Die Frage, ob und wann Personalausweise kopiert werden dürfen, hat uns schon mehrfach beschäftigt.
Nun, da die Ferienzeit vor der Tür steht, beginnt auch wieder die Suche nach passenden Unterkünften im In- und Ausland. Wachsender Beliebtheit erfreut sich dabei auch das Portal Airbnb, über das Wohnungen und Zimmer für Feriengäste untervermietet werden.
Der Sachverhalt
Das Portal kann bei der Urlaubsplanung hilfreich sein, wirft aber auch einige datenschutzrechtliche Fragen auf. So kommt der Nutzer bei der Buchung irgendwann an den Punkt, an dem er unmissverständlich aufgefordert wird, ein Bild seines Ausweises aufzunehmen oder hochzuladen.
Im weiteren Fortgang wird dem Nutzer die Wahl gelassen, ob er ein Bild seines Führerscheins, seines Reisepasses oder Ausweises hochladen möchte, mitsamt der Angabe des Herkunftslands.
Bei einer Browser-gestützten Aufnahme wird der Nutzer anschließend aufgefordert, beispielsweise über die Webcam ein Bild seines Ausweises aufzunehmen:
Was ist mit dem Datenschutz?
Was den Datenschutz angeht, so verweist Airbnb auf folgende Regelung:
Hier wird zwar eine SSL-Verschlüsselung angeboten, jedoch ist damit wohl eine transit- und keine at rest-Verschlüsselung gemeint. Damit haben Airbnb und deren externe Dienstleister im Zweifel Zugriff auf die dort gespeicherten Pass- und Ausweisdaten.
Auch der Hinweis auf das Entfernen des Ausweisbildes ist zwar ein Schritt in die richtige Richtung, gleichwohl werden dabei anstehende Buchungen wieder storniert. Beim Buchungsvorgang führt zum Zweck der Authentisierung i.d.R. kein Weg daran vorbei, den Ausweis hochzuladen.
Ausgehend vom deutschen Datenschutzrecht sind das Personalausweisgesetz (PAuswG) und das Passgesetz (PassG) ausschlaggebend für die Frage, wann Personalausweise und Reisepässe gescannt oder kopiert werden dürfen. Nach Auffassung des Bundesinnenministeriums besteht kein generelles Kopierverbot. Zum einen gibt es gesetzlich festgelegte Ausnahmen im Geldwäsche- und Telekommunikationsgesetz und zum anderen gibt es anerkannte und an strenge Voraussetzungen geknüpfte Ausnahmen für die Anfertigung einer Ausweiskopie.
- Die Erstellung einer Kopie muss erforderlich sein. Dabei ist insbesondere zu prüfen, ob nicht die Vorlage des Personalausweises und ggf. die Anfertigung eines entsprechenden Vermerks (z.B.: „Personalausweis hat vorgelegen“) ausreicht. Die Erforderlichkeit entfällt, wenn der Personalausweis ohne großen Aufwand vor Ort vorgezeigt und eingesehen werden kann.
- Die Kopie darf ausschließlich zu Identifizierungszwecken verwendet werden. Eine weitergehende Nutzung ist rechtswidrig.
- Die Kopie muss als solche erkennbar sein (z.B. Aufdruck „Kopie“). Die Kopie darf nicht den Eindruck erwecken, es handele sich dabei selbst um ein Ausweisdokument.
- Daten, die nicht zur Identifizierung benötigt werden, können und sollen von den Betroffenen auf der Kopie geschwärzt werden. Die Betroffenen sind auf die Möglichkeit und Notwendigkeit der Schwärzung hinzuweisen. Die Angabe des Geburtsdatums und ggf. -ortes kann nur erforderlich sein, wenn trotz der vorgenannten Angaben eine Personenverwechslung möglich ist und das Unternehmen in seinem bisherigen Datenbestand überhaupt das Geburtsdatum oder den -ort als Referenzdatum gespeichert hat.
- Die Kopie ist vom Empfänger unverzüglich zu vernichten, sobald der mit der Kopie verfolgte Zweck erreicht ist. Eine Archivierung ist unzulässig. Sofern eine Protokollierung erforderlich ist, genügt die Speicherung eines entsprechenden Vermerks „Ausweiskopie hat vorgelegen“.
- Eine automatisierte Speicherung der Ausweisdaten ist nach dem PAuswG unzulässig. Auch darf nach der Rechtsprechung der Personalausweis nicht gescannt und elektronisch gespeichert werden (Verwaltungsgericht Hannover, Urteil vom 28. November 2013 – 10 A 5342/11).
Wenn man die Voraussetzungen durchgeht, so wäre eine Kopie des Ausweises erst einmal zulässig, weil die Vorlage vor Ort bei einer Internetbuchung kaum möglich ist. Eine weitergehende Nutzung der Kopie wäre unzulässig. Inwieweit die Daten an Dritte übermittelt werden, wird im Rahmen des Buchungsvorgangs bei Airbnb nicht deutlich. Es kann weiter davon ausgegangen werden, dass die Kopie als solche erkennbar ist, wenn sie Airbnb nur elektronisch zur Verfügung steht.
Es dürfte dem Benutzer allerdings unbenommen bleiben, im Rahmen der Buchung nicht erforderliche Angaben – wie etwa den Geburtsort – auf der Vorderseite seines Ausweises zu schwärzen. Auch ohne die Angabe des Geburtsorts lässt sich argumentieren, dass anhand der weiteren Daten eine Identifizierung möglich ist. Es finden sich im Übrigen weder beim Buchungsvorgang noch in der Datenschutzerklärung von Airbnb Hinweise auf die Möglichkeit einer Schwärzung nicht erforderlicher Ausweisdaten.
Ebenso sollte die Kopie bzw. der Scan des Ausweises bei Airbnb vernichtet werden, sobald der mit der Kopie verfolgte Zweck erreicht ist. Zweck wäre die konkrete Buchung einer Unterkunft, nicht aber eine dauerhafte Archivierung des Ausweisdokuments beim Anbieter. In der aktuellen Datenschutzerklärung von Airbnb ist nur vorgesehen, dass personenbezogene Daten auf Anforderung des Nutzers gelöscht werden. Es wird dort weder auf eine automatisierte Löschung noch auf Löschungsroutinen seitens Airbnb als verantwortliche Stelle eingegangen. Art. 17 der DSGVO sieht demgegenüber ein „Recht auf Vergessenwerden“ vor. Danach hat
„die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern (…) die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind (…).
Wenn Airbnb dem Löschungsbegehren seiner Nutzer unverzüglich nachkommt, wäre dies eine datenschutzkonforme Umsetzung des Art. 17 DSGVO. Fraglich bleibt aber, wie das Unternehmen zu einer datenschutzkonformen Löschungspraxis bewegt werden kann, falls dem Löschungsbegehren nicht gefolgt werden sollte.
Fazit
Die Beibringung einer Ausweis- oder einer Passkopie beim Buchungsvorgang über Airbnb wäre zumindest nach deutschem Datenschutzrecht in der konkreten Ausgestaltung nicht zulässig. Allerdings hat die Airbnb Ireland UC als verantwortliche Stelle laut Impressum ihren Sitz in Irland, so dass nach § 1 Abs. 5 S. 1 BDSG irisches Recht anwendbar wäre. Aber auch in diesem Fall wäre die Freiwilligkeit einer Einwilligung in das Hochladen einer Ausweiskopie vor dem Hintergrund des Art. 7 Abs. 4 DSGVO als zweifelhaft zu beurteilen. Der Buchungswillige hat bei einer für ihn interessanten Unterkunft zumeist keine andere Wahl als seine Ausweiskopie hochzuladen, da ihm andernfalls nur die Suche bei datenschutzfreundlicheren Buchungsportalen mit einer möglicherweise kleineren Auswahl verbleibt.
Das angesprochene Recht auf Vergessenwerden nach Art. 17 DSGVO gilt ab Mai 2018 in der gesamten EU, ohne dass bei dieser Regelung eine Öffnungsklausel mit Gestaltungsspielraum für die Mitgliedsstaaten (wie beispielsweise in Art. 88 DSGVO für den Beschäftigtendatenschutz) vorgesehen ist. Seien wir – nicht nur im Zusammenhang mit Ausweiskopien bei Airbnb – gespannt auf die datenschutzkonforme Umsetzung des Art. 17 DSGVO bei der Löschung personenbezogener Daten in Internetportalen.
Update: 09.10.2017
Seit dem 15.07. 2017 gilt folgende Gesetzesänderung zum Passgesetz (§ 18 Abs. 3 PassG):
„Der Pass darf nur vom Passinhaber oder von anderen Personen mit Zustimmung des Passinhabers in der Weise abgelichtet werden, dass die Ablichtung eindeutig und dauerhaft als Kopie erkennbar ist. Andere Personen als der Passinhaber dürfen die Kopie nicht an Dritte weitergeben. Werden durch Ablichtung personenbezogene Daten aus dem Pass erhoben oder verarbeitet, so darf die datenerhebende oder -verarbeitende Stelle dies nur mit Einwilligung des Passinhabers tun. Die Vorschriften des allgemeinen Datenschutzrechts über die Erhebung und Verwendung personenbezogener Daten bleiben unberührt.“
Dies gilt entsprechend für das Personalausweisgesetz, dort in § 20 Abs. 2 PAuswG.
27. Oktober 2022 @ 23:10
Leider hatte ich exakt dieselben Probleme wie hier mehrfach geschildert:
Gebucht, bezahlt, und anschließend wurde die Identifizierung verlangt.
Ich Dumpfbacke habe brav den funkelnagelneuen Perso hochgeladen bzw. ich habe es versucht:
Sowohl gescannt und auch per App. Danach ein Selfie mit dem Smartphone. Alles erfolglos!
Wenigstens war ich noch klug genug, die Perso-Nr. zu schwärzen bzw. abzudecken.
Und das Geld (PayPal) wurde auch nicht abgebucht und die Buchung storniert.
Nach ca 2-3 verlorenen Stunden Airbnb habe ich bei einem anderen Portal dieselbe Wohnung zum selben Preis problemlos buchen können.
Die Airbnb-Hilfefunktion ist ein trauriger Witz: Nur ein blöder Chatbot mit einem AI-IQ gegen Null!
Leere Antworten, nur bestehend aus „Vielleicht ist das nicht die Antwort, die Du erwartet hast!“ Mehr nicht!
Leider scannt wohl auch keiner von diesen Airbnb-Dilettanten das Netz nach Foren und Kommentaren wie diesen.
Und Datenschutz existiert auch nur auf dem Papier!
23. Oktober 2022 @ 16:56
ich war irritiert weil die Anforderung des Ausweisdokuments erst nach der Anzahlung kam ..dennoch jetzt 5 mal versucht meinen teilweise abgedeckt fotografierten Personalausweis und ein Foto per webcam hochzuladen .. Verifizierung scheitert.. jetzt reichts mir, hoffe dass das angezahlte Geld zurückkommt und suche mir andere Buchungsmöglichkeit..
18. Juli 2022 @ 6:42
Unmöglich, ich musste erst bezahlen und dann wurde nach der Identifizierung gefragt. Ich werde diese nicht durchführen. Und mein Geld??
5. September 2022 @ 20:09
Schade dass ich das nicht vorher gelesen hatte. Sonst hätte ich von der Buchung Abstand genommen. Schon der Bezahlvorgang war unmöglich. Nach dem 5. Versuch – jedesmal den Text an den Host von Neuem eingeben – klappte es mit Paypal. Kein Online Shop hat meine Kreditkarte nicht akzeptiert, aber Airbnb hat ein Problem. Und nun noch Ausweis scannen, wohlgemerkt nach der Bezahlung. Das war meine letzte Buchung auf der Plattform.
17. Mai 2022 @ 10:44
ich habe nun auch mit mehreren Kundendienst Mitarbeitern Kontakt gehabt und alle haben mir etwas anderes gesagt, ich möchte meine Daten nicht in eine app hochladen, normalerweise fordert die Regierung nur die Personaldaten aber man lädt seine Dokumente nicht online hoch. Leider bekomme ich mein Geld nicht zurück daher werde niewieder über aribnb buchen ich fühle mich total unsicher bei der Sache
12. Mai 2022 @ 19:11
Ich wollte heute wieder mal bei Airbnb buchen. Aber ich lade doch meinen Ausweis nicht hoch? Was soll der Quatsch? TSCHÜSS AIRBNB —- Ich buche jetzt bei einer seriösen Plattform!
8. Mai 2022 @ 13:07
Airbnb ist nur ein Beispiel, wie wirkungslos die DSGVO bzw. deren Durchsetzung tatsächlich ist. Der zahnlose Tiger zeigt sich genauso beim Adresshandel, wo eine Firma auf die nächste verweist und letztlich die Herkunft unbekannt sei. Selbst vereinzelte Banken wollen eine Ausweiskopie bei Barabhebung von grösseren Beträgen (ab 15.000 Euro). Eine Rechtsgrundlage dafür gibt es nicht, da das GwG §8 Abs. 2 auf Abs. 1 Satz 1 Nr. 1 lit. b führt. Bußgeldbewehrt könnten Anwälte selbst immatriellen Schadenersatz einklagen, da ein vorgelegter Ausweis mit 23 sehr guten Sicherheitsmerkmalen quasi unfälschbar ist.
Mitarbeiter kopieren, um für sich einen Arbeitsbeleg und Absicherung zu haben. Das sieht aber das Gesetz nicht vor. Die Datenminimierung gilt EU-weit.
30. April 2022 @ 8:53
Ich hatte in der Vergangenheit ein paar schöne Aufenthalte durch Airbnb und finde das Modell an sich ganz gut. Zudem kann ich verstehen, dass es einen gewissen Schutz gegen Mißbrauch geben muss. Leider scheinen bei der ganzen Plattform keine drei Leute im Service zu arbeiten, sondern alles durch einen großen Algorithmus zu jagen (vermutlich mit hunderten Programmierern hierfür). Meine aktuelle Buchung schein bereits an der Verifizierung zu scheitern, weil der Algorithmus meinen Perso nicht als echt annimmt – da sieht man mal wie blöd dieses Programm ist, ein Mensch bräuchte dazu keine 3 Sekunden um dessen Echtheit zu überprüfen. Nun ja, ich kann es mir leisten auf ein Smartphone oder auch diese Plattform zu verzichten. Allerdings erscheint mir unser failed state auch nicht in der Lage Rahmenbedingungen zu setzen, die eine seriöse Datenhaltung und -verarbeitung ermöglichen. Als erstes müßte mal eine seriöse Kontaktadresse im Land des Internetauftritts möglich sein und mit Personal besetzt sein, dass der Landessprache auch mächtig ist.
Lt. Impressum in Irland, lt. email in san francisco … Jesus sind wir global aufgestellt, aber keiner findet den Fehler.
11. März 2022 @ 7:58
Die einzige Möglichkeit, weitere Sammlungen von Daten für US – Gesichtserkennungssystemen zu unterbinden ist wohl, Anmutungen wie diese zu umgeben, indem man sich andere Plattformen für seine Buchung sucht. Ich möchte jedenfalls kein Scan meines Ausweises auf irgendeiner US Cloud liegen haben.
18. Januar 2022 @ 10:41
Airbnb scheint nur eine US Datenkrake zu sein.
Zwecks Buchung Führerschein hochgeladen, Foto hochgeladen, per Kreditkarte bezahlt, dennoch hat man ein Problem mit der Verifizierung.
Der Kundenservice Antwortet nicht mehr, man weiss genau das man gegen deutsche Gesetze verstößt. Das Hochladen des Ausweises ist Hochgradig gefährlich da hiermit Bankkonten eröffnet werden und dann Geldwäsche betrieben wird.
Ich habe noch nie meinen Ausweis irgendwo hochladen müssen, eine Bezahlung per Visa Karte ist legitimation genug, denn die Karte ist einem Konto bei einer Bank zugeordnet, damit ist der Zahlende Kunde indentifzierbar.
Die Mißbrauchsgefahr ist groß im Fall eines Hackerangriffs wie bei Facebook, Whatsapp und Mediamarkt bereits geschehen.
Seltsam ist das der Vermieter lediglich seine Emailadresse und seine Telefonnummer bei Airbnb verifiziert hat.
Ich suche mir einen anderen Ferienhausanbieter die seriöser arbeiten!
11. Januar 2022 @ 16:44
Nachdem ich 12x versucht habe, mein Foto zu verifizieren, gebe ich auf.
Dann buche ich über einen anderen (unkomplizierten) Anbieter
28. Juli 2021 @ 17:41
Ich verstehe schon gar nicht, welche Sicherheitsaspekt es für Airbnb (bzw. deren Unterkunftsanbieter) bedeutet, wenn man seinen Ausweis dort hochlädt. Inwiefern verfügen sie dann über Sicherheit, die sie nicht hätten, würde man ein solches Dokument nicht hochladen?
2. Dezember 2017 @ 16:41
Ausweisscan (das Foto) und das hinterlegte Foto selbst lassen sich kinderleicht fälschen, wo ist da die Sicherheit?