Was Sie beachten sollten, bevor Sie eine Perso-Kopie weitergeben

Inhaltsverzeichnis

Sie kennen es vielleicht vom Hoteltresen: Bisweilen genügt es nicht, die Nummer des Personalausweises auf dem Check-in-Bogen einzutragen. Manche Hotels wollen unbedingt eine Kopie anfertigen, die dann auf unbestimmte Zeit zusammen mit der Anmeldung im Aktenordner verschwindet – datenschutzrechtlich eine mehr als zweifelhafte Praxis.

Dennoch hat sich diese aus der Offlinewelt bekannte Absicherung der Identität längst auch online etabliert – ein Ausweis lässt sich im Flachbettscanner schnell digital kopieren und via E-Mail verschicken. Zudem gelten alternative Verfahren als aufwendiger, wenig verbreitet (E-Perso) oder nicht ausreichend sicher (Videoident). Und gerade im Onlinebusiness wollen Anbieter ihre Zugangsschwellen so niedrig wie möglich halten. Doch auf dem Personalausweis finden sich einige Informationen, mit denen man nicht allzu freizügig umgehen möchte und sollte. Deshalb geben wir Ihnen im Folgenden einen Überblick, wo und wie Sie off- und online Ausweiskopien weitergeben können und mitunter sogar müssen.

Personalausweis ist Pflicht

Der Gesetzgeber hat viele Fragen im "Gesetz über Personalausweise und den elektronischen Identitätsnachweis" (kurz: "Personalausweisgesetz" oder PAuswG) beantwortet. Demnach muss jeder deutsche Staatsangehörige ab dem Alter von 16 Jahren einen Personalausweis oder Reisepass besitzen. Die Ausweise bleiben allerdings Eigentum der Bundesrepublik. Grundsätzlich gilt: Niemand darf vom Ausweisinhaber verlangen, das Dokument zu hinterlegen oder in sonstiger Weise "den Gewahrsam aufzugeben". Folglich verbietet das PAuswG beispielsweise, den Ausweis als Pfand für eine Leihe oder Miete einzuziehen.

Bis 2010 war es verboten, Ausweiskopien anzufertigen. Seitdem gestattet das PAuswG grundsätzlich diese Praxis – allerdings nur, wenn der Inhaber selbst die Kopie anfertigt oder dem zumindest explizit zustimmt. Empfänger der Kopie dürfen diese keinesfalls an Dritte außerhalb der eigenen Organisation weitergeben.

Die Kopie muss laut Gesetz "eindeutig und dauerhaft als Kopie erkennbar" sein. Mit allzu realitätsnahen Ablichtungen bewegt man sich sogar schnell im strafrechtlich relevanten Bereich. Gleich vier Vorschriften im Strafgesetzbuch (StGB) stellen das Verändern, Fälschen, Verschaffen oder Missbrauchen von Ausweispapieren unter teils rigide Strafen. So steht auf das Verschaffen von amtlichen Ausweisen nach Paragraf 276 StGB eine Freiheitsstrafe bis zu zwei Jahren oder eine Geldstrafe.

Perso und Datenschutz

Mit Namen, Geburtsdatum und Wohnort sowie biometrischen Informationen wie Augenfarbe und Körpergröße enthält der Personalausweis zahlreiche personenbezogene Daten, die in den Anwendungsbereich des Datenschutzrechts fallen. Sie lassen die Identifikation des Ausweisinhabers zu. Auch die Seriennummer und das Lichtbild gehören in diese Kategorie. Logisch also, dass die strengen Vorschriften der Datenschutz-Grundverordnung (DSGVO) einen allzu freigiebigen Umgang mit dem Dokument einschränken.

Ohnehin ist es nur sehr selten nötig, mit der Kopie alle Angaben auf einem Personalausweis zu erfassen und weiterzugeben. Sie sollten deshalb in jedem Einzelfall prüfen, welche Daten für das Gegenüber tatsächlich erforderlich sind, um Sie für den konkreten Anlass zu identifizieren. Muss etwa wirklich der Geburtsort, die Augenfarbe und Größe oder die Seriennummer des Ausweises vorhanden sein? Falls nicht, sollten Sie die Angaben auf der Kopie schwärzen – und zwar irreversibel.

Nutzen Sie dazu nicht etwa einen PDF-Editor, sondern drucken Sie die Kopie aus, schwärzen Sie die Zeilen mit einem schwarzen Filzstift und scannen Sie das Ergebnis nochmals. Gerade wenn Sie die Kopie an Ihrer Arbeitsstätte fertigen, sollten Sie im Hinterkopf behalten, dass moderne Büroscanner und Kopierer die Ablichtung oft dauerhaft auf ihrer internen Festplatte speichern.

Im europäischen Datenschutz gilt, dass personenbezogene Daten nur dann verarbeitet werden dürfen, wenn dafür eine Rechtsgrundlage existiert. Den Umgang mit Informationen in Personalausweisen regelt nicht nur das PAuswG, sondern es greifen auch viele andere Gesetze, die für besondere Situationen Regeln definieren. Im Folgenden finden Sie die häufigsten Anwendungsfälle.

Wesentliche Einsatzbereiche der Identitätsprüfung

Kredit- und Finanzwirtschaft

Im Finanzbereich sieht das Geldwäschegesetz (GwG) umfangreiche Pflichten zur Identitätsprüfung der Kundschaft vor. Die gilt insbesondere, wenn man eine Geschäftsbeziehung begründet. Neben Finanzdienstleistern müssen unter anderem auch Versicherungsunternehmen, Steuerberater und Immobilienmakler ihre Klienten hinreichend identifizieren.

Dafür holen sie eine Reihe von Informationen ein. Bei natürlichen Personen sind das Name, Geburtsort, Geburtsdatum, Staatsangehörigkeit sowie eine postalische Anschrift. § 11 GwG legt fest, dass die Überprüfung "anhand eines gültigen amtlichen Ausweises, der ein Lichtbild des Inhabers enthält und mit dem die Pass- und Ausweispflicht im Inland erfüllt wird", erfolgen muss. Den strengen Anforderungen des GwG genügt außer persönlichem Erscheinen auch das Postident-Verfahren oder die Ausweis-App. Eine Ausweiskopie zu übermitteln reicht nicht und ist deshalb unnötig.

Mehr zur digitalen Identität

• Was Sie beachten sollten, bevor Sie eine Perso-Kopie weitergeben
• Der aktuelle Stand bei digitalen Ausweisen
• Karten digitalisieren für mehr Platz im Portemonnaie
• EUid: Die umstrittenen Pläne für eine europäische digitale Identität
• Schnell und einfach rechtssichere biometrische Signaturen erzeugen
• Self-Sovereign Identity: sichere digitale Identität oder Blockchain-Hokuspokus?
• Das Wettrennen der Anbieter für die digitale Identität
• Digitale Vertragsschlüsse aus rechtlicher Sicht
• Wie Sie Ihre digitale Identität schützen

Telekommunikationsanbieter

Anbieter von Telekommunikationsleistungen, etwa Zugangsanbieter, verlangen bei Vertragsschluss von Neukunden oft, dass sie einen amtlichen Ausweis vorlegen. Das ist legitim und ergibt sich aus § 7 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG). Fragt der Anbieter online nach einer Kopie, sollten Sie Teile daraus schwärzen, denn laut Gesetz sind für den Vertragsschluss nur Vorname, Nachname, Anschrift und Geburtsdatum nötig.

Etwas weiter gehen die Pflichten, wenn Sie einen Prepaid-Mobilfunkvertrag abschließen. Anbieter trifft die Registrierpflicht; sie müssen die von ihnen erhobenen Daten vor der Freischaltung überprüfen und dauerhaft speichern. Dieser Pflicht können sie nach § 172 des Telekommunikationsgesetzes (TKG) unter anderem nachkommen, indem der Kunde persönlich einen Personalausweis vorlegt oder mittels Postident. Eine elektronisch übermittelte, teilgeschwärzte Ausweiskopie genügt den Anforderungen nicht.

Check-in im Hotel

Das Bundesmeldegesetz (BMG) sieht vor, dass Hotels und "vergleichbare Beherbergungsstätten" persönliche Angaben zu den Gästen in einem Meldeschein dokumentieren müssen. Daraus ergibt sich aber weder eine Rechtsgrundlage noch gar eine Pflicht dazu, dass Kunden ihnen den Personalausweis oder ein anderes Bilddokument vorlegen müssen.

Hotels müssen keineswegs kontrollieren, ob die Angaben der Gäste korrekt sind. Bei Gästen aus dem Ausland gelten andere Regeln. Hier muss das Hotel gemäß BMG die Angaben anhand eines vorgelegten Identitätsdokuments prüfen. Allerdings darf es auch in diesem Fall keine Kopie anfertigen.

Jugendschutz

Auch das Jugendschutzgesetz (JuSchG) enthält Pflichten zur Überprüfung von Daten. Nach § 2 JuSchG muss ein Verkäufer oder ein Veranstalter im Zweifelsfall das Alter einer Person prüfen. Diese Pflicht besteht für ihn dann, wenn er nachvollziehbare Zweifel am Alter der Person hegt. Solche Zweifel existieren naturgemäß immer, wenn sich die Vertragsparteien nicht persönlich begegnen, etwa an Zigarettenautomaten. In derartigen Fällen kann die elektronische Altersvalidierung mittels Personalausweis helfen.

Bei Onlinegeschäften genügt es keinesfalls, dass der Händler eine Ausweiskopie via Mail oder Upload anfordert – diese Methode gilt nicht als hinreichend fälschungssicher. Das hat der Bundesgerichtshof (BGH) bereits 2007 festgestellt (Az. I ZR 18/04). Möchte ein Händler beispielsweise jugendgefährdende Schriften vertreiben, muss er anders validieren, dass seine Kunden erwachsen sind. Als rechtssicher gelten etwa Prüfungen mit Videoident-Verfahren, nicht aber die bloße Eingabe von Ausweisdaten oder eine Kopie des Dokuments.

Vermietung von Wohnraum

Bei der dauerhaften Vermietung von Wohnraum besteht ein berechtigtes Interesse des Vermieters, die angegebene Identität des Mieters zu kontrollieren. Hierfür kann ein Blick auf einen Lichtbildausweis erforderlich und erlaubt sein. Allerdings: Der Vermieter darf die Ausweisdaten nicht erfassen, schon gar nicht darf er eine Kopie des Ausweises verlangen und dauerhaft aufbewahren.

Selbstauskünfte

Nach Art. 15 DSGVO kann jede Person bei Unternehmen Auskünfte bezüglich der Daten einholen, die dieses über sie gespeichert hat. Um eine solche Auskunft erteilen zu können, muss das Unternehmen als "Verantwortlicher" im DSGVO-Sinn allerdings sicherstellen, dass es die Daten tatsächlich an den Betroffenen herausgibt, nicht etwa an einen Stalker. Die DSGVO sieht daher vor, dass der Verantwortliche bei begründeten Zweifeln an der Identität des Anfragenden zusätzliche Informationen anfordern muss.

Ein begründeter Zweifel dürfte beispielsweise dann vorliegen, wenn die Anfrage lediglich via E-Mail eintrifft und neben dem Namen keine zusätzlichen Angaben wie eine Kundennummer enthält. Die niedersächsische Datenschutzbehörde etwa bestätigte für diesen Fall, dass das Unternehmen eine Kopie des Personalausweises erbeten kann. Hier sollten Sie nicht erforderliche persönliche Daten wie Augenfarbe, Größe, Seriennummer und Unterschrift schwärzen. Das Unternehmen muss die Kopien unmittelbar nach einmaliger Sichtung löschen.

c’t – Europas größtes IT- und Tech-Magazin

Alle 14 Tage präsentiert Ihnen Deutschlands größte IT-Redaktion aktuelle Tipps, kritische Berichte, aufwendige Tests und tiefgehende Reportagen zu IT-Sicherheit & Datenschutz, Hardware, Software- und App-Entwicklungen, Smart Home und vielem mehr. Unabhängiger Journalismus ist bei c't das A und O.

• c’t-Ausgaben online lesen
• c’t im heise-Shop kaufen

Onlineversand von Ausweiskopien

Mahnung des Ministeriums

Auf Anfrage von c’t äußerte sich das für Ausweisangelegenheiten zuständige Bundesinnenministerium (BMI) übrigens sehr skeptisch, was den Onlineversand von Ausweiskopien angeht: "Die Authentifizierung von Personen im Rahmen von Onlinedienstleistungen auf Basis einer Ausweiskopie – ungeachtet von geschwärzten Angaben auf der Kopie – wird vom Bundesministerium des Innern und für Heimat nicht empfohlen", teilte eine Sprecherin mit.

Wenn es denn aber einmal sein muss, empfiehlt auch das BMI, möglichst umfangreich zu schwärzen. Außerdem "sollte berücksichtigt werden, dass in diesen Fällen Kommunikationswege über das offene Internet vermieden werden sollten". Sprich: Das BMI legt nahe, Ausweiskopien nur Ende-zu-Ende-verschlüsselt zu versenden.

Die Bürger sollen der Antwort des BMI zufolge außerdem berücksichtigen, dass das PAuswG im Ausland nicht gilt und deshalb Vorsicht walten lassen, wenn sie Kopien an ausländische Anbieter senden. "Zudem wird darauf hingewiesen, dass ein gleichwertiger Datenschutzstandard grundsätzlich nur zwischen den EU-Mitgliedsstaaten besteht", mahnt das Ministerium.

Update vom 6.2.2023: Anders als im Artikel ursprünglich dargestellt ist der Besitz eines Personalausweises für jeden deutschen Bürger ab dem Alter von 16 Jahren nicht verpflichtend. Gemäß § 1 Abs. 2 Personalausweisgesetz genügt auch der Besitz eines gültigen Reisepasses oder vorläufigen Reisepasses. (hob)