I. Einführung
Ausweiskopien Hotel sind nach dem neuen Datenschutzbeschluss ein zentrales Compliance-Risiko beim Check-in. Mit ihrem im Amtsblatt vom 9. Dezember 2025 unter der Nummer 33102 veröffentlichten Grundsatzbeschluss über die „Erfassung von Fotokopien türkischer Personalausweise von Personen, die Beherbergungsleistungen im Tourismus- und Gastgewerbesektor in Anspruch nehmen“ hat die türkische Datenschutzbehörde („Behörde“) die seit Langem bestehende Praxis geprüft, bei Hotelaufenthalten in der Türkei beim Check-in Ausweiskopien von Gästen einzuholen, eine Praxis, die von Verantwortlichen im Tourismus- und Gastgewerbesektor nahezu einheitlich angewandt wurde. In diesem Grundsatzbeschluss kam die Behörde zu dem Ergebnis, dass es keine Rechtsgrundlage für die Speicherung von Ausweiskopien gibt, und entschied daher, dass das Einholen von Ausweiskopien rechtswidrig ist.
Dass diese Praxis, die viele Beherbergungsbetriebe als routinemäßigen und nahezu „zwingenden“ Vorgang betrachten, von der Behörde nach dem Gesetz Nr. 6698 über den Schutz personenbezogener Daten („Gesetz“ oder „KVKK“) neu bewertet wurde, hat erhebliche Auswirkungen auf alle Verantwortlichen in der Branche. Im Einklang mit diesem Grundsatzbeschluss müssen Verantwortliche, die Hotels und andere Tourismuseinrichtungen betreiben, nun die Vereinbarkeit ihrer Gästeregistrierungsprozesse und Datenbanken mit dem Gesetz erneut prüfen und neue Compliance-Maßnahmen einleiten.
II. Inhalt und Begründung des Grundsatzbeschlusses zu Ausweiskopien bei Hotelaufenthalten in der Türkei
2.1. Verbotene Verarbeitungsvorgänge und das Verbot von Ausweiskopien bei Hotelaufenthalten in der Türkei
In dem Grundsatzbeschluss wird ausdrücklich festgehalten, dass Verantwortliche im Tourismus- und Gastgewerbesektor die Praxis beenden müssen, von Gästen ihrer Einrichtungen Fotokopien türkischer Ausweise einzuholen und diese Kopien aufzubewahren. Dementsprechend gilt das Anfertigen einer physischen Kopie des Ausweises des Gastes, das Einscannen in ein digitales Format oder jede sonstige Speicherung des Bildes des Ausweises in Systemen als eine personenbezogene Datenverarbeitung, die gegen das KVKK verstößt.
Mit diesem Grundsatzbeschluss führt die Behörde nicht nur ein Verbot für künftige Datenverarbeitungsvorgänge ein, sondern verlangt auch, dass Ausweiskopien, die vor dem Veröffentlichungsdatum des Grundsatzbeschlusses eingeholt wurden, nach den anwendbaren Rechtsvorschriften vernichtet werden. In diesem Zusammenhang müssen Hotels und andere Beherbergungsbetriebe sämtliche Ausweiskopien identifizieren, die sowohl in physischen Archiven als auch in digitalen Systemen aufbewahrt werden, und Löschungs- und Vernichtungsverfahren im Einklang mit den Richtlinien des Unternehmens zur Aufbewahrung und Vernichtung personenbezogener Daten durchführen.
2.2. Rechtsgrundlagen und Begründung des Verbots von Ausweiskopien bei Hotelaufenthalten in der Türkei
Die rechtliche Begründung des Grundsatzbeschlusses beruht im Wesentlichen auf einer kombinierten Auslegung der Bestimmungen des KVKK und der Vorschriften des Gesetzes Nr. 1774 über die Identitätsmeldung sowie der dazugehörigen Durchführungsverordnung. Artikel 5 des KVKK legt die Voraussetzungen für die Verarbeitung personenbezogener Daten abschließend fest und sieht vor, dass Datenverarbeitung nur rechtmäßig ist, wenn sie sich auf bestimmte Rechtsgrundlagen stützt, etwa eine ausdrückliche gesetzliche Grundlage, die Erforderlichkeit für die Erfüllung eines Vertrags oder die Notwendigkeit zur Erfüllung einer rechtlichen Verpflichtung. Artikel 6 unterwirft die Verarbeitung besonderer Kategorien personenbezogener Daten strengeren Bedingungen.
Nach dem Gesetz über die Identitätsmeldung und der einschlägigen Verordnung sind Beherbergungsbetriebe verpflichtet, Identitätsdaten der Gäste sowie deren An- und Abreisedaten im Beherbergungsregister oder in elektronischen Systemen zu erfassen und diese Informationen für Kontrollen durch die zuständigen Behörden bereitzuhalten. In den genannten Rechtsvorschriften gibt es jedoch keine Bestimmung, die das Einholen von Fotokopien von Ausweisdokumenten oder die Speicherung solcher Kopien erlaubt. Auf dieser Grundlage gelangt die Behörde zu dem Schluss, dass das Einholen von Ausweiskopien nicht als „Erfordernis einer ausdrücklich gesetzlich vorgesehenen rechtlichen Verpflichtung“ ausgelegt werden kann.
Darüber hinaus führt das Einholen einer Kopie eines Ausweisdokuments zur Verarbeitung eines breiteren Datenumfangs, als für die Erfüllung der Identitätsprüfungs- und Registrierungspflicht erforderlich ist. Insbesondere bei älteren Ausweisdokumenten sind Angaben wie Religion und andere besondere Kategorien personenbezogener Daten enthalten; daher schafft das Einholen einer Ausweiskopie zusätzliche Risiken nach Artikel 6 des KVKK. Aus diesen Gründen betrachtet die Behörde die Praxis der Einholung von Ausweiskopien als Datenverarbeitung ohne Rechtsgrundlage und als unvereinbar mit den Grundsätzen der Datenminimierung sowie der Verarbeitung von Daten, die für die Zwecke der Verarbeitung erheblich, begrenzt und verhältnismäßig sind.
2.3. Umfang der Identitätsprüfungspflicht nach dem Grundsatzbeschluss
Während der Grundsatzbeschluss die Speicherung von Ausweiskopien untersagt, hebt er die Identitätsprüfungspflicht von Beherbergungsbetrieben aus dem Gesetz über die Identitätsmeldung nicht auf. Mit anderen Worten: Hotels und andere Tourismusunternehmen werden weiterhin verlangen, dass Gäste ihre Ausweisdokumente vorlegen, und bleiben verpflichtet, die in diesen Dokumenten enthaltenen Pflichtangaben im Beherbergungsregister oder in elektronischen Systemen zu erfassen.
In diesem Rahmen bleiben nach dem Grundsatzbeschluss die folgenden Praktiken rechtmäßig und verpflichtend:
- Verlangen, dass Gäste ihre Ausweisdokumente vorlegen, und Prüfung der Angaben auf diesen Dokumenten,
- Erfassung der nach den einschlägigen Rechtsvorschriften erforderlichen Identitätsdaten im Beherbergungsregister (zum Beispiel Name, Nachname, türkische Ausweisnummer sowie Ankunfts- und Abreisedaten),
- Bereithaltung dieser Aufzeichnungen für Kontrollen durch die zuständigen Behörden.
III. Compliance-Pflichten für Tourismus- und Beherbergungsbetriebe
3.1. Aktualisierung der Gäste-Check-in-Verfahren
Nach dem Grundsatzbeschluss besteht der erste Schritt darin, die Gäste-Check-in-Verfahren zu überprüfen und alle Praktiken, die das Einholen von Ausweiskopien umfassen, unverzüglich einzustellen. Rezeptionsabläufe, Check-in-Formulare, Gästeregistrierungskarten und die verwendete Hotelsoftware (PMS usw.) müssen entsprechend überarbeitet werden; Felder oder Anweisungen, die Ausweiskopien verlangen, sind zu entfernen.
Es ist entscheidend, Front-Office-Personal und andere Beschäftigte, die am Gästeregistrierungsprozess beteiligt sind, darüber zu informieren, dass die Identitätsprüfungspflicht auf die Vorlage des Ausweisdokuments und die Erfassung der erforderlichen Identitätsdaten beschränkt ist und dass Ausweiskopien unter keinen Umständen verlangt werden dürfen. Darüber hinaus müssen Datenschutzhinweise und Informationen zur Verarbeitung personenbezogener Daten aktualisiert werden, wobei zu berücksichtigen ist, dass Ausweiskopien nicht mehr verarbeitet werden.
3.2. Identifizierung und Vernichtung bestehender Ausweiskopien
Der Grundsatzbeschluss führt nicht nur ein zukunftsgerichtetes Verbot ein; er macht auch die Vernichtung zuvor eingeholter Ausweiskopien nach Maßgabe der Rechtsvorschriften verpflichtend. Daher müssen Beherbergungsbetriebe in einem ersten Schritt Ausweiskopien inventarisieren, die sowohl in physischen Archiven als auch in digitalen Umgebungen vorliegen. Aktenordner, Archivräume, gescannte Dokumentdateien, in PMS-Systeme hochgeladene Bilder und E-Mail-Anhänge sind sämtlich in diese Prüfung einzubeziehen.
Die in diesem Prozess identifizierten Ausweiskopien müssen gemäß der Richtlinie des Unternehmens zur Aufbewahrung und Vernichtung personenbezogener Daten gelöscht, vernichtet oder anonymisiert werden; Datum und Umfang dieser Maßnahmen sind zu dokumentieren.
3.3. Überprüfung interner Dokumentation und vertraglicher Beziehungen
Damit der Compliance-Prozess vollständig ist, müssen nicht nur die tatsächlichen Praktiken, sondern auch interne Dokumentation und vertragliche Beziehungen mit Auftragsverarbeitern überprüft werden. Das Verzeichnis personenbezogener Daten, Aufbewahrungs- und Vernichtungsrichtlinien, KVKK-Compliance-Verfahren und Mitarbeiteranweisungen sollten aktualisiert werden, wobei zu berücksichtigen ist, dass Ausweiskopien nicht mehr verarbeitet werden.
Darüber hinaus sollten Verträge mit Auftragsverarbeitern wie Hotelsoftwareanbietern, externen Archivierungsunternehmen oder ähnlichen Dienstleistern geprüft werden, um etwaige Bestimmungen zu identifizieren, die auf Ausweiskopien Bezug nehmen; solche Bestimmungen sollten erforderlichenfalls geändert werden. Auf diese Weise werden sowohl der Verantwortliche (der Beherbergungsbetrieb) als auch die Auftragsverarbeiter mit dem Grundsatzbeschluss in Einklang gebracht, wodurch potenzielle rechtliche und administrative Risiken verringert werden.
IV. Fazit
Der Grundsatzbeschluss der Datenschutzbehörde vom 9. Dezember 2025 qualifiziert eine seit Langem bestehende Praxis im Tourismus- und Gastgewerbesektor, nämlich das Einholen und Speichern von Fotokopien türkischer Ausweise von Gästen, ausdrücklich als rechtswidrige Verarbeitung personenbezogener Daten nach dem KVKK.
Nach diesem Grundsatzbeschluss müssen Betreiber von Hotels und Beherbergungsbetrieben ihre Gäste-Check-in-Verfahren, Datenbanken, interne Dokumentation und Beziehungen zu Auftragsverarbeitern unverzüglich überprüfen und ihre Compliance-Maßnahmen abschließen. Die Beendigung sämtlicher Verfahren, die auf dem Einholen von Ausweiskopien beruhen, die Vernichtung in der Vergangenheit gespeicherter Kopien und die ordnungsgemäße Dokumentation dieser Schritte sind von entscheidender Bedeutung, um potenzielle Risiken administrativer Sanktionen zu reduzieren.
Hinweis: Diese Übersetzung wird lediglich als Service bereitgestellt und kann geringfügig vom Originaltext abweichen.
