Danke Aswan für die ausführliche Aufklärung.
Sehr gerne, kein Problem.
Um bei der Diskussion zu bleiben:
Mit dem (TKG) § 95, Absatz 4. hast du recht. Ich bezweilfe jedoch das §20 Abs. 2 PAuswG vollständig jeden elektronischen Identitätsnachweis ausschließt.
In §20 Abs. 1 PAuswG heißt es:
(1) Der Inhaber kann den Ausweis bei öffentlichen und nichtöffentlichen Stellen als Identitätsnachweis und Legitimationspapier verwenden.
So weit, so gut. Bis hierher sind wir uns einig.
Absatz 2 regelt meines Erachtens jedoch nur die Vermeidung, dass die Ausweise dazu benötigt werden, automatisierte Abrufe mit den Ausweisen durchzuführen, bzw. diese automatisch zu speichern.
Nicht nur die Ausweise, sondern der Ausweis "darf [...] durch öffentliche und nichtöffentliche Stellen weder zum
automatisierten Abruf personenbezogener Daten noch zur
automatisierten Speicherung personenbezogener Daten verwendet werden"
Während der Ausweis selbst personenbezogene Daten enthält und deshalb nicht gespeichert werden darf, gilt das auch für alle personenbezogenen Daten, die man von dort evtl. herauslesen, kopieren, etc. könnte.
Durch Absatz 2 soll also wahrscheinlich vermieden werden, dass durch eine "Sammelwut" Ausweise massenhaft gespeichert und gelagert werden. Damit soll wahrscheinlich vermieden werden, dass einzelne Unternehmen in großem Stil Ausweise der Bundesbürger sammeln und kategorisieren. Im Endeffekt soll dieser Absatz wahrscheinlich auch schützen vor "Leaks" oder Hackerangriffen, bei denen diese Daten dann verloren gehen könnten.
Wenn Unternehmen anfangen §20 Abs. 2 PAuswG so wie von dir beschrieben zu umgehen, dann tritt doch genau diese "Sammelwut" ein. Wenn die Kopien gelöscht, aber die Daten vorher in eine Datenbank eingegeben werden, dann bringt die Löschung nichts. Im Gegenteil; sind die Daten erstmal in einer Datenbank, ist ein Abrufen und Verarbeiten sehr viel einfacher als wenn nur ein Bild existiert. Genau das versucht der besagte §20 zu unterbinden. Auch vor "'Leaks' oder Hackerangriffen" sind die Daten in solch einem Fall nicht geschützt.
Dort heißt es nämlich: Außer zum elektronischen Identitätsnachweis[...]
Was ein "elektronischer Identitätsnachweis" im Sinne des PAuswG ist, wird in §18 PAuswG Abs. 2 geregelt. Dort heißt es:
(2) Der elektronische Identitätsnachweis erfolgt durch Übermittlung von Daten aus dem elektronischen Speicher- und Verarbeitungsmedium des Personalausweises. Dabei sind dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Unversehrtheit der Daten gewährleisten. Im Falle der Nutzung allgemein zugänglicher Netze sind Verschlüsselungsverfahren anzuwenden. Die Nutzung des elektronischen Identitätsnachweises durch eine andere Person als den Personalausweisinhaber ist unzulässig.
Demnach ist der in §20 Abs. 2 PAuswG genannte "elektronische Identitätsnachweis" also nicht die Übermittlung einer Ausweiskopie auf dem Telekommunikationswege. Das wäre ja auch schwachsinnig, würde es doch das Übermitteln der Kopie per Brief verbieten, da nicht elektronisch, aber per Email erlauben. Dem ist selbstverständlich nicht so.
Des weiteren gibt es beim "elektronischen Identitätsnachweis" einschränkungen nach §18 Abs 4 und 5 PAuswG, in denen es heißt:
(4) Die Daten werden nur übermittelt, wenn der Diensteanbieter ein gültiges Berechtigungszertifikat an den Personalausweisinhaber übermittelt und dieser in der Folge seine Geheimnummer eingibt. Vor Eingabe der Geheimnummer durch den Personalausweisinhaber müssen insbesondere die folgenden Angaben aus dem Berechtigungszertifikat zur Anzeige übermittelt werden:
1. Name, Anschrift und E-Mail-Adresse des Diensteanbieters,
2. Kategorien der zu übermittelnden Daten nach Absatz 3 Satz 2,
3. Zweck der Übermittlung,
4. Hinweis auf die für den Diensteanbieter zuständigen Stellen, die die Einhaltung der Vorschriften zum Datenschutz kontrollieren,
5. letzter Tag der Gültigkeitsdauer des Berechtigungszertifikats.
(5) Die Übermittlung ist auf die im Berechtigungszertifikat genannten Datenkategorien beschränkt. Der Personalausweisinhaber kann die Übermittlung auch dieser Datenkategorien im Einzelfall ausschließen.
Meine Fragen an euch nun:
Übermittelt ihr ein solches Berechtigungszertifikat?
Macht ihr in einem solchen Zeritifikat die nach Abs. 4 Nr. 1, 2, 3, 4 und 5 geforderten Angaben?
Werden euch die Daten erst nach eingabe der Geheimnummer des Perosnalausweisinhabers Übermittelt?
Wenn all diese Fragen mit ja beantwortet werden, dann KÖNNTE ein "elektronischer Identitätsnachweis" in Sinne des PAuswG vorliegen. Dieser berechtigt jedoch auch nicht zum Speichern einer Ausweiskopie, sondern lediglich zur zweckgebundenen Datenverarbeitung der über den "elektronischen Identitätsnachweis" erhoben Daten.
Genau wie bei dem TKG § 95, Absatz 4. sollte jedoch eine Löschung nach Sichtung des elektronisch übermittelten Ausweises hinreichend dafür sein, nicht in Konflikt mit Absatz 2 zu kommen.
Eine Löschung ändert nichts daran, dass die Ausweiskopie (und somit auch personenbezogene Daten) zum Abruf/zur Speicherung erhoben wurden. Warum sollte die Dauer des Verstoßes relevant sein?
Ich habe mich aber noch einmal mit der Bundesnetzagentur in Verbindung gesetzt um genaue Informationen zu erhalten und zu erfahren was die darüber denken. Nach der Sichtung der Ausweise werden diese ja wieder gelöscht, schließlich liegt das Hauptaugenmerk auf der Sicherheit des Marktplatzes, anderweitig können Verkäufer nicht genau identifiziert werden, schließlich geht es ja um das (Krypto-)Geld der Käufer und um das Vertrauen allgemein.
Ich glaube, dass die Bundesnetzagentur hier der falsche Ansprechpartner ist. Der richtige Ansprechpartner wäre vermutlich ein Anwalt mit dem Fachgebiet Datenschutz. Ich bezweifle allerdings, dass dieser bessere Nachrichten hat.
Man kann es drehen und wenden wie man will; die einzige Möglichkeit, die ich sehe, ist, Kunden anhand des tatsächlichen Ausweises vor Ort zu verifizieren. Diese Aufgabe kann evtl. auch ein Vertriebspartner übernehmen.
Ich vertraue eher hier jemandem wie Mitchell (ehemals Bitcoininformation) oder Aswan oder sonst jemandem der schon sehr, sehr lange dabei ist, als diesem "Service".
Heh, danke für die Blumen
