Synopse zur Änderung an
Passdatenerfassungs- und Übermittlungsverordnung (PassDEÜV)

Erstellt am: 01.05.2025

Jetzt individuelle E-Mail Alerts einrichten

Zurück zur Übersicht

Die in dieser Synopse dargestellten Gesetzestexte basieren auf der vom Bundesamt für Justiz konsolidierten Fassung, welche auf gesetze-im-internet.de einsehbar ist. Diese Fassung der Gesetzestexte ist nicht die amtliche Fassung. Die amtliche Fassung ist im Bundesgesetzblatt einsehbar.

Bitte beachten Sie, dass die nachfolgend dargestellten Änderungen möglicherweise nicht auf einem Änderungsgesetz beruhen. Ab und an nimmt gesetze-im-internet.de auch redaktionelle Änderungen vor, z.B. nachträgliche Korrekturen, Anmerkungen, Ergänzungen etc. In diesem Fall beziehen sich die nachfolgenden Metainformationen auf die letzte Änderung auf Grundlage eines Änderungsgesetzes.

LawAlert befindet sich aktuell in einer frühen Testphase und Fehlfunktionen können nicht ausgeschlossen werden. Insbesondere können die von LawAlert erstellten Synopsen fehlerhaft sein, z.B. nicht vollständig, korrekt oder aktuell, da diese softwarebasiert aus Inhalten Dritter erstellt werden, ohne dass eine weitere redaktionelle oder inhaltliche Überprüfung durch LawAlert erfolgt. Auch können Änderungen oder Ausfälle der fremden Bezugsquellen zu Störungen bei LawAlert führen, ohne dass LawAlert hierauf Einfluss hat. Bitte verwenden Sie die Inhalte von LawAlert daher nur für Testzwecke. Sollten Ihnen Fehler auffällen, freuen wir uns über Ihr Feedback an hello@lawalert.de!

Für die vorliegende Synopse konnten keine Metainformationen vom Dokumentations- und Informationssystem für Parlamentsmaterialen (kurz DIP) ermittelt werden. Warum? Dies kann mehrere Gründe haben. Insbesondere beruht nicht jede Änderung im Bundesrecht auf einem im DIP hinterlegten Parlamentsvorgang, z.B. bei Änderungen von Verordnungen ist dies denkbar. Auch ist möglich, dass das DIP zum Zeitpunkt der Erstellung der Synopse noch nicht die aktuellen und für die Verknüpfung notwendigen Informationen hinterlegt hatte.

Möchten Sie mehr zu den Hintergründen unserer Metainformationen erfahren? Dann besuchen Sie doch unsere FAQ-Seite.

Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
(1) In Fällen, in denen ein Pass bei einer Passbehörde nach § 19 Absatz 1 des Passgesetzes beantragt wird, kann die antragstellende Person einen Dienstleister mit der Fertigung des Lichtbilds beauftragen. Der Dienstleister hat das Lichtbild elektronisch zu fertigen und im Anschluss durch ein sicheres Verfahren an die Passbehörde zu übermitteln. Dienstleister ist jede natürliche oder juristische Person, die gewerbsmäßig Lichtbilder von anderen Personen anfertigt, die zur Vorlage bei einer Passbehörde bestimmt sind.
(2) Ein sicheres Verfahren im Sinne des Absatzes 1 Satz 2 ist:
1.
die Übermittlung des Lichtbilds an die Passbehörde von einem Dienstleister unter Einbindung eines Cloudanbieters oder
2.
die Übermittlung des Lichtbilds an die Passbehörde von einem zertifizierten Lichtbildaufnahmegerät eines Dienstleisters, das unmittelbar an das Behördennetz einer Passbehörde angeschlossen ist.

Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
(1) Bei einer Übermittlung nach § 1a Absatz 2 Nummer 1 übermittelt der Dienstleister das Lichtbild an einen Cloudanbieter und übergibt der antragstellenden Person anschließend einen Code, den diese im Rahmen der Antragstellung der Passbehörde übergibt.
(2) Mit diesem Code ruft die Passbehörde das Lichtbild bei dem Cloudanbieter ab. Durch den Abruf wird das Lichtbild gemeinsam mit dem Pseudonym der übermittelnden Person des Dienstleisters an die Passbehörde übermittelt.
(3) Die Übermittlung des Lichtbilds vom Dienstleister über den Cloudanbieter zur Passbehörde erfolgt verschlüsselt als Ende-zu-Ende-Verschlüsselung; eine Entschlüsselung durch den Cloudanbieter ist auszuschließen. Eine Übermittlung des Lichtbilds vom Dienstleister zum Cloudanbieter ist nur zulässig, wenn hierzu zertifizierte Komponenten gemäß § 4 Absatz 1 Satz 1 verwendet werden.
(4) Die Verarbeitung der personenbezogenen Daten darf ausschließlich durch einen im Gebiet der Europäischen Union ansässigen Cloudanbieter und ausschließlich im Gebiet der Europäischen Union erfolgen.

Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
(1) Dienstleister haben sich bei einem Cloudanbieter mit einem Nutzerkonto zu registrieren. Bei der Registrierung ist ein Nachweis über die Dienstleistereigenschaft sowie ein Nachweis über die Identität des Dienstleisters zu erbringen.
(2) Der Nachweis über die Dienstleistereigenschaft ist zu erbringen durch
1.
einen Nachweis über die Gewerbeanmeldung;
2.
einen Auszug aus dem Unternehmensregister;
3.
eine Bescheinigung der Mitgliedschaft in der Handwerkskammer oder
4.
eine Bestätigung eines Finanzamtes über die Anmeldung einer freiberuflichen Tätigkeit als Fotografin oder Fotograf.
(3) Bei der Registrierung erfolgt der Nachweis der Identität des Dienstleisters durch
1.
einen elektronischen Identitätsnachweis gemäß § 18 des Personalausweisgesetzes, gemäß § 12 des eID-Karte-Gesetzes oder gemäß § 78 Absatz 5 des Aufenthaltsgesetzes oder
2.
ein anderes elektronisches Identifizierungsmittel, das nach Artikel 6 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73; L 23 vom 29.1.2015, S. 19; L 155 vom 14.6.2016, S. 44) auf dem Sicherheitsniveau „hoch“ im Sinne des Artikels 8 Absatz 2 Buchstabe c der Verordnung (EU) Nr. 910/2014 notifiziert worden ist.
Einem Nutzerkonto können mehrere Personen zugeordnet werden, wenn diese vom Dienstleister auf Dauer angelegt beschäftigt werden. Personen nach Satz 2 müssen sich bei der Registrierung in einem Nutzerkonto ebenfalls mittels eines der in Satz 1 genannten Identifizierungsmittel in dem Nutzerkonto registrieren.
(4) Für jede Person, die sich in einem Nutzerkonto nach Absatz 3 registriert hat, wird durch den Cloudanbieter ein Pseudonym erzeugt.
(5) Vor jeder Übermittlung eines Lichtbilds an den Cloudanbieter hat sich die übermittelnde Person erneut mit einem der in Absatz 3 Satz 1 genannten Identifizierungsmittel zu identifizieren. Bei jeder Übermittlung wird das Lichtbild durch den Cloudanbieter mit dem Pseudonym der übermittelnden Person dauerhaft verbunden. Die Passbehörde trägt im Passregister gemäß § 21 Absatz 2 Nummer 17 des Passgesetzes das übermittelte Pseudonym als lichtbildaufnehmende Stelle ein.

Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
(1) Der Cloudanbieter dokumentiert zum Zwecke der Nachverfolgbarkeit des Übermittlungsvorgangs eines erstellten und übermittelten Lichtbilds
1.
die Übermittlung eines verschlüsselten Lichtbilds durch einen Dienstleister, das Datum und die Uhrzeit der Übermittlung sowie
2.
den Abruf eines verschlüsselten Lichtbilds durch die Passbehörde sowie das Datum und die Uhrzeit des Abrufs.
(2) Der Cloudanbieter ist verpflichtet, das Lichtbild unverzüglich nach Abruf durch die Passbehörde, spätestens aber sechs Monate nach Empfang des Lichtbilds von einem Dienstleister, zu löschen, es sei denn, die Passbehörde hat auf Veranlassung der antragstellenden Person vermerkt, dass das Lichtbild für einen Zeitraum von höchstens sechs Monaten ab Antragsstellung nicht gelöscht werden soll. Im Übrigen ist der Cloudanbieter verpflichtet, die bei ihm gespeicherten Daten für folgende Fristen zu speichern; nach Fristablauf sind die Daten zu löschen:
1.
die Protokolldaten nach Absatz 4 für zehn Jahre und sechs Monate nach ihrer Erstellung;
2.
die personenbezogenen Daten der Dienstleister sowie die diesen zuzuordnenden Pseudonyme für sechs Monate ab dem Zeitpunkt, ab dem der Dienstleister von dem Cloudanbieter die Auflösung seines Nutzerkontos verlangt hat;
3.
abweichend von Nummer 2 die dort genannten Daten für zehn Jahre und sechs Monate ab dem Zeitpunkt der Übermittlung des Lichtbilds an die zuständige Passbehörde, wenn das Lichtbild für die Passbeantragung durch eine dem Nutzerkonto zuzuordnende Person übermittelt wurde.
(3) Wenn bestimmte Tatsachen die Annahme begründen, dass ein beim Cloudanbieter abgerufenes Lichtbild auf unzulässige Weise erstellt worden ist, kann die Passbehörde vom Cloudanbieter verlangen, Auskunft darüber zu geben welcher Person das mit dem Lichtbild verbundene Pseudonym zugeordnet ist. Dies gilt auch für den Fall, dass ein Cloudanbieter seinen Betrieb einstellt und solange, bis die Daten durch den Cloudanbieter gelöscht werden.

Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
(1) Bei einer Übermittlung nach § 1a Absatz 2 Nummer 2 fertigt der Dienstleister das Lichtbild durch sein Lichtbildaufnahmegerät an, das mit Zustimmung der jeweiligen Passbehörde unmittelbar an ihr Behördennetzwerk angeschlossen ist.
(2) Das Lichtbild wird mit dem Namen des Dienstleisters, der das Lichtbildaufnahmegerät zur Verfügung gestellt hat, sowie der Kennung des verwendeten Lichtbildaufnahmegeräts übermittelt. Die Passbehörde trägt im Passregister als lichtbildaufnehmende Stelle gemäß § 21 Absatz 2 Nummer 17 des Passgesetzes den Namen des Dienstleisters und die Kennung des verwendeten Lichtbildaufnahmegeräts ein.

Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
(1) Wird das Lichtbild von der Passbehörde mit einem eigenen Lichtbildaufnahmegerät gefertigt, trägt die Passbehörde im Passregister als lichtbildaufnehmende Stelle gemäß § 21 Absatz 2 Nummer 17 des Passgesetzes die Passbehörde ein. Die Anfertigung des Lichtbilds mit einem eigenen Lichtbildaufnahmegerät ist nur zulässig, wenn das Lichtbildaufnahmegerät als Systemkomponente im Sinne des § 4 Absatz 1 Satz 1 zertifiziert worden ist.
(2) Das nach Absatz 1 gefertigte Lichtbild ist unverzüglich vom Lichtbildaufnahmegerät zu löschen, wenn es durch die Passbehörde abgerufen wurde. Wird das gefertigte Lichtbild nicht sofort durch die Passbehörde abgerufen, so ist dieses bis zum Abruf zu speichern, längstens jedoch für 96 Stunden nach dessen Anfertigung.

Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
(1) Die Passbehörde hat durch geeignete technische und organisatorische Maßnahmen die erforderliche Qualität der Erfassung des Lichtbildes und der Fingerabdrücke sicherzustellen.
(2) Die technischen und organisatorischen Anforderungen an
1.
die Erfassung des Lichtbildes und der Fingerabdrücke,
2.
die Qualitätssicherung des Lichtbildes und der Fingerabdrücke Fingerabdrücke, und
3.
die Übermittlung sämtlicher Passantragsdaten zwischen Passbehörde und Passhersteller und
4.
das sichere Verfahren der Übermittlung von Lichtbildern von einem Dienstleister an die Passbehörde
sind nach dem Stand der Technik zu erfüllen. Der Stand der Technik ist als niedergelegt zu vermuten in den Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik. Diese sind in der Anlage 1 aufgeführt und gelten in der jeweils im Bundesanzeiger veröffentlichten Fassung.
(2) Die technischen und organisatorischen Anforderungen an
1.
die Erfassung des Lichtbildes und der Fingerabdrücke,
2.
die Qualitätssicherung des Lichtbildes und der Fingerabdrücke Fingerabdrücke, und
3.
die Übermittlung sämtlicher Passantragsdaten zwischen Passbehörde und Passhersteller und
4.
das sichere Verfahren der Übermittlung von Lichtbildern von einem Dienstleister an die Passbehörde
sind nach dem Stand der Technik zu erfüllen. Der Stand der Technik ist als niedergelegt zu vermuten in den Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik. Diese sind in der Anlage 1 aufgeführt und gelten in der jeweils im Bundesanzeiger veröffentlichten Fassung.

Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
(1) Die Systemkomponenten der Passbehörden Passbehörden, des Passherstellers und der Dienstleister, die Lichtbildaufnahmegeräte im Sinne des Passherstellers, § 1a Absatz 2 Nummer 2 verwenden, die zu verwendenden Cloudanbieter im Sinne des § 1a Absatz 2 Nummer 1 sowie die Anwendungsbestandteile zur Verschlüsselung und Übertragung deren der Lichtbilder an die Cloud durch den Dienstleister, für die eine Zertifizierung verpflichtend ist, ergeben sich aus Anlage 2. Die Art und die Einzelheiten der Zertifizierung sind richten sich nach den Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik Informationstechnik. zu entnehmen.
(1) Die Systemkomponenten der Passbehörden Passbehörden, des Passherstellers und der Dienstleister, die Lichtbildaufnahmegeräte im Sinne des Passherstellers, § 1a Absatz 2 Nummer 2 verwenden, die zu verwendenden Cloudanbieter im Sinne des § 1a Absatz 2 Nummer 1 sowie die Anwendungsbestandteile zur Verschlüsselung und Übertragung deren der Lichtbilder an die Cloud durch den Dienstleister, für die eine Zertifizierung verpflichtend ist, ergeben sich aus Anlage 2. Die Art und die Einzelheiten der Zertifizierung sind richten sich nach den Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik Informationstechnik. zu entnehmen.
(2) Für die Zertifizierung gilt § 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821) sowie die BSI-Zertifizierungsverordnung vom 7. Juli 1992 (BGBl. I S. 1230) in der jeweils geltenden Fassung.
(3) Die Kosten der Zertifizierung trägt der Antragsteller. Die BSI-Kostenverordnung vom 3. März 2005 (BGBl. I S. 519) in der jeweils geltenden Fassung findet Anwendung.
(3) Die Kosten der Zertifizierung trägt der Antragsteller. Die BSI-Kostenverordnung vom 3. März 2005 (BGBl. I S. 519) in der jeweils geltenden Fassung findet Anwendung.

Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
(Fundstelle: BGBl. I 2010, 1455;
bzgl. der einzelnen Änderungen vgl. Fußnote)
(Fundstelle: BGBl. I 2010, 1455)
(Fundstelle: BGBl. I 2010, 1455;
bzgl. der einzelnen Änderungen vgl. Fußnote)
(Fundstelle: BGBl. I 2010, 1455)
1.
BSI: Technische Richtlinie TR-03104, Technische Richtlinie zur Produktionsdatenerfassung, -qualitätsprüfung und -übermittlung (TR PDÜ)
2.
BSI: Technische Richtlinie TR-03121, Biometrics for Public Sector Applications (TR Biometrie)
[Technische Richtlinie für Biometrie in hoheitlichen Anwendungen]
3.
BSI: Technische Richtlinie TR-03123, XML-Datenaustauschformat für hoheitliche Dokumente (TR XhD)
4.
BSI: Technische Richtlinie TR-03132, Sichere Szenarien für Kommunikationsprozesse im Bereich hoheitlicher Dokumente (TR SiSKo hD)
5.
BSI: Technische Richtlinie TR-03170, Sichere digitale Übermittlung biometrischer Lichtbilder von Dienstleistern an Pass-, Personalausweis- und Ausländerbehörden
1.
BSI: Technische Richtlinie TR-03104, Technische Richtlinie zur Produktionsdatenerfassung, -qualitätsprüfung und -übermittlung (TR PDÜ)
2.
BSI: Technische Richtlinie TR-03121, Biometrics for Public Sector Applications (TR Biometrie)
[Technische Richtlinie für Biometrie in hoheitlichen Anwendungen]
3.
BSI: Technische Richtlinie TR-03123, XML-Datenaustauschformat für hoheitliche Dokumente (TR XhD)
4.
BSI: Technische Richtlinie TR-03132, Sichere Szenarien für Kommunikationsprozesse im Bereich hoheitlicher Dokumente (TR SiSKo hD)
5.
BSI: Technische Richtlinie TR-03170, Sichere digitale Übermittlung biometrischer Lichtbilder von Dienstleistern an Pass-, Personalausweis- und Ausländerbehörden

Jetzt kostenlos E-Mail Benachrichtigungen einrichten Rechtstext von gesetze-im-internet.de abrufen
(Fundstelle: BGBl. I 2010, 1456;
bzgl. der einzelnen Änderungen vgl. Fußnote)
(Fundstelle: BGBl. I 2010, 1456)
(Fundstelle: BGBl. I 2010, 1456;
bzgl. der einzelnen Änderungen vgl. Fußnote)
(Fundstelle: BGBl. I 2010, 1456)
Nr. Bezeichnung der Systemkomponente Verpflichtung/Option
1 Fingerabdruckleser Verpflichtung für die Anbieter dieser Geräte
Verpflichtung für den Passhersteller
Verpflichtung für die Passbehörden
2 Software zur Erfassung und Qualitätssicherung von Lichtbild und Fingerabdrücken Verpflichtung für den Passhersteller
Verpflichtung für die Passbehörden
3 Modul für die Datenübermittlung von der Passbehörde an den Passhersteller Verpflichtung für den Passhersteller
Verpflichtung für die Passbehörden
44Modul zur Sicherung der Authentizität und Vertraulichkeit der Antragsdaten Verpflichtung für den Passhersteller
Verpflichtung für die Passbehörden
5Hard- und Software zum Betrieb der CloudVerpflichtung für den Cloudanbieter
6Lichtbildaufnahmegeräte zur Fertigung des LichtbildsVerpflichtung für die Passbehörde, die das Lichtbild gemäß § 1f selbst fertigt. Verpflichtung für den Dienstleister, der Lichtbildaufnahmegeräte im Sinne des § 1a Absatz 2 Nummer 2 verwendet
7Software zur Verschlüsselung und Übertragung der Lichtbilder von Dienstleistern an die CloudVerpflichtung für die Softwarehersteller
Nr. Bezeichnung der Systemkomponente Verpflichtung/Option
1 Fingerabdruckleser Verpflichtung für die Anbieter dieser Geräte
Verpflichtung für den Passhersteller
Verpflichtung für die Passbehörden
2 Software zur Erfassung und Qualitätssicherung von Lichtbild und Fingerabdrücken Verpflichtung für den Passhersteller
Verpflichtung für die Passbehörden
3 Modul für die Datenübermittlung von der Passbehörde an den Passhersteller Verpflichtung für den Passhersteller
Verpflichtung für die Passbehörden
44Modul zur Sicherung der Authentizität und Vertraulichkeit der Antragsdaten Verpflichtung für den Passhersteller
Verpflichtung für die Passbehörden
5Hard- und Software zum Betrieb der CloudVerpflichtung für den Cloudanbieter
6Lichtbildaufnahmegeräte zur Fertigung des LichtbildsVerpflichtung für die Passbehörde, die das Lichtbild gemäß § 1f selbst fertigt. Verpflichtung für den Dienstleister, der Lichtbildaufnahmegeräte im Sinne des § 1a Absatz 2 Nummer 2 verwendet
7Software zur Verschlüsselung und Übertragung der Lichtbilder von Dienstleistern an die CloudVerpflichtung für die Softwarehersteller