1. #1
    U-Labs Elite

    Registriert seit
    28.10.2011
    Beiträge
    567
    Thanked 247 Times in 156 Posts

    Standard Personalausweisnummer und DSGVO/PAuswG

    Hidihow!

    Ich bin derzeit ein neues Projekt am umsetzen. Hierbei werden personenbezogene Daten dauerhaft gespeichert. Vorweg ist dies keine explizite Rechtsberatung, die mir sowieso nur ein Jurist geben könnte. Ich möchte hier nur Tipps und Tricks erlangen, da vielleicht jemand von euch mit solchen Daten arbeiten könnte und dieser dementsprechend Erfahrungen in diesem Bereich besitzt.

    Nehmen wir einmal eine konkrete Beschreibung von dessen. Ich möchte eine Informationsplattform schaffen, die (potentielle) Mieter eines Mietobjekts/Wohnung über den Zustand berichten. Ein konkretes Gegenbeispiel der Plattform ist die SCHUFA. Vermieter verlangen oft eine SCHUFA-Auskunft - Dieses Konzept will ich auch für die andere Seite "übertragen". So können Mieter sich über den Vermieter informieren oder auch einen Status setzen (Beispielsweise der Ein- und Auszug aus der Mietwohnung, Mängelbeseitigung, etc...).

    Damit das ganze nicht "missbraucht" werden kann, nutze ich zur legimitation der Nutzer die Personalausweisnummer. Hier wird das Geburtsdatum geprüft, geschaut, ob der Ausweis noch gültig ist und vor allem anhand der Prüfziffern auch gecheckt, ob die Personalausweisnummer "gültig" ist. Jeder Nutzer darf demnach nur einen Account besitzen.

    Das PAuswG regelt auch, welche Daten als elektronischer Identitätsnachweis genutzt werden können. Die DSGVO sowie auch das PAuswG regelt, zudem die Speicherung und Informationspflichten, Logisch. Mir stellt sich aber die Frage, ob ich die Personalausweisnummer nur zur aktuellen "Verarbeitung" nutzen darf oder ob ich diese dauerhaft speichern kann (natürlich mit dementsprechende Vorkehrungen wie Hashen oder Verschlüsseln). Hier gibt es zu dem noch weitere Fragen:

    § 20 Verwendung durch öffentliche und nichtöffentliche Stellen
    (3) Die Seriennummern, die Sperrkennwörter und die Sperrmerkmale dürfen nicht so verwendet werden, dass mit ihrer Hilfe ein automatisierter Abruf personenbezogener Daten oder eine Verknüpfung von Dateien möglich ist. [...]
    Wie wird dies in einer elektronischen Verarbeitung umgesetzt? Der Account ist personenbezogen - So will ich dies anbieten - Dementsprechend ist auch der Personalausweis dem Account "untergeordnet". Zudem Sperrmerkmale können auf normalen Weg nicht durch "Ottonormalverbraucher" geprüft werden. So könnte sich auch jemand mit einem vermeintlich gültigen, aber gesperrten Ausweis legimitieren. Wie verfährt man hier ohne diese komerzielle eID-Mistkacke, die dafür ordentlich Geld haben wollen? Außerdem wiederspricht dies der DSGVO und der Auskunftspflicht.

    Hier gibt es auch ein weiterer Passus, der nicht klärend ist:
    (4) [...] Die Daten sind unverzüglich zu löschen, wenn sie für die Erfüllung dieser Pflichten nicht mehr erforderlich sind
    Die Erfüllung der Pflicht ist ja die ganze Zeit erforderlich, um betrügerische Absichten zu unterbinden. Weiter unten steht auch noch einmal das mit dem Ablaufdatum,... Dies muss ich ja Beispielsweise auch speichern, um den Zugang nach Ablauf zu unterbinden, da dies eine Erfüllungspflicht ist.

    (5) [...] um das Alter des Ausweisinhabers und die Gültigkeit des Ausweises zu überprüfen. Eine Speicherung der Daten ist unzulässig.
    Warum darf ich Beispielsweise nicht speichern, dass der Ausweis 2019 abläuft, so dass der Nutzer sich nach Ablauf neu legimitieren muss? Diese Passage widerspricht aber auch (4) sowie Abschnitt 5 von § 23, wo die Speichervorschriften niedergelassen sind. Außerdem muss der Nutzer ja vor Registrierung dem zustimmen, andernfalls kann er den Dienst ja nicht benutzen. Ihm steht es ja frei, ob er diesen Dienst nutzen möchte, oder nicht:

    (4) Personenbezogene Daten im Personalausweisregister sind mindestens bis zur Ausstellung eines neuen Ausweises, höchstens jedoch bis zu fünf Jahre nach dem Ablauf der Gültigkeit des Ausweises, auf den sie sich beziehen, zu speichern und dann zu löschen.
    Die DSGVO widerspricht hier auch das PAuswG. In der DSGVO wird zum Beispiel eine Personalausweisnummer als personenbezogener Datensatz betitelt. Zu dem kann ich ja auch erklären, mit welcher Berechtigung ich diese personenbezogene Daten verarbeite und welche Maßnahmen ich zum Schutz der Daten ergreife.

    Das nutzen von diversen Dienstleistungen wie PostIDENT oder dergleichen kommt nicht in Frage - Schon alleine weil ich kein Unternehmen bin und dies ein privates, nicht-komerzielles Projekt ist.

    Einträge die durch den Mieter gemacht werden, werden zudem vor Veröffentlichung geprüft, da eine "Vermieterbewertung" zwar legitim ist, wenn diese den Tatsachen entsprechen, aber Beispielsweise beleidigende Worte nicht persönlich verwendet werden dürfen, da sonst die Person dagegen rechtlich vorgehen kann.

    Ich hoffe, mir kann jemand diverse Tipps und Infos geben
    Geändert von Bubble Gum (16.12.2018 um 16:18 Uhr)

  2. The Following User Says Thank You to Bubble Gum For This Useful Post:

    TomatenKetchup (20.12.2018)

  3. #2
    U-Labs Plus-Mitglied

    Registriert seit
    06.11.2011
    Beiträge
    418
    Thanked 686 Times in 246 Posts

    Standard AW: Personalausweisnummer und DSGVO/PAuswG

    Meines Wissens nach ist die Frage hier immer wie personenbezogen die Daten wirklich sind. Zum Beispiel ist das Alter einer Person nicht so relevant, dass ich diese Person nur daran identifizieren kann und demnach spricht nichts dagegen wenn ich dieses abspeicher. Kritisch wird es sobald ich es in Kombination mit anderen Merkmalen speichere, wodurch ich dann auf die Person schließen kann. Andere Daten wie Name und Anschrift lassen natürlich direkt auf eine Person schließen und dürfen deshalb nur mit Zustimmung verwertet und gespeichert werden.

    Kurz und knapp: Hol dir das Einverständnis der Personen. Also nicht nur ein Hinweis, dass du gewisse Daten speicherst, sondern einen Haken setzen lassen und dort genau auflisten um welche Daten es sich handelt.
    Vermutlich brauchst du ebenso die Zustimmung des Vermieters, um die Adresse der Mietwohnung zu speichern - vorausgesetzt du tust das.

    Wenn Daten auf deiner Plattform von Nutzern eingetragen werden, dann brauchst du das nicht (das müsste dann der Nutzer selbst tun). Du bist auch nicht verpflichtet die Kommentare zu überprüfen. Du bist nur verpflichtet rechtswidrige Inhalte zu entfernen wenn du darauf hingewiesen wirst.

    "Als Diensteanbieter sind wir gemäß § 7 Abs.1 TMG für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Nach §§ 8 bis 10 TMG sind wir als Diensteanbieter jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen.

    Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben hiervon unberührt. Eine diesbezügliche Haftung ist jedoch erst ab dem Zeitpunkt der Kenntnis einer konkreten Rechtsverletzung möglich. Bei Bekanntwerden von entsprechenden Rechtsverletzungen werden wir diese Inhalte umgehend entfernen."

  4. The Following User Says Thank You to Flav For This Useful Post:

    contro (18.12.2018)

  5. #3
    U-Labs Elite

    Registriert seit
    28.10.2011
    Beiträge
    567
    Thanked 247 Times in 156 Posts

    Standard AW: Personalausweisnummer und DSGVO/PAuswG

    Dass eine Zustimmung erfolgen muss, ist logisch.

    Also brauche ich mir da keinerlei Gedanken verschwenden, weil die DSGVO und PAuswG Gegensätzlich sind? Nutzer informieren, Datenschutzfasel ausgeben, und dann kann ich die speichern, wie ich lustig bin? (Natürlich in einem vernünftigen technischen Stand mit Verschlüsselungsverfahren, etc. pp).

    Ich bin nur verpflichtet, die Einträge bei Rechtsverstößen zu überprüfen - Sofern sie natürlich gemeldet werden, ja! Ich möchte aber eine Plattform schaffen, wo eine gewisse Datenqualität herrscht, deswegen verpflichte ich mich dazu selbst :p

  6. #4
    U-Labs Plus-Mitglied

    Registriert seit
    06.11.2011
    Beiträge
    418
    Thanked 686 Times in 246 Posts

    Standard AW: Personalausweisnummer und DSGVO/PAuswG

    Ja, wenn du die Zustimmung hast darfst du die Daten speichern. Wenn du diese in irgendeiner Form weitergeben und/oder verarbeiten willst, brauchst du dafür natürlich auch die Zustimmung.

    Am besten schreibst du dazu wofür diese verwendet werden und warum du die Daten dafür speichern musst.

  7. #5
    U-Labs Elite

    Registriert seit
    28.10.2011
    Beiträge
    567
    Thanked 247 Times in 156 Posts

    Standard AW: Personalausweisnummer und DSGVO/PAuswG

    Dies ist mir ja zum Teil bewusst. Nur die Regelungen in der PAuswG sind halt irritierend Die DSGVO erlaubt dies, das PAuswG aber hingegen nicht unbedingt.

    Weil das halt so verwirrend ist, habe ich da halt Probleme xD

  8. #6
    U-Labs Elite

    Registriert seit
    28.10.2011
    Beiträge
    567
    Thanked 247 Times in 156 Posts

    Standard AW: Personalausweisnummer und DSGVO/PAuswG

    Ich hab das ganze jetzt erst einmal wie folgt gemacht, in dem ich vor Start der Registrierung darauf hinweise:
    1tpfqd.png
    2m3e02.png
    3ltct7.png
    41kfja.png
    Im späteren Verlauf, wenn ich die Datenschutzbestimmungen & Co erstelle, wird dann dementsprechend mehr stehen ^.^

  9. The Following User Says Thank You to Bubble Gum For This Useful Post:

    TomatenKetchup (20.12.2018)

  10. #7
    U-Labs Plus-Mitglied

    Registriert seit
    06.11.2011
    Beiträge
    418
    Thanked 686 Times in 246 Posts

    Standard AW: Personalausweisnummer und DSGVO/PAuswG

    Zitat Zitat von Bubble Gum Beitrag anzeigen
    Dies ist mir ja zum Teil bewusst. Nur die Regelungen in der PAuswG sind halt irritierend Die DSGVO erlaubt dies, das PAuswG aber hingegen nicht unbedingt.

    Weil das halt so verwirrend ist, habe ich da halt Probleme xD
    Stimmt, ich bin oben eher auf die DSGVO eingegangen. Über das PAuswG weiß ich ehrlich gesagt nichts, ich denke aber, dass du mit der Zustimmung des Nutzers ebenfalls dazu berechtigt bist diese Daten zu speichern und zu verarbeiten. Die DSGVO ist auch sehr verwirrend und nicht ganz eindeutig, insbesondere in Bezug auf Cookies (hier erwartet uns ja bald ein neues Gesetz). Habe mir aber von einem Anwalt sagen lassen, dass man nicht viel falsch machen kann wenn man sich die Zustimmung des Nutzers einholt.
    In deinem konkreten Fall solltest du natürlich sowieso nochmal einen Anwalt fragen.

    Meines Erachtens nach sieht das so schon ganz ordentlich aus wie du das jetzt hast.

Ähnliche Themen

  1. Knuddels wieder Pionier: Erstes DSGVO-Bußgeld
    Von Chrissy im Forum Internet und Technik
    Antworten: 5
    Letzter Beitrag: 16.12.2018, 20:53
  2. Sysadmin-Info, wer hat die noch? Wäre Interessant für die DSGVO!
    Von Bubble Gum im Forum Fragen & Probleme
    Antworten: 6
    Letzter Beitrag: 01.11.2018, 10:47
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191