„Dann bräuchte ich jetzt nur noch eine Kopie von Ihrem Personalausweis.“ So oder so ähnlich, dürfte es klingen, wenn Sie ein Girokonto eröffnen. Neben den Banken fordern allerdings häufig weitere Stellen den Personalausweis ein, um eine Kopie von diesem zu erstellen. Auf dem Personalausweis befinden sich eine Menge personenbezogener Daten, wie zum Beispiel der Name, das Geburtsdatum, die aktuelle Adresse, die Körpergröße, ein Foto sowie die Ausweisnummer. Die Vielzahl personenbezogener Daten dürfte sicherlich, dazu führen, dass auch Sie sich schon mal gefragt haben, ob Unternehmen oder Behörden, eine Kopie Ihres Personalausweises erstellen dürfen.
Personalausweisgesetz – die alte Rechtsgrundlage
Bis zum 14.07.2017 galt die alte Fassung des § 20 Abs. 2 PAuswG:
„Außer zum elektronischen Identitätsnachweis darf der Ausweis durch öffentliche und nichtöffentliche Stellen weder zum automatisierten Abruf personenbezogener Daten noch zur automatisierten Speicherung personenbezogener Daten verwendet werden.“
Nach der alten Fassung war das Kopieren des Personalausweises verboten. Daneben bestanden allerdings einige Ausnahmen, wie zum Beispiel für
- Banken gemäß § 8 Abs. 2 Geldwäschegesetz (GwG) und
- Telekommunikationsanbieter gemäß § 95 Abs. 4 Satz 3 Telekommunikationsgesetz (TKG),
Zwar befand sich im Personalausweisgesetz hierzu kein Passus, dies ging allerdings aus der Gesetzesbegründung („keine optoelektronische Erfassung“ also kein Scannen), aus Urteilen und allgemeinen Grundsätzen des Datenschutzes hervor. Der Ausweis sollte sogar bestmöglich nicht einmal aus der Hand gegeben werden.
Personalausweis – die neue Rechtsgrundlage
Viele verantwortliche Stellen, ganz weit vorne natürlich kleine und mittelständische Unternehmen (KMU), waren sich deshalb nicht sicher, ob und unter welchen Bedingungen das Kopieren von Personalausweisen sowie die Verwendung der personenbezogenen Daten, die sich auf dem Personalausweis befinden, erlaubt war.
Dies könnte sich nun teilweise, seit der Änderung des § 20 des PAuswG mit Wirkung vom 15.07.2017, geändert haben, denn nun heißt es in § 20 Abs. 2 PAuswG (neue Fassung):
„Der Ausweis darf nur vom Ausweisinhaber oder von anderen Personen mit Zustimmung des Ausweisinhabers in der Weise abgelichtet werden, dass die Ablichtung eindeutig und dauerhaft als Kopie erkennbar ist. Andere Personen als der Ausweisinhaber dürfen die Kopie nicht an Dritte weitergeben. Werden durch Ablichtung personenbezogene Daten aus dem Personalausweis erhoben oder verarbeitet, so darf die datenerhebende oder -verarbeitende Stelle dies nur mit Einwilligung des Ausweisinhabers tun. Die Vorschriften des allgemeinen Datenschutzrechts über die Erhebung und Verwendung personenbezogener Daten bleiben unberührt.“
Für die Erstellung einer Kopie des Personalausweises dürfte dies nun bedeuten, dass dies durch den Ausweisinhaber sowie durch eine andere Person erlaubt ist, sofern
- der Ausweisinhaber dazu eingewilligt hat und
- deutlich erkennbar ist, dass es sich hierbei um eine Kopie handelt (z. B. durch den Vermerk „Kopie“.
Für die Verwendung der Kopie bedeutet dies zukünftig, dass
- die Verarbeitung personenbezogener Daten, die sich auf dem Personalausweis befinden, erlaubt ist, sofern der Ausweisinhaber eingewilligt hat und
- die Weitergabe der Kopie nur durch den Ausweisinhaber erfolgen darf.
Fazit
Für eben jene Unternehmen oder auch für andere verantwortliche Stellen, die auf die Erstellung einer Kopie des Personalausweises angewiesen sind, dürfte dies nun zukünftig bedeuten, dass zwar klarer formuliert ist, unter welchen Bedingungen eine Kopie erstellt werden darf, allerdings sollten diese vor der Erstellung tätig werden und die Voraussetzungen berücksichtigen. Unter anderem wären Einwilligungen einzuholen sowie ggf. Schwärzungen vorzunehmen. Auch sollten Prozesse für die Löschung, Vernichtung bzw. die Rückgabe der Kopie des Personalausweises an den Ausweisinhaber nach Zweckentfall oder bei Widerruf abgebildet und umgesetzt werden. Hier zeigt sich erneut, dass eine Gesetzesänderung die Arbeit des Datenschutzbeauftragten nicht erleichtert, sondern vielmehr eine ordnungsgemäße Prozessgestaltung erforderlich ist.
