Banken und Personalausweiskopien

citizenK4te · 16. Januar 2023 um 15:31

Hallo zusammen,

ich habe eine Anfrage meiner Bank erhalten ihnen meine aktuellen Personalausweisdaten erneut durchzugeben (liegen bereits einige Jahre dazwischen), also gab ich meinem Berater telefonisch durch:

Ausweisnummer
Ausstellungsort
Ablaufdatum

Jetzt heißt es jedoch, dass auch eine aktuelle Kopie verlangt wird.
Ich weiß das für Banken eine Ausnahme in der Personalausweiskopie herrscht und diese eine Kopie anfragen können wg. u. a. Geldwäschegesetzt. Mein Berater meinte das Foto, Ausweisnummer, Ausstellungsort, Name, Geburststag und Ablaufdatum sichtbar sein sollen (also eigtl. alles).

Das deckt sich jedoch nicht mit Informationen von beispielsweise hier:
https://datenschutz-agentur.de/blog/duerfen-banken-personalausweise-kopieren/

Ich bin nicht darüber informiert, ob es sich um eine Vorschift handelt. Es hieß nur “er muss archiviert” werden.
Ein Grund ist nicht genannt worden. Ich vermute jedoch Geldwäsche.

Aus dem Artikel:

In gleicher Weise dürfen die Vorgaben des Kreditwesengesetzes und des Geldwäschegesetzes nicht dazu benutzt werden, um vollständige Kopien ohne Prüfung der Erforderlichkeit anzulegen.

und:

Identifizierungspflichten beziehen sich in aller Regel auf konkrete Merkmale wie Name oder Adresse der Kundinnen und Kunden, nicht jedoch auf andere Daten (z. B. Zugangsnummer, Seriennummer), die ebenfalls auf Ausweisdokumenten zu finden sind.

hier wurde ja schon die Ausweisnummer verlangt und auch das Foto (ich habe noch nichts übermittelt).

Hat wer mehr Details darüber, was man alles bei Personalausweiskopien gegenüber Banken (die ja eine Kopie haben dürfen) schwärzen darf?

Danke euch.

dsb_wollst · 16. Januar 2023 um 18:20

hallo citizenK4te,

ich denke die Dauer ist hier der Knackpunkt. Berechtigtes Interesse ist vorhanden, rechtliche Grundlage auch. Es ist zu beachten, dass die Daten nur zweckgebunden für die Dauer der Erfordernis verarbeitet und gespeichert werden dürfen. Außerdem sollte man mal prüfen, ob im Rahmen der Pflicht zur Datenminimierung überhaupt alle Ausweisdaten nötig sind. Eigentlich sollte bei einem Bankgeschäft ausreichen “Ein gültiger Personalausweis hat vorgelegen”. Beim Online-Identverfahren ist das ähnlich. Dabei muss man den Ausweis nur in die Kamera halten, damit man sehen konnte dass man das selbst ist.

Domasla · 17. Januar 2023 um 06:45

Bei der Bank ist doch bestimmt jemand für Datenschutz zuständig und könnte (muss) das herausbekommen. Zumal es eine Standardsituation ist, bei der viele Betroffene ihre Ausweiskopie abliefern sollen. Die Bank muss vorsehen (Art. 30 Abs. 1 DSGVO) und kommunizieren (Art. 13 DSGVO), wie lange sie Daten (hier die Kopie) verarbeiten wird.

Die Rechtsgrundlage sollte bei “rechtliche Verpflichtung” in Verbindung mit der genauen Vorschrift angegeben werden.

Zu den Informationspflichten gehört es, ggf. bestehende Bereitstellungspflichten anzugeben (Art. 13 Abs. 2 lit. e DSGVO). Damit es geglaubt wird, die Vorschrift nennen.

Es ist unpraktisch, nur darauf hinzuweisen, unnötige Elemente zu schwärzen, wenn man auch genau sagen kann, was eigentlich nötig wäre. Falls eine Vorschrift die Vollkopie implizieren würde, kann das gegen die Datenschutz-Grundsätze verstoßen. Z. B. benötigt niemand eine Kopie der Zugangsnummer, die sinnloserweise auf der Vorderseite eingedruckt ist.

D., der bei Fehlen begrenzender Elemente bezweifelt, dass solche Vorschriften die Voraussetzungen von Art. 6 Abs. 3 S. 3 u. 4, Art. 23 Abs. 2 DSGVO erfüllen.

citizenK4te · 17. Januar 2023 um 14:32

Bei der Bank ist doch bestimmt jemand für Datenschutz zuständig und könnte (muss) das herausbekommen.

Ja, nur postalisch und langsam wird etwas Druck gemacht, weil das “System” es will und ich etwas Sorge habe, dass mir sonst gekündigt wird. Die Anfrage ging schon raus.

Meiner Meinung nach, sollte

Foto schwärzbar sein
Zugangsnummer

schwärzbar und bei

Augenfarbe
Größe

fällt mir auch kein Grund ein, warum das relevant sein sollte. Einerseits könnte ich auch den ganzen Tag Kontaktlinsen tragen, die meine Augenfarbe ändern, wo ich nicht einmal den Sinn erkenne warum es überhaupt noch im Personalausweis steht und die Größe ist auch nur ein Indikator, da man in jungen Jahren noch wachsen könnte und je nach Alter auch mal ein paar cm schrumpfen.

Stingray · 18. Januar 2023 um 08:42

Hallo citizenK4te,

ich bin in einer ähnlichen Situation wie Du und wurde im Februar 2022 sowie im November 2022 von einer Bank aufgefordert meine Daten zu aktualisieren bzw. zu prüfen ob meine Daten noch aktuell sind.
Auch mir wurde indirekt mit der Bedigung der Geschäftsbeziehung gedroht.

… regelmäßig aktualisieren wir ihre Kundendaten. Laut §10 Geldwäschegesetz sind wir hierzu sogar verpflichtet. Wenn wir diese gesetzliche Verpflichtugn nicht erfüllen können, dürfen wir die Geschäftsbeziehung mit Ihnen nicht weiter fortsetzen. Deswegen ist Ihre Mithilfe gefragt: Bitte überprüfen Sie Ihre Daten auf der Rückseite dieses Schreibens.

Haben sich Ihre Daten geändert oder ist alles noch aktuell? Einfach auf der Rückseite des Schreibens vermerken und den Brief gemeinsam mit einer gut lesbaren Kopie Ihres Personalausweises oder Reisepasses bis zu xx. Dezember 2022 an uns zurückschicken.

Auch bei mir kein Hinweis auf Schwärzungen, was für mich bedeutet das eine ungeschwärzte Kopie gewünscht und erwartet wird.

Da es sich um ein Sparbuch handelt auf dem ein Betrag von nur ca. 50 Euro vorhanden ist und das seit über 25 Jahren nicht mehr aktiv genutzt wird, habe ich bisher nicht auf die Schreiben reagiert und warte einfach ab was passiert und ob die Geschäftsbeziehung seitens der Bank wirklich beendet wird.
Selbst wenn die Geschäftsbeziehung seitens der Bank wirklich beendet wird kann ich das verschmerzen, da das Konto seit über 25 Jahren Jahren nicht mehr genutzt wurden und wird.

Denn ob wegen einem Sparbuch auf dem nur ca. 50 Euro vorhanden sind und das seit über 25 Jahren nicht mehr aktiv genutzt wird ein bereichtigtes Interesse der Bank bezüglich einer Ausweiskopie wegen §10 Geldwäschegesetz vorhanden ist, mag ich mal ernsthaft bezweifeln.

DSB_kommunal · 18. Januar 2023 um 09:34

Wenn man sich mal das Geldwäschegesetz anschaut, dann wird in §12 (1) Nr. 1 GWG gefordert, dass eine Identifizierung durch ein Ausweisdokument mit Lichtbild notwendig ist, um Angaben für den Vertrag zu prüfen. Diese Angaben sind in §11 (4) GWG aufgeführt und beinhalten nur Vor- und Nachname, Geburtsdatum und -Ort, Staatsangehörigkeit und die Wohnadresse.
Alles andere wird also eigentlich nicht gebraucht und von einer Kopie steht auch nirgends etwas. Sollte es daher nicht ausreichend sein, wenn der Kunde in der Filiale vorbeigeht oder über Post-Ident o.ä. eine Identifizierung vornimmt?
Kopien vom Ausweis dürfen laut PAuswG sowieso nur mit Einwilligung des Ausweisinhabers vorgenommen werden und die Kopie muss als solche erkennbar sein. Das geht natürlich am einfachsten, wenn Sachen geschwärzt werden oder man schreibt groß Kopie als Wasserzeichen drüber. Das will die Bank dann natürlich auch nicht. So eine Aufforderung der Bank, wie oben von @Stingray, würde ich jetzt aber auch nicht als Einwilligung interpretieren.

Abgesehen davon könnte man doch bestimmt rechtliche Schritte einleiten, wenn durch unrechtmäßige Datenverarbeitung ein wirtschaftlicher und persönlicher Schaden entsteht. Immerhin wird die Kontokündigung durch die Bank an die Schufa weitergegeben, das sich dann direkt im Scoring niederschlägt und eventuell dann auch dazu führt, dass keine andere Bank ein neues Konto für dich eröffnet.

Stingray · 18. Januar 2023 um 09:46

Es handelt sich bei mir nur um ein Sparbuch, also kein richtiges Konto.
Dieses Sparbuch ist bisher der Schufa auch nicht bekannt bzw. wurden dazu keine Daten an die Schufa übermittelt.
Ich habe bei der Bank auch nie eine “Schufa-Klausel” unterschrieben.

Meine “normalen Konten” habe ich alle bei anderen Banken.
Von diesen Banken wo ich die “normalen Konten” habe, wollte bisher, außer bei der Eröffnung vor ettlichen Jahren, keine einzige Bank eine Ausweiskopie von mir haben.

Wie bereits geschrieben sehe ich auch die Anforderung der Ausweiskopie von der Bank für dieses Sparbuch wo gerade einmal ca. 50 Euro drauf sind und das seit über 25 Jahren nicht mehr genutzt wird, als etwas übertrieben an.

mtob · 22. Januar 2023 um 12:42

Wir betreiben eine Online-Software (SaaS) und setzen zur Abwicklung von Zahlungen einen Payment Provider ein. Dieser hat wohl lt. Bafin auch die Pflicht, seine Kunden regelmäßig zu prüfen. So wurde ich als Geschäftsführer kürzlich aufgefordert, mich über einen Dienstleister (konkret IDnow) identifizieren zu lassen.

Motiviert, wie ich war, habe ich auf meinem Ausweis die CAN abgedeckt, das war mir das wichtigste. Ergebnis nach einer viertel Stunde Online-Verifizierung mit IDnow: “Ach, Sie haben da ja was auf Ihrem Ausweis abgeklebt. Das müssten Sie bitte entfernen, sonst kann ich Sie nicht verifizieren.” Ich hab das Gespräch daraufhin beendet. Ich habe direkt eine E-Mail an den Support von IDnow geschickt, nie eine Antwort erhalten. Ende vom Lied: Ich habe dann ohne abgedeckten Ausweis die Verifizierung durchgeführt, weil ich nicht den Cash Flow der Firma gefährden wollte.

Moral von der G’schicht: Friss’ die Bedingungen oder du kriegst es nicht. Theorie und Praxis sind halt leider total verschiedene Sachen. Selbst eine örtliche Polizeibehörde (da Personalausweis, für mich erstmal der erste Ansprechpartner) sagte: “Was wollen Sie machen? Wenn Sie die Dienstleistung in Anspruch nehmen wollen, werden Sie wohl damit leben müssen.”

Naja, ich werde dieser Tage mal eine Auskunft nach Art. 15 stellen

Michael_Meyer · 17. April 2023 um 15:03

Genau… und auch hier: hartnäckig bleiben! Viel Erfolg.

l.huesker · 22. Mai 2023 um 10:23

schauen wir ins (Geldwäsche-)Gesetz:

§ 12

Überprüfung von Angaben zum Zweck der Identifizierung, Verordnungsermächtigung

(1) 1Die Überprüfung der nach § 11 Absatz 4 erhobenen Angaben zum Vertragspartner und gegebenenfalls für diesen auftretende Personen hat bei natürlichen Personen zu erfolgen anhand

	1.	eines gültigen amtlichen Ausweises, der ein Lichtbild des Inhabers enthält und mit dem die Pass- und Ausweispflicht im Inland erfüllt wird, insbesondere anhand eines inländischen oder nach ausländerrechtlichen Bestimmungen anerkannten oder zugelassenen Passes, Personalausweises oder Pass- oder Ausweisersatzes,
	2.	eines elektronischen Identitätsnachweises nach § 18 des Personalausweisgesetzes, nach § 12 des eID-Karte-Gesetzes oder nach § 78 Absatz 5 des Aufenthaltsgesetzes,

und dann weiterhin:

§ 8

Aufzeichnungs- und Aufbewahrungspflicht

(1) 1Vom Verpflichteten aufzuzeichnen und aufzubewahren sind

die im Rahmen der Erfüllung der Sorgfaltspflichten erhobenen Angaben und eingeholten Informationen
a) über die Vertragspartner, die Vertragsparteien des vermittelten Rechtsgeschäfts nach § 11 Absatz 2 und gegebenenfalls über die für die Vertragspartner oder die Vertragsparteien des vermittelten Rechtsgeschäfts auftretenden Personen und wirtschaftlich Berechtigten,

…

Bei Personen, die nach § 3 Absatz 2 Satz 5 als wirtschaftlich Berechtigte gelten, sind zudem die Maßnahmen zur Überprüfung der Identität nach § 11 Absatz 5 und etwaige Schwierigkeiten, die während des Überprüfungsvorgangs aufgetreten sind, aufzuzeichnen.

(2) 1Zur Erfüllung der Pflicht nach Absatz 1 Satz 1 Nummer 1 Buchstabe a sind in den Fällen des § 12 Absatz 1 Satz 1 Nummer 1 auch die Art, die Nummer und die Behörde, die das zur Überprüfung der Identität vorgelegte Dokument ausgestellt hat, aufzuzeichnen. 2Soweit zur Überprüfung der Identität einer natürlichen Person Dokumente nach § 12 Absatz 1 Satz 1 Nummer 1, 4 oder 5 oder zur Überprüfung der Identität einer juristischen Person Unterlagen nach § 12 Absatz 2 vorgelegt werden oder soweit Dokumente, die aufgrund einer Rechtsverordnung nach § 12 Absatz 3 bestimmt sind, vorgelegt oder herangezogen werden, haben die Verpflichteten das Recht und die Pflicht, Kopien dieser Dokumente oder Unterlagen anzufertigen oder sie optisch digitalisiert zu erfassen oder, bei einem Vor-Ort-Auslesen nach § 18a des Personalausweisgesetzes, nach § 78 Absatz 5 Satz 2 des Aufenthaltsgesetzes oder nach § 13 des eID-Karte-Gesetzes, das dienste- und kartenspezifische Kennzeichen sowie die Tatsache aufzuzeichnen, dass die Daten im Wege des Vor-Ort-Auslesens übernommen wurden. 3Diese gelten als Aufzeichnung im Sinne des Satzes 1.

und dann noch weiter

§ 11

Identifizierung; Erhebung von Angaben zum Zweck der Identifizierung

(1) 1Verpflichtete haben Vertragspartner, gegebenenfalls für diese auftretende Personen und wirtschaftlich Berechtigte vor Begründung der Geschäftsbeziehung oder vor Durchführung der Transaktion zu identifizieren, indem sie die Angaben nach den Absätzen 4 und 5 erheben und diese nach § 12 überprüfen. 2Die Identifizierung kann auch noch während der Begründung der Geschäftsbeziehung unverzüglich abgeschlossen werden, wenn dies erforderlich ist, um den normalen Geschäftsablauf nicht zu unterbrechen, und wenn ein geringes Risiko der Geldwäsche und der Terrorismusfinanzierung besteht.
…

und dann noch:

§ 11a

Verarbeitung personenbezogener Daten durch Verpflichtete

(1) Verpflichtete nach § 2 dürfen personenbezogene Daten nur verarbeiten, soweit dies auf Grundlage dieses Gesetzes für Zwecke der Verhinderung von Geldwäsche und Terrorismusfinanzierung erforderlich ist.

(2) Soweit ein den Vorschriften dieses Gesetzes unterliegender Verpflichteter nach § 2 personenbezogene Daten für Zwecke gemäß Absatz 1 an die zuständigen Aufsichtsbehörden oder die Personen und Einrichtungen, deren sich die zuständigen Aufsichtsbehörden bei der Durchführung ihrer Aufgaben bedienen, oder an die Zentralstelle für Finanztransaktionsuntersuchungen übermittelt, bestehen die Pflicht zur Information der betroffenen Person nach Artikel 13 Absatz 3 der Verordnung (EU) 679/2016 und das Recht auf Auskunft der betroffenen Person nach Artikel 15 der Verordnung (EU) 679/2016 nicht.

Alles klar?
Soweit ich diese schrägen Verweisketten verstehe, müssen die den Identifizeriungsvorgang nachweisen udn dürfen/müssen daher auch eine UNGESCHWÄRZTE Perso-Kopie speichern.

citizenK4te · 22. Mai 2023 um 10:58

Anscheinend den Ausgangspost und den entsprechenden Link überhaupt nicht gelesen. Das wurde darin schon außer Kraft gesetzt.

Identifizierungspflichten beziehen sich in aller Regel auf konkrete Merkmale wie Name oder Adresse der Kundinnen und Kunden, nicht jedoch auf andere Daten (z. B. Zugangsnummer, Seriennummer), die ebenfalls auf Ausweisdokumenten zu finden sind.

Hier besteht das Recht der Kundinnen und Kunden, einzelne Bereiche der Ausweiskopie entsprechend zu schwärzen.

l.huesker · 22. Mai 2023 um 11:26

Das hatte ich in der Tat nicht gesehen.
Wobei mir da aber eine Begründung aus dem Gesetz fehlt.
Das ULD wird als Quelle genannt, dort findet Google nur im 36. Tätigkeitsbericht in Abschnitt 5.5.3 genau den Text aus dem Link. Redaktionsschluss war der 1.6.2017.

So wie ich das GWG lese, besteht dort eine vollständige Dokumentationspflicht.

Hier - aktuell verfügbar, aber bezogen auf 2017 - findet sich dieses zitat:
https://www.datenschutz.rlp.de/de/themenfelder-themen/kreditinstitute/
#### Ausweiskopien

Bis Mitte 2017 war es so, dass Kreditinstitute berechtigt waren, Personalausweise nach dem Geldwäschegesetz zu kopieren. Dabei durften sie jedoch nach Auffassung der Datenschutzbeauftragten nur die im Geldwäschegesetz genannten Angaben wie Name, Geburtsort, Geburtsdatum, Staatsangehörigkeit und Anschrift erheben und entsprechend auch nur diese kopieren. Weitere Informationen auf dem Personalausweis waren entsprechend abzudecken. Der Gesetzgeber hat das Geldwäschegesetz jedoch geändert. Nunmehr ist dort in § 8 Abs. 2 Satz 2 vorgesehen, dass die nach dem Geldwäschegesetz Verpflichteten, also auch Kreditinstitute, das Recht und die Pflicht haben, vollständige Kopien der Ausweisdokumente anzufertigen oder sie vollständig optisch digitalisiert zu erfassen. Das Gesetz ist am 26. Juni 2017 in Kraft getreten.

Das 2017 die DSGVO bereits bekannt war, ist dies m.E. eine Rechtsvorschrift, die eine Verarbeitung vorschreibt.

Dann finde ich beim LDI NRW fast gleichlautend:
https://www.ldi.nrw.de/datenschutz/wirtschaft/personalausweis-und-datenschutz

Dabei haben die Verpflichteten das Recht und die Pflicht, eine vollständige Kopie des Ausweises anzufertigen oder diesen vollständig optisch digitalisiert zu erfassen oder, bei einem Vor-Ort-Auslesen nach § 18a des Personalausweisgesetzes, nach § 78 Absatz 5 Satz 2 des Aufenthaltsgesetzes oder nach § 13 des eID-Karte-Gesetzes, das dienste- und kartenspezifische Kennzeichen sowie die Tatsache aufzuzeichnen, dass die Daten im Wege des Vor-Ort-Auslesens übernommen wurden. Die Pflicht, bestimmte Daten des Ausweises zu schwärzen, besteht damit nicht mehr. Gemäß § 8 Absatz 4 Satz 1 GwG sind die Aufzeichnungen fünf Jahre aufzubewahren und danach unverzüglich zu vernichten. Nach § 8 Absatz 3 Satz 2 GwG bleiben andere gesetzliche Bestimmungen über die Aufzeichnungs- und Aufbewahrungspflichten hiervon unberührt.

Hier ist dann auf einmal von einer nicht mehr vorhandenen Pflicht zur Schwärzung die Rede.
Damit ist die eigentliche Frage zum “Recht auf Schwärzung” evtl. noch offen.

Ich glaube da sollte man eine ASB einmal um Klarstellung bitten.