Was schon lange Zeit gängige Praxis war, wird nun – dankenswerterweise – auch vom Gesetzgeber legitimiert!
Nach der alten Rechtslage war das Anfertigen von Personalausweiskopien nur in einem sehr eng abgesteckten Rahmen erlaubt. Als Beispiel sind hier insbesondere geldwäscherechtlich relevante Sachverhalte zu nennen, die den Verantwortlichen von Gesetzes wegen, konkret gemäß § 8 Abs. 2 des Gesetzes über das Aufspüren von Gewinnen aus schweren Straftaten (Geldwäschegesetz – GwG) dazu verpflichten, im Rahmen der Identifizierung des Vertragspartners Kopien von Ausweisen zu erstellen und aufzubewahren.
Doch die gesetzlichen Schranken hielten selbst öffentliche Stellen nicht davon ab, Personalausweiskopien zu verlangen, diese selbst anzufertigen oder die Ausweise für gewisse Zeit einzubehalten. Diese Vorgehensweise war Teil des Tagesgeschäfts.[1]
Nun hat der Gesetzgeber mit der Änderung des § 20 des Gesetzes über Personalausweise und den elektronischen Identitätsnachweis (Personalausweisgesetz – PAuswG) auf diesen Umstand reagiert. Mit der Anpassung der Vorschrift an die tatsächlichen Gegebenheiten des Unternehmensalltags hat er auf einem über lange Zeit juristisch umstrittenen Gebiet für mehr Rechtssicherheit gesorgt.
Zwar ergibt sich aus der Gesetzesänderung eine deutlich weniger restriktive Rechtslage, allerdings kann nicht einfach „drauf los kopiert“ werden. Es gibt noch immer bestimmte Voraussetzungen, die erfüllt sein müssen, um das Kopieren eines Personalausweises zu legitimieren. So darf gemäß § 20 Abs. 2 PAuswG nur der Ausweisinhaber selbst, oder eine andere Person mit seiner Zustimmung, die Ablichtung durchführen. Außerdem muss die Ablichtung eindeutig und dauerhaft als Kopie kenntlich gemacht werden. Die Kenntlichmachung der Ablichtung kann beispielsweise durch deren Erstellung in schwarz-weiß oder einem deutlich sichtbaren Vermerk „Kopie“ erfolgen. Ergänzend sind natürlich die allgemeinen Anforderungen des Datenschutzrechts zum Umgang mit personenbezogenen Daten zu beachten. Das bedeutet, dass die sich aus der EU-Daten- schutz-Grundverordnung (EU-DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG 2018) ergebenden Bestimmungen zusätzlich eingehalten werden müssen. Für die weitere Verwendung der Kopie gilt wiederum, dass nur der Ausweisinhaber zu deren Weitergabe berechtigt ist und er für die Verarbeitung von aus dem Personalausweis erhobenen personenbezogenen Daten seine Einwilligung erteilen muss. Um wirksam zu sein, muss sich auch die Einwilligungserklärung an den geltenden datenschutzrechtlichen Standards (Freiwilligkeit, Informiertheit, etc.) messen lassen.
Der vom Gesetzgeber verwendete Begriff „Ablichtung“ ist neu und wird im Gesetz selbst nicht näher definiert. Begrüßenswert ist allerdings, dass die entsprechende Gesetzesbegründung hierzu eine konkrete Definition beinhaltet:
„Die genannten Handlungsformen – Fotokopieren, Fotografieren und Einscannen – werden unter dem abstrakten Begriff des Ablichtens zusammengefasst, das Ergebnis wird als Ablichtung bezeichnet.“[2]
Besonders erfreulich ist hieran, dass vom Oberbegriff der Ablichtung nun auch das seinerzeit besonders umstrittene Einscannen umfasst und folglich gestattet ist.
Hingegen nicht vollständig geklärt ist, ob es erlaubt ist, die Ablichtung weitergehend zu bearbeiten und zu verändern. Insbesondere gewinnt diese Frage an Relevanz, wenn der Ausweisinhaber Stellen schwärzen möchte, weil er sie nicht offenbaren will und sie für den konkreten Einzelfall – seiner Meinung nach – irrelevant sind. Aus rein datenschutzrechtlicher Sicht ist das Schwärzen von für den Sachverhalt überflüssigen Datenfeldern freilich generell empfehlenswert, da es dem Grundsatz der Datenminimierung Rechnung trägt. Indessen hat die BaFin im Rahmen der geldwäscherechtlichen Identifizierungspflichten ein Schwärzen der – vermeintlich – nicht relevanten Ausweisdaten explizit für unzulässig erachtet. Dies wird aus der in § 8 Abs. 2 GwG normierten Pflicht abgeleitet, die zur Identifizierung des Vertragspartners notwendigen Dokumente vollständig zu kopieren und dies zu dokumentieren.
Zusammengefasst kann festgehalten werden, dass die Gesetzesänderung begrüßenswert ist, da der Gesetzgeber nun die Rechtslage der faktisch schon seit langem gelebten Unternehmenspraxis angepasst hat. Hierdurch sollten Rechtsunsicherheiten im Umgang mit der Kopie von Ausweisdokumenten der Vergangenheit angehören. Aus Perspektive der Datenschützer wäre überdies eine Klarstellung bezüglich einer Erlaubnis zur teilweisen Schwärzung der Ablichtungen wünschenswert.
(Benjamin Spallek, LL.M,.Consultant Compliance und Datenschutz, Creditreform Compliance Services GmbH)
[1] dieDatenschützer Rhein Main, <https://ddrm.de/jobcenter-mainarbeit-offenbach- hessischer-datenschutzbeauftragter-beurteilt-scannen-und-kopieren-von- personalausweisen-als-nicht-von-der-rechtslage-gedeckt/>, besucht am 21.09.17.
[2] BT Drs. 18/11279.