Newsletter

Melden Sie sich für unseren Newsletter an!

So bekommen Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und Compliance zugeschickt.

Kopie des Personalausweises jetzt zulässig!

Datenschutz

von Mariusz Bucki

Aber nur mit Einwilligung!

Das Personalausweisgesetz (PAuswG) ist 2010 in Kraft getreten und hat die bekannten Spielregeln zum Umgang mit Personalausweisen geändert. Vieles was früher mehr oder weniger als legitim angesehen wurde, fiel plötzlich weg, wie z.B. das temporäre Verwahren von Personalausweisen durch Dritte (umgangssprachlich Pfand).

Der Gesetzgeber wollte u.a. auch das Scannen, Fotografieren und Kopieren von Personalausweisen verbieten. Wie so oft hat sich aber auch diese Regelung als nicht praxistauglich erwiesen und der Gesetzgeber hat inzwischen reagiert. Seit dem 15.07.2017, die Änderungen sind noch recht frisch, ist das Ablichten (Scannen, Fotografieren und Kopieren) unter bestimmten Voraussetzungen legitim.


I. Betrachten wir einmal das typische Szenario einer Zutrittskontrolle:
Es wird eine Gästeliste geführt und Besucherausweise werden ausgegeben.

Der Personalausweis der Gäste wird während des Besuches als „Pfand“ für den Besucherausweis aufbewahrt.

Der Personalausweis wird eingescannt und die Datei wird auf dem Server abgelegt.

1. Schauen wir uns zunächst die Sache mit dem Pfand mal genauer an:
Gemäß § 1 Abs. 1 S. 3 PAuswG darf vom Ausweisinhaber nicht verlangt werden, den Personalausweis zur Verwahrung (Pfand) auszuhändigen, Punkt.

Ausnahmen gibt es gem. § 1 Abs. 1 S. 4 PAuswG für zur Identitätsfeststellung berechtigte Behörden sowie in den Fällen der Einziehung und Sicherstellung.

Somit dürfen wir den Personalausweis nicht als Pfand aufbewahren.

2. Kommen wir jetzt zum Ablichten (Kopieren oder Scannen):
Die Erhebung und Verwendung von personenbezogenen Daten aus dem oder mithilfe des Personalausweises, beurteilt sich nach § 14 (PAuswG).

Seit dem 15.07.2017 gilt:

Gemäß § 14 PAuswG i.V.m. § 20 Abs. 2 S. 1 PAuswG dürfen die Ausweisdaten nur abgelichtet werden, wenn die Ablichtung eindeutig und dauerhaft als Kopie erkennbar ist.

Der Gesetzgeber schlägt im Erwägungsgrund zu § 20 Abs. 2 PAuswG n.F. (neue Fassung) eine monochrome Kopie oder einen deutlichen Vermerk „Kopie“ vor (siehe Deutscher Bundestag, Drucksache 18/11279, S. 27-28).

Werden gem. § 14 PAuswG i.V.m. § 20 Abs. 2 S. 3 PAuswG durch Ablichtung personenbezogene Daten aus dem Personalausweis erhoben oder verarbeitet, so darf die datenerhebende oder -verarbeitende Stelle dies nur mit Einwilligung des Ausweisinhabers tun.

Die allgemeinen Vorschriften des Datenschutzrechts bleiben hiervon jedoch unberührt, gem. § 20 Abs. 2 S. 4 PAuswG. Eine Einwilligung muss also gem. § 4a Abs. 1 BDSG auf einer freiwilligen Entscheidung beruhen und bedarf zudem grundsätzlich der Schriftform.

a. Freiwilligkeit
Eine auf freiwilliger Entscheidung beruhende Einwilligung enthält auch das Recht des Besuchers, auf Kopien die personenbezogenen Daten unkenntlich zu machen, die der Betroffene nicht preisgeben möchte.

Verlangen wir für die Zutrittskontrolle eine Kopie des Personalausweises, handelt es sich hierbei nicht um eine freiwillige Entscheidung des Besuchers, sondern vielmehr um ein „lästiges Übel“.

Zumindest für den Großteil der Gäste, selbst wenn die meisten Angaben wie ID, Foto, Körpergröße oder Augenfarbe geschwärzt werden.

Das Ablichten des Personalausweises scheitert in unserem Beispiel somit grundsätzlich an der Freiwilligkeit der Einwilligung.

b. Erforderlichkeit
Zudem sind wir gem. § 3a BDSG an das Datensparsamkeits- und Erforderlichkeitsprinzip gebunden, sodass auch wir alle nicht erforderlichen personenbezogenen Daten auf der Kopie des Personalausweises schwärzen müssten.

Unter die Erforderlichkeit der Datenverarbeitung fallen auch die Löschfristen gem. § 35 Abs. 2 BDSG.

Wird also die Kopie eines Personalausweises nicht mehr zur Identitätsfeststellung (Zutrittskontrolle) benötigt, muss diese gem. § 35 Abs. 2 S. 2 Nr. 3 BDSG gelöscht werden.

Problematisch ist dabei vor allem die Feststellung, zu welchem Zeitpunkt eine Kopie nicht mehr erforderlich ist. Bei Besuchern, die selten oder nur einmalig unsere Räumlichkeiten betreten, müssten wir die Kopie unmittelbar nach dem Besuch vernichten.

II. Ergebnis / Empfehlung
Der Personalausweis unserer Gäste sollte somit zukünftig nicht mehr eingescannt und auch nicht mehr als „Pfand“ für einen Besucherausweis verlangt werden.

Für die Zutrittskontrolle reicht es grundsätzlich aus, wenn der Gast seine Identität durch den Personalausweis bestätigt und erforderliche personenbezogenen Daten, wie Vor- und Zuname sowie weitere relevante Information zum Hintergrund des Besuches, in einer Besucherliste vermerkt werden.

Beispiel Besucherliste:

  • Vor- und Zuname des Besuchers
  • Unternehmen (Firma) des Besuchers
  • Grund des Besuches
  • Ansprechpartner bei der verantwortlichen Stelle (unser Unternehmen)
  • Zeitpunkt der Ankunft
  • Zeitpunkt beim Verlassen
  • Unterschrift des Besuchers (Sichtung Personalausweis)

Hinweis:
Vor dem 15.07.2017 war das Scannen und Speichern des Personalausweises (Kopie), z.B. für die Zutrittskontrolle, grundsätzlich verboten. Selbst nach einem „klassischen“ Kopiervorgang, hätte der Speicher / die Festplatte des Kopierers gelöscht werden müssen (siehe Caspar, HmbBfDI in NJW-aktuell 51/2010, Ziffer 4.2).

Zurück