PAuswG: Wann Ausweisdokumente kopiert und verarbeitet werden dürfen

Geschrieben von Alexander Hönsch, veröffentlicht am 17.09.2020

Der Personalausweis dient in der Regel dazu, die Identität des Inhabers nachzuweisen. Doch die hierfür geltenden gesetzlichen Anforderungen werden nicht immer beachtet. In diesem Beitrag erfahren Sie, wann und in welchem Umfang Personalausweise zu Auskunftszwecken gem. der DSGVO verarbeitet werden dürfen.

Auskunftsrecht der Betroffenen

Im Kapitel 3 der DSGVO werden dem Betroffenen verschiedene Rechte gegenüber dem Verantwortlichen eingeräumt, unter anderem das Recht auf Auskunft nach Art. 15 DSGVO, wonach die betroffene Person das Recht hat, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob betreffende personenbezogene Daten verarbeitet werden. Damit aber nur die richtige Person diese Auskunft erhält, muss der Verantwortliche die Identität der anfragenden Person feststellen können. So stellt sich die Frage für den Verantwortlichen, welche Mittel ihm zur Verfügung stehen, um die anfragende Person zu legitimieren.

In der Praxis wird die Identität der Person beispielsweise durch die Vereinbarung einer Sicherheitsfrage oder die telefonische Abfrage eines Telefon-PIN festgestellt. (Mehr zu diesem Thema erfahren Sie in diesem Blogbeitrag: https://webersohnundscholtz.de/millionenbussgeld-gegen-11/). Bei elektronischen Anfragen ist es üblich, die Legitimation durch den Abgleich der vorhandenen E-Mail-Adresse mit der E-Mail-Adresse der anfragenden Person zu bestätigen. Sind sie identisch, kann man davon ausgehen, dass es sich um die richtige Person handelt.

Nach Art. 12 Abs. 6 DSGVO kann der Verantwortliche bei begründete Zweifel an der Identität der betroffenen Person, die einen Antrag auf Auskunft stellt, zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Doch stellt der Personalausweis ein geeignetes Mittel dar, eine Person zu Auskunftszwecken zu identifizieren?

Was besagt das Personalausweisgesetz?

Das Personalausweisgesetz (PAuswG) regelt die Ausweispflicht und den Inhalt von Personalausweisen, ihre Gültigkeitsdauer, die Führung von Personalausweisregistern sowie die Nutzung der Ausweisdaten. Mit Inkrafttreten der Neufassung des Personalausweisgesetzes am 1. November 2010 wurden mehrere Änderungen für den neuen elektronischen Personalausweis vorgenommen. So darf laut § 1 Abs. 1 S. 3 PAuswG grundsätzlich nicht mehr vom Ausweisinhaber verlangt werden, den Personalausweis als Sicherheit zu hinterlegen oder aus sonstigen Gründen aus der Hand zu geben. Ablichtungen sowie Scans von Personalausweisen richten sich nach § 20 Abs. 2 PAuswG, wonach die Ablichtung eindeutig und dauerhaft als Kopie erkennbar sein muss und nicht an Dritte weitergegeben werden darf. Werden durch Ablichtung personenbezogene Daten aus dem Personalausweis erhoben oder verarbeitet, so darf die datenerhebende oder -verarbeitende Stelle dies nur mit Einwilligung des Ausweisinhabers tun. Zudem ist es öffentlichen wie  nicht  öffentlichen  Stellen verboten,  den  Ausweis  „zum  automatisierten  Abruf“  oder  „zur  automatisierten  Speicherung  personenbezogener Daten“ zu verwenden, mit Ausnahme der Verwendung des elektronischen Identitätsnachweises.

Das neue Personalausweisgesetz unterscheidet also zwischen der Verwendung des Personalausweises bzw. einer Ausweiskopie zur Identitätsprüfung, und die darüber hinaus gehende Erhebung und Verarbeitung der auf dem Ausweis vorhandenen personenbezogenen Daten. Letzteres kann gem. § 20 Abs. 2 PAuswG i.V.m. Art. 6 Abs. 1 lit. a) DSGVO ausschließlich mittels Einwilligung der betroffenen Person erfolgen.

Laut dem Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) soll auf die Anforderung von Ausweiskopien verzichtet werden, wenn z.B. ein Auskunftsverlangen in unmittelbarem zeitlichem Zusammenhang (bis zu vier Wochen) mit einer Benachrichtigung steht, oder auch bei reinen Negativauskünften.

Wird dennoch der Ausweis abgelichtet, ist der Ausweisinhaber auf die Möglichkeit und Notwendigkeit der Schwärzung hinzuweisen, sodass der Grundsatz der Datenminimierung auch in diesem Fall gewährleistet wird.

Fazit

Grundsätzlich dienen Ausweise ausschließlich der Identifikation vor Ort, sodass das Kopieren bzw. das Verarbeiten der dort befindlichen Daten zu unterlassen ist. Die zur Identifikation erhaltenen zusätzlichen Informationen über die betroffene Person darf der Verantwortliche ausschließlich zum Zweck der Identifizierung verwenden und hat sie nach Identifizierung unverzüglich zu löschen.

Werden nach erteilter Einwilligung die Daten des Ausweises verarbeitet, ist der Ausweisinhaber nach Art. 13 DSGVO ausreichend über die Datenverarbeitung in der Form eines Datenschutzhinweises zu informieren. Zudem sollte die eingeholte Einwilligung dokumentiert werden, nicht zuletzt deswegen, um bei Streitigkeiten gegenüber der Aufsichtsbehörde und dem Betroffenen das datenschutzkonforme Vorgehen nachweisen zu können.