tätigkeitsbericht 2010, IV 6.1,http://www.datenschutz-hamburg.de/news/detail/article/iv-6-auskunfteien-23-taetigkeitsbericht-20102011.html(Stand 3/2013), ablehnend in bestimmten Fällen: Der Bayerische Landesbeauftragte für den Datenschutz, 25. Tätigkeitsbericht 2012, S. 156ff, http://www.datenschutz-bayern.de/tbs/tb25/tb25.pdf(Stand 3/2013); Beschluss des Düsseldorfer Kreises vom 13.07.2009: Unzulässige Übermittlungen von Passagierdaten an britische Behörden verhindern.

7 Däubler, BDSG, 3. Auflg., § 34 Rn 28; kritisch Kamlah in Plath (Hrsg.), BDSG, 1. Auflg., § 34 Rn 15.

8 Siehe z.B. https://www.meineschufa.de/index.php?site=11_3_1 (Stand 3/ 2014).

9 Hiergegen Gürtler in Vahldiek, Datenschutz in der Bankpraxis, München 2012, S. 187, Rn 84.

10 Forderung des Düsseldorfer Kreises, siehe Hessische Datenschutzaufsicht, 41. Tätigkeitsbericht 2012, Ziff. 2.1.2., http://www.datenschutz.hessen.de/tb41k02.htm#entry3869 (Stand 3/2014); Hamburger Datenschutzbeauftragter, 23. Tätigkeitsbericht 2010, IV 6.1http://www.datenschutz-hamburg.de/news/detail/article/iv-6-auskunfteien-23-taetigkeitsbericht-20102011.html (Stand 3/2013).

11 Meents in Taeger, BDSG, 2 Auflg., § 34 Rn 14; Hamburger Datenschutzbeauftragter, 23. Tätigkeitsbericht 2010, IV 6.1http://www.datenschutz-hamburg.de/news/detail/article/iv-6-auskunfteien-23-taetigkeitsbericht-20102011.html (Stand 3/2013).

12 Vgl. Gola, BDSG, 11. Auflg. § 34 Rn 7.

13 Hessische Datenschutzaufsicht zu SCHUFA-Selbstauskünften, 41. Tätigkeitsbericht 2012, Ziff 2.1.2.2, http://www.datenschutz.hessen.de/tb41k02.htm#entry3869 (Stand 3/2013).

14 Dix in Simitis, BDSG 7. Auflg, § 34 Rn 34.

15 Rätke in Klein, Abgabenordnung, 11. Auflg 2012, § 154 Rn 8; Cöster in Pahlke/Koenig, Abgabenordnung, 2. Auflg. 2009, Rn 28.

16 Gürtler in Vahldiek, Datenschutz in der Bankpraxis, München 2012, S. 187, Rn 82 nennt die Pflichten nach GWG und AO in einem Satz und hält die Ausweiskopie für zulässig.

17 § 95 Abs. 4 TKG Der Diensteanbieter … kann von dem Ausweis eine Kopie erstellen. Die Kopie ist vom Diensteanbeiter unverzüglich nach Feststellung der für den Vertragsabschluss erforderlichen Angaben … zu vernichten.

18 http://www.bnotk.de/Notar/Berufsrecht/DONot.php#Anker_26 (Stand 2/2014).

19 Hessische Datenschutzaufsicht, 41. Tätigkeitsbericht 2012, Ziff 2.1.2.1. http://www.datenschutz.hessen.de/tb41k02.htm#entry3869 (Stand 3/2014).

20 Schmidt in Tager, BDSG, 2 Auflg. § 1 Rn 34. Gürtler in Vahldiek, Datenschutz in der Bankpraxis, München 2012, S. 187, Rn 84.

Kontakt

Kontaktieren Sie mich

RSS-Feed

Abonnieren Sie meinen RSS-Feed!