Die Frage, ob und wann Personalausweise kopiert werden dürfen, hat uns schon mehrfach beschäftigt.

Nun, da die Ferienzeit vor der Tür steht, beginnt auch wieder die Suche nach passenden Unterkünften im In- und Ausland. Wachsender Beliebtheit erfreut sich dabei auch das Portal Airbnb, über das Wohnungen und Zimmer für Feriengäste untervermietet werden.

Der Sachverhalt

Das Portal kann bei der Urlaubsplanung hilfreich sein, wirft aber auch einige datenschutzrechtliche Fragen auf. So kommt der Nutzer bei der Buchung irgendwann an den Punkt, an dem er unmissverständlich aufgefordert wird, ein Bild seines Ausweises aufzunehmen oder hochzuladen.

Im weiteren Fortgang wird dem Nutzer die Wahl gelassen, ob er ein Bild seines Führerscheins, seines Reisepasses oder Ausweises hochladen möchte, mitsamt der Angabe des Herkunftslands.

Bei einer Browser-gestützten Aufnahme wird der Nutzer anschließend aufgefordert, beispielsweise über die Webcam ein Bild seines Ausweises aufzunehmen:

Was ist mit dem Datenschutz?

Was den Datenschutz angeht, so verweist Airbnb auf folgende Regelung:

Hier wird zwar eine SSL-Verschlüsselung angeboten, jedoch ist damit wohl eine transit- und keine at rest-Verschlüsselung gemeint. Damit haben Airbnb und deren externe Dienstleister im Zweifel Zugriff auf die dort gespeicherten Pass- und Ausweisdaten.

Auch der Hinweis auf das Entfernen des Ausweisbildes ist zwar ein Schritt in die richtige Richtung, gleichwohl werden dabei anstehende Buchungen wieder storniert. Beim Buchungsvorgang führt zum Zweck der Authentisierung i.d.R. kein Weg daran vorbei, den Ausweis hochzuladen.

Ausgehend vom deutschen Datenschutzrecht sind das Personalausweisgesetz (PAuswG) und das Passgesetz (PassG) ausschlaggebend für die Frage, wann Personalausweise und Reisepässe gescannt oder kopiert werden dürfen. Nach Auffassung des Bundesinnenministeriums besteht kein generelles Kopierverbot. Zum einen gibt es gesetzlich festgelegte Ausnahmen im Geldwäsche- und Telekommunikationsgesetz und zum anderen gibt es anerkannte und an strenge Voraussetzungen geknüpfte Ausnahmen für die Anfertigung einer Ausweiskopie.

  • Die Erstellung einer Kopie muss erforderlich sein. Dabei ist insbesondere zu prüfen, ob nicht die Vorlage des Personalausweises und ggf. die Anfertigung eines entsprechenden Vermerks (z.B.: „Personalausweis hat vorgelegen“) ausreicht. Die Erforderlichkeit entfällt, wenn der Personalausweis ohne großen Aufwand vor Ort vorgezeigt und eingesehen werden kann.
  • Die Kopie darf ausschließlich zu Identifizierungszwecken verwendet werden. Eine weitergehende Nutzung ist rechtswidrig.
  • Die Kopie muss als solche erkennbar sein (z.B. Aufdruck „Kopie“). Die Kopie darf nicht den Eindruck erwecken, es handele sich dabei selbst um ein Ausweisdokument.
  • Daten, die nicht zur Identifizierung benötigt werden, können und sollen von den Betroffenen auf der Kopie geschwärzt werden. Die Betroffenen sind auf die Möglichkeit und Notwendigkeit der Schwärzung hinzuweisen. Die Angabe des Geburtsdatums und ggf. -ortes kann nur erforderlich sein, wenn trotz der vorgenannten Angaben eine Personenverwechslung möglich ist und das Unternehmen in seinem bisherigen Datenbestand überhaupt das Geburtsdatum oder den -ort als Referenzdatum gespeichert hat.
  • Die Kopie ist vom Empfänger unverzüglich zu vernichten, sobald der mit der Kopie verfolgte Zweck erreicht ist. Eine Archivierung ist unzulässig. Sofern eine Protokollierung erforderlich ist, genügt die Speicherung eines entsprechenden Vermerks „Ausweiskopie hat vorgelegen“.
  • Eine automatisierte Speicherung der Ausweisdaten ist nach dem PAuswG unzulässig. Auch darf nach der Rechtsprechung der Personalausweis nicht gescannt und elektronisch gespeichert werden (Verwaltungsgericht Hannover, Urteil vom 28. November 2013 – 10 A 5342/11).

Wenn man die Voraussetzungen durchgeht, so wäre eine Kopie des Ausweises erst einmal zulässig, weil die Vorlage vor Ort bei einer Internetbuchung kaum möglich ist. Eine weitergehende Nutzung der Kopie wäre unzulässig. Inwieweit die Daten an Dritte übermittelt werden, wird im Rahmen des Buchungsvorgangs bei Airbnb nicht deutlich. Es kann weiter davon ausgegangen werden, dass die Kopie als solche erkennbar ist, wenn sie Airbnb nur elektronisch zur Verfügung steht.

Es dürfte dem Benutzer allerdings unbenommen bleiben, im Rahmen der Buchung nicht erforderliche Angaben – wie etwa den Geburtsort – auf der Vorderseite seines Ausweises zu schwärzen. Auch ohne die Angabe des Geburtsorts lässt sich argumentieren, dass anhand der weiteren Daten eine Identifizierung möglich ist. Es finden sich im Übrigen weder beim Buchungsvorgang noch in der Datenschutzerklärung von Airbnb Hinweise auf die Möglichkeit einer Schwärzung nicht erforderlicher Ausweisdaten.

Ebenso sollte die Kopie bzw. der Scan des Ausweises bei Airbnb vernichtet werden, sobald der mit der Kopie verfolgte Zweck erreicht ist. Zweck wäre die konkrete Buchung einer Unterkunft, nicht aber eine dauerhafte Archivierung des Ausweisdokuments beim Anbieter. In der aktuellen Datenschutzerklärung von Airbnb ist nur vorgesehen, dass personenbezogene Daten auf Anforderung des Nutzers gelöscht werden. Es wird dort weder auf eine automatisierte Löschung noch auf Löschungsroutinen seitens Airbnb als verantwortliche Stelle eingegangen. Art. 17 der DSGVO sieht demgegenüber ein „Recht auf Vergessenwerden“ vor. Danach hat

„die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern (…) die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind (…).

Wenn Airbnb dem Löschungsbegehren seiner Nutzer unverzüglich nachkommt, wäre dies eine datenschutzkonforme Umsetzung des Art. 17 DSGVO. Fraglich bleibt aber, wie das Unternehmen zu einer datenschutzkonformen Löschungspraxis bewegt werden kann, falls dem Löschungsbegehren nicht gefolgt werden sollte.

Fazit

Die Beibringung einer Ausweis- oder einer Passkopie beim Buchungsvorgang über Airbnb wäre zumindest nach deutschem Datenschutzrecht in der konkreten Ausgestaltung nicht zulässig. Allerdings hat die Airbnb Ireland UC als verantwortliche Stelle laut Impressum ihren Sitz in Irland, so dass nach § 1 Abs. 5 S. 1 BDSG irisches Recht anwendbar wäre. Aber auch in diesem Fall wäre die Freiwilligkeit einer Einwilligung in das Hochladen einer Ausweiskopie vor dem Hintergrund des Art. 7 Abs. 4 DSGVO als zweifelhaft zu beurteilen. Der Buchungswillige hat bei einer für ihn interessanten Unterkunft zumeist keine andere Wahl als seine Ausweiskopie hochzuladen, da ihm andernfalls nur die Suche bei datenschutzfreundlicheren Buchungsportalen mit einer möglicherweise kleineren Auswahl verbleibt.

Das angesprochene Recht auf Vergessenwerden nach Art. 17 DSGVO gilt ab Mai 2018 in der gesamten EU, ohne dass bei dieser Regelung eine Öffnungsklausel mit Gestaltungsspielraum für die Mitgliedsstaaten (wie beispielsweise in Art. 88 DSGVO für den Beschäftigtendatenschutz) vorgesehen ist. Seien wir – nicht nur im Zusammenhang mit Ausweiskopien bei Airbnb – gespannt auf die datenschutzkonforme Umsetzung des Art. 17 DSGVO bei der Löschung personenbezogener Daten in Internetportalen.

Update: 09.10.2017

Seit dem 15.07. 2017 gilt folgende Gesetzesänderung zum Passgesetz (§ 18 Abs. 3 PassG):

„Der Pass darf nur vom Passinhaber oder von anderen Personen mit Zustimmung des Passinhabers in der Weise abgelichtet werden, dass die Ablichtung eindeutig und dauerhaft als Kopie erkennbar ist. Andere Personen als der Passinhaber dürfen die Kopie nicht an Dritte weitergeben. Werden durch Ablichtung personenbezogene Daten aus dem Pass erhoben oder verarbeitet, so darf die datenerhebende oder -verarbeitende Stelle dies nur mit Einwilligung des Passinhabers tun. Die Vorschriften des allgemeinen Datenschutzrechts über die Erhebung und Verwendung personenbezogener Daten bleiben unberührt.“

Dies gilt entsprechend für das Personalausweisgesetz, dort in § 20 Abs. 2 PAuswG.