Ausweiskopien in Hotels: Rechtliche Grundlagen und Risiken für Reisende

In unserer DatenschutzWoche vom 4. August 2025 haben wir berichtet, wie die spanische Datenschutzbehörde (AEPD) klarstellt, dass Unterkünfte keine Ausweiskopien verlangen dürfen, da dies gegen den DSGVO-Grundsatz der Datenminimierung verstößt.

Zwar müssen laut Königlichem Dekret 933/2021 bestimmte Gästedaten erhoben werden, eine Kopie enthält jedoch unnötige Zusatzinformationen und erhöht das Risiko von Identitätsdiebstahl. Für die Identitätsprüfung reichen Formularangaben und eine Sichtkontrolle oder sichere Online-Verifikation aus.

Wie der Spiegel kürzlich berichtete, haben Hacker in Italien und teils auf Mallorca Ausweisdaten von rund 70.000 Hotelgästen gestohlen und verkaufen sie im Darknet.

Kirsten Bock (Stiftung Datenschutz) ordnet die rechtliche Lage wie folgt ein:

„Beherbergungsunternehmen sind in vielen Ländern durch nationale Gesetzgebung verpflichtet, bestimmte Daten ihrer Gäste zu erfassen, üblicherweise in einem sogenannten Meldeschein. Auch in Deutschland galt dies lange Zeit. Mittlerweile müssen jedoch nur noch Daten von Gästen ohne deutschen Pass gemeldet werden. Die entsprechenden Regelungen ergeben sich aus dem Bundesmeldegesetz sowie der Beherbergungsmeldedatenverordnung.

Trotzdem erheben viele Beherbergungsunternehmen weiterhin eine Vielzahl von Daten ihrer Gäste. Grundsätzlich dürfen jedoch nur solche Daten erhoben werden, die für die Erfüllung des Beherbergungsvertrags erforderlich sind. Dies hat auch die spanische Datenschutzaufsichtsbehörde kürzlich betont.

Wenn Reisende in Hotels aufgefordert werden, ihren Ausweis vorzulegen und eine Kopie anfertigen zu lassen, sollte dem widersprochen werden. In der Praxis stehen Gäste in dieser Situation jedoch oft unter Druck, obwohl das Anfertigen einer Kopie unzulässig ist, wenn es gegen den Erforderlichkeits- und Datenminimierungsgrundsatz verstößt. Zwar regelt § 20 Abs. 2 Personalausweisgesetz, dass Kopien mit Einwilligung angefertigt werden dürfen. Jedoch müssen diese als Kopien erkennbar sein. Über die Anfertigung muss entsprechend der Datenschutzgrundverordnung informiert werden. Diese Informationen werden häufig aber nicht gegeben.

Nach dem Aufenthalt sollten Reisende die Löschung solcher Kopien verlangen und sich einen Nachweis über die Löschung ausstellen lassen. Zusätzlich kann der Vorfall der zuständigen Datenschutzaufsichtsbehörde gemeldet werden – gegebenenfalls auch an die Landesdatenschutzbehörde des Heimatlandes. Auf deren Webseiten gibt es Meldeformulare, über die der Vorfall detailliert geschildert werden kann. Die Behörde leitet den Sachverhalt dann an die für das Hotel oder das Reiseunternehmen zuständige Aufsichtsbehörde weiter.

Besonders kritisch ist, dass gestohlene Ausweiskopien schwerwiegende finanzielle Folgen haben können, etwa wenn die Daten für Online-Käufe oder andere Formen des Identitätsdiebstahls missbraucht werden.“

Die spanische Datenschutzaufsicht hat dies in ihrer Mitteilung wie folgt zusammengefasst:

Es darf keine Kopie des Ausweises verlangt werden. Die Anforderung einer Kopie des Personalausweises oder Reisepasses verstößt gegen den Grundsatz der Datenminimierung gemäß Artikel 5.1.c) der DSGVO und stellt eine übermäßige Datenverarbeitung dar. Denn der vollständige Personalausweis enthält mehr Daten, als nach den geltenden Vorschriften erforderlich sind, wie beispielsweise das Lichtbild, das Ablaufdatum des Dokuments, die CAN-Nummer oder die Namen der Eltern.

Zudem birgt die Vorlage einer Kopie persönlicher Dokumente ein unnötiges Risiko der Identitätsübernahme, das vermieden oder zumindest wirksam gemindert werden muss. Darüber hinaus ist zu beachten, dass der Personalausweis nicht alle in Anhang I des Königlichen Dekrets 933/2021 geforderten Informationen enthält und daher allein kein gültiges Mittel zur Erfüllung der genannten Vorschrift darstellt.

In diesem Zusammenhang ist darauf hinzuweisen, dass der Zweck des Königlichen Dekrets 933/2021 „der Schutz von Personen und Gütern und die Aufrechterhaltung der öffentlichen Sicherheit“ angesichts der „besonderen Bedeutung“ der „Unterkunftslogistik“ für „die Vorgehensweise von Straftätern“ ist, wie in der Begründung der Vorschrift dargelegt. Unter diesen Umständen ermöglicht die Übermittlung einer Kopie des Dokuments keine zweifelsfreie Überprüfung der Identität der Person und ist daher nicht geeignet, den Zweck der Vorschrift zu erfüllen.

Form der Datenerhebung gemäß Königlichem Erlass 933/2021, Anhang I, Abschnitte A.3, A.4, B.3 und B.4

Bezüglich der Datenerhebung, die nach dem Königlichen Dekret 933/2021 erforderlich ist und natürliche oder juristische Personen betrifft, die Beherbergungsdienstleistungen erbringen, ist die AEPD der Ansicht, dass es ausreichend sein könnte, wenn die Personen ein Formular ausfüllen oder vorlegen, das ausschließlich die in den Abschnitten A.3 und B.3 des Anhang I des Königlichen Dekrets („Bei der Ausübung der Beherbergungstätigkeit bereitzustellende Daten“, Abschnitte A.3, A.4, B.3 und B.4) enthaltenen Informationen umfasst. Dieses Formular kann online oder persönlich in der Beherbergungseinrichtung ausgefüllt werden.

Authentifizierung der persönlich oder online bereitgestellten Daten

Hinsichtlich der Authentifizierung der mittels eines Formulars erhobenen Daten könnte es bei persönlicher Erhebung ausreichen, die Übereinstimmung zwischen den bereitgestellten Daten und dem vorgelegten Ausweisdokument visuell zu überprüfen.

Bei der Online-Erhebung von Daten ohne persönliche Anwesenheit kann diese Überprüfung durch Mechanismen wie digitale Zertifikate erfolgen. Ebenso ist eine Überprüfung möglich, ob die angegebenen Daten mit den Informationen des verwendeten Zahlungsmittels übereinstimmen. Zu den möglichen Maßnahmen gehört auch die Übermittlung von Sicherheitscodes an die Telefonnummern oder E-Mail-Adressen der Gäste, die sich ausweisen müssen, als Authentifizierungsfaktoren. Diese Daten sind Teil der Informationen, die der Betreiber der Beherbergungseinrichtung von den Nutzern der Beherbergungsdienstleistungen gemäß dem Königlichen Dekret 933/2021 erheben muss.

Unbeschadet dessen schließt die AEPD nicht aus, dass es andere gültige Verfahren zur Erfüllung dieser Verpflichtungen gibt, deren Vereinbarkeit mit der DSGVO in jedem Fall vom für die Verarbeitung Verantwortlichen zu prüfen ist.