Scans oder Kopien von Ausweisen: Ist das datenschutzrechtlich überhaupt erlaubt?

Immer wieder kommt es im Geschäftsalltag zu Tätigkeiten, die zwar von einer Art „Gewohnheitsrecht“ legitimiert sind, aber dennoch gar nicht rechtmäßig sind.

Ein gutes Beispiel hierfür ist die gängige Praxis, zu Identifizierungszwecken einen Ausweis zu kopieren oder zu scannen und diese Kopie dann per E-Mail (früher gerne auch per Fax) zu versenden. Vermutlich kennt diese Prozedur jeder, der vor Jahren einen Mobilfunkvertrag abgeschlossen hat. Das war, wenn man es genau nimmt, ein millionenfacher Verstoß gegen geltendes Recht. Dies wurde vom Gesetzgeber im letzten Jahr im Personalausweisgesetz geändert. Diese Änderung im Personalausweisgesetz ist auch nach dem Inkrafttreten der DSGVO weiter gültig. Wer darf nun zu welchen Zweck einen Personalausweis oder Reisepass kopieren oder scannen, um dann das Bild zu versenden?

Die Gesetzesänderung würdigt eine allgemeine Praxis

Insgesamt war es also vor der Änderung als Gesetzesverstoß zu werten gewesen, Kopien oder Scans von Ausweisdokumenten anzufertigen und diese dann zu versenden. In der Gesetzesänderung würdigten die Gesetzgeber den Gedanken der allgemeinen Handlungsfreiheit. Seit letztem Jahr ist es dem Ausweisinhaber also gestattet, selbst darüber zu entscheiden, ob sein Ausweis in einer üblichen Form kopiert, gescannt oder abgelichtet wird. Der Gesetzestext nennt den Vorgang explizit „Ablichtung“, was nach allgemeinem Verständnis das klassische Kopieren, das Einscannen sowie das Abfotografieren umfasst. Aber jede dieser Ablichtungen muss auf den ersten Blick als solche zu erkennen sein. Das heißt, die Kopie muss einen deutlichen Vermerk aufweisen, dass es sich nicht um das Original handelt. In der Praxis haben sich entsprechend Schwarzweiß-Kopien bewährt, die auf den ersten Blick als Ablichtung erkennbar sind.

Innerhalb einer Organisation ist die Weitergabe statthaft

Ist die Zustimmung des Ausweisinhabers erfolgt, darf die Ablichtung innerhalb einer Organisation – z. B. Unternehmen oder Behörden – beliebig oft weitergegeben werden. Nur eine Weitergabe nach außen ist verboten. Das Gesetz beinhaltet freilich auch die datenschutzrechtliche Sichtweise. Sollten nämlich durch die Ablichtung oder nach dieser personenbezogene Daten ausgelesen werden, bestimmt dann sofort die DSGVO den Gebrauch und die Nutzung dieser Daten. Sobald persönliche Daten aus dem Ausweisdokument entnommen und erfasst werden, bedarf dies einer separaten Zustimmung beziehungsweise Einwilligung des Ausweisinhabers.

So hat der Ausweisinhaber beispielsweise das Recht, auf der Kopie personenbezogene Daten unkenntlich zu machen, die er nicht preisgeben will. Wie eingangs erwähnt war das Kopieren von Ausweisdokumenten im Geschäftsleben gängige Praxis – wenn auch nicht legal. Demzufolge gilt für „alte“ Scans, Kopien oder Fotos von Ausweisdokumenten, dass eine Rechtmäßigkeit der Ablichtung bestanden hat, als diese angefertigt wurden. Ist diese nicht nachweisbar, müssen die Bilddaten gelöscht werden. Um sicherzugehen, muss also im Fall von vorliegenden Ausweiskopien nachträglich die Zustimmung des Ausweisinhabers eingeholt werden.