Grundlage – Personalausweisgesetz

Mit dem Gesetz über Personalausweise und den elektronischen Identitätsnachweis (Personalausweisgesetz – PAuswG) ist es grundsätzlich gestattet Ausweise zu scannen, fotografieren oder zu kopieren, sofern erkennbar ist, dass es sich bei der Ablichtung um eine Kopie handelt und der Betroffene zur Kopie zugestimmt hat. Dabei ist die Ablichtung unverzüglich zu löschen, sobald die Identifizierung abgeschlossen wurde. Auch bleiben nach § 20 Abs. 2 PAuswG die datenschutzrechtlichen Bestimmungen unberührt. Dieser Satz verdeutlicht die Notwendigkeit zur Beachtung der datenschutzrechtlichen Regelungen, insbesondere auch der besonderen Kriterien bei einer Einwilligungseinholung.

Datenschutzrechtliche Bestimmungen – Vorrausetzungen für die Legitimität der Datenverarbeitung

Eine Verarbeitung (z. B. Speichern, Sperren, Verändern, Übermitteln, Löschen von Daten) personenbezogener Daten ist nur dann zulässig, wenn eine Rechtsgrundlage dies erlaubt oder der Betroffene eingewilligt hat.

Art. 7 Datenschutz-Grundverordnung (DS-GVO) konkretisiert die Vorrausetzungen für eine Einwilligung. Demnach ist eine Einwilligung erst rechtmäßig, wenn diese informiert und freiwillig erfolgt. Für die „informierte Einwilligung“ müssen dem Betroffenen genügend Informationen mitgeteilt werden, damit dieser nachvollziehen kann, warum und zu welchem Zweck seine Daten verarbeitet werden. Diese Informationen sollen ihm dabei helfen, gegen Handlungen der Verantwortlichen vorgehen zu können, die in Verbindung mit seinen Daten stehen. Die „Freiwilligkeit der Einwilligung“ lässt weiterhin eine Gültigkeit der Einwilligung nur zu, wenn der Betroffene auch wirklich die Möglichkeit hat, frei zu entscheiden, was mit seinen Daten geschieht und nicht in eine Zwangslage gerät, die eine Erhebung unumgänglich macht. Sofern dem Betroffenen keine Wahl bleibt, als seine Daten für die Verarbeitung freizugeben, kann nicht von einer Freiwilligkeit ausgegangen werden. Die Verarbeitung ist folglich rechtswidrig, sofern diese von der Einwilligung abhängig ist.

Einchecken in einem Hotel

Es ist keine Seltenheit, dass beim Einchecken in manchen Hotels der Personalausweis verlangt und oftmals auch kopiert oder gescannt wird. Grund hierfür sei die vermeintliche Erfüllung der melderechtlichen Pflichten. Laut dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (46. Tätigkeitsbericht 2017 unter Ziffer 11.1) ist das Kopieren von Ausweisen in diesem Zusammenhang nicht erforderlich und somit auch datenschutzrechtlich nicht zulässig. Stimmt der Betroffene der Kopie freiwillig zu, so kann eine Kopie angefertigt werden, sofern die Einwilligung zur Kopie freiwillig erfolgt. Dies ist jedoch zu bezweifeln, wenn die Einwilligung Vorrausetzung für das Einchecken ist. Anderes gilt bei einer kurzzeitigen Beherbergung nach § 29 Abs. 2 und 3 i. V. m 30 Beherbergungsgesetz (BHG). Demnach haben Personen am Tag der Ankunft einen besonderen Meldeschein mit den benannten Angaben in § 30 Abs. 2 BHG auszufüllen und zu unterschreiben. Dabei sind lediglich ausländische Personen dazu angehalten, die Seriennummer des anerkannten und gültigen Passes oder Passersatzpapiere anzugeben. Zusätzlich soll das benannte Identifikationsdokument dem Leiter der Beherbergungsstätte – zum Vergleich mit den bereits angegebenen Daten – ausgehändigt werden. Für inländische Gäste gilt dies hingegen nicht.

Personalausweiskopien durch Banken

Es wird zwar regelmäßig daran gezweifelt, dass Banken eine Kopie des Personalausweises anfertigen dürfen, jedoch haben diese tatsächlich das Recht und auch die Pflicht eine Kopie des Identifikationsnachweises zu erstellen. Dies resultiert aus der Sorgfaltspflicht nach § 10 Abs. 1 Nr. 1 Geldwäschegesetz (GwG), welche die Banken dazu berechtigt einen Nachweis (z.B. Personalausweis, Pass) über die Identität des Vertragspartners oder die für diesen auftretende Person zu verlangen. Die Bank ist nach § 8 Abs. 1 Nr. 1a GwG dazu verpflichtet zu diesem Zweck die erhobenen Angaben aufzuzeichnen und aufzubewahren. Dies erfolgt nach § 8 Abs. 2 S. 2 GwG durch die Anfertigung einer vollständigen Kopie des Identifikationsdokumentes, welches 5 Jahre lang aufbewahrt werden muss (§ 8 Abs. 4 S. 2 GwG).

Personalausweiskopien als Nachweis für das Finanzamt

Gemäß § 160 Abgabenordnung (AO) ist der Gläubiger oder Empfänger genau zu benennen, um eine steuermindernde Berücksichtigung von Schulden und Ausgaben geltend zu machen. Von dem Landesbeauftragten für Datenschutz
und Informationsfreiheit Mecklenburg-Vorpommern wurde erläutert, dass Schrotthändler in der Praxis – aus Unsicherheit über die erforderlichen Anforderungen einer genauen Benennung des Gläubigers oder Empfängers – Kopien von Personalausweisen anfertigten. Das Finanzministerium erklärte hierzu, dass die Erstellung einer Kopie in diesem Zusammenhang nicht zulässig sei. Zu Erfüllung des benannten Kriteriums der „genauen Benennung“, sei es lediglich notwendig eine genaue Bezeichnung des Gläubigers oder Empfängers aufzuführen, die es der Finanzbehörde ohne besondere Schwierigkeiten und Zeitaufwand ermöglich den Empfänger festzustellen.

Datenerhebung für die Eröffnung eines Depots

Sollten für die Eröffnung eines Wertpapierdepots neben den Legitimationsangaben, auch Angaben zu den Vermögenverhältnissen verpflichtend sein, so ist dies nach Ausfassung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit nicht zulässig. Grund hierfür ist die fehlende Freiwilligkeit der Einwilligung des Betroffenen bezüglich der Nutzung seiner Daten. Die Argumentation, dass es erforderlich sei, Daten über das Vermögen des Betroffenen zu erhalten, um beurteilen zu können, ob eine Transaktion auffällig ist, genügt dabei nicht. Auch wenn das GwG dazu verpflichtet Transaktionen auf Auffälligkeiten zu überprüfen, bezieht sich dies nur auf die Transaktionen an sich. Die Kenntnis über die Vermögensverhältnisse des Betroffenen ist zur Erfüllung dieser Aufgabe nicht zwingend erforderlich.

Fazit

Die benannten Fälle haben verdeutlicht, wie viel Unsicherheit bei der Erstellung von Kopien von Personalausweisen herrscht. Um Verstöße gegen den Datenschutz zu vermeiden, sollte daher der Rat des Datenschutzbeauftragten oder Datenschutzberaters eingeholt werden.

Bei Fragen zu dieser Thematik oder anderen datenschutzrechtlichen Themen können Sie sich gerne an uns wenden. Brands Consulting steht Ihnen gerne als kompetenter und fachkundiger Ansprechpartner in Sachen Datenschutz zu Seite und hilft Ihnen sich mit Ihrem Unternehmen im Datenschutz besser zu positionieren.

Ähnliche Beiträge