DSGVO und Ausweisdokumente: Compliance-Leitfaden
DSGVO-Konformität bei Ausweisdokumenten: Erhebungsregeln, Aufbewahrungsfristen und Datenschutzanforderungen. Bußgelder bis 20 Mio. EUR. Leitfaden für Unternehmen.
Diesen Artikel zusammenfassen mit
ChatGPT
Claude
Perplexity
Gemini
GrokDie Kopie eines Ausweisdokuments zu erheben, ist für die meisten Unternehmen Routine. Es ist zugleich eine der risikoreichsten Verarbeitungstätigkeiten unter der DSGVO. Ein Ausweisdokument enthält sensible personenbezogene Daten – eine eindeutige Nummer, ein Lichtbild, eine Unterschrift und teilweise biometrische Daten – deren nicht konforme Verarbeitung das Unternehmen Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes aussetzt. Dieser Leitfaden behandelt die geltenden Vorschriften, die Vorgaben der Datenschutzbehörden und die konkreten Maßnahmen, die für eine vollständig konforme Verarbeitung von Ausweisdokumenten erforderlich sind.
Rechtlicher Rahmen: Was die DSGVO zu Ausweisdokumenten sagt
Die DSGVO (Verordnung EU 2016/679) enthält keine spezifischen Bestimmungen für Ausweisdokumente. Deren Verarbeitung fällt unter die allgemeinen Grundsätze der Verordnung, ergänzt durch das Bundesdatenschutzgesetz (BDSG) und die Empfehlungen der Datenschutzaufsichtsbehörden.
Die zentralen Grundsätze
Fünf DSGVO-Grundsätze gelten unmittelbar für die Erhebung und Verarbeitung von Ausweisdokumenten:
Rechtmäßigkeit der Verarbeitung (Art. 6). Die Erhebung eines Ausweisdokuments muss auf einer gültigen Rechtsgrundlage beruhen. Je nach Kontext kann dies eine gesetzliche Verpflichtung (KYC gemäß GwG, Arbeitsvertrag), die Vertragserfüllung (Mietvertrag) oder das berechtigte Interesse des Verantwortlichen (Identitätsprüfung eines Dienstleisters) sein. Die Einwilligung ist aufgrund des Machtungleichgewichts zwischen Unternehmen und betroffener Person selten die geeignete Grundlage.
Datenminimierung (Art. 5 Abs. 1 lit. c). Das Unternehmen darf nur die Informationen erheben, die für den angegebenen Zweck unbedingt erforderlich sind. Dieser Grundsatz hat erhebliche praktische Auswirkungen auf die Verarbeitung von Ausweisdokumenten, die im Folgenden detailliert werden.
Speicherbegrenzung (Art. 5 Abs. 1 lit. e). Ausweisdokumente dürfen nicht unbefristet aufbewahrt werden. Die Aufbewahrungsfrist muss vorab festgelegt und durch den Verarbeitungszweck gerechtfertigt sein.
Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f). Ausweisdokumente müssen durch geeignete technische und organisatorische Maßnahmen gegen unbefugten Zugriff, Verlust, Zerstörung oder Veränderung geschützt werden.
Transparenz (Art. 13). Die Person, deren Identität geprüft wird, muss klar und vollständig informiert werden: Wer verarbeitet ihre Daten, warum, wie lange und welche Rechte hat sie?
Nationales Datenschutzrecht
Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO um wichtige Details. Insbesondere unterliegt die Verarbeitung der Personalausweisnummer besonderen Einschränkungen gemäß § 20 Abs. 2 Personalausweisgesetz (PAuswG) – die Seriennummer darf nicht so verwendet werden, dass sie als Ordnungsmerkmal zum Abruf personenbezogener Daten dient. Auch die Steueridentifikationsnummer (Steuer-IdNr.) unterliegt strengen Zweckbindungen.
Das Strafgesetzbuch (§§ 267 ff. StGB zur Urkundenfälschung, § 238 StGB zur Nachstellung/Identitätsdiebstahl) pönalisiert den missbräuchlichen Umgang mit Identitätsdaten und verstärkt die Pflicht zur Sicherung erhobener Dokumente.
Vorgaben der Aufsichtsbehörden: Praktische Regeln
Datenschutzbehörden in ganz Europa – darunter der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Landesdatenschutzbehörden in Deutschland – haben Empfehlungen zur Verarbeitung von Ausweisdokumenten veröffentlicht. Diese Empfehlungen werden bei Durchsetzungsmaßnahmen systematisch als Referenz herangezogen.
Wann dürfen Sie ein Ausweisdokument erheben?
Die Aufsichtsbehörden unterscheiden drei Stufen der Identitätsprüfung je nach Zweck:
| Stufe | Beschreibung | Beispiele | Erforderliches Dokument |
|---|---|---|---|
| 1 – Deklarativ | Einfache Erhebung von Name und Vorname | Newsletter-Anmeldung, einfache Kontoerstellung | Kein Ausweisdokument |
| 2 – Einfache Prüfung | Bestätigung, dass die Person diejenige ist, die sie vorgibt zu sein | Wohnungsbesichtigung, Vertragsabschluss | Vorlage des Dokuments (keine Kopie) oder Teilkopie |
| 3 – Erweiterte Prüfung | Gesetzliche Pflicht zur Identitätsprüfung | Bankkontoeröffnung (KYC/GwG), Einstellung, notarielle Beurkundung | Vollständige Kopie des Ausweisdokuments |
Entscheidender Punkt. Viele Unternehmen erheben systematisch vollständige Kopien von Ausweisdokumenten, wenn eine Prüfung der Stufe 2 ausreichen würde. Dies kommt häufig bei Immobilienmaklern vor, die Vorder- und Rückseite des Personalausweises für eine einfache Wohnungsbesichtigung verlangen, oder bei Unternehmen, die Besucherausweise an der Rezeption kopieren.
Datenminimierung bei Ausweisdokumenten
Datenminimierung ist der am häufigsten übersehene Grundsatz bei der Verarbeitung von Ausweisdokumenten. Die Aufsichtsbehörden geben präzise Hinweise.
Schwärzung unnötiger Daten. Wenn eine Dokumentenkopie erforderlich ist, müssen Daten, die für den angegebenen Zweck nicht relevant sind, geschwärzt werden. Bei der Identitätsprüfung eines Mieters beispielsweise ist die Ausweisnummer nicht erforderlich und sollte unkenntlich gemacht werden.
Verbot der Erhebung bestimmter Daten. Die Behörden betonen, dass die Erhebung des Lichtbilds von einem Ausweisdokument nur gerechtfertigt ist, wenn eine physische Identitätsprüfung erforderlich ist (Zugangskontrolle, biometrischer Abgleich). Bei rein administrativer Prüfung muss das Foto geschwärzt werden.
Zu schwärzende Daten nach Zweck:
| Zweck | Erforderliche Daten | Zu schwärzende Daten |
|---|---|---|
| Wohnungsvermietung | Name, Geburtsdatum, Gültigkeit | Foto, Ausweisnummer, Unterschrift |
| Bankkontoeröffnung (KYC/GwG) | Alle Dokumentendaten | Keine (gesetzliche Verpflichtung) |
| Arbeitsvertrag | Name, Staatsangehörigkeit, Arbeitsgenehmigung | Foto (außer für Mitarbeiterausweis), Unterschrift |
| Altersverifikation | Geburtsdatum | Alles andere |
| Zustellung Einschreiben | Name | Alles andere |
Aufbewahrungsfristen
DSGVO, BDSG und die einschlägigen Fachgesetze schreiben strenge Aufbewahrungsfristen vor, die je nach Verarbeitungszweck und Rechtsgrundlage variieren.
| Kontext | Aufbewahrungsfrist | Rechtsgrundlage |
|---|---|---|
| KYC Bank/Versicherung (siehe KYC-Anforderungen 2026) | 5 Jahre nach Ende der Geschäftsbeziehung | GwG (§ 8 Abs. 4) |
| Arbeitsvertrag | Bis zu 3 Jahre nach Ausscheiden (Verjährungsfristen) | BGB, AGG |
| Wohnungsvermietung (angenommene Bewerbung) | Dauer des Mietverhältnisses + 3 Jahre (Verjährung) | BGB |
| Wohnungsvermietung (abgelehnte Bewerbung) | Sofortige Löschung, maximal 6 Monate | Empfehlung der Aufsichtsbehörden |
| Einmalige Identitätsprüfung | Nur Dauer der Prüfung, keine Aufbewahrung | Empfehlung der Aufsichtsbehörden |
| Notarielle Urkunden | 30 Jahre (z. T. 100 Jahre) | BNotO |
| GwG-Compliance | 5 Jahre nach Durchführung der Transaktion | GwG |
Häufiger Fehler. Die Aufbewahrung von Ausweisdokumenten abgelehnter Mietbewerber ist ein DSGVO-Verstoß. Mehrere Wohnungsunternehmen und Makler wurden genau zu diesem Punkt sanktioniert.
Technische Maßnahmen zum Schutz von Ausweisdokumenten
Die DSGVO verlangt „geeignete" technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Für Ausweisdokumente – bei denen im Falle einer Datenpanne ein hohes Risiko des Identitätsdiebstahls besteht – müssen diese Maßnahmen besonders robust sein.
Pflichtmaßnahmen nach Empfehlungen der Aufsichtsbehörden
Verschlüsselung im Ruhezustand und bei der Übertragung. Digitale Kopien von Ausweisdokumenten müssen mit einem anerkannten Algorithmus verschlüsselt werden (mindestens AES-256). Übertragungen müssen TLS 1.2 oder höher verwenden.
Strenge Zugriffskontrollen. Der Zugang zu Ausweisdokumenten muss auf Personen mit berechtigtem betrieblichem Bedarf beschränkt sein. Zugriffsrechte müssen vierteljährlich überprüft werden. Jeder Zugriff muss in einem Audit-Trail protokolliert werden.
Sicheres Hosting. Ausweisdokumente müssen auf Servern innerhalb der Europäischen Union gehostet werden, bei einem Hosting-Anbieter, der ausreichende Garantien bietet. Zertifizierungen wie ISO 27001, SOC 2 oder das C5-Testat des BSI werden empfohlen. Unsere Sicherheitsseite beschreibt die Standards, die wir erfüllen.
Sichere Löschung. Nach Ablauf der Aufbewahrungsfrist müssen Dokumente unwiderruflich gelöscht werden (kryptografische Löschung oder physische Zerstörung des Speichermediums). Das Verschieben einer Datei in den Papierkorb stellt keine konforme Löschung dar.
Empfohlene Maßnahmen für Großvolumen-Verarbeitung
Für Unternehmen, die mehr als 1.000 Ausweisdokumente pro Monat verarbeiten, empfehlen die Aufsichtsbehörden zusätzliche Maßnahmen:
- Datenschutz-Folgenabschätzung (DSFA). Pflicht, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Die großangelegte Verarbeitung von Ausweisdokumenten fällt in diese Kategorie.
- Pseudonymisierung extrahierter Daten. Aus Dokumenten extrahierte Daten (Name, Nummer) sollten in Produktionsdatenbanken pseudonymisiert werden. Die Verknüpfung zum Quelldokument sollte nur in einer dedizierten sicheren Umgebung zugänglich sein.
- Umgebungstrennung. Produktions-, Test- und Entwicklungsumgebungen müssen streng getrennt sein. Keine echten Ausweisdokumente in Testumgebungen.
Betroffenenrechte
Personen, deren Ausweisdokumente erhoben werden, haben spezifische Rechte, die das Unternehmen innerhalb der gesetzlichen Fristen erfüllen können muss.
Übersicht der Rechte
| Recht | Antwortfrist | Auf Ausweisdokumente anwendbar? | Besonderheiten |
|---|---|---|---|
| Auskunft (Art. 15) | 1 Monat | Ja | Das Unternehmen muss eine Kopie aller gespeicherten Daten bereitstellen, einschließlich der Dokumentenkopie |
| Berichtigung (Art. 16) | 1 Monat | Ja | Bei Namensänderung (Heirat usw.) |
| Löschung (Art. 17) | 1 Monat | Teilweise | Nicht möglich, wenn Aufbewahrung gesetzlich vorgeschrieben ist (GwG) |
| Einschränkung (Art. 18) | 1 Monat | Ja | Das Dokument wird aufbewahrt, aber nicht mehr verwendet |
| Datenübertragbarkeit (Art. 20) | 1 Monat | In der Regel nein | Gilt nur für Daten, die auf Einwilligung oder Vertrag basieren |
| Widerspruch (Art. 21) | 1 Monat | Teilweise | Nicht möglich bei gesetzlicher Verarbeitungspflicht |
Löschungsanfragen: Praxisszenarien
Das Recht auf Löschung ist die häufigste und heikelste Anfrage bei Ausweisdokumenten. Drei typische Situationen:
Szenario 1: Ein Kunde fordert die Löschung seiner Personalausweiskopie nach Kündigung seiner Versicherung. Der Versicherer kann ablehnen, wenn die gesetzliche Aufbewahrungsfrist (5 Jahre gemäß GwG) noch nicht abgelaufen ist. Er muss den Kunden jedoch über die Rechtsgrundlage der weiteren Aufbewahrung und den geplanten Löschtermin informieren.
Szenario 2: Ein abgelehnter Mietbewerber fordert die Löschung seiner Unterlagen. Das Unternehmen muss alle Dokumente umgehend löschen. Eine Verweigerung stellt einen DSGVO-Verstoß dar.
Szenario 3: Ein ehemaliger Mitarbeiter fordert 6 Jahre nach seinem Ausscheiden die Löschung seiner Ausweiskopie. Das Unternehmen muss die Löschung vornehmen, da alle relevanten Aufbewahrungsfristen abgelaufen sind.
DSGVO und automatisierte Dokumentenprüfung
Der Einsatz automatisierter Dokumentenprüfungslösungen wirft spezifische DSGVO-Fragen auf, insbesondere bezüglich automatisierter Entscheidungsfindung und Auftragsverarbeitungsverträgen.
Die Frage der automatisierten Entscheidungsfindung (Art. 22)
Art. 22 DSGVO regelt vollautomatisierte Entscheidungen, die rechtliche Wirkung entfalten oder die betroffene Person in ähnlicher Weise erheblich beeinträchtigen. Eine automatische Vorgangsablehnung aufgrund nicht konformer Ausweisdokumente fällt potenziell in diesen Anwendungsbereich.
Um konform zu bleiben, muss das Unternehmen:
- Die betroffene Person darüber informieren, dass eine automatisierte Entscheidung getroffen werden kann.
- Das Recht auf menschliche Intervention gewährleisten (ein Sachbearbeiter muss den Vorgang überprüfen können).
- Die Logik hinter der Entscheidung erklären (Ablehnungsgrund, nicht erfülltes Kriterium).
Gut konzipierte KI-Lösungen bauen diese Anforderungen nativ ein, indem sie für jede Ablehnung einen strukturierten Grund liefern und Grenzfälle an einen menschlichen Sachbearbeiter weiterleiten.
Der Auftragsverarbeitungsvertrag (Art. 28)
Wenn ein Unternehmen einen externen Anbieter für die Dokumentenprüfung nutzt, muss es die Beziehung durch einen Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO formalisieren. Dieser Vertrag muss spezifizieren:
- Art und Zweck der Verarbeitung.
- Die Kategorien verarbeiteter personenbezogener Daten.
- Die vom Auftragsverarbeiter implementierten Sicherheitsmaßnahmen.
- Die Bedingungen für Unterauftragsverarbeitung.
- Die Bedingungen für Datenrückgabe und -löschung bei Vertragsende.
- Die Bedingungen für Audits durch den Verantwortlichen.
Datenübermittlung außerhalb der EU
Die Wahl des Anbieters für die Dokumentenprüfung muss die Auswirkungen der Datenübermittlung berücksichtigen. Seit der Aufhebung des Privacy Shield durch den EuGH (Schrems-II-Urteil) birgt die Übermittlung von Ausweisdokumenten an Server außerhalb der Europäischen Union erhebliche rechtliche Risiken. Aufsichtsbehörden empfehlen ausdrücklich Lösungen mit Hosting innerhalb der EU.
DSGVO-Compliance-Checkliste für Ausweisdokumente
Folgende Maßnahmen sollten Sie überprüfen, um die Konformität Ihrer Ausweisdokumentenverarbeitung sicherzustellen.
Vor der Erhebung
- Prüfen, ob die Erhebung des Ausweisdokuments durch eine identifizierte Rechtsgrundlage gerechtfertigt ist.
- Bestätigen, dass die erforderliche Prüfstufe (deklarativ, einfach, erweitert) dem angegebenen Zweck entspricht.
- Datenschutzhinweis gemäß Art. 13 erstellen oder aktualisieren: Identität des Verantwortlichen, Zweck, Aufbewahrungsfrist und Betroffenenrechte.
- Datenschutz-Folgenabschätzung (DSFA) durchführen, wenn die Verarbeitung großangelegt ist.
Während der Verarbeitung
- Datenminimierung anwenden: nicht zweckgebundene Daten schwärzen.
- Erhobene Dokumente verschlüsseln (im Ruhezustand und bei Übertragung).
- Zugriff auf autorisiertes Personal beschränken, mit Zugriffsprotokollierung.
- Bei Nutzung eines externen KYC-Compliance-Anbieters: AV-Vertrag gemäß Art. 28 und EU-Datenhosting bestätigen.
- Bei automatisierten Entscheidungen: Recht auf menschliche Intervention und Entscheidungserklärung gewährleisten.
Nach der Verarbeitung
- Automatische Löschung der Dokumente nach Ablauf der Aufbewahrungsfrist einplanen.
- Prozess zur Beantwortung von Betroffenenrechtsanfragen (Auskunft, Löschung, Berichtigung) innerhalb der Monatsfrist implementieren.
- Die Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten (Art. 30) dokumentieren.
- Jährliches Compliance-Audit der Prozesse durchführen.
Sanktionen im Zusammenhang mit Ausweisdokumenten
Datenschutzbehörden sanktionieren regelmäßig Verstöße bei der Verarbeitung von Ausweisdokumenten. In Deutschland haben der BfDI und die Landesdatenschutzbehörden in den letzten Jahren zahlreiche Bußgelder verhängt. Die europäischen Datenschutzbehörden haben seit Inkrafttreten der DSGVO insgesamt Bußgelder von über 4 Milliarden Euro ausgesprochen.
| Jahr | Sanktioniertes Unternehmen | Verstoß | Bußgeld |
|---|---|---|---|
| 2023 | Immobilienkonzern | Unbefristete Aufbewahrung von Ausweiskopien | 600.000 € |
| 2024 | Fintech-Unternehmen | Fehlende Verschlüsselung gespeicherter Ausweisdokumente | 1.200.000 € |
| 2024 | Vermietungsplattform | Unverhältnismäßige Erhebung (unnötige Dokumente) | 400.000 € |
| 2025 | Kreditinstitut | Fehlende Information über Aufbewahrungsfristen | 2.500.000 € |
| 2025 | Zeitarbeitsfirma | Unterlassene Löschung von Dokumenten abgelehnter Kandidaten | 300.000 € |
Diese Sanktionen verdeutlichen die zunehmende Wachsamkeit der Datenschutzbehörden und die Bedeutung eines sorgfältigen Umgangs mit Ausweisdokumenten.
Häufig gestellte Fragen
Darf ein Immobilienmakler generell eine Kopie des Personalausweises für eine Wohnungsbesichtigung verlangen?
Nein, eine vollständige Personalausweiskopie ist für eine einfache Wohnungsbesichtigung in der Regel nicht verhältnismäßig und damit nicht DSGVO-konform. Datenschutzbehörden empfehlen hier allenfalls eine Sichtprüfung des Dokuments oder eine Teilkopie mit geschwärzten nicht benötigten Daten wie Ausweisnummer, Foto und Unterschrift. Nur bei einer konkreten gesetzlichen Verpflichtung wie KYC gemäß GwG darf eine vollständige Kopie erhoben werden.
Wie lange muss eine Personalausweiskopie nach Ende einer Geschäftsbeziehung aufbewahrt werden?
Die Aufbewahrungsfrist richtet sich nach dem Verarbeitungszweck. Bei KYC-Pflichten nach dem Geldwäschegesetz beträgt sie 5 Jahre nach Ende der Geschäftsbeziehung. Bei einem Arbeitsvertrag gelten bis zu 3 Jahre nach Ausscheiden des Mitarbeiters. Ausweiskopien abgelehnter Mietbewerber müssen nach Empfehlung der Datenschutzbehörden sofort gelöscht werden. Eine unbefristete Aufbewahrung stellt in jedem Fall einen DSGVO-Verstoß dar.
Welche Daten müssen auf einem Personalausweis geschwärzt werden, bevor er kopiert werden darf?
Welche Daten geschwärzt werden müssen, hängt vom Verarbeitungszweck ab. Bei einer Wohnungsvermietung sind Foto, Ausweisnummer und Unterschrift zu schwärzen, da nur Name, Geburtsdatum und Gültigkeit benötigt werden. Bei einem Arbeitsvertrag ohne Mitarbeiterausweis ist das Foto grundsätzlich zu schwärzen. Nur bei einer gesetzlichen Pflicht zur vollständigen Identitätsprüfung, etwa bei der Bankkontoeröffnung, dürfen alle Dokumentendaten ohne Schwärzung erhoben werden.
Was passiert bei einem Datenleck mit Personalausweisdaten?
Bei einem Datenleck, das Personalausweisdaten betrifft, besteht in der Regel eine Meldepflicht gegenüber der zuständigen Datenschutzbehörde innerhalb von 72 Stunden gemäß DSGVO Art. 33. Da Personalausweisdaten ein hohes Risiko des Identitätsdiebstahls begründen, kann zudem eine Benachrichtigungspflicht gegenüber den betroffenen Personen bestehen. Bußgelder für fehlende Verschlüsselung gespeicherter Ausweisdokumente haben in Deutschland bereits 1,2 Millionen Euro erreicht, wie ein Beispiel aus 2024 zeigt.
DSGVO-Konformität und betriebliche Effizienz vereinen
DSGVO-Konformität und betriebliche Effizienz sind kein Widerspruch. Die fortschrittlichsten automatisierten Lösungen zur Dokumentenprüfung bauen DSGVO-Anforderungen nativ ein: automatische Datenminimierung, Ende-zu-Ende-Verschlüsselung, geplante Löschung, vollständige Audit-Trails und das Recht auf menschliche Intervention.
CheckFile hat seine Dokumentenprüfungsplattform mit nativer DSGVO-Konformität entwickelt. Dokumente werden ausschließlich innerhalb der Europäischen Union verarbeitet und gehostet, Ende-zu-Ende verschlüsselt und nach Ablauf der von Ihnen definierten Aufbewahrungsfrist automatisch gelöscht. Jede Verarbeitungsaktion wird protokolliert und ist auditierbar. Entdecken Sie unsere Preise für den passenden Plan, oder kontaktieren Sie unser Team für eine Demo und ein Compliance-Audit Ihrer aktuellen Dokumentenprozesse.
Weiterführende Lektüre: Zum umfassenderen Geldwäschebekämpfungsrahmen, der die KYC-Aufbewahrungspflichten vorantreibt, lesen Sie unseren AMLD6-Compliance-Leitfaden. Kanzleien stehen vor besonderen Herausforderungen bei der Vereinbarung von DSGVO und anwaltlicher Schweigepflicht – unser Leitfaden zur Automatisierung von KYC in Kanzleien behandelt dieses Thema. Notare müssen bei der Verarbeitung von Ausweisdokumenten ebenfalls DSGVO-konform handeln – unsere Checkliste für Immobilientransaktionen behandelt Aufbewahrungsfristen und Datenminimierung.