Dürfen Ausweise überhaupt kopiert werden? Und wenn ja, was ist dabei aus datenschutzrechtlicher Sicht zu beachten?

Die spanische Datenschutzbehörde verhängte im September 2022 gegen eine Bank ein Bußgeld in Höhe von €42.000, weil diese zu Unrecht eine Ausweiskopie angefordert hatte. Man hatte die Betroffene über eine Kontobewegung informiert. Als sie sich bei der Bank hierzu meldete, verwies man sie auf eine andere Abteilung. Um die Kontaktdaten der zuständigen Stelle zu erhalten, sollte die Kundin eine Ausweiskopie übermitteln. Dies wurde von der Aufsichtsbehörde als Verstoß gegen den Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO gewertet. Zudem wurde in Frage gestellt, ob die Datenverarbeitung für die Zweckerreichung erforderlich ist. Wir nehmen die vorgenannte Entscheidung zum Anlass auf folgende Fragen einzugehen: Dürfen Ausweise überhaupt kopiert werden? Und wenn ja, was ist dabei aus datenschutzrechtlicher Sicht zu beachten?

Gesetzliche Ausgangslage in Deutschland

Bis Juli 2017 wurde aus § 18 Abs. 2 PassG und § 20 Abs. 2 PAuswG für nichtöffentliche Stellen ein gesetzliches Verbot für Ablichtungen von Ausweisen gefolgert. Dieses Verbot wurde mit einer Gesetzesänderung aufgehoben. Eine Ablichtung (im Sinne von fotokopieren, fotografieren oder einscannen) von Ausweisdokumenten wie Reisepass oder Personalauswies ist aber auch aktuell nicht ohne weiteres zulässig.

Es sind unter anderem folgende Vorgaben zu beachten:

  • Eine Ablichtung darf nur vom Ausweisinhaber oder von einer anderen Person mit dessen Zustimmung
  • Die Ablichtung muss eindeutig und dauerhaft als Kopie erkennbar sein (z.B. bloße Schwarzweißablichtung; Anbringung des Vermerks „Kopie“).
  • Eine Weitergabe der Kopie an Dritte durch andere Personen als den Ausweisinhaber ist untersagt.
  • Eine Datenverarbeitung in Zusammenhang mit der Ablichtung des Ausweises darf nur auf Grundlage einer Einwilligung des Ausweisinhabers erfolgen.

Ein direktes Recht oder eine Pflicht solche Ablichtungen anzufertigen, ergibt sich weder aus § 18 Abs. 3 PassG noch aus § 20 Abs. 2 PAuswG. Zwar können nichtöffentliche Stellen wie Unternehmen Ausweise zur Identifizierung natürlicher Personen heranziehen. Allerdings genügt hierzu bereits, sich das Ausweispapier vorzeigen zu lassen. In diesem Zusammenhang sind auch die Bestimmungen des allgemeinen Datenschutzrechts zu beachten, welche nachfolgend näher beleuchtet werden sollen.

Ausweiskopien bei rechtlicher Verpflichtung

Die Ablichtung eines Ausweises stellt eine Datenverarbeitung im Sinne DSGVO dar, welche einer Rechtsgrundlage nach Art. 6 DSGVO bedarf. Dies ist der Fall, wenn eine rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO für die Datenverarbeitung besteht.

Es gibt gesetzlich geregelte Fälle, in denen Kopien von Ausweisen erstellt werden dürfen oder müssen. Dies sind zum Beispiel:

  • 8 Abs. 2 S. 2 Geldwäschegesetz (vgl. unseren Blogartikel hierzu);
  • 172 Abs. 2 Telekommunikationsgesetz für Anbieter von im Voraus bezahlter Mobilfunkdienste oder
  • 64 Fahrerlaubnis-Verordnung betreffend Identitätsnachweis bei Auskunftsantrag der betroffenen Person zu dem Inhalt des örtlichen oder zentralen Fahreignungsregisters.

Ausweiskopien auf Grundlage einer datenschutzrechtlichen Einwilligung

Möglicherweise können Ausweiskopien auf die Einwilligung der betroffenen Person gestützt werden. Für eine wirksame Einwilligung müssten die Bedingungen des Art. 7 DSGVO, insbesondere deren Freiwilligkeit, gegeben sein. Handelt es sich bei der betroffenen Person um Mitarbeiter des datenschutzrechtlich Verantwortlichen, ist nach den Vorgaben des § 26 BDSG bei der Beurteilung der Freiwilligkeit insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit zu beachten.

Zu berücksichtigende datenschutzrechtliche Grundsätze bei Ausweiskopien

Bei den Datenverarbeitungen in Zusammenhang mit der Ablichtung von Ausweiskopien sind darüber hinaus datenschutzrechtliche Grundsätze zu beachten.

So muss als Ausfluss des Transparenzgrundsatzes nach Art. 5 Abs. 1 lit. a DSGVO Informationspflichten nach Art. 13, 14 DSGVO nachgekommen werden. Betroffene Personen sind ausführlich über Zweck, Rechtsgrundlage und weiteres zu informieren.

Der Grundsatz der Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO besagt, dass Daten nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden. Eine darüberhinausgehende Datenverarbeitung ist unzulässig.

Zu beachten ist in diesem Zusammenhang, dass bei der unbeschränkten bzw. unzensierten Ablichtung eines Ausweises eine Reihe weiterer Daten (z.B. Ausweisnummer) erhoben werden, die für die Zweckerreichung oft nicht erforderlich sind. Es widerspricht dem Grundsatz der Datenminimierung aus Art. 5 lit. c DSGVO, wenn die Verarbeitung nicht auf das notwendige Maß beschränkt wird.

Es bedarf hier einer datenschutzrechtlichen Prüfung im Einzelfall, bei der der Datenschutzbeauftragte zu Rate gezogen werden sollte.

 

Falls Sie Fragen zu dem Thema Ausweiskopie oder zu anderen datenschutzrechtlichen Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.