Verordnung zur Durchführung des Passgesetzes

Typ Rechtsverordnung
Veröffentlichung 2007-10-19
Status In Kraft
Ministerium BMJ (Bundesministerium der Justiz)
Änderungshistorie JSON API
Inhaltsübersicht

Abschnitt 1 Allgemeine Vorschriften

§ 1 Zweck dieser Verordnung; Anwendungsbereich

(1) Diese Verordnung regelt

1.

die technischen Anforderungen und Verfahren für die elektronische Erfassung des Lichtbilds und der Fingerabdrücke,

2.

die Übermittlung sämtlicher Passantragsdaten von der Passbehörde an den Passhersteller, die Qualitätssicherung in der Passbehörde und beim Passhersteller sowie das Verfahren zum Nachweis der Erfüllung der Anforderungen,

3.

die Muster der Pässe, der amtlichen Pässe und der Passersatzpapiere,

4.

die Einzelheiten der Ausstellung von amtlichen Pässen,

5.

die Befreiung von der Passpflicht nach § 2 des Passgesetzes sowie

6.

die Erhebung von Gebühren und Auslagen für das Passwesen.

(2) Die Bestimmungen dieser Verordnung gelten für

1.

die Passbehörden,

2.

den Passhersteller,

3.

die für die polizeiliche Kontrolle des grenzüberschreitenden Verkehrs zuständigen Behörden und Dienststellen, soweit ihnen die Ausstellung als Passersatz bestimmter amtlicher Ausweise mit kurzer Gültigkeitsdauer obliegt, sowie

4.

für die Hersteller und Lieferanten von technischen Systemen und Bestandteilen, die zum Einsatz bei den Verfahren bestimmt sind, die in dieser Verordnung geregelt sind.

§ 2 Technische Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik

Nach dem Stand der Technik sind zu erfüllen die technischen und organisatorischen Anforderungen an

1.

die Erfassung des Lichtbildes und der Fingerabdrücke,

2.

die Qualitätssicherung des Lichtbildes und der Fingerabdrücke,

3.

die Übermittlung sämtlicher Passantragsdaten zwischen Passbehörde und Passhersteller und

4.

das sichere Verfahren der Übermittlung von Lichtbildern von einem Dienstleister an die Passbehörde.

Die Einhaltung des Standes der Technik wird vermutet, wenn die Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik eingehalten worden sind. Die Übersicht über die Technischen Richtlinien wird vom Bundesamt für Sicherheit in der Informationstechnik im Bundesanzeiger veröffentlicht. Die jeweils geltende Fassung der Technischen Richtlinien wird vom Bundesamt für Sicherheit in der Informationstechnik im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik bekannt gemacht.

§ 3 Zertifizierung von Systemkomponenten

(1) Aus Anlage 1 ergeben sich die Systemkomponenten

1.

der Passbehörden,

2.

des Passherstellers,

3.

der Anbieter von eingesetzter Hardware und Software im Sinne von § 2 Satz 1 Nummer 1 und 2,

4.

der Cloudanbieter im Sinne des § 4 Absatz 2 Nummer 1,

5.

der Dienstleister, die Lichtbildaufnahmegeräte im Sinne des § 4 Absatz 2 Nummer 2 verwenden,

6.

der Anwendungsbestandteile zur Verschlüsselung und Übertragung der Lichtbilder an die Cloud durch den Dienstleister, für die eine Zertifizierung verpflichtend ist.

Die Art und die Einzelheiten der Zertifizierung sind den Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik zu entnehmen.

(2) Für die Zertifizierung gilt § 9 des BSI-Gesetzes sowie die BSI-Zertifizierungs- und -Anerkennungsverordnung.

(3) Die Kosten der Zertifizierung hat der Antragsteller zu tragen.

Abschnitt 2 Übermittlung des Lichtbildes an die Passbehörde

§ 4 Fertigung und Übermittlung des Lichtbilds durch ein sicheres Verfahren

(1) In Fällen, in denen ein Pass bei einer Passbehörde nach § 19 Absatz 1 Satz 1 des Passgesetzes beantragt wird, kann die antragstellende Person einen Dienstleister mit der Fertigung des Lichtbilds beauftragen. Der Dienstleister hat das Lichtbild elektronisch zu fertigen und im Anschluss durch ein sicheres Verfahren an die Passbehörde zu übermitteln. Dienstleister ist jede natürliche oder juristische Person, die gewerbsmäßig Lichtbilder von anderen Personen anfertigt, die zur Vorlage bei einer Passbehörde bestimmt sind.

(2) Ein sicheres Verfahren im Sinne des Absatzes 1 Satz 2 ist:

1.

die Übermittlung des Lichtbilds an die Passbehörde von einem Dienstleister unter Einbindung eines Cloudanbieters oder

2.

die Übermittlung des Lichtbilds an die Passbehörde von einem zertifizierten Lichtbildaufnahmegerät eines Dienstleisters, das unmittelbar an das Behördennetz einer Passbehörde angeschlossen ist.

§ 5 Übermittlung des Lichtbilds unter Einbindung eines Cloudanbieters

(1) Bei einer Übermittlung nach § 4 Absatz 2 Nummer 1 übermittelt der Dienstleister das Lichtbild an einen Cloudanbieter und übergibt der antragstellenden Person anschließend einen Code, den sie im Rahmen der Antragstellung der Passbehörde übergibt.

(2) Mit diesem Code ruft die Passbehörde das Lichtbild bei dem Cloudanbieter ab. Durch den Abruf wird das Lichtbild gemeinsam mit dem Pseudonym der übermittelnden Person des Dienstleisters an die Passbehörde übermittelt.

(3) Die Übermittlung des Lichtbilds vom Dienstleister über den Cloudanbieter zur Passbehörde erfolgt verschlüsselt als Ende-zu-Ende-Verschlüsselung; eine Entschlüsselung durch den Cloudanbieter ist auszuschließen. Eine Übermittlung des Lichtbilds vom Dienstleister zum Cloudanbieter ist nur zulässig, wenn hierzu ausschließlich zertifizierte Systemkomponenten verwendet werden.

(4) Die Verarbeitung der personenbezogenen Daten darf ausschließlich durch einen im Gebiet der Europäischen Union ansässigen Cloudanbieter und ausschließlich im Gebiet der Europäischen Union erfolgen.

§ 6 Registrierung und Identifizierung eines Dienstleisters bei einem Cloudanbieter

(1) Dienstleister haben sich bei einem Cloudanbieter mit einem Nutzerkonto zu registrieren. Bei der Registrierung ist ein Nachweis über die Dienstleistereigenschaft sowie ein Nachweis über die Identität des Dienstleisters zu erbringen.

(2) Der nach Absatz 1 Satz 2 erforderliche Nachweis über die Dienstleistereigenschaft ist zu erbringen durch

1.

einen Nachweis über die Gewerbeanmeldung,

2.

einen Auszug aus dem Unternehmensregister,

3.

eine Bescheinigung der Mitgliedschaft in der Handwerkskammer oder

4.

eine Bestätigung eines Finanzamtes über die Anmeldung einer freiberuflichen Tätigkeit als Fotografin oder Fotograf.

(3) Bei der Registrierung erfolgt der Nachweis der Identität des Dienstleisters durch

1.

einen elektronischen Identitätsnachweis nach § 18 des Personalausweisgesetzes, nach § 12 des eID-Karte-Gesetzes oder nach § 78 Absatz 5 des Aufenthaltsgesetzes oder

2.

ein anderes elektronisches Identifizierungsmittel, das nach Artikel 6 der Verordnung (EU) Nr. 910/2014 auf dem Sicherheitsniveau „hoch“ im Sinne des Artikels 8 Absatz 2 Buchstabe c der Verordnung (EU) Nr. 910/2014 notifiziert worden ist.

(4) Einem Nutzerkonto können mehrere Personen zugeordnet werden, wenn diese vom Dienstleister auf Dauer angelegt beschäftigt werden. Personen nach Satz 1 müssen sich bei der Registrierung in einem Nutzerkonto ebenfalls mittels eines der in Absatz 3 genannten Identifizierungsmittel in dem Nutzerkonto registrieren.

(5) Für jede Person, die sich in einem Nutzerkonto nach Absatz 4 registriert hat, wird durch den Cloudanbieter ein Pseudonym erzeugt.

(6) Vor jeder Übermittlung eines Lichtbilds an den Cloudanbieter hat sich die übermittelnde Person erneut mit einem der in Absatz 3 genannten Identifizierungsmittel zu identifizieren. Bei jeder Übermittlung wird das Lichtbild durch den Cloudanbieter mit dem Pseudonym der übermittelnden Person dauerhaft verbunden. Die Passbehörde trägt im Passregister nach § 21 Absatz 2 Nummer 16 des Passgesetzes das übermittelte Pseudonym als lichtbildaufnehmende Stelle ein.

§ 7 Pflichten des Cloudanbieters

(1) Der Cloudanbieter dokumentiert zum Zwecke der Nachverfolgbarkeit des Übermittlungsvorgangs eines erstellten und übermittelten Lichtbilds

1.

die Übermittlung eines verschlüsselten Lichtbilds durch einen Dienstleister, das Datum und die Uhrzeit der Übermittlung sowie

2.

den Abruf eines verschlüsselten Lichtbilds durch die Passbehörde sowie das Datum und die Uhrzeit des Abrufs.

(2) Der Cloudanbieter ist verpflichtet, das Lichtbild unverzüglich nach Abruf durch die Passbehörde, spätestens aber sechs Monate nach Empfang des Lichtbilds von einem Dienstleister, zu löschen, es sei denn, die Passbehörde hat auf Veranlassung der antragstellenden Person vermerkt, dass das Lichtbild für einen Zeitraum von höchstens sechs Monaten ab Empfang des Lichtbilds durch den Cloudanbieter nicht gelöscht werden soll. Im Übrigen ist der Cloudanbieter verpflichtet, die bei ihm gespeicherten Daten für folgende Fristen zu speichern und nach Fristablauf zu löschen:

1.

die Protokolldaten nach Absatz 1 für zehn Jahre und sechs Monate nach ihrer Erstellung;

2.

die personenbezogenen Daten der Dienstleister sowie die ihnen zuzuordnenden Pseudonyme für sechs Monate ab dem Zeitpunkt, ab dem der Dienstleister von dem Cloudanbieter die Auflösung seines Nutzerkontos verlangt hat;

3.

abweichend von Nummer 2 die dort genannten Daten für zehn Jahre und sechs Monate ab dem Zeitpunkt der Übermittlung des Lichtbilds an die zuständige Passbehörde, wenn das Lichtbild für die Passbeantragung durch eine dem Nutzerkonto zuzuordnende Person übermittelt wurde.

(3) Wenn bestimmte Tatsachen die Annahme begründen, dass ein beim Cloudanbieter abgerufenes Lichtbild auf unzulässige Weise erstellt worden ist, kann die Passbehörde vom Cloudanbieter die Auskunft verlangen, welcher Person das mit dem Lichtbild verbundene Pseudonym zugeordnet ist. Dies gilt auch für den Fall, dass ein Cloudanbieter seinen Betrieb einstellt und solange, bis die Daten durch den Cloudanbieter gelöscht werden.

§ 8 Übermittlung des Lichtbilds von einem Lichtbildaufnahmegerät eines Dienstleisters

(1) Bei einer Übermittlung nach § 4 Absatz 2 Nummer 2 fertigt der Dienstleister das Lichtbild durch sein Lichtbildaufnahmegerät an, das mit Zustimmung der jeweiligen Passbehörde unmittelbar an ihr Behördennetzwerk angeschlossen ist.

(2) Das Lichtbild wird mit dem Namen des Dienstleisters, der das Lichtbildaufnahmegerät zur Verfügung gestellt hat, sowie der Kennung des verwendeten Lichtbildaufnahmegeräts übermittelt. Die Passbehörde trägt im Passregister als lichtbildaufnehmende Stelle nach § 21 Absatz 2 Nummer 16 des Passgesetzes den Namen des Dienstleisters und die Kennung des verwendeten Lichtbildaufnahmegeräts ein.

§ 9 Fertigung des Lichtbilds durch die Passbehörde

(1) Wird das Lichtbild von der Passbehörde mit einem eigenen Lichtbildaufnahmegerät gefertigt, trägt die Passbehörde im Passregister als lichtbildaufnehmende Stelle nach § 21 Absatz 2 Nummer 16 des Passgesetzes die Passbehörde ein.

(2) Die Anfertigung des Lichtbilds mit einem eigenen Lichtbildaufnahmegerät ist nur zulässig, wenn das Lichtbildaufnahmegerät als Systemkomponente zertifiziert worden ist.

(3) Das nach Absatz 1 gefertigte Lichtbild ist unverzüglich vom Lichtbildaufnahmegerät zu löschen, wenn es durch die Passbehörde abgerufen wurde. Wird das gefertigte Lichtbild nicht sofort durch die Passbehörde abgerufen, so ist dieses bis zum Abruf zu speichern, längstens jedoch für 96 Stunden nach dessen Anfertigung.

Abschnitt 3 Übermittlung der Passantragsdaten

§ 10 Qualitätssicherung

Die Passbehörde hat durch geeignete technische und organisatorische Maßnahmen die erforderliche Qualität der Erfassung des Lichtbildes und der Fingerabdrücke sicherzustellen.

§ 11 Übermittlung der Daten an den Passhersteller

(1) Nach ihrer Erfassung werden sämtliche Passantragsdaten in den Passbehörden zu einem digitalen Datensatz zusammengeführt und an den Passhersteller übermittelt. Die Datenübermittlung umfasst unter anderem auch die Qualitätswerte zu den erhobenen Fingerabdrücken und zu den Lichtbildern, die Behördenkennzahl, die Versionsnummern der Qualitätssicherungssoftware und der Sollwerte, den Zeitstempel des Passantrags sowie die Speichergröße der kodierten biometrischen Daten. Die Datenübermittlung erfolgt durch Datenübertragung über verwaltungseigene Kommunikationsnetze oder über das Internet. Sie erfolgt unmittelbar zwischen Passbehörde und Passhersteller oder über Vermittlungsstellen. Die zu übermittelnden Daten sind elektronisch zu signieren und zu verschlüsseln.

(2) Zum Signieren und Verschlüsseln der nach Absatz 1 zu übermittelnden Daten sind gültige Zertifikate gemäß den Anforderungen der vom Bundesamt für Sicherheit in der Informationstechnik erstellten Sicherheitsleitlinien der Wurzelzertifizierungsinstanz der Verwaltung zu nutzen. Diese sind auf der Internetseite des Bundesamtes für Sicherheit in der Informationstechnik veröffentlicht und können dort auf Anfrage bezogen werden. Der Passhersteller hat geeignete technische und organisatorische Regelungen zu treffen, die eine Weiterverarbeitung von ungültig signierten Antragsdaten ausschließen.

(3) Die Datenübertragung nach Absatz 1 Satz 3 erfolgt unter Verwendung eines XML-basierten Datenaustauschformats (XhD) und auf der Grundlage des Datenübermittlungsprotokolls OSCI-Transport, das in der vom Bundesamt für Sicherheit in der Informationstechnik festgelegten Fassung zu verwenden ist, die im Bundesanzeiger bekannt gemacht ist. Das Auswärtige Amt kann für die Datenübertragung an den Passhersteller als Übermittlungsprotokoll auch WSDL/SOAP verwenden. Die Datenübertragung zwischen den Stellen, die nach § 19 Absatz 2 des Passgesetzes für Passangelegenheiten im Ausland zuständig sind, und dem Auswärtigen Amt muss hinsichtlich Datensicherheit und Datenschutz ein den Anforderungen der Verordnung entsprechendes Niveau aufweisen. Zu Testzwecken kann nach Genehmigung durch das Bundesministerium des Innern von den Vorgaben für das Datenaustauschformat nach Satz 1 abgewichen werden.

(4) XhD ist ein auf XML basierendes Datenaustauschformat für Dokumentendaten und dokumentenabhängige Geschäftsprozesse in Nachrichten zwischen den Passbehörden und dem Passhersteller. OSCI-Transport ist der am 6. Juni 2002 vom Kooperationsausschuss ADV Bund/Länder/Kommunaler Bereich herausgegebene Standard für ein Datenübermittlungsprotokoll. Hinsichtlich des Standards OSCI-Transport gilt § 3 Absatz 4 und 5 der Ersten Bundesmeldedatenübermittlungsverordnung entsprechend.

(5) Vor der Übermittlung der Passantragsdaten hinterlegen Passbehörden und Passhersteller alle für eine elektronische und automatisierte Kommunikation benötigten technischen Verbindungsparameter im Deutschen Verwaltungsdiensteverzeichnis, insbesondere die dafür erforderlichen Zertifikate. Der Passhersteller nutzt eine Funktionalität des Deutschen Verwaltungsdiensteverzeichnisses, um die Passbehörde als eine solche zu verifizieren. Das Auswärtige Amt kann die benötigten technischen Verbindungsparameter und die damit verbundenen erforderlichen Zertifikate technisch unabhängig vom Deutschen Verwaltungsdiensteverzeichnis lösen. Die Lösung muss hinsichtlich Datensicherheit und Datenschutz ein den Anforderungen dieser Verordnung entsprechendes Niveau aufweisen.

(6) Soweit die Datenübermittlung über Vermittlungsstellen erfolgt, gelten die Absätze 1 bis 5 für die Datenübermittlung zwischen Vermittlungsstelle und Passhersteller entsprechend. Die Datenübermittlung zwischen Passbehörde und Vermittlungsstelle muss hinsichtlich Datensicherheit und Datenschutz ein den Anforderungen der Verordnung entsprechendes Niveau aufweisen. Die Einzelheiten richten sich nach dem jeweiligen Landesrecht.

§ 12 Qualitätsstatistik

Der Passhersteller erstellt eine Qualitätsstatistik. Sie enthält anonymisierte Qualitätswerte zu Lichtbildern und Fingerabdrücken, die sowohl in der Passbehörde als auch beim Passhersteller ermittelt und vom Passhersteller ausgewertet werden. Der Passhersteller stellt die Ergebnisse der Auswertung und auf Verlangen die in der Statistik erfassten anonymisierten Einzeldaten dem Bundesministerium des Innern und dem Bundesamt für Sicherheit in der Informationstechnik zur Verfügung.

Abschnitt 4 Passmuster; Ausgabe und Versand des Passes

§ 13 Muster des Reisepasses; Änderung von Daten

(1) Der Reisepass der Bundesrepublik Deutschland ist nach dem in der Anlage 2 oder Anlage 2a abgedruckten Muster auszustellen. Für die einzutragenden Daten gelten die formalen Anforderungen der Anlage 11.

(2) Zur Änderung des Wohnortes kann ein Änderungsaufkleber nach dem in der Anlage 2b abgedruckten Muster verwendet werden.

Dieses Dokument ersetzt nicht die offizielle Publikation im Bundesgesetzblatt. Für eventuelle Ungenauigkeiten bei der Übertragung in dieses Format wird keine Haftung übernommen.