Personalausweisnummer und DSGVO/PAuswG

[Bubble Gum]

Hidihow!

Ich bin derzeit ein neues Projekt am umsetzen. Hierbei werden personenbezogene Daten dauerhaft gespeichert. Vorweg ist dies keine explizite Rechtsberatung, die mir sowieso nur ein Jurist geben könnte. Ich möchte hier nur Tipps und Tricks erlangen, da vielleicht jemand von euch mit solchen Daten arbeiten könnte und dieser dementsprechend Erfahrungen in diesem Bereich besitzt.

Nehmen wir einmal eine konkrete Beschreibung von dessen. Ich möchte eine Informationsplattform schaffen, die (potentielle) Mieter eines Mietobjekts/Wohnung über den Zustand berichten. Ein konkretes Gegenbeispiel der Plattform ist die SCHUFA. Vermieter verlangen oft eine SCHUFA-Auskunft - Dieses Konzept will ich auch für die andere Seite "übertragen". So können Mieter sich über den Vermieter informieren oder auch einen Status setzen (Beispielsweise der Ein- und Auszug aus der Mietwohnung, Mängelbeseitigung, etc...).

Damit das ganze nicht "missbraucht" werden kann, nutze ich zur legimitation der Nutzer die Personalausweisnummer. Hier wird das Geburtsdatum geprüft, geschaut, ob der Ausweis noch gültig ist und vor allem anhand der Prüfziffern auch gecheckt, ob die Personalausweisnummer "gültig" ist. Jeder Nutzer darf demnach nur einen Account besitzen.

Das PAuswG regelt auch, welche Daten als elektronischer Identitätsnachweis genutzt werden können. Die DSGVO sowie auch das PAuswG regelt, zudem die Speicherung und Informationspflichten, Logisch. Mir stellt sich aber die Frage, ob ich die Personalausweisnummer nur zur aktuellen "Verarbeitung" nutzen darf oder ob ich diese dauerhaft speichern kann (natürlich mit dementsprechende Vorkehrungen wie Hashen oder Verschlüsseln). Hier gibt es zu dem noch weitere Fragen:

§ 20 Verwendung durch öffentliche und nichtöffentliche Stellen
(3) Die Seriennummern, die Sperrkennwörter und die Sperrmerkmale dürfen nicht so verwendet werden, dass mit ihrer Hilfe ein automatisierter Abruf personenbezogener Daten oder eine Verknüpfung von Dateien möglich ist. [...]

Wie wird dies in einer elektronischen Verarbeitung umgesetzt? Der Account ist personenbezogen - So will ich dies anbieten - Dementsprechend ist auch der Personalausweis dem Account "untergeordnet". Zudem Sperrmerkmale können auf normalen Weg nicht durch "Ottonormalverbraucher" geprüft werden. So könnte sich auch jemand mit einem vermeintlich gültigen, aber gesperrten Ausweis legimitieren. Wie verfährt man hier ohne diese komerzielle eID-Mistkacke, die dafür ordentlich Geld haben wollen? Außerdem wiederspricht dies der DSGVO und der Auskunftspflicht.

Hier gibt es auch ein weiterer Passus, der nicht klärend ist:

(4) [...] Die Daten sind unverzüglich zu löschen, wenn sie für die Erfüllung dieser Pflichten nicht mehr erforderlich sind

Die Erfüllung der Pflicht ist ja die ganze Zeit erforderlich, um betrügerische Absichten zu unterbinden. Weiter unten steht auch noch einmal das mit dem Ablaufdatum,... Dies muss ich ja Beispielsweise auch speichern, um den Zugang nach Ablauf zu unterbinden, da dies eine Erfüllungspflicht ist.

(5) [...] um das Alter des Ausweisinhabers und die Gültigkeit des Ausweises zu überprüfen. Eine Speicherung der Daten ist unzulässig.

Warum darf ich Beispielsweise nicht speichern, dass der Ausweis 2019 abläuft, so dass der Nutzer sich nach Ablauf neu legimitieren muss? Diese Passage widerspricht aber auch (4) sowie Abschnitt 5 von § 23, wo die Speichervorschriften niedergelassen sind. Außerdem muss der Nutzer ja vor Registrierung dem zustimmen, andernfalls kann er den Dienst ja nicht benutzen. Ihm steht es ja frei, ob er diesen Dienst nutzen möchte, oder nicht:

(4) Personenbezogene Daten im Personalausweisregister sind mindestens bis zur Ausstellung eines neuen Ausweises, höchstens jedoch bis zu fünf Jahre nach dem Ablauf der Gültigkeit des Ausweises, auf den sie sich beziehen, zu speichern und dann zu löschen.

Die DSGVO widerspricht hier auch das PAuswG. In der DSGVO wird zum Beispiel eine Personalausweisnummer als personenbezogener Datensatz betitelt. Zu dem kann ich ja auch erklären, mit welcher Berechtigung ich diese personenbezogene Daten verarbeite und welche Maßnahmen ich zum Schutz der Daten ergreife.

Das nutzen von diversen Dienstleistungen wie PostIDENT oder dergleichen kommt nicht in Frage - Schon alleine weil ich kein Unternehmen bin und dies ein privates, nicht-komerzielles Projekt ist.

Einträge die durch den Mieter gemacht werden, werden zudem vor Veröffentlichung geprüft, da eine "Vermieterbewertung" zwar legitim ist, wenn diese den Tatsachen entsprechen, aber Beispielsweise beleidigende Worte nicht persönlich verwendet werden dürfen, da sonst die Person dagegen rechtlich vorgehen kann.

Ich hoffe, mir kann jemand diverse Tipps und Infos geben

[Flav]

Meines Wissens nach ist die Frage hier immer wie personenbezogen die Daten wirklich sind. Zum Beispiel ist das Alter einer Person nicht so relevant, dass ich diese Person nur daran identifizieren kann und demnach spricht nichts dagegen wenn ich dieses abspeicher. Kritisch wird es sobald ich es in Kombination mit anderen Merkmalen speichere, wodurch ich dann auf die Person schließen kann. Andere Daten wie Name und Anschrift lassen natürlich direkt auf eine Person schließen und dürfen deshalb nur mit Zustimmung verwertet und gespeichert werden.

Kurz und knapp: Hol dir das Einverständnis der Personen. Also nicht nur ein Hinweis, dass du gewisse Daten speicherst, sondern einen Haken setzen lassen und dort genau auflisten um welche Daten es sich handelt.
Vermutlich brauchst du ebenso die Zustimmung des Vermieters, um die Adresse der Mietwohnung zu speichern - vorausgesetzt du tust das.

Wenn Daten auf deiner Plattform von Nutzern eingetragen werden, dann brauchst du das nicht (das müsste dann der Nutzer selbst tun). Du bist auch nicht verpflichtet die Kommentare zu überprüfen. Du bist nur verpflichtet rechtswidrige Inhalte zu entfernen wenn du darauf hingewiesen wirst.

"Als Diensteanbieter sind wir gemäß § 7 Abs.1 TMG für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Nach §§ 8 bis 10 TMG sind wir als Diensteanbieter jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen.

Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben hiervon unberührt. Eine diesbezügliche Haftung ist jedoch erst ab dem Zeitpunkt der Kenntnis einer konkreten Rechtsverletzung möglich. Bei Bekanntwerden von entsprechenden Rechtsverletzungen werden wir diese Inhalte umgehend entfernen."

[Bubble Gum]

Dass eine Zustimmung erfolgen muss, ist logisch.

Also brauche ich mir da keinerlei Gedanken verschwenden, weil die DSGVO und PAuswG Gegensätzlich sind? Nutzer informieren, Datenschutzfasel ausgeben, und dann kann ich die speichern, wie ich lustig bin? (Natürlich in einem vernünftigen technischen Stand mit Verschlüsselungsverfahren, etc. pp).

Ich bin nur verpflichtet, die Einträge bei Rechtsverstößen zu überprüfen - Sofern sie natürlich gemeldet werden, ja! Ich möchte aber eine Plattform schaffen, wo eine gewisse Datenqualität herrscht, deswegen verpflichte ich mich dazu selbst :p

[Flav]

Ja, wenn du die Zustimmung hast darfst du die Daten speichern. Wenn du diese in irgendeiner Form weitergeben und/oder verarbeiten willst, brauchst du dafür natürlich auch die Zustimmung.

Am besten schreibst du dazu wofür diese verwendet werden und warum du die Daten dafür speichern musst.

[Bubble Gum]

Dies ist mir ja zum Teil bewusst. Nur die Regelungen in der PAuswG sind halt irritierend Die DSGVO erlaubt dies, das PAuswG aber hingegen nicht unbedingt.

Weil das halt so verwirrend ist, habe ich da halt Probleme xD

[Bubble Gum]

Ich hab das ganze jetzt erst einmal wie folgt gemacht, in dem ich vor Start der Registrierung darauf hinweise:




Im späteren Verlauf, wenn ich die Datenschutzbestimmungen & Co erstelle, wird dann dementsprechend mehr stehen ^.^

[Flav]

Dies ist mir ja zum Teil bewusst. Nur die Regelungen in der PAuswG sind halt irritierend Die DSGVO erlaubt dies, das PAuswG aber hingegen nicht unbedingt.

Weil das halt so verwirrend ist, habe ich da halt Probleme xD

Stimmt, ich bin oben eher auf die DSGVO eingegangen. Über das PAuswG weiß ich ehrlich gesagt nichts, ich denke aber, dass du mit der Zustimmung des Nutzers ebenfalls dazu berechtigt bist diese Daten zu speichern und zu verarbeiten. Die DSGVO ist auch sehr verwirrend und nicht ganz eindeutig, insbesondere in Bezug auf Cookies (hier erwartet uns ja bald ein neues Gesetz). Habe mir aber von einem Anwalt sagen lassen, dass man nicht viel falsch machen kann wenn man sich die Zustimmung des Nutzers einholt.
In deinem konkreten Fall solltest du natürlich sowieso nochmal einen Anwalt fragen.

Meines Erachtens nach sieht das so schon ganz ordentlich aus wie du das jetzt hast.