Die Identifikation mit Ausweis- und Passkopien ist ein datenschutzrechtlich nach wie vor nicht abschließend geklärtes Thema. Wie in einem unserer früheren Beiträge dargestellt, darf der Personalausweis abgesehen von bestimmten gesetzlichen Ausnahmen für Banken und Telekommunikationsanbieter grundsätzlich nicht kopiert, eingescannt oder gespeichert werden. Grundlage für diese Rechtsauffassung ist u.a. eine Entscheidung des Verwaltungsgerichts Hannover vom 28. November 2013. Das Scannen und Speichern von Personalausweisen wurde hierin als ein schwerwiegender Verstoß gegen die datenschutzrechtlichen Bestimmungen des Personalausweisgesetzes angesehen.

Datenschutzkonforme Legitimation bei Auskunfteien?

Ein Fall, der in diesem Zusammenhang für Schlagzeilen sorgte, betrifft die Auskunftei Infoscore. Infoscore hat nach eigenen Angaben in erheblichem Umfang Daten von 7,8 Millionen Verbrauchern gespeichert, die auch Hinweise auf deren finanzielle Schwierigkeiten geben. Das Bertelsmann-Tochterunternehmen sieht nach Einschätzung von Kritikern nur relativ geringe Hürden für die Abfrage gespeicherter Scoringwerte zur Bonitätsprüfung vor. Bislang bedurfte es für eine online erhältliche „Mieterselbstauskunft“ nur der Angabe des Namens, des Geburtsdatums und der Anschrift. Zusätzlich wurde eine gültige Handynummer zum Versand einer Kontroll-SMS verlangt, was aus Sicht von Datenschützern allerdings nicht ausreichend war. Eine Ausweiskopie war nicht zwingend erforderlich, sondern wurde nur auf freiwilliger Basis angefragt. Infoscore hatte hierauf bislang verzichtet, weil die zuständige Aufsichtsbehörde die Einholung einer Kopie gegenüber der Auskunftei für unzulässig erklärt hatte.

Die Anforderungen zur Einholung sensibler Daten waren bei Infoscore somit vergleichsweise gering. Andere Auskunfteien wie die Schufa verlangen im Gegensatz dazu eine Kopie des Personalausweises. Allerdings ist auch dieses Vorgehen – wie eingangs dargestellt – nur in Ausnahmefällen datenschutzrechtlich zulässig. Damit entsteht an dieser Stelle ein Interessenkonflikt zwischen demjenigen, der über eine andere Person Auskünfte haben möchte und hierfür seine Ausweisdaten zur Verfügung stellen soll und den personenbezogenen Daten desjenigen, über den Auskunft begehrt wird.

Die zuständige Aufsichtsbehörde in Baden-Württemberg hat Infoscore inzwischen zu einer Stellungnahme aufgefordert, zu der soweit nichts Näheres bekannt ist. Infoscore verweist gegenüber den Medien auf die potentielle Strafbarkeit derjenigen, die die vorgesehenen Sicherheitsvorkehrungen mit krimineller Energie umgehen. Bis zur Klärung der Vorwürfe wurde der umstrittene Online-Dienst vom Netz genommen. Mögliche rechtliche Konsequenzen des Datenlecks – wie die Verhängung eines Bußgeldes durch die Aufsichtsbehörde – bleiben abzuwarten.

Strenge datenschutzrechtliche Anforderungen für Selbstauskünfte

Weiterführende Hinweise zur Zulässigkeit von Ausweiskopien ergeben sich aus dem Ende Februar 2015 veröffentlichten Leitfaden „Personalausweis und Datenschutz“ des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).

Im Fall von Selbstauskunftsersuchen gegenüber Wirtschaftsauskunfteien nach § 34 BDSG wird hervorgehoben, dass nur Auskünfte an die betroffenen Personen erteilt werden dürfen und nicht an neugierige Dritte. Um einen Datenmissbrauch zu verhindern und eine zulässige Auskunft zu erhalten, kann ein Identitätsnachweis gegenüber dem Unternehmen erforderlich sein. Zur Anforderung einer Ausweiskopie weist das LDI auf folgende Voraussetzungen hin:

  • Die Kopie muss im Einzelfall erforderlich sein. Dies ist dann nicht der Fall, wenn der Personalausweis ohne großen Aufwand vor Ort vorgezeigt und eingesehen werden kann.
  • Zweckbindung der Identifizierung: Das Unternehmen darf die Ausweiskopie nur zum Zweck der Identitätsprüfung verwenden, eine weitergehende Nutzung ist rechtswidrig.
  • Erkennbarkeit der Kopie: Die Ausweiskopie muss als solche erkennbar sein (beispielsweise durch den Aufdruck: „Kopie“). Sie darf nicht den Eindruck erwecken, als handele es sich dabei selbst um ein Ausweisdokument.
  • Schwärzung von Angaben: Grundsätzlich sind nur der Vor- und Nachname und die Anschrift zur Identifizierung erforderlich. Die übrigen Daten dürfen und sollen geschwärzt werden.
  • Sofortige Vernichtung: Das Unternehmen hat die Ausweiskopie nach erfolgter Identifizierung unverzüglich zu vernichten.
  • Verbot automatisierter Speicherung: Eine automatisierte Speicherung der Ausweisdaten ist nach § 20 Abs. 2 Personalausweisgesetz (PAuswG) und auch nach der dargestellten Rechtsprechung des Verwaltungsgerichts Hannover unzulässig.

Fazit

Das LDI stellt in Übereinstimmung mit dem Verwaltungsgericht Hannover strenge Voraussetzungen an die Kopie von Ausweisdokumenten. Bezogen auf das Datenleck bei Infoscore bedeutet dies, dass eine Ausweiskopie nur ausnahmsweise zum Identitätsnachweis angefordert werden darf. Damit sind Auskunftsersuchen bei Auskunfteien enge Grenzen gesetzt, so dass die Interessenabwägung im Zweifel zugunsten desjenigen ausfällt, über den Auskunft begehrt wird.

Es ist in jedem Fall begrüßenswert, dass nunmehr mit dem Leitfaden des LDI mehr Klarheit bei der bislang datenschutzrechtlich nicht ganz eindeutigen Zulässigkeit von Ausweiskopien geschaffen wurde.

Update 20.04.2018:

Waren Ausweiskopien/Ablichtungen in Deutschland lange Zeit datenschutzrechtlich umstritten, sind sie seit Juli 2017 unter zwei Bedingungen zulässig (§ 20 Abs.2 Personalausweisgesetz):

  • Nur der Ausweisinhaber oder eine andere Person mit der Zustimmung des Ausweisinhabers darf die Kopie erstellen.
  • Die Kopie muss eindeutig und dauerhaft als solche erkennbar sein.

Zu beachten ist, dass nur der Ausweisinhaber die Kopie an Dritte weitergeben darf und jede Verarbeitung von personenbezogenen Daten aus dem Ausweis der Einwilligung des Ausweisinhabers bedarf. Analog verhält es sich mit Passkopien (§ 18 Abs. 3 Passgesetz).