Häufig werden Kopien von unserem Personalausweis angefertigt. Wir haben einmal erörtert, was erlaubt ist und wie der Umgang mit diesen Daten gesetzeskonform wäre.

Bereits im Mittelalter wurden Orden, Wappen oder Zunftzeichen zur Identifikation von Personen benutzt. Der erste „richtige“ Personalausweis wurde in der alten Bundesrepublik und in West-Berlin 1951 eingeführt und hatte die Form eines Passbuches. 1987 wurde die Passbuchform durch die kunststofflaminierte Karte abgelöst. Die aktuelle Version des Personalausweises wurde 2010 eingeführt, ist scheckkartengroß und besitzt einen RFID-Chip (Chip mit Radiowellen), in dem die Personaldaten und die biometrischen Daten (Lichtbild und Fingerabdrücke) gespeichert werden. Mit ihm soll der Ausweisinhaber sicherer identifiziert werden können und der Ausweis kann für amtliche Online-Dienstleistungen sowie für Geschäfte im Internet verwendet werden.

Ausweispflicht

Eine Pflicht zum Besitz eines Personalausweises oder eines Reisepasses für deutsche Bürger ergibt sich aus § 1 Abs. 1 PAuswG, eine grundsätzliche Pflicht zum Mitführen eines Ausweises besteht hingegen nicht, jedoch handelt ordnungswidrig, wer es unterlässt, seinen Ausweis auf Verlangen einer zuständigen und berechtigten Stelle vorzulegen. Dies kann also mit einem Bußgeld geahndet werden.

Legitimation durch Ausweis

Der Personalausweis findet im Geschäftsverkehr als Legitimationsdokument häufig Verwendung. Dabei sind im Umgang mit dem Personalausweis folgende Vorgänge zu unterscheiden:

  1. Das Einscannen / digitale Fotografieren durch den Inhaber selbst und das anschließende Übermitteln der elektronischen Kopie.
  2. Das Kopieren und Übermitteln einer Papierkopie durch den Inhaber.
  3. Das Vorzeigen und Übergeben des Ausweises zur Einsichtnahme.
  4. Das Einscannen / digitale Fotografieren durch die Stelle, bei der sich der Inhaber ausweist.

Zu 1: Einscannen und elektronisches Übermitteln durch den Inhaber

Hat sich eine Person gegenüber einer anderen Stelle zu identifizieren (zwecks Altersnachweis o.ä.) und ist sie nicht persönlich zugegen, dann wird von ihr häufig die Übersendung einer elektronischen Kopie (Scan) verlangt. Das Scannen von Personalausweisen ist jedoch gem. §§ 14 und 20 PAuswG untersagt. Der Gesetzesbegründung entsprechend sollen demnach „weitere Verfahren z. B. die optoelektonische Erfassung („scannen“) von Ausweisdaten oder den maschinenlesbaren Bereich ausdrücklich ausgeschlossen werden.“ Und weiter heißt es: „die Vorschrift ist erforderlich, weil der Einsatz des elektronischen Identitätsnachweises zu einem automatischen Abruf von Daten (z. B. nach Übermittlung von Daten zur Anlage eines Dienstkontos) führen kann. Von der Vorschrift erfasst sind alle Formen des automatischen Abrufs, insbesondere das Scannen, Fotokopieren und Ablichten der Daten“.

Dies bedeutet, dass selbst der Inhaber den Ausweis nicht einscannen und versenden darf, um sich gegenüber anderen Stellen zu identifizieren. Das Einscannen wird vom Gesetzgeber als unzulässige Speicherung personenbezogener Daten gewertet.

Zu 2: Übermittlung einer Papierkopie durch den Inhaber

Dass das Kopieren des Personalausweises in Papierform unzulässig wäre, ist dem Gesetzeswortlaut nicht zu entnehmen. In einem Schreiben des Bundesministerium des Innern (BMI) an den Bundesbeauftragten für den Datenschutz und Informationssicherheit (BfDI) vom 1.2.2013 führt dieses aus, dass das Anfertigen von Ausweiskopien auf all jene Fälle beschränkt werden sollte, bei denen keine Identifizierung unter Anwesenden möglich ist. Dem Betroffenen ist aber auch hier die Möglichkeit der Schwärzung nicht benötigter Daten einzuräumen, da auch hier die Grundsätze der Erforderlichkeit (§ 28 Abs. 1 BDSG) und der Datensparsamkeit (§ 3a BDSG) in jedem Fall zu beachten sind.

Daten für Identitätsnachweis

Für den Nachweis der Identität sind in aller Regel Vor- und Nachname und die postalische Anschrift ausreichend. Für die übrigen auf dem Ausweis aufgedruckten Daten, insbesondere für die sogenannte Zugangsnummer, Augenfarbe und Körpergröße, die Seriennummer, das Foto und die Prüfziffer, ist hingegen die Möglichkeit der Schwärzung einzuräumen.

Die datenschutzkonforme Vernichtung der Ausweiskopie hat grundsätzlich nach erfolgter Identitätsprüfung zu erfolgen. Zur Dokumentation der Prüfung genügt in aller Regel ein Vermerk.

Zu 3: Vorzeigen und Übergeben durch den Inhaber

Der Personalausweisinhaber darf sich mit dem Ausweis (in der Funktion eines „Sichtausweises“) gegenüber nicht-öffentlichen Stellen identifizieren und sich damit legitimieren (§ 20 Abs. 1 PAuswG), jedoch kann vom ihm „nicht verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben.“

Eine Abgabe des Ausweises beispielsweise in Hotels, bei der Probefahrt mit einem Auto oder als Schlüsselpfand im Fitnessstudio ist somit durch das Hinterlegungsverbot (§ 1 Abs. 1 PAuswG) untersagt.

Zu 4: Einscannen durch andere Stellen (z.B. Unternehmen)

Die Zulässigkeit des Scannens und Speicherns von Personalausweisen durch nicht zur Identitätsfeststellung berechtigter Behörden gem. § 14 i.V.m. § 20 Abs. 2 PAuswG ist wie folgt eindeutig geregelt:

„Außer zum elektronischen Identitätsnachweis darf der Ausweis durch öffentliche und nichtöffentliche Stellen weder zum automatisierten Abruf personenbezogener Daten noch zur automatisierten Speicherung personenbezogener Daten verwendet werden.“

Die Erhebung und Nutzung personenbezogener Daten aus oder mithilfe des Ausweises darf somit nur über die vorgesehenen Kanäle erfolgen. Dies sind für nicht-öffentliche Stellen der elektronische Identitätsnachweis und für berechtigte Behörden der Abruf der elektronisch gespeicherten Daten. Damit dürfen Scans oder Kopien durch private Unternehmen definitiv nicht gespeichert werden. Kein Problem ist es jedoch laut Gerichtsurteil des Verwaltungsgerichts Hannover (Urteil v. 28.11.2013, Az.: 10 A 5342/11), wenn das Unternehmen sich den Personalausweis zur Identitätsfeststellung zeigen lässt oder darin enthaltene Daten (z.B. Namen, Geburtsdatum oder Adresse) herausschreibt. Weitergehende Befugnisse stehen diesen nicht zu.

Eine Ausnahme gilt für bestimmte nicht-öffentliche Stellen wie Kreditinstitute, Finanzdienstleister, Spielbanken, Immobilienmakler, Rechtsanwälte und Notare. Diese dürfen gültige, amtliche Ausweise (dazu gehören auch Personalausweise) zur Identitätsfeststellung speichern, denn für sie gilt das Geldwäschegesetz (GwG), welches sie dazu verpflichtet, vor Begründung von Geschäftsbeziehungen oder der Durchführung von Transaktionen die Identität der Vertragspartner festzustellen. Nach § 8 Abs. 1 Satz 3 GwG kann diese Aufzeichnungspflicht auch durch eine Kopie des Ausweises erfolgen. Da der Ausweis jedoch mehr Daten erhält als nach dem GwG zu erheben und aufzuzeichnen sind, können und sollen darüber hinausgehende Informationen geschwärzt werden. Auf die Möglichkeit der Schwärzung sollen Sie im Vorfeld hingewiesen werden.

Weitere Ausnahmen können bei Telekommunikationsdienstleistern u.a. per Gesetz vorliegen, werden hier jedoch nicht betrachtet.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) erklärte auf Nachfrage von audatis, dass bei Abschluss eines Vertrages oder bei Reklamationen eine Ausweiskopie erstellt werden kann, wenn lediglich die dafür notwendigen Daten entnommen werden. Nach der Dateneingabe muss die Kopie umgehend vernichtet werden. Dieser hat hierzu auch eine Broschüre zum Download veröffentlicht.

Fazit:

Das Scannen und Kopieren von Personalausweisen ist verboten, das Kopieren von Ausweisen ist nur dann erlaubt, sofern es bspw. per Gesetz vorgesehen oder für den Abschluss eines Vertrages oder für Reklamationen erforderlich ist und hierfür nur die notwendigen Daten gespeichert werden.

Grundsätzlich sind alle Daten frühestmöglich zu schwärzen, sofern diese nicht für die Identifikation erforderlich sind.

audatis hat hierzu zwei Kopiermasken entwickelt, die Ihnen als Unternehmen die Arbeit erleichtern sollen und die wir Ihnen gerne kostenfrei zu Verfügung stellen.

Außerdem können Sie mittlerweile ebenfalls eine Hartplastik-Kopierhülle für den neuen Personalausweis bei uns erwerben: https://bitsecurity360.com