Ausweiskopien und die Fragen „Was ist erlaubt?“ und „Auf was ist zu achten?“ beschäftigen viele Menschen. Auch in unserem Blog sind die Artikel zu diesem Thema ein Dauerbrenner. Unser Kollege Clemens Grünwald, Senior Berater bei der datenschutz nord GmbH, hat dem Online-Magazin iRights.info kürzlich ein Interview zum Thema Ausweiskopien und Online-Verifizierungen gegeben. Mit freundlicher Genehmigung von iRights.info dürfen wir diesen Text in unveränderter Form als Blogbeitrag veröffentlichen. Den Originaltext finden Sie hier.

Sicher ausweisen: Was es bei Personalausweis-Kopien und Online-Verifizierung zu beachten gibt

In Deutschland ist man dazu verpflichtet, einen amtlichen Identitätsnachweis zu besitzen, etwa einen Personalausweis oder Reisepass. Viele Stellen verlangen auch Ausweiskopien oder benutzen Verfahren zur Online-Verifizierung. Wann ist so etwas überhaupt zulässig? Und was sollten Inhaber*innen beachten? Ein Blick auf die aktuellen Regelungen.

Gemäß Paragraf 1 des Personalausweisgesetzes (abgekürzt: PauswG) unterliegen deutsche Bürger*innen einer Ausweispflicht ab dem vollendeten 16. Lebensjahr: Sie müssen in der Lage sein, sich gegenüber Behörden, die zur Feststellung der Identität berechtigt sind, identifizieren zu können. Als Identitätsnachweis zählen der Personalausweis sowie der Reisepass.

Eine Identifizierung erfolgt insbesondere über das Foto auf dem Ausweis. Deshalb sind die Ausweise auch nicht unbegrenzt gültig: Bis zu einem Alter von 24 Jahren ist der Ausweis 6 Jahre lang gültig, danach 10 Jahre lang.

Wer gegen die Ausweispflicht verstößt, handelt ordnungswidrig und kann ein Bußgeld bis zu 3.000 Euro kassieren. Allerdings muss man den Ausweis nicht immer dabeihaben: Eine gesetzliche Mitführpflicht gibt es nur in Ausnahmefällen (zum Beispiel wenn man eine Waffe trägt).

Wer den Personalausweis kopieren oder eine Online-Verifizierung fordern darf

Häufiger als gegenüber Behörden kommt der Ausweis aber im Alltag zum Einsatz. Möchte man beispielsweise einen Carsharing-Dienst nutzen, muss man dafür bei der Registrierung auch die Identität verifizieren lassen.

Um sich gegenüber solchen Dienstleistern im Alltag zu verifizieren, wird oft eine Ausweiskopie oder eine Online-Ausweisverifizierung verlangt. Doch nicht alle privaten Dienstleister*innen sind berechtigt, für die Verifizierung einer Kundin oder eines Kunden auch eine Ausweiskopie anzufertigen und diese zu speichern.

Zu der Ausweiskopie gibt der Gesetzgeber klare Richtlinien vor, welche Vertragspartner*innen den Personalausweis kopieren dürfen. Grundsätzlich ist man nicht verpflichtet, eine Kopie des Ausweises vorzulegen, oder anderen zu überlassen: „Sofern das Ausweisdokument im Original vorgelegt wird und die Identifizierung erfolgte, genügt in vielen Fällen ein entsprechender Vermerk, zum Beispiel ‚Personalausweis / Reisepass hat vorgelegen‘“, formuliert das Bundesministerium des Innern, für Bau und Heimat.

Nach Paragraf 20 Absatz 2 des Personalausweisgesetzes dürfen nur Ausweisinhaber*innen eine Ausweiskopie anfertigen und weitergeben, also die Person, die auf dem Ausweis steht. Andere Personen oder Unternehmen brauchen dafür eine Einwilligungserklärung der Inhaber*innen. Denn Ausweise enthalten personenbezogene Daten, die nach dem Datenschutzrecht geschützt sind und nur dann verarbeitet werden dürfen, wenn es dafür explizit eine Berechtigung gibt.

Nach dem Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen ist mit Blick auf den Grundsatz der Datenminimierung immer zu prüfen, ob es unbedingt einer Kopie des Ausweises bedarf. Der Grundsatz der Datenminimierung ist ein in Artikel 5 der europäischen Datenschutz-Grundverordnung (DSGVO) verankertes Prinzip: Danach dürfen immer nur so viele Daten verarbeitet werden, wie zur Erreichung des Zwecks notwendig sind.

Fingerabdrücke sind sensible Daten

Der Personalausweis enthält nicht nur übliche personenbezogene Daten: Neben dem Namen, der Adresse und dem Geburtsdatum sind dort auch die Körpergröße und die Augenfarbe gesichert.

Seit Anfang August 2021 werden in neu beantragten Personalausweisen außerdem neben dem Lichtbild auch Fingerabdrücke gespeichertFingerabdrücke sind sogenannte biometrische Daten: Das sind Daten, die auf biologischen Messwerten oder physischen Merkmalen beruhen und eine Person eindeutig und lebenslang identifizieren können. Auch die Körpergröße gehört zu den biometrischen Daten.

Die Fingerabdrücke sollen bei der Personenkontrolle helfen, festzustellen, ob der Ausweis echt ist. Das soll das den Schutz vor Identitätsmissbrauch erhöhen.

Gerade weil sie eine Person eindeutig identifizieren können, gelten biometrische Daten als besonders schützenswert. Die Datenschutz-Grundverordnung (DSGVO) regelt für diese „besondere Kategorien von personenbezogenen Daten“, die häufig auch als „sensible Daten“ bezeichnet werden, besonders strenge Voraussetzungen bei der Verarbeitung.

Auch müssen Unternehmen, die solche Daten verarbeiten, besondere Schutzmaßnahmen ergreifen, um sich beispielsweise gegen Hackingangriffe zu schützen. Das gelingt aber nicht immer, wie die Fälle in Corona-Testzentren kürzlich zeigten: Dort waren die Test-Ergebnisse von über 80.000 Getesteten offengelegt worden.

Für Ausweisinhaber*innen ist es deswegen wichtig, solche sensiblen Daten nur als Kopie weiterzugeben, wenn es wirklich notwendig ist.

Ausweiskopien durch Finanzdienstleister und Versicherungen

In einigen Fällen ist die Ausweiskopie vorgeschrieben. Zum Beispiel bei der Identitätsprüfung nach dem Geldwäschegesetz (GwG). Danach müssen Kredit- und Finanzdienstleistungsinstitute, Versicherungs-Unternehmen, Steuerberatungen und Immobilienmakler*innen ihre Vertragspartner*innen für die Begründung einer Geschäftsbeziehung identifizieren.

Um eine Person zu identifizieren, speichern die Institute den Namen, Geburtsort und Datum, sowie die Anschrift und die Staatsangehörigkeit. Zudem muss das Institut die Art, die Nummer, die ausstellende Behörde und auch die Gültigkeitsdauer des Ausweises speichern.

Nach Artikel 8 Absatz 4 GwG heißt es, dass Aufzeichnungen und sonstige Belege fünf Jahre aufzubewahren sind, soweit nicht andere gesetzliche Bestimmungen eine längere Frist vorsehen. Das gilt auch für die Ausweiskopien. Nach spätestens 10 Jahren müssen die Institute die Kopien aber vernichten.

Es gibt bei der Aufnahme solcher Kopien aber auch eine datenschutzfreundliche Variante, erklärt Clemens Grünwald, Senior Berater Datenschutz von der datenschutz nord Gruppe gegenüber iRights.info. Nach Paragraf 8 Absatz 2 GwG ist neben einer Kopie auch das Vor-Ort-Auslesen mit Anfertigung eines Vermerks möglich.

Online-Verifizierung mit dem Postident-Verfahren

Eine Alternative zur Ausweiskopie ist eine Online-Verifizierung. Ein Beispiel für eine Verifizierung nach dem Geldwäschegesetz ist das Postident-Verfahren der Deutschen Post AG. Das Verfahren wird von Auftraggeber*innen, wie etwa Banken oder Kreditinstituten eingesetzt, um potenzielle Kund*innen für eine Kontoeröffnung zu identifizieren.

Nach ihren Allgemeinen Geschäftsbedingungen speichert die Post die sogenannten Postident-Daten, „um diese zum ordnungsgemäßen Ermitteln, Abrechnen und Auswerten, sowie zum Nachweis der Richtigkeit von Leistungsentgelten (Entgeltdaten) zu verwenden, bzw. um diese dem Auftraggeber zur Verfügung zu stellen.“

Die hochgeladenen Ausweisdokumente löscht die Post nach maximal 90 Tagen, die Videoaufzeichnungen nach maximal 30 Tagen.

Schwärzen ist erlaubt

Auch für einen neuen Handy- oder Internetvertrag müssen sich Nutzer*innen durch ein Ausweisdokument identifizieren. Die Regelungen dazu sind im Telekommunikationsgesetz (TKG) geregelt. Der Telekommunikationsanbieter kann das Vorzeigen eines amtlichen Ausweises verlangen, wenn dies zur Überprüfung der Angaben der Teilnehmerin erforderlich ist und eine Kopie erstellen. Diese ist aber zu vernichten, sobald die für den Vertragsabschluss erforderlichen Angaben festgestellt wurden.

Eine Pflicht zur Überprüfung der Daten, zum Beispiel durch Vorlage des Ausweises, besteht bei im Voraus bezahlten Mobilfunkdiensten, wie zum Beispiel bei Prepaid-Handys. Damit soll der Missbrauch von SIM-Karten verhindert werden: Zum Beispiel sollen potenziellen Attentäter*innen durch die Ausweispflicht daran gehindert werden, mit falschen Angaben SIM-Karten registrieren zu können.

Dazu prüft der Anbieter auch Daten wie die Ausweisnummer, die ausstellende Behörde und den Ausstellungsort und fordert dazu eine Kopie. Die übrigen Daten, die auf dem Ausweis vermerkt sind, wie Augenfarbe oder die Körpergröße, können Inhaber*innen auf der Kopie schwärzen. Gemäß der Datenschutzerklärung von o2 löscht das Unternehmen die Kopie nach sieben Tagen.

Auch beim Carsharing?

Aber auch bei anderen Anbieter*innen, für die das Gesetz nicht vorsieht, dass die Kund*innen sich durch einen Ausweis identifizieren müssen, kann es zulässig sein, eine Ausweiskopie anzufertigen.

Nach dem Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen sind Ausweiskopien beispielsweise bei Carsharing-Anbietern  unter folgenden Voraussetzungen zulässig: Die Ausweiskopie muss erforderlich sein, das Unternehmen darf die Kopie allein zum Zweck der Identitätsprüfung verwenden und die Kopie muss als solche erkennbar sein.

Beim Carsharing ist eine Identifizierung insbesondere deshalb erforderlich, weil die Anbieter die Autos nur Personen überlassen dürfen, die eine Fahrerlaubnis haben. Auch ist es wichtig, bei einem Unfall die beteiligten Personen ermitteln zu können.

Ausweiskopie via E-Mail

Während der Corona-Pandemie hat die digitale Verifizierung von Personen zudem stark zugenommen. So verlangt etwa die Universitätsbibliothek der Technischen Universität in Berlin eine Personalausweiskopie per E-Mail, um einen Bibliotheksausweis zu erhalten.

Auf Anfrage erklärte die TU-Bibliotheksstelle, dass die Nutzung der Mail-Verifizierung nur vorübergehend während der Pandemie gefordert ist. Alle Nutzer*innen, die die Dienste der Universitätsbibliothek (UB) nutzen, müssen der Benutzungsordnung zugestimmt haben.

Antragsteller*innen werden von der Bibliothek zuvor darauf hingewiesen, dass E-Mails nicht verschlüsselt sind, und darauf, dass alle Angaben außer Namen, Geburtsdatum, Anschrift und Gültigkeitsdauer auf der Kopie zu schwärzen sind. Die Kopien bearbeitet ein Ticketsystem der Bibliothek, welches alle Angaben zur Person nach sechs Monaten löscht.

Sollte eine Institution oder ein Unternehmen eine Verifizierung per E-Mail verlangen, sollte man diese nur mit verschlüsselter Mail oder einem Passwortschutz verschicken, rät Clemens Grünwald von der Datenschutz Nord Gruppe. Außerdem ist es ratsam, die Kopie mit einem deutlich sichtbaren Verweis, dass es sich um eine Kopie handelt und für welchen Zweck die Kopie benutzt werden darf, zu versehen.

Bundesregierung plant neue Smart eID-Lösung

Wie steht es eigentlich um eine praktische, digitale Alternative zur Ausweiskopie? Der elektronische Personalausweis (eID) erreichte nicht die erhoffte Akzeptanz in der Gesellschaft – daher wird jetzt an einer benutzerfreundlicheren Lösung gearbeitet, die eine Identifikation durch ein Smartphone ermöglicht.

Wie der Tagesspiegel Background berichtet, arbeitet die Bundesregierung weiter an dem Projekt „Digitale Identitäten“. Noch sind allerdings Sicherheitsfragen und die notwendige Zusammenarbeit mit den Geräteherstellern offen.

Kritiker*innen des Projekts bemängeln, dass die genutzte Self-Sovereign-Identity-Technology sicherheitstechnisch noch nicht ausreichend geprüft ist. Eine solche Technologie erlaubt es, digitale Identitäten dezentral abzuspeichern, sodass die Inhaber*innen die Daten vollständig kontrollieren und es so keine vermittelnde Instanz für die Freigabe oder Verwendung der Daten braucht.

Fazit

Eine Ausweiskopie ist gegenüber Telekommunikationsanbietern oder Finanzdienstleistern gesetzlich vorgeschrieben. Alternativ kann der Ausweis bei Finanzdienstleistern auch vor Ort vorgezeigt werden.

Ausweis-Inhaber*Innen sollten bei diesen und auch bei allen weiteren Unternehmen prüfen, ob Angaben auf dem Personalausweis geschwärzt werden können. In vielen Fällen ist es bereits ausreichend, sich durch Angaben zu Namen, Anschrift und Geburtstag und Ort zu identifizieren.

| | | , , , ,