27 Jun
2019

Zulässigkeit von Personalausweiskopien und Datenschutz

Lassen Sie sich von Kunden oder im Rahmen sonstiger Vertragsbeziehungen zur Identitätsprüfung den Personalausweis vorlegen oder verlangen Sie sogar eine Kopie davon? Diese Praxis wird von den deutschen Datenschutzaufsichtsbehörden schon länger kritisiert und ist immer wieder Gegenstand zahlreicher Beschwerden. Insbesondere wegen der gestiegenen Bußgeldhöhen sollten Sie sich mit den datenschutzrechtlichen Anforderungen auseinandersetzen. Nachfolgend geben wir Ihnen dazu einen Überblick.

Hinweise der Aufsichtsbehörde

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDW NRW) veröffentlichte dazu kürzlich die Broschüre „Personalausweis und Datenschutz“ (abrufbar unter https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Personalausweis-und-Datenschutz/Datenschutz-und-Personalausweis-2019_06.pdf, Stand: 26.06.2019). Darin stellt sie eine Übersicht mit Praxisbeispielen zusammen und gibt hilfreiche Hinweise dazu, wann Daten des Personalausweises kopiert oder lediglich notiert werden dürfen oder ob der Ausweis in Einzelfällen sogar gescannt werden darf. Besonders praxisrelevante Bereiche betreffen beispielsweise die Angabe persönlicher Daten in Selbstauskünften, bei einem Vertragsschluss oder bei der Vermietung von Wohnraum sowie die Verwendung des Personalausweises zur Hinterlegung als Pfand oder im Rahmen der Online-Identifizierung.

Grundsatz: Kopie nur mit Zustimmung 

Unabhängig von den datenschutzrechtlichen Regelungen finden sich grundlegende Regelungen zur Anfertigung von Personalausweiskopien im Personalausweisgesetz. Danach dürfen Sie den Personalausweis stets nur mit Zustimmung der Ausweisinhaberin kopieren (§ 20 Abs. 2 Personalausweisgesetz). Ablichtungen müssen außerdem stets als Kopie erkennbar sein.

Wichtig: Auf keinen Fall darf (außer natürlich von dazu gesondert berechtigten Behörden) von der Ausweisinhaberin verlangt werden, den Personalausweis zu hinterlegen! Damit darf nicht gefordert werden, den Ausweis als Pfand abzugeben, um beispielsweise entliehene Gegenstände ordnungsgemäß zurückzuerhalten oder wenn Kunden nicht genügend Geld bei sich haben.

Eine Ausnahme von dem Zustimmungserfordernis besteht beispielsweise für Mobilfunkanbieter. Diese müssen sogar Name, Anschrift und Geburtsdatum der Anschlussinhaberin erheben und speichern, um auf Auskunftsersuchen der Sicherheitsbehörden Auskunft erteilen zu können (§ 111 Abs. 1 S. 1 Telekommunikationsgesetz – „TKG“). Um diese Daten auf ihre Richtigkeit zu prüfen, dürfen sie sich dafür den Personalausweis vorlegen lassen (§ 111 Abs. 1 S. 3 Nr. 1 TKG). Daneben dürfen die Anbieter sich den Personalausweis bei Vertragsschluss zur Erbringung von Telekommunikationsdiensten vorlegen lassen und sogar eine Kopie erstellen, sofern dies notwendig ist, um die Angaben des Kunden zu überprüfen (§ 95 Abs. 4 S. 1, 3 TKG). Nach Feststellung der Angaben ist diese Kopie jedoch unverzüglich zu vernichten!

Datenschutzrechtliche Anforderungen

Daneben sind auch die Regelungen des Datenschutzrechts zu beachten. Die Datenschutz-Grundverordnung (DS-GVO) legt zunächst grundlegende Prinzipien fest, die bei allen Datenverarbeitungstätigkeiten zu beachten sind. Eines dieser Prinzipien stellt der Grundsatz der Datenminimierung dar. Danach muss die Verarbeitung persönlicher Daten stets auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Art. 5 Abs. 1 lit. c DS-GVO). Das heißt, dass eine Kopie nur angefertigt werden darf, sofern dies tatsächlich für den Einzelfall zugrundeliegenden Zweck notwendig ist.

Außerdem sind die weiteren Voraussetzungen für eine rechtmäßige Datenverarbeitung zu beachten, insbesondere zur Rechtsgrundlage. Hierfür ist in erster Linie Art. 6 DS-GVO zu beachten, der die möglichen Rechtsgrundlagen aufzählt. Regelmäßig kommen für die Erhebung und Speicherung von Personalausweisdaten beispielsweise folgende Rechtsgrundlagen in Betracht: eine ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO), ein mit der betroffenen Person geschlossener Vertrag (Art. 1 Abs. 1 lit. b DS-GVO) oder eine Interessenabwägung (Art. 6 Abs. 1 lit. f DS-GVO). Welche Rechtsgrundlage letztendlich in Betracht kommt, muss in jedem Einzelfall konkret geprüft werden. Dabei sollten die Vor- und Nachteile der jeweiligen Rechtsgrundlagen gegeneinander abgewogen werden.

Bußgeld bei Verstoß

Bei Verstößen sowohl gegen die grundlegenden Prinzipien als auch gegen zahlreiche weitere Vorschriften, insbesondere zur Rechtsgrundlage, können Geldbußen von bis zu 20 Millionen Euro oder von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes verhängt werden (Art. 83 Abs. 5 lit. a DS-GVO). Die Höhe eines Bußgeldes wird maßgeblich unter anderem durch die Art und Schwere des Verstoßes, den Zweck oder die Art der personenbezogenen Daten beeinflusst. Die im Personalausweis enthaltenen Daten stellen naturgemäß besonders empfindliche und schützenswerte Daten dar, da bei deren missbräuchlicher Verwendung erheblicher Schaden verursacht werden kann. Dies sollten Sie sich bei der Verarbeitung dieser Daten stets vor Augen halten, um hohe Bußgelder zu vermeiden.

Das bedeutet: Sollte es bei Ihnen üblich sein, Personalausweiskopien anzufertigen oder zu verlangen, empfehlen wir Ihnen, sich mit den rechtlichen Rahmenbedingungen beschäftigen. Um hohe Bußgelder zu vermeiden, prüfen Sie die einschlägigen Zulässigkeitsvoraussetzungen, beispielsweise im Personalausweisgesetz und in der DS-GVO. Dabei sind wir Ihnen gern behilflich.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 06/2019