DA+

Kurzbeitrag : Aus den Berichten der Aufsichtsbehörden (36): Sicher ist sicher? Zum Kopieren und Scannen von Personalausweisen : aus der RDV 4/2018, Seite 206 bis 209

Ausgewählt und kommentiert von Prof. Peter Gola*

Lesezeit 7 Min.

Seit der ab 15.07.2017 geltenden Fassung des PAuswG dürfen Ausweise grundsätzlich gescannt, fotografiert oder kopiert werden, soweit die Ablichtung als Kopie erkennbar ist und der Ausweisinhaber in die Datenerhebung eingewilligt hat. Die Ablichtung ist zu löschen, nachdem die Identifizierung durchgeführt wurde. Werden durch die Ablichtung personenbezogene Daten aus dem Personalausweis erhoben oder verarbeitet, so darf die datenerhebende oder -verarbeitende Stelle dies nur mit Einwilligung des Ausweisinhabers tun. Die Vorschriften des allgemeinen Datenschutzrechts über die Erhebung und Verwendung personenbezogener Daten bleiben unberührt (§ 20 Abs. 2 PAuswG). Der letze Satz macht deutlich, dass Voraussetzung für die Erfassung und Speicherung der Daten nach wie vor deren Erforderlichkeit ist. Sofern Ablichtungen auf der Grundlage des GwG erstellt werden, gelten spezielle Anforderungen.

I. Einchecken im Hotel

Demgemäß ist das Abverlangen eines Passes zwecks Anfertigung einer Kopie beim Einschecken im Hotel nach wie vor unzulässig. Häufig wird das Verlangen mit vermeintlich bestehenden melderechtlichen Pflichten begründet. Tatsächlich ist das Kopieren von Ausweisen zu diesem Zweck, wie der HessLDSB (46. TB, 2017, Ziff. 11.1) festhält, weder erforderlich und daher auch datenschutzrechtlich nicht zulässig. Etwas anderes gelte lediglich dann, wenn der Gast ausdrücklich und freiwillig in die Erstellung der Kopie einwilligt, woran bei Abverlangen der Erklärung als Voraussetzung des Eincheckens jedoch gezweifelt werden müsse.

Die Meldepflichten für kurzzeitige Aufenthalte in Beherbergungsstätten ergeben sich aus § 29 Abs. 2 und 3 i.V.m. § 30 des Bundesmeldegesetzes (BMG). Danach haben beherbergte Personen am Tag der Ankunft einen besonderen Meldeschein handschriftlich zu unterschreiben, der ausschließlich die in § 30 Abs. 2 BMG aufgeführten Daten enthält. Lediglich bei beherbergten ausländischen Personen ist im Meldeschein die Seriennummer des anerkannten und gültigen Passes oder Passersatzpapiers aufzuführen.

Zudem haben sich nur ausländische Gäste bei der Anmeldung gegenüber den Leitern der Beherbergungsstätten durch die Vorlage eines gültigen Identitätsdokumentes (anerkannter und gültiger Pass oder Passersatz) auszuweisen, und die Leiter der Beherbergungsstätten haben die Angaben im Meldeschein mit denen des Identitätsdokumentes zu vergleichen. Für inländische Gäste gelten diese Anforderungen hingegen nicht.

II. Einchecken bei einer Schiffsreise

Das Scannen des maschinenlesbaren Teils des Ausweisdokuments begründete ein der Aufsicht des Landesbeauftragten Mecklenburg-Vorpommern (8. TB nicht-öffentlicher Bereich, 2016/17, Ziff. 11.2) unterliegendes Kreuzfahrtunternehmen mit den Ziel, die Reisedokumente mit den vorhandenen Schiffsmanifestdaten abzugleichen und gegebenenfalls zu korrigieren. Nach diesem Abgleich würden die Daten aus dem Scan sofort gelöscht. Die maschinenlesbare Zone (Machine Readable Zone – MRZ) mit den Datensätzen Vorname, Name, Geburtsdatum, Staatsangehörigkeit, Kennzahl der ausstellenden Behörde, Dokumentenart und Seriennummer sowie Datum der Gültigkeit des Dokuments würden benötigt, um fremde Häfen während der Kreuzfahrt anlaufen zu können und diesbezüglich den internationalen Meldepflichten nachzukommen.

Nach § 20 Abs. 4 PAuswG und § 18 Abs. 4 Passgesetz (PassG) dürfen Beförderungsunternehmen personenbezogene Daten aus der maschinenlesbaren Zone des Personalausweises bzw. des Passes elektronisch nur auslesen und verarbeiten, soweit sie auf Grund internationaler Abkommen oder Einreisebestimmungen zur Mitwirkung an Kontrolltätigkeiten im internationalen Reiseverkehr und zur Übermittlung personenbezogener Daten verpflichtet sind. Biometrische Daten dürfen nicht ausgelesen werden.

Problematisch hierbei war, dass durch das vom Lesegerät gemachte Bild mehr personenbezogene Daten erhoben wurden, als erforderlich waren. Das waren beim neuen chipkartengroßen Personalausweis, bei dem sich die maschinenlesbare Zone auf der Rückseite befindet, die Augenfarbe, die Körpergröße, die Anschrift und das auf der Rückseite befindliche Laserkippbild.

Das Kreuzfahrtunternehmen nahm infolgedessen mit der Firma, die die Software für die Lesegeräte erstellt hatte, Kontakt auf und ließ die Software so umprogrammieren, dass nur noch die maschinenlesbare Zone der Dokumente aufgenommen wird, sodass nur noch die gesetzlich zulässigen Daten erhoben werden.

III. Anfertigung von Personalausweiskopien durch Banken

Banken sind nun dazu berechtigt und verpflichtet, unter bestimmten Voraussetzungen vollständige Kopien von Personalausweisen oder anderen Legitimationspapieren anzufertigen. Gleichwohl ist das Kopieren von Ausweisen durch Banken immer wieder Gegenstand von Beschwerden (HessLDSB, 46. TB, 2017, Ziff. 13.2), zumal mit der Änderung des Geldwäschegesetzes (GwG) vom 23.06.2017 Banken neue Pflichten bezüglich der Aufzeichnung und Aufbewahrung von Legitimationspapieren auferlegt wurden.

So sind Banken grundsätzlich verpflichtet, ihre Vertragspartner im Rahmen der Sorgfaltspflichten (§ 10 Abs. 1 Nr. 1 GwG) zu identifizieren. Die Identifikationsprüfung kann bei natürlichen Personen u.a. anhand eines gültigen amtlichen Ausweises, der ein Lichtbild des Inhabers enthält und mit dem die Pass- und Ausweispflicht im Inland erfüllt wird, erfolgen (§ 12 Abs. 1 Nr. 1 GwG).

Die Bank als Verpflichtete im Sinne dieses Gesetzes muss die zu diesen Zwecken erhobenen Angaben aufzeichnen und aufbewahren (§ 8 Abs. 1 Nr. 1a GwG). Soweit die Identität des Vertragspartners beispielsweise durch Vorlage eines Personalausweises überprüft worden ist, muss nun eine vollständige Kopie dieses Dokumentes angefertigt werden (§ 8 Abs. 2 Satz 2 GwG). Diese ist fünf Jahre aufzubewahren und nach Ablauf dieser Frist unverzüglich zu vernichten (§ 8 Abs. 4 Satz 1 GWG). Sofern die Daten bei der Begründung einer Geschäftsbeziehung erhoben worden sind, beginnt die Fünf-Jahresfrist mit dem Schluss des Kalenderjahres, in dem die Geschäftsbeziehung beendet wird (§ 8 Abs. 4 Satz 2 GWG), in allen anderen Fällen mit dem Schluss des Kalenderjahres, in dem die jeweilige Angabe festgestellt worden ist.

Damit kann die bislang vorherrschende datenschutzrechtliche Auffassung, eine Kopie des Personalausweises dürfe ausschließlich mit Einwilligung der betroffenen Person unter Hinweis auf die Möglichkeit der Schwärzung nicht benötigter Daten (Augenfarbe, Körpergröße etc.) erfolgen, insoweit nicht weiter aufrechterhalten werden. Mithin darf die/der Betroffene in vorgenannten Fällen nun die Anfertigung einer Ausweiskopie durch die Bank nicht mehr verweigern.

IV. Erhebung von Daten zu Vermögensverhältnissen bei einer Depot-Eröffnung

In einem anderen Fall hatte der Kunde sich gegenüber eine Direktbank bei der Eröffnung eines Wertpapierdepots nicht nur legitimieren müssen, sondern um das Depot anschließend nutzen zu können, Daten zu seinen Vermögensverhältnissen einzugeben. Eine Möglichkeit, diesen Prozess zu umgehen und das Depot ohne Eingabe dieser Daten zu nutzen, bestand nicht.

Eine Erhebung auf Grundlage eine Einwilligung war zunächst nach Ansicht des HessLDSB (46. TB, 2017, Ziff. 13. 1) nicht gegeben, da die Erhebung per Pflichtfeld erfolgte. Datenschutzrechtlich ist eine Einwilligung nur dann wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Von einer freien Entscheidung ist bei der Erhebung von Daten über Pflichtfelder hingegen nicht auszugehen.

Daten über die Vermögensverhältnisse von Wertpapierdepotkunden dürften jedoch nur per Pflichtfeld erhoben werden, sofern die Erhebung der Daten für die Durchführung des Vertragsverhältnisses erforderlich ist.

Hieran fehlte es. Das Unternehmen stützte zwar die Erhebung auf Regelungen aus dem Geldwäschegesetz (GwG) sowie dem Kreditwesengesetz (KWG). So sei die Überwachung der Geschäftsbeziehung durch die Direktbank auf unregelmäßige Transaktionen hin zu überprüfen. Um beurteilen zu können, ob eine Transaktion auffällig ist, sei es erforderlich, die Informationen über die Einkünfte und des Vermögens der Betroffenen vorliegen zu haben.

Diese Auffassung wurde von dem HessLDSB nicht geteilt. So sei zwar das Unternehmen verpflichtet, Transaktionen daraufhin zu überprüfen, ob die auffällig sind. Dieses beziehe sich aber auf die Transaktion an sich, nicht aber auf die Transaktion in Bezug auf die Einkommens- oder Vermögensverhältnisse der Betroffenen.

Die Bank hat daraufhin den Prozess der Depoteröffnung in der Form neugestaltet, dass keine Daten zu Vermögenswerten mehr erhoben und die bereits erhobenen Daten gelöscht werden.

V. Kopieren von Personalausweisen beim Schrotthandel als Nachweis für das Finanzamt?

Der LDSB Mecklenburg-Vorpommern (8. TB, nicht-öffentl. Bereich, 2016/2017, Ziff 6.7.1) stellte im Schrotthandel die Praxis fest, beim Ankauf von Altmetallen zum Zwecke der steuerlichen Berücksichtigung der Ausgaben die Ausweise der Zahlungsempfänger zu kopieren. Die Kopien wurden angefertigt, da man sich unsicher war, welcher Nachweis zur Person des Zahlungsempfängers für eine steuerliche Berücksichtigung durch die Finanzbehörden nach § 160 Abgabenordnung (AO) erforderlich sei.

Gemäß § 60 AO sind Schulden und andere Lasten, Betriebsausgaben, Werbungskosten und andere Ausgaben steuerlich regelmäßig nicht zu berücksichtigen, wenn der Steuerpflichtige dem Verlangen der Finanzbehörde nicht nachkommt, die Gläubiger oder die Empfänger genau zu benennen.

Das Finanzministerium teilte dazu nach mit den übrigen Landesfinanzministern geführten Erörterungen mit, dass es nicht zulässig sei, vom Steuerpflichtigen zum Zweck der Benennung und mithin des Nachweises von Gläubigern bzw. Zahlungsempfängern die Erstellung einer Kopie von deren Personalausweisen für steuerliche Zwecke zu verlangen. Inhaltliche Anforderung an die Benennung des Gläubigers bzw. Zahlungsempfängers sei laut § 160 AO lediglich eine „genaue“ Benennung. Das bedeute, dass ein Zahlungsempfänger im Einzelfall so genau bezeichnet werden muss, dass die Finanzbehörde ohne besondere Schwierigkeiten und ohne Zeitaufwand in der Lage ist, den Empfänger zu ermitteln. Ausreichend sei zum Beispiel die Vorlage des Personalausweises und Aufzeichnungen der nach § 160 AO zu erfassenden Daten.

Nach Kenntnis des Finanzministeriums hätten in Einzelfällen Schrotthändler (mit Einverständnis der Anlieferer) deshalb Kopien von Personalausweisen zu ihren Unterlagen genommen, um wegen der hohen Anzahl von Diebstählen in diesem Bereich bei laufenden behördlichen Überprüfungen nicht als Hehler in Verdacht zu kommen.

* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.