Einer Gruppe von Hackern ist es gelungen, in die Buchungssysteme italienischer Hotels einzudringen. Daten Zehntausender Hotelgäste wurden gestohlen. Jetzt kursieren die Dokumente im Darknet. In Italien muss man sich bei der Anmeldung im Hotel mit Ausweispapieren anmelden, die dann in der Regel an der Rezeption kopiert werden.
Wie ist die Rechtslage in deutschen Hotels?
Hotels müssen für Gäste mit deutscher Staatsangehörigkeit keinen besonderen Meldeschein mehr vorhalten, unterschreiben lassen oder archivieren, da die Meldepflicht für inländische Gäste ab dem 01. Januar 2025 entfallen ist.
Somit muss die Meldepflicht auch nicht mehr alternativ durch einen sogenannten elektronischen Meldeschein erfüllt werden (§ 29 Abs. 5 BMG). Die Hotels dürfen jedoch personenbezogene Daten ihrer Kunden erheben, soweit dies zur Erfüllung rechtlicher Verpflichtungen erforderlich ist. So ist es erlaubt, von Gästen mit deutscher Staatsangehörigkeit ohne ihre ausdrückliche Zustimmung Daten zu erheben, die zur Vertragserfüllung und ggf. zur Abrechnung kommunaler Beiträge (Kurtaxe, Tourismusabgabe, City Tax, Übernachtungssteuer etc.) erforderlich sind.
Darüber hinaus dürfen Hotels grundsätzlich auch Einsicht in den Personalausweis nehmen und die gültige Adresse der Kunden speichern, z. B. um hinterher Regressansprüche gegenüber dem Kunden geltend zu machen (Diebstahl, Sachbeschädigung …). Ansonsten gilt der Grundsatz der Datenminimierung, wonach das Erheben von Daten, die nicht erforderlich sind, unzulässig ist. Durch eine Ausweiskopie erhält ein Hotel viel mehr Daten als das Hotel zum Datenabgleich benötigt. Die auf dem Ausweis vermerkten Nummern oder auch das Passfoto sind Informationen, die das Hotel nicht erheben darf!
Dennoch verlangen einzelne Hotels bzw. Hotelketten eine Kopie des Personalausweises. In diesem Fall sollte sich der Kunde an die zuständige Datenschutzaufsicht wenden und dieses Vorgehen dort benennen.
Dürfen Personalausweise allgemein kopiert werden?
Ein generelles Verbot seinen Personalausweis zu kopieren gibt es nicht. Aber § 20 Abs. 2 Personalausweis Gesetz (PAuswG) legt fest, dass der Ausweis nur vom Ausweisinhaber oder von anderen Personen mit Zustimmung des Ausweisinhabers in der Weise abgelichtet werden darf, dass die Ablichtung eindeutig und dauerhaft als Kopie erkennbar ist.
Ausweiskopien können für Phishing, Schockanrufe oder Enkeltricks verwendet werden. Auch Identitätsdiebstahl ist möglich. Wenn Kriminelle an Ausweisdaten gelangen, können große finanzielle Schäden entstehen. Es gilt daher die dringende Empfehlung den Personalausweis niemals zu kopieren oder eine Kopie per E-Mail zu versenden.
Oftmals kommt es vor, dass Unternehmen zum Beispiel bei der Vermietung eines Fahrrades sich den Ausweis von Kunden als Pfand übergeben lassen, um damit sicherzustellen, dass der entliehene Gegenstand wieder ordnungsgemäß zurückgegeben wird.
Diese Vorgehensweise ist unzulässig. Das Aushändigen des Ausweises als Pfand darf nicht verlangt werden. Denn während der Hinterlegung sind die Ausweisdaten vollständig – das heißt auch hinsichtlich der Sicherungsmerkmale – dem Zugriff Dritter preisgegeben. § 1 Absatz 1 Satz 3 PAuswG verbietet eine solche Verfahrensweise ausdrücklich.
„Vom Ausweisinhaber darf nicht verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben“.
Weitere Informatioenen und Quellen:
- Personalausweis und Datenschutz (LDI NRW)
- Der Personalausweis (BSI)
- Personalausweis und Reisepass schwärzen (PSW)
- Daten auf dem Personalausweis und im Chip