In einer Arztpraxis wird beim Abholen von Befunden, Rezepten oder ähnlichem eine Ausweiskopie des Abholers angefertigt und zum Nachweis, dass die entsprechenden Unterlagen und Dokumente der berechtigten Person ausgehändigt wurden, eine Kopie des Ausweisdokuments archiviert. Die Unterlagen und Dokumente einer nicht berechtigten Person auszuhändigen wäre ein Verstoß gegen das strafrechtlich geschützte Berufsgeheimnis, § 203 StGB, und gegen das Datenschutzrecht. Nach Art. 5 Abs. 2 DSGVO muss der Verantwortliche – hier die Arztpraxis – nachweisen können, dass der sich an das Datenschutzrecht gehalten hat.
Ist die Ausweiskopie zur Identifikation in der Arztpraxis zulässig und geboten?
Für den konkreten Fall lautet die Antwort Nein! Aber warum? Weil es im Rahmen der datenschutzrechtlich gebotenen Datenminimierung genügt, sich den Ausweis vorlegen zu lassen und dies zu notieren („Ausweis lag vor“). Die bereits erstellten und archivierten Ausweiskopien sollten daher vernichtet werden.
In welchen Fällen ist die Ausweiskopie datenschutzrechtlich zulässig?
Ob und wann Ausweisdokumente kopiert, gescannt oder Daten daraus erhoben werden dürfen, ist seit langem umstritten. Der Landesdatenschutzbeauftragte für Nordrhein-Westfalen hat hierzu im Juni 2019 eine Publikation unter dem Titel „Personalausweis und Datenschutz“ veröffentlicht. In der Broschüre werden die Grundzüge zur datenschutzrechtlichen Zulässigkeit der Ausweiskopie aus Sicht der Aufsichtsbehörde dargelegt.
§ 20 Abs. (2) Personalausweis-Gesetz
Der Ausweis darf nur vom Ausweisinhaber oder von anderen Personen mit Zustimmung des Ausweisinhabers in der Weise abgelichtet werden, dass die Ablichtung eindeutig und dauerhaft als Kopie erkennbar ist. Andere Personen als der Ausweisinhaber dürfen die Kopie nicht an Dritte weitergeben. Werden durch Ablichtung personenbezogene Daten aus dem Personalausweis erhoben oder verarbeitet, so darf die datenerhebende oder -verarbeitende Stelle dies nur mit Einwilligung des Ausweisinhabers tun. Die Vorschriften des allgemeinen Datenschutzrechts über die Erhebung und Verwendung personenbezogener Daten bleiben unberührt.
Nach Art. 5 Abs. 1 c) gilt der Grundsatz der Datenminimierung:
„Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.“
Zudem bedarf es nach Art. 6 Abs. 1 DSGVO einer Rechtsgrundlage, damit die Datenverarbeitung rechtmäßig ist. Das Scannen, Kopieren oder auch schon das Abschreiben von Daten aus dem Personalausweis stellt eine Datenverarbeitung in Form der Datenerhebung dar, Art. 4 Nr. 2 DSGVO. Die von der Datenschutzaufsicht herausgearbeiteten Fallgruppen lassen sich grob in zwei Gruppen unterteilen: „Erfüllung rechtlicher Pflichten“ und „berechtigtes Interesse“ letzteres im Wesentlichen zur Identifizierung.
1. Rechtsgrundlage: Erfüllung rechtlicher Pflichten
Eine der möglichen Rechtsgrundlagen ist die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, Art. 6 Abs. 1 c) DSGVO:
- So ist z.B. Banken nach § 8 Abs. 2 S. 2 Geldwäschegesetz das Kopieren eines Ausweises gestattet, um ihre Dokumentationspflicht zu erfüllen.
- Telekommunikationsanbieter dürfen nach § 95 Abs. 4 S. 3 TKG (Telekommunikationsgesetz) eine vorübergehende Ausweiskopie anfertigen.
- Das Kraftfahrtbundesamt kann nach § 64 Abs. 1 Nr. 2 Fahrerlaubnis-Verordnung eine Ausweiskopie zur Identitätsprüfung verlangen.
2. Rechtsgrundlage: Berechtigte Interessen, Art. 6 Abs. 1f) DSGVO
Ist nur eine Identitätsprüfung erforderlich (z.B. um den Empfänger von Bargeld nach § 160 AO zu identifizieren, um sich als Vermieter über die Person des Mieters/Vertragspartners zu vergewissern, um als Hotel die nach Bundesmeldegesetz erforderlichen Angaben zu erheben), so kann dies „jedoch auch durch Vorlage des Ausweises und Aufzeichnung (Anm.: Aufschreiben, Abtippen) der wesentlichen Personendaten (Name, Anschrift, Geburtsdatum und gegebenenfalls auch die Gültigkeitsdauer) erfüllt werden. Dabei kann zusätzlich der Vermerk „Ausweis hat vorgelegen“ / „Identität wurde durch Einsicht in den Personalausweis bestätigt“ notiert werden.“
Unternehmen, die sich einem Auskunftsersuchen einer betroffenen Person ausgesetzt sehen, sogenannte Selbstauskunft nach Art. 15 DSGVO, müssen sicherstellen, dass sie Auskünfte nur an die berechtige Person geben. Sie müssen zur Vermeidung der missbräuchlichen Kenntniserlangung durch Dritte die anfragende Person identifizieren und dürfen hierzu nach Art. 12 Abs. 6 DSGVO zusätzliche Informationen heranziehen.
Voraussetzungen für Ausweiskopie
Die Landesdatenschutzaufsicht NRW hält die Forderung nach einer Ausweiskopie für zulässig, wenn folgende Voraussetzungen vorliegen:
- Wenn der Auskunftspflichtige Zweifel an der Identität des Anfragenden hat und dieser den Ausweis z.B. aufgrund der Entfernung nicht vorlegen kann. Zweifel an der Identität können etwa bei einer E-Mail-Anfrage bestehen oder wenn eine von der letzten bekannten Postanschrift abweichende Adresse angegeben wird.
- Der Zweck der Ausweiskopie muss auf die Identitätsfeststellung beschränkt sein. Die Kopie bzw. die darin enthaltenen Daten dürften also nicht für andere Zwecke verwendet werden.
- Die Kopie muss also solche erkennbar sein, z.B. mit „Kopie“ gestempelt.
- Schwärzung zur Datenminimierung: Werden Ausweiskopien für Identifikationszwecke angefordert, muss darauf hingewiesen werden, dass die zur Identifikation nicht benötigten Angaben geschwärzt werden können. „Grundsätzlich sind nur der Vor- und Nachname, die Anschrift und gegebenenfalls auch die Gültigkeitsdauer zur Identifizierung erforderlich. Die übrigen Daten dürfen … geschwärzt werden (zum Beispiel die Zugangs- und Seriennummer, die Staatsangehörigkeit, die Größe, die Augenfarbe, das Lichtbild und die maschinenlesbare Zone). …. Die Angabe des Geburtsdatums und gegebenenfalls -ortes kann nur erforderlich sein, wenn trotz der vorgenannten Angaben eine Personenverwechslung möglich ist„ (Namensgleichheit kann m.E. so gut wie nie ausgeschlossen werden)
- Vernichtung: Die Ausweiskopie ist nach erfolgter Identifizierung sofort zu vernichten (oder in eine geschlossene Tonne zum Schreddern zu werfen). Eine Archivierung sei unzulässig, statt dessen könne der Vermerk „Ausweiskopie hat vorgelegen“ gemacht werden.
- Das Scannen und automatisierte Speicher ist unzulässig (wobei auf eine Entscheidung des VG Hannover vom 28.11.2013 hingewiesen wird).
Gerade die beiden letzten Punkte dürften Schwierigkeiten in Unternehmen bereiten, in denen die gesamte Eingangspost noch vor der inhaltlichen Prüfung gescannt wird. Die Geschäftskorrespondenz ist grundsätzlich aufbewahrungspflichtig (Eingangspost – empfangenen Handels- und Geschäftsbriefe). Hier hilft evtl. die Definition, dass Korrespondenz zu Auskunftsersuchen nicht zu den aufbewahrungspflichtigen Handels- und Geschäftsbriefen gehört, jedenfalls solang nicht das Kerngeschäft des Unternehmens im Handling von Daten besteht (z.B. Auskunftei, Adresshändler).
Rechtsanwalt David Seiler, Datenschutzbeauftragter