(1) Diese Verordnung regelt die technischen Anforderungen und Verfahren für die elektronische Erfassung des Lichtbildes und der Fingerabdrücke, die Übermittlung sämtlicher Passantragsdaten von der Passbehörde an den Passhersteller, die Qualitätssicherung in der Passbehörde und beim Passhersteller sowie das Verfahren zum Nachweis der Erfüllung der Anforderungen dieser Verordnung.

(2) Diese Verordnung gilt für Passbehörden, den Passhersteller sowie für Hersteller und Lieferanten von technischen Systemen und Bestandteilen, die zum Einsatz bei den Verfahren bestimmt sind, die in dieser Rechtsverordnung geregelt sind.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

§ 1a Fertigung und Übermittlung des Lichtbilds durch ein sicheres Verfahren

§ 1a hat 1 frühere Fassung und wird in 6 Vorschriften zitiert

(1) 1In Fällen, in denen ein Pass bei einer Passbehörde nach § 19 Absatz 1 des Passgesetzes beantragt wird, kann die antragstellende Person einen Dienstleister mit der Fertigung des Lichtbilds beauftragen. 2Der Dienstleister hat das Lichtbild elektronisch zu fertigen und im Anschluss durch ein sicheres Verfahren an die Passbehörde zu übermitteln. 3Dienstleister ist jede natürliche oder juristische Person, die gewerbsmäßig Lichtbilder von anderen Personen anfertigt, die zur Vorlage bei einer Passbehörde bestimmt sind.

(2) Ein sicheres Verfahren im Sinne des Absatzes 1 Satz 2 ist:

1.: die Übermittlung des Lichtbilds an die Passbehörde von einem Dienstleister unter Einbindung eines Cloudanbieters oder
2.: die Übermittlung des Lichtbilds an die Passbehörde von einem zertifizierten Lichtbildaufnahmegerät eines Dienstleisters, das unmittelbar an das Behördennetz einer Passbehörde angeschlossen ist.

Text in der Fassung des Artikels 4 Verordnung zur Änderung der Personalausweisverordnung, der Passverordnung, der Aufenthaltsverordnung sowie weiterer Vorschriften V. v. 30. Oktober 2023 BGBl. 2023 I Nr. 290 m.W.v. 1. Mai 2025

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

§ 1b Übermittlung des Lichtbilds unter Einbindung eines Cloudanbieters

§ 1b hat 1 frühere Fassung und wird in 1 Vorschrift zitiert

(1) Bei einer Übermittlung nach § 1a Absatz 2 Nummer 1 übermittelt der Dienstleister das Lichtbild an einen Cloudanbieter und übergibt der antragstellenden Person anschließend einen Code, den diese im Rahmen der Antragstellung der Passbehörde übergibt.

(2) 1Mit diesem Code ruft die Passbehörde das Lichtbild bei dem Cloudanbieter ab. 2Durch den Abruf wird das Lichtbild gemeinsam mit dem Pseudonym der übermittelnden Person des Dienstleisters an die Passbehörde übermittelt.

(3) 1Die Übermittlung des Lichtbilds vom Dienstleister über den Cloudanbieter zur Passbehörde erfolgt verschlüsselt als Ende-zu-Ende-Verschlüsselung; eine Entschlüsselung durch den Cloudanbieter ist auszuschließen. 2Eine Übermittlung des Lichtbilds vom Dienstleister zum Cloudanbieter ist nur zulässig, wenn hierzu zertifizierte Komponenten gemäß § 4 Absatz 1 Satz 1 verwendet werden.

(4) Die Verarbeitung der personenbezogenen Daten darf ausschließlich durch einen im Gebiet der Europäischen Union ansässigen Cloudanbieter und ausschließlich im Gebiet der Europäischen Union erfolgen.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

§ 1c Registrierung und Identifizierung eines Dienstleisters bei einem Cloudanbieter

§ 1c hat 1 frühere Fassung und wird in 1 Vorschrift zitiert

(1) 1Dienstleister haben sich bei einem Cloudanbieter mit einem Nutzerkonto zu registrieren. 2Bei der Registrierung ist ein Nachweis über die Dienstleistereigenschaft sowie ein Nachweis über die Identität des Dienstleisters zu erbringen.

(2) Der Nachweis über die Dienstleistereigenschaft ist zu erbringen durch

1.: einen Nachweis über die Gewerbeanmeldung;
2.: einen Auszug aus dem Unternehmensregister;
3.: eine Bescheinigung der Mitgliedschaft in der Handwerkskammer oder
4.: eine Bestätigung eines Finanzamtes über die Anmeldung einer freiberuflichen Tätigkeit als Fotografin oder Fotograf.

(3) 1Bei der Registrierung erfolgt der Nachweis der Identität des Dienstleisters durch

1.: einen elektronischen Identitätsnachweis gemäß § 18 des Personalausweisgesetzes, gemäß § 12 des eID-Karte-Gesetzes oder gemäß § 78 Absatz 5 des Aufenthaltsgesetzes oder
2.: ein anderes elektronisches Identifizierungsmittel, das nach Artikel 6 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73; L 23 vom 29.1.2015, S. 19; L 155 vom 14.6.2016, S. 44) auf dem Sicherheitsniveau „hoch" im Sinne des Artikels 8 Absatz 2 Buchstabe c der Verordnung (EU) Nr. 910/2014 notifiziert worden ist.

2Einem Nutzerkonto können mehrere Personen zugeordnet werden, wenn diese vom Dienstleister auf Dauer angelegt beschäftigt werden. 3Personen nach Satz 2 müssen sich bei der Registrierung in einem Nutzerkonto ebenfalls mittels eines der in Satz 1 genannten Identifizierungsmittel in dem Nutzerkonto registrieren.

(4) Für jede Person, die sich in einem Nutzerkonto nach Absatz 3 registriert hat, wird durch den Cloudanbieter ein Pseudonym erzeugt.

(5) 1Vor jeder Übermittlung eines Lichtbilds an den Cloudanbieter hat sich die übermittelnde Person erneut mit einem der in Absatz 3 Satz 1 genannten Identifizierungsmittel zu identifizieren. 2Bei jeder Übermittlung wird das Lichtbild durch den Cloudanbieter mit dem Pseudonym der übermittelnden Person dauerhaft verbunden. 3Die Passbehörde trägt im Passregister gemäß § 21 Absatz 2 Nummer 17 des Passgesetzes das übermittelte Pseudonym als lichtbildaufnehmende Stelle ein.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

§ 1d Pflichten des Cloudanbieters

§ 1d hat 1 frühere Fassung und wird in 1 Vorschrift zitiert

(1) Der Cloudanbieter dokumentiert zum Zwecke der Nachverfolgbarkeit des Übermittlungsvorgangs eines erstellten und übermittelten Lichtbilds

1.: die Übermittlung eines verschlüsselten Lichtbilds durch einen Dienstleister, das Datum und die Uhrzeit der Übermittlung sowie
2.: den Abruf eines verschlüsselten Lichtbilds durch die Passbehörde sowie das Datum und die Uhrzeit des Abrufs.

(2) 1Der Cloudanbieter ist verpflichtet, das Lichtbild unverzüglich nach Abruf durch die Passbehörde, spätestens aber sechs Monate nach Empfang des Lichtbilds von einem Dienstleister, zu löschen, es sei denn, die Passbehörde hat auf Veranlassung der antragstellenden Person vermerkt, dass das Lichtbild für einen Zeitraum von höchstens sechs Monaten ab Antragsstellung nicht gelöscht werden soll. 2Im Übrigen ist der Cloudanbieter verpflichtet, die bei ihm gespeicherten Daten für folgende Fristen zu speichern; nach Fristablauf sind die Daten zu löschen:

1.: die Protokolldaten nach Absatz 4 für zehn Jahre und sechs Monate nach ihrer Erstellung;
2.: die personenbezogenen Daten der Dienstleister sowie die diesen zuzuordnenden Pseudonyme für sechs Monate ab dem Zeitpunkt, ab dem der Dienstleister von dem Cloudanbieter die Auflösung seines Nutzerkontos verlangt hat;
3.: abweichend von Nummer 2 die dort genannten Daten für zehn Jahre und sechs Monate ab dem Zeitpunkt der Übermittlung des Lichtbilds an die zuständige Passbehörde, wenn das Lichtbild für die Passbeantragung durch eine dem Nutzerkonto zuzuordnende Person übermittelt wurde.

(3) 1Wenn bestimmte Tatsachen die Annahme begründen, dass ein beim Cloudanbieter abgerufenes Lichtbild auf unzulässige Weise erstellt worden ist, kann die Passbehörde vom Cloudanbieter verlangen, Auskunft darüber zu geben welcher Person das mit dem Lichtbild verbundene Pseudonym zugeordnet ist. 2Dies gilt auch für den Fall, dass ein Cloudanbieter seinen Betrieb einstellt und solange, bis die Daten durch den Cloudanbieter gelöscht werden.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

§ 1e Übermittlung des Lichtbilds von einem Lichtbildaufnahmegerät eines Dienstleisters

§ 1e hat 1 frühere Fassung und wird in 1 Vorschrift zitiert

(1) Bei einer Übermittlung nach § 1a Absatz 2 Nummer 2 fertigt der Dienstleister das Lichtbild durch sein Lichtbildaufnahmegerät an, das mit Zustimmung der jeweiligen Passbehörde unmittelbar an ihr Behördennetzwerk angeschlossen ist.

(2) 1Das Lichtbild wird mit dem Namen des Dienstleisters, der das Lichtbildaufnahmegerät zur Verfügung gestellt hat, sowie der Kennung des verwendeten Lichtbildaufnahmegeräts übermittelt. 2Die Passbehörde trägt im Passregister als lichtbildaufnehmende Stelle gemäß § 21 Absatz 2 Nummer 17 des Passgesetzes den Namen des Dienstleisters und die Kennung des verwendeten Lichtbildaufnahmegeräts ein.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

§ 1f Fertigung des Lichtbilds durch die Passbehörde

§ 1f hat 1 frühere Fassung und wird in 2 Vorschriften zitiert

(1) 1Wird das Lichtbild von der Passbehörde mit einem eigenen Lichtbildaufnahmegerät gefertigt, trägt die Passbehörde im Passregister als lichtbildaufnehmende Stelle gemäß § 21 Absatz 2 Nummer 17 des Passgesetzes die Passbehörde ein. 2Die Anfertigung des Lichtbilds mit einem eigenen Lichtbildaufnahmegerät ist nur zulässig, wenn das Lichtbildaufnahmegerät als Systemkomponente im Sinne des § 4 Absatz 1 Satz 1 zertifiziert worden ist.

(2) 1Das nach Absatz 1 gefertigte Lichtbild ist unverzüglich vom Lichtbildaufnahmegerät zu löschen, wenn es durch die Passbehörde abgerufen wurde. 2Wird das gefertigte Lichtbild nicht sofort durch die Passbehörde abgerufen, so ist dieses bis zum Abruf zu speichern, längstens jedoch für 96 Stunden nach dessen Anfertigung.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

§ 2 Qualitätssicherung

§ 2 hat 3 frühere Fassungen und wird in 3 Vorschriften zitiert

(1) Die Passbehörde hat durch geeignete technische und organisatorische Maßnahmen die erforderliche Qualität der Erfassung des Lichtbildes und der Fingerabdrücke sicherzustellen.

(2) 1Die technischen und organisatorischen Anforderungen an

1.: die Erfassung des Lichtbildes und der Fingerabdrücke,
2.: die Qualitätssicherung des Lichtbildes und der Fingerabdrücke,
3.: die Übermittlung sämtlicher Passantragsdaten zwischen Passbehörde und Passhersteller und
4.: das sichere Verfahren der Übermittlung von Lichtbildern von einem Dienstleister an die Passbehörde

sind nach dem Stand der Technik zu erfüllen. 2Der Stand der Technik ist als niedergelegt zu vermuten in den Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik. 3Diese sind in der Anlage 1 aufgeführt und gelten in der jeweils im Bundesanzeiger veröffentlichten Fassung.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

§ 3 Übermittlung der Daten an den Passhersteller

§ 3 hat 5 frühere Fassungen und wird in 6 Vorschriften zitiert

(1) 1Nach der Erfassung werden sämtliche Passantragsdaten in den Passbehörden zu einem digitalen Datensatz zusammengeführt und an den Passhersteller übermittelt. 2Die Datenübermittlung umfasst auch die Qualitätswerte zu den erhobenen Fingerabdrücken und - soweit vorhanden - zu den Lichtbildern, die Behördenkennzahl, die Versionsnummern der QS-Software und der Sollwerte, den Zeitstempel des Passantrags sowie die Speichergröße der kodierten biometrischen Daten. 3Die Datenübermittlung erfolgt durch Datenübertragung über verwaltungseigene Kommunikationsnetze oder über das Internet. 4Sie erfolgt unmittelbar zwischen Passbehörde und Passhersteller oder über Vermittlungsstellen. 5Die zu übermittelnden Daten sind elektronisch zu signieren und zu verschlüsseln.

(2) 1Zum Signieren und Verschlüsseln der gemäß Absatz 1 zu übermittelnden Daten sind gültige Zertifikate gemäß den Anforderungen der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellten Sicherheitsleitlinien der Wurzelzertifizierungsinstanz der Verwaltung zu nutzen. 2Diese sind auf der Internetseite des BSI veröffentlicht und können dort auf Anfrage bezogen werden. 3Der Passhersteller hat geeignete technische und organisatorische Regelungen zu treffen, die eine Weiterverarbeitung von ungültig signierten Antragsdaten ausschließen.

(3) 1Die Datenübertragung nach Absatz 1 Satz 3 erfolgt unter Verwendung eines XML-basierten Datenaustauschformats (XhD) und auf der Grundlage des Datenübermittlungsprotokolls OSCI-Transport, das in der vom Bundesamt für Sicherheit in der Informationstechnik festgelegten Fassung, die im Bundesanzeiger bekannt gemacht ist, zu verwenden ist. 2Das Auswärtige Amt kann für die Datenübertragung an den Passhersteller als Übermittlungsprotokoll auch WSDL/SOAP verwenden. 3Die Datenübertragung zwischen den Stellen, die gemäß § 19 Abs. 2 des Passgesetzes für Passangelegenheiten im Ausland zuständig sind, und dem Auswärtigen Amt muss hinsichtlich Datensicherheit und Datenschutz ein den Anforderungen der Verordnung entsprechendes Niveau aufweisen. 4Zu Testzwecken kann nach Genehmigung durch das Bundesministerium des Innern, für Bau und Heimat von den Vorgaben für das Datenaustauschformat nach Satz 1 abgewichen werden.

(4) 1XhD ist ein auf XML basierendes Datenaustauschformat für Dokumentdaten und dokumentenabhängige Geschäftsprozesse in Nachrichten zwischen den Passbehörden und dem Passhersteller. 2OSCI-Transport ist der am 6. Juni 2002 vom Kooperationsausschuss ADV Bund/Länder/Kommunaler Bereich herausgegebene Standard für ein Datenübermittlungsprotokoll. 3Hinsichtlich des Standards OSCI-Transport gilt § 2 Abs. 4 Satz 4 bis 7 der Ersten Bundesmeldedatenübermittlungsverordnung entsprechend.

(5) 1Vor der Übermittlung der Passantragsdaten hinterlegen Passbehörden und Passhersteller alle für eine elektronische und automatisierte Kommunikation benötigten technischen Verbindungsparameter im Deutschen Verwaltungsdiensteverzeichnis (DVDV), insbesondere die dafür erforderlichen Zertifikate. 2Der Passhersteller nutzt eine Funktionalität des DVDV, um die Passbehörde als eine solche zu verifizieren. 3Das Auswärtige Amt kann die benötigten technischen Verbindungsparameter und die damit verbundenen erforderlichen Zertifikate technisch unabhängig vom Deutschen Verwaltungsdiensteverzeichnis (DVDV) lösen. 4Die Lösung muss hinsichtlich Datensicherheit und Datenschutz ein den Anforderungen dieser Verordnung entsprechendes Niveau aufweisen.

(6) 1Soweit die Datenübermittlung über Vermittlungsstellen erfolgt, gelten die Absätze 1 bis 5 für die Datenübermittlung zwischen Vermittlungsstelle und Passhersteller entsprechend. 2Die Datenübermittlung zwischen Passbehörde und Vermittlungsstelle muss hinsichtlich Datensicherheit und Datenschutz ein den Anforderungen der Verordnung entsprechendes Niveau aufweisen. 3Die Einzelheiten richten sich nach dem jeweiligen Landesrecht.

Text in der Fassung des Artikels 79 Elfte Zuständigkeitsanpassungsverordnung V. v. 19. Juni 2020 BGBl. I S. 1328 m.W.v. 27. Juni 2020

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

§ 4 Zertifizierung

§ 4 hat 3 frühere Fassungen und wird in 5 Vorschriften zitiert

(1) 1Die Systemkomponenten der Passbehörden, des Passherstellers und der Dienstleister, die Lichtbildaufnahmegeräte im Sinne des § 1a Absatz 2 Nummer 2 verwenden, die zu verwendenden Cloudanbieter im Sinne des § 1a Absatz 2 Nummer 1 sowie die Anwendungsbestandteile zur Verschlüsselung und Übertragung der Lichtbilder an die Cloud durch den Dienstleister, für die eine Zertifizierung verpflichtend ist, ergeben sich aus Anlage 2. 2Die Art und Einzelheiten der Zertifizierung richten sich nach den Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik.

(2) Für die Zertifizierung gilt § 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821) sowie die BSI-Zertifizierungsverordnung vom 7. Juli 1992 (BGBl. I S. 1230) in der jeweils geltenden Fassung.

(3) Die Kosten der Zertifizierung trägt der Antragsteller.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

§ 5 Qualitätsstatistik

§ 5 hat 2 frühere Fassungen und wird in 2 Vorschriften zitiert

1Der Passhersteller erstellt eine Qualitätsstatistik. 2Sie enthält anonymisierte Qualitätswerte zu Lichtbildern und Fingerabdrücken, die sowohl in der Passbehörde als auch beim Passhersteller ermittelt und vom Passhersteller ausgewertet werden. 3Der Passhersteller stellt die Ergebnisse der Auswertung und auf Verlangen die in der Statistik erfassten anonymisierten Einzeldaten dem Bundesministerium des Innern, für Bau und Heimat und dem BSI zur Verfügung.

Text in der Fassung des Artikels 79 Elfte Zuständigkeitsanpassungsverordnung V. v. 19. Juni 2020 BGBl. I S. 1328 m.W.v. 27. Juni 2020

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

§ 6 Übergangsregelungen

§ 6 hat 3 frühere Fassungen und wird in 3 Vorschriften zitiert

Passbehörden, die zum Zeitpunkt des Inkrafttretens dieser Verordnung bereits ein Verfahren zur elektronischen Datenübertragung betreiben, das auf einem von den Vorgaben des § 3 Abs. 3 Satz 1 abweichenden Datenaustauschformat (XPass) beruht, können dieses Verfahren bis zum 31. Dezember 2012 weiterführen.

Text in der Fassung des Artikels 2 Verordnung zur Änderung der Passverordnung, der Passdatenerfassungs- und Übermittlungsverordnung sowie weiterer Vorschriften V. v. 25. Oktober 2010 BGBl. I S. 1440 m.W.v. 1. November 2010

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Anlage 1 Übersicht über die Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik

Anlage 1 hat 2 frühere Fassungen und wird in 2 Vorschriften zitiert

1.: BSI: Technische Richtlinie TR-03104, Technische Richtlinie zur Produktionsdatenerfassung, -qualitätsprüfung und -übermittlung (TR PDÜ)
2.: BSI: Technische Richtlinie TR-03121, Biometrics for Public Sector Applications (TR Biometrie)

[Technische Richtlinie für Biometrie in hoheitlichen Anwendungen]
3.: BSI: Technische Richtlinie TR-03123, XML-Datenaustauschformat für hoheitliche Dokumente (TR XhD)
4.: BSI: Technische Richtlinie TR-03132, Sichere Szenarien für Kommunikationsprozesse im Bereich hoheitlicher Dokumente (TR SiSKo hD)
5.: BSI: Technische Richtlinie TR-03170, Sichere digitale Übermittlung biometrischer Lichtbilder von Dienstleistern an Pass-, Personalausweis- und Ausländerbehörden

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Anlage 2 Übersicht über die zu zertifizierenden Systemkomponenten

Anlage 2 hat 2 frühere Fassungen und wird in 2 Vorschriften zitiert

Nr.	Bezeichnung der Systemkomponente	Verpflichtung/Option
1	Fingerabdruckleser	Verpflichtung für die Anbieter dieser Geräte Verpflichtung für den Passhersteller Verpflichtung für die Passbehörden
2	Software zur Erfassung und Qua- litätssicherung von Lichtbild und Fingerabdrücken	Verpflichtung für den Passhersteller Verpflichtung für die Passbehörden
3	Modul für die Datenübermittlung von der Passbehörde an den Passhersteller	Verpflichtung für den Passhersteller Verpflichtung für die Passbehörden
4	Modul zur Sicherung der Authen- tizität und Vertraulichkeit der An- tragsdaten	Verpflichtung für den Passhersteller Verpflichtung für die Passbehörden
5	Hard- und Software zum Betrieb der Cloud	Verpflichtung für den Cloudanbieter
6	Lichtbildaufnahmegeräte zur Fertigung des Lichtbilds	Verpflichtung für die Passbehörde, die das Lichtbild gemäß § 1f selbst fertigt. Verpflichtung für den Dienstleister, der Lichtbildaufnahmegeräte im Sinne des § 1a Absatz 2 Nummer 2 verwendet
7	Software zur Verschlüsselung und Übertragung der Lichtbilder von Dienstleistern an die Cloud	Verpflichtung für die Softwarehersteller

Link zu dieser Seite: https://www.buzer.de/gesetz/7904/index.htm

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Für Ihr Blog oder Forum - Gesetze verknüpfen

Für Ihre Internetseite -
Ticker aktuellste Gesetzesänderungen