Verordnung zur Erfassung und Qualitätssicherung des Lichtbildes und der Fingerabdrücke in den Passbehörden und der Übermittlung der Passantragsdaten an den Passhersteller (Passdatenerfassungs- und Übermittlungsverordnung - PassDEÜV)

(1) Diese Verordnung regelt die technischen Anforderungen und Verfahren für die elektronische Erfassung des Lichtbildes und der Fingerabdrücke, die Übermittlung sämtlicher Passantragsdaten von der Passbehörde an den Passhersteller, die Qualitätssicherung in der Passbehörde und beim Passhersteller sowie das Verfahren zum Nachweis der Erfüllung der Anforderungen dieser Verordnung.

(2) Diese Verordnung gilt für Passbehörden, den Passhersteller sowie für Hersteller und Lieferanten von technischen Systemen und Bestandteilen, die zum Einsatz bei den Verfahren bestimmt sind, die in dieser Rechtsverordnung geregelt sind.

(1) Die Passbehörde hat durch geeignete technische und organisatorische Maßnahmen die erforderliche Qualität der Erfassung des Lichtbildes und der Fingerabdrücke sicherzustellen.

(2) Die technischen und organisatorischen Anforderungen an

(1) 1Nach der Erfassung werden sämtliche Passantragsdaten in den Passbehörden zu einem digitalen Datensatz zusammengeführt und an den Passhersteller übermittelt. 2Die Datenübermittlung umfasst auch die Qualitätswerte zu den erhobenen Fingerabdrücken und - soweit vorhanden - zu den Lichtbildern, die Behördenkennzahl, die Versionsnummern der QS-Software und der Sollwerte, den Zeitstempel des Passantrags sowie die Speichergröße der kodierten biometrischen Daten. 3Die Datenübermittlung erfolgt durch Datenübertragung über verwaltungseigene Kommunikationsnetze oder über das Internet. 4Sie erfolgt unmittelbar zwischen Passbehörde und Passhersteller oder über Vermittlungsstellen. 5Die zu übermittelnden Daten sind elektronisch zu signieren und zu verschlüsseln.

(2) 1Zum Signieren und Verschlüsseln der gemäß Absatz 1 zu übermittelnden Daten sind gültige Zertifikate gemäß den Anforderungen der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellten Sicherheitsleitlinien der Wurzelzertifizierungsinstanz der Verwaltung zu nutzen. 2Diese sind auf der Internetseite des BSI veröffentlicht und können dort auf Anfrage bezogen werden. 3Der Passhersteller hat geeignete technische und organisatorische Regelungen zu treffen, die eine Weiterverarbeitung von ungültig signierten Antragsdaten ausschließen.

(3) 1Die Datenübertragung nach Absatz 1 Satz 3 erfolgt unter Verwendung eines XML-basierten Datenaustauschformats (XhD) und auf der Grundlage des Datenübermittlungsprotokolls OSCI-Transport, das in der vom Bundesamt für Sicherheit in der Informationstechnik festgelegten Fassung, die im Bundesanzeiger bekannt gemacht ist, zu verwenden ist. 2Das Auswärtige Amt kann für die Datenübertragung an den Passhersteller als Übermittlungsprotokoll auch WSDL/SOAP verwenden. 3Die Datenübertragung zwischen den Stellen, die gemäß § 19 Abs. 2 des Passgesetzes für Passangelegenheiten im Ausland zuständig sind, und dem Auswärtigen Amt muss hinsichtlich Datensicherheit und Datenschutz ein den Anforderungen der Verordnung entsprechendes Niveau aufweisen. 4Zu Testzwecken kann nach Genehmigung durch das Bundesministerium des Innern, für Bau und Heimat von den Vorgaben für das Datenaustauschformat nach Satz 1 abgewichen werden.

(4) 1XhD ist ein auf XML basierendes Datenaustauschformat für Dokumentdaten und dokumentenabhängige Geschäftsprozesse in Nachrichten zwischen den Passbehörden und dem Passhersteller. 2OSCI-Transport ist der am 6. Juni 2002 vom Kooperationsausschuss ADV Bund/Länder/Kommunaler Bereich herausgegebene Standard für ein Datenübermittlungsprotokoll. 3Hinsichtlich des Standards OSCI-Transport gilt § 2 Abs. 4 Satz 4 bis 7 der Ersten Bundesmeldedatenübermittlungsverordnung entsprechend.

(5) 1Vor der Übermittlung der Passantragsdaten hinterlegen Passbehörden und Passhersteller alle für eine elektronische und automatisierte Kommunikation benötigten technischen Verbindungsparameter im Deutschen Verwaltungsdiensteverzeichnis (DVDV), insbesondere die dafür erforderlichen Zertifikate. 2Der Passhersteller nutzt eine Funktionalität des DVDV, um die Passbehörde als eine solche zu verifizieren. 3Das Auswärtige Amt kann die benötigten technischen Verbindungsparameter und die damit verbundenen erforderlichen Zertifikate technisch unabhängig vom Deutschen Verwaltungsdiensteverzeichnis (DVDV) lösen. 4Die Lösung muss hinsichtlich Datensicherheit und Datenschutz ein den Anforderungen dieser Verordnung entsprechendes Niveau aufweisen.

(6) 1Soweit die Datenübermittlung über Vermittlungsstellen erfolgt, gelten die Absätze 1 bis 5 für die Datenübermittlung zwischen Vermittlungsstelle und Passhersteller entsprechend. 2Die Datenübermittlung zwischen Passbehörde und Vermittlungsstelle muss hinsichtlich Datensicherheit und Datenschutz ein den Anforderungen der Verordnung entsprechendes Niveau aufweisen. 3Die Einzelheiten richten sich nach dem jeweiligen Landesrecht.

(1) Die Systemkomponenten der Passbehörden und des Passherstellers, deren Zertifizierung verpflichtend ist, ergeben sich aus Anlage 2. Die Art und die Einzelheiten der Zertifizierung sind den Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik zu entnehmen.

(2) Für die Zertifizierung gilt § 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821) sowie die BSI-Zertifizierungsverordnung vom 7. Juli 1992 (BGBl. I S. 1230) in der jeweils geltenden Fassung.

(3) Die Kosten der Zertifizierung trägt der Antragsteller. Die BSI-Kostenverordnung vom 3. März 2005 (BGBl. I S. 519) in der jeweils geltenden Fassung findet Anwendung.