Der neue Personalausweis bietet grundsätzlich die Möglichkeit eines elektronischen Identitätsnachweises.
Dafür ist eine entsprechende technische Ausstattung erforderlich. Weitere Informationen zur Online-Ausweisfunktion finden Sie auf der Internetseite www.personalausweisportal.de des Bundesministeriums des Innern und für Heimat (BMI).
Auch bei dem elektronischen Identitätsnachweis bedarf jede Datenverarbeitung durch das Unternehmen einer Rechtsgrundlage (Einwilligung oder gesetzliche Vorschrift). Der neue Personalausweis enthält eine Fülle an personenbezogenen Daten. Ein Überblick ist hier abrufbar.
Ebenso wie bei der herkömmlichen Verwendung des Personalausweises als Identifikations- und Legitimationsdokument dürfen aber auch bei dem elektronischen Identifikationsnachweis jeweils nur die Daten erhoben werden, die für den Geschäftszweck tatsächlich erforderlich sind.
Um die Begrenzung auf den erforderlichen Umfang sicherzustellen, benötigen Unternehmen zur technischen Durchführung der Datenerhebung im Rahmen des elektronischen Identitätsnachweises ein sog. Berechtigungszertifikat (§ 21 Personalausweisgesetz). Dieses wird durch das Bundesverwaltungsamt vergeben. Dabei geht es nicht nur um das „Ob“ (Ist eine Identifizierung erforderlich?), sondern auch um das „Wie“ (Welcher Umfang ist zur Identifizierung erforderlich?).
Mit Änderung des Gesetzes zur Förderung des elektronischen Identitätsnachweises (EldNFG) vom 15. Juli 2017 wurde das zuletzt am 5. Juli 2021 geänderte Personalausweisgesetz (PAusWG) angepasst.
Seit dieser Änderung werden die notwendigen Berechtigungszertifikate zum Auslesen der Ausweisdaten nicht mehr dienstbezogen, sondern organisationsbezogen vergeben. Ein- und derselbe Antragsteller muss daher nicht mehr für jeden Geschäftsprozess eine gesonderte, zweckgebundene Berechtigung beantragen, sondern benötigt nur noch eine einzige, einheitliche Berechtigung.
Das Vorliegen einer Berechtigung ist durch die Vergabe von Berechtigungszertifikaten technisch abzusichern. Die Berechtigung lässt darüber hinaus auch zukünftig datenschutzrechtliche Vorschriften unberührt (§ 21PAusWG). Über die Einhaltung des datenschutzrechtlichen Erforderlichkeitsgrundsatzes wachen von nun an die zuständigen Datenschutzaufsichtsbehörden.
Die Übermittlung der Daten zum Zwecke des elektronischen Identitätsnach-weises bleibt dabei auf die im Berechtigungszertifikat genannten Datenkatenkategorien beschränkt (§ 18 PAusWG). Unternehmen dürfen dementsprechend nur auf Daten zugreifen, die sie auch tatsächlich benötigen.
Während beim herkömmlichen Vorzeigen faktisch nicht verhindert werden kann, dass die oder der Einblick Nehmende optisch auch Daten wahrnimmt, die sie oder er eigentlich nicht benötigt, bietet der elektronische Identitätsnachweis den Vorteil, dass technisch nur die Daten übermittelt und wahrgenommen werden können, die tatsächlich benötigt werden.
Das Sperrmerkmal, durch das ein abhandengekommener Personalausweis erkannt werden kann, und die Angabe, ob der Personalausweis gültig ist, sind bei einem erforderlichen elektronischen Identitätsnachweis stets zu übermitteln (§ 18 Abs. 3 Satz 1 Personalausweisgesetz).
Keine Identifikation erforderlich
Allgemein zur Verfügung gestellte Informationen (zum Beispiel Aufruf eines Warenkatalogs im Internet, allgemeine Berechnung von Versicherungskonditionen) können anonym genutzt werden, eine Identifizierung ist nicht erforderlich.
Auch im frühen Stadium einer Vertragsanbahnung, in dem Sie lediglich in der Rolle einer interessierten Person an einer Information, Ware oder Dienstleistung auftreten, ist eine Identitätsprüfung durch den Personalausweis (noch) nicht erforderlich.
Pseudonym ausreichend
Ist lediglich eine Wiedererkennung erforderlich, so genügt zur Identifikation ein Pseudonym. Dies gilt etwa bei nicht kostenpflichtigen Angeboten und Prepaid-Angeboten wie bei vielen Online-Spielen, sowie für soziale Netzwerke oder sonstige Telemediendienste.
Beschränkung auf Alter oder Wohnort
Ist – etwa aufgrund des Jugendschutzgesetzes oder bei Seniorentarifen – die Legitimation des Alters erforderlich, so genügt – für diesen Zweck – grundsätzlich der Zugriff des Unternehmens auf die entsprechende Angabe, ob ein bestimmtes Alter überschritten wird. Kommt es nur darauf an, dass das 18. Lebensjahr vollendet ist, genügt die Übermittlung dieses Umstandes. Weitere Identitätsdaten oder das genaue Geburtsdatum wären zu diesem Zweck nicht erforderlich.
Ist ein Angebot regional begrenzt, genügt die Angabe des Wohnortes (Straße und Hausnummer sind dafür regelmäßig entbehrlich).
Identifizierung der Person
Identifizierungspflichten können sich für Unternehmen aus gesetzlichen Vorschriften wie etwa dem Geldwäschegesetz ergeben und unterliegen einer strengen Zweckbindung (siehe oben unter Kredit- und Finanzdienstleistungsinstitute).
Darüber hinaus kann im Falle eines Vertragsabschlusses mit Vorleistungspflichten des Unternehmens und einem entsprechenden kreditorischen Risiko (zum Beispiel bei Zahlung auf Rechnung, nicht aber bei Vorkasse) eine Identifizierung der Person erforderlich sein (mit Vorname, Nachname, Anschrift, gegebenenfalls Geburtsdatum oder auch Geburtsort sowie gegebenenfalls auch die Gültigkeitsdauer). In zeitlicher Hinsicht ist eine Prüfung Ihrer Identität jedoch erst erforderlich, wenn Sie zunächst selbst Ihre gewünschte Zahlungsmethode angegeben haben, da sich das kreditorische Risiko nach der angestrebten Zahlungsart richtet.
Dabei kann es ausreichen, dass die Daten zur Identitätsfeststellung nur einmal ausgelesen werden und auf sie bei künftigen Anmeldungen nur in pseudonymisierter Form zurückgegriffen wird.
Bei Selbstauskünften nach Artikel 15 DS-GVO kann zur genauen Zuordnung und zur Vermeidung der missbräuchlichen Kenntniserlangung durch Dritte Ihre Identifikation durch den Personalausweis erforderlich sein (siehe oben unter Selbstauskunftsersuchen). So bieten einige Auskunfteien etwa die Möglichkeit die Daten durch ein Online-Auskunftsportal einzusehen. Dafür ist Ihre Identifizierung erforderlich, für die die Auskunfteien u. a. auch den elektronischen Identitätsnachweis des Personalausweises vorsehen. Erforderlich sind aber auch bei dem elektronischen Identitätsnachweis in der Regel nur Vorname, Nachname, Anschrift, gegebenenfalls Geburtsdatum sowie gegebenenfalls auch die Gültigkeitsdauer.