„Das ist ein unnötiges Risiko“: Laut AEPD ist es verboten, für den Aufenthalt in einer Beherbergungseinrichtung eine Kopie des Personalausweises zu verlangen.
Die spanische Datenschutzbehörde (AEPD) hat mitgeteilt, dass es Unterkünften gemäß dem Königlichen Dekret 933/2021 bzw. dem neuen Reisendenregister nicht gestattet ist, eine Kopie des Personalausweises oder Reisepasses eines Gastes anzufordern. Dieses Dekret verpflichtet den Eigentümer der Beherbergungstätigkeit, bestimmte Daten von den Personen zu erheben, die seine Dienste nutzen.
In einer Erklärung rechtfertigte die Behörde diese Vorgehensweise mit dem Argument, dass sie gegen den Grundsatz der Datenminimierung verstoße und eine „übermäßige“ Verarbeitung darstelle, da der vollständige Ausweis mehr Daten enthalte als nach den geltenden Vorschriften erforderlich , wie etwa das Foto, das Ablaufdatum des Dokuments, das nationale Identitätsdokument (CAN) oder die Namen der Eltern.
Ebenso hat die AEPD erklärt, dass die Bereitstellung einer Kopie persönlicher Dokumente unter anderem ein „unnötiges“ Risiko eines Identitätsdiebstahls mit sich bringt , das „vermieden oder zumindest wirksam eingedämmt werden muss“.
Darüber hinaus stellte er fest, dass der DNI nicht alle in Anhang I des Königlichen Dekrets 933/2021 geforderten Informationen enthält und daher allein kein wirksames Mittel zur Einhaltung der oben genannten Verordnung darstellt.
In Bezug auf die gemäß dem Königlichen Dekret 933/2021 erforderliche Datenerhebung ist die AEPD der Ansicht, dass es ausreichend sein kann, wenn Einzelpersonen ein Formular vorlegen oder ausfüllen, das nur die in den Abschnitten A.3 und B.3 des Anhangs I des Königlichen Dekrets geforderten Daten enthält. Dazu gehören Reisedaten wie Vor- und Nachname, Geschlecht, Ausweisnummer, Geburtsdatum und Mobiltelefonnummer.
Was die Authentifizierung der über ein Formular erfassten Daten betrifft, muss die AEPD bei einer persönlichen Erfassung möglicherweise lediglich visuell überprüfen, ob die angegebenen Daten mit dem vorgelegten Ausweisdokument übereinstimmen .
Bei einer Online-Datenerhebung ohne persönliche Anwesenheit könne diese Überprüfung beispielsweise durch digitale Zertifikate erfolgen, so die Behörde in der Pressemitteilung. „Außerdem kann überprüft werden, ob die angegebenen Daten und Informationen mit den Daten des verwendeten Zahlungsmittels übereinstimmen“, so die Behörde.
Ebenso ist als mögliche Maßnahme das Versenden von Sicherheitscodes an die Telefonnummer oder E-Mail-Adresse der Gäste möglich, die sich als Authentifizierungsfaktoren ausweisen müssen.
eleconomista
