Wir berichteten schon seit Beginn der Gesetzesinitiative hier und hier über die Umsetzung einheitlicher Standards im europäischen Passwesen und den Gefahren der informationsgetriebenen Sicherheitsgesellschaft. Ab Mai 2025 ist es dann so weit: Biometrische Passfotos dürfen nur  noch in zertifizierten Studios oder direkt in der Behörde angefertigt werden – zumindest, wenn sie für offizielle Ausweisdokumente genutzt werden sollen.

Was bedeutet das für Mitarbeitende der Behörden? Warum sind die vom Staat verarbeiteten biometrischen Daten der Bürger so sensibel?

Dieser Beitrag bietet eine erste Orientierung zur Einführung der Automaten in Behörden sowie zu den neuen gesetzlichen Vorgaben und möglichen Gefahren für Bürgerinnen und Bürger. Zudem gehe ich auf die grundsätzlich zu beachtenden gesetzlichen Pflichten nach der DSGVO ein.

Was sind Lichtbildautomaten?

Ab dem nächsten Jahr wird sich für den aufmerksamen Besucher der örtlichen, mit der Ausstellung von Pässen betrauten Behörde, immer häufiger ein ungewohnter Anblick darbieten: Große, moderne Automaten, im unifarbenen Gewand, bereitgestellt von privaten Anbietern oder der Bundesdruckerei. An diesen können dann direkt biometrische Passfotos erstellt werden. Im digitalen behördlichen Fachverfahren werden diese anschließend für die Beantragung eines Passdokuments genutzt.

Biometrische Passfotos nach der DSGVO – Daten, die uns einzigartig machen
Biometrische Daten sind solche, die unter der Verwendung technischer Hilfsmittel gewonnen werden und anhand derer unter Bezugnahme auf die Physis oder des Verhaltens der Person eine eindeutige Identifizierung möglich ist. Die einschlägige Norm des Art. 4 Nr. 14 DSGVO nennt neben den Gesichtsbildern auch noch daktyloskopische Daten als Regelbeispiele. Hinter diesem Fachausdruck verbirgt sich auch, aber nicht nur der Fingerabdruck als biometrisches personenbezogenes Datum. Weitere Beispiele sind der Augenabstand, die Geometrie des Gesichts, der Finger- oder auch der Fußabdruck. Der weit gefasste Tatbestand führt zu einem weiten Anwendungsbereich, so ist auch die individuelle Art zu lachen als biometrisches Datum zu qualifizieren.

Zwischen Nutzen, Missbrauch und Manipulation

Es sind in letzter Konsequenz die Daten, die den Menschen unter Millionen erkennbar, auswertbar, überwachbar machen. Die Daten, die eine Kenntlichmachung des Einzelnen unter 8 Milliarden ermöglichen. Diktaturen überwachen Bürgerinnen und Bürger mithilfe dieser Daten.

Aber es sind auch die Daten, die es Behörden ermöglichen, Straftäter einwandfrei zu identifizieren und in einer sich immer schneller drehenden Welt die rechtsstaatliche Kontrolle zu behalten. Die Daten, auf die sich jedes Jahr abertausende Strafverfahren stützen, die an deutschen Gerichten verhandelt werden. Mithilfe derer bei Einreise am Flughafen effizient die Identität der reisenden Personen kontrolliert werden kann.

Den Daten wohnt, allem Nutzen zum Trotz, auch ein eklatantes Missbrauchspotential inne. Der Identitätsdiebstahl ist dabei nur eines von mannigfaltigen möglichen Szenarien. Für den Staat ist gerade das so genannte Morphing eine besondere Gefahr: Eine Technik, mit der biometrische Passfotos effektiv manipuliert werden können. Hierbei ist es möglich, dass aus zwei Fotos unterschiedlicher Personen ein neues Foto mit falschen biometrischen Daten entsteht. Polizei- und Kontrollbehörden können so über die Identität der kontrollierten Personen getäuscht werden.

Verantwortung der Behörden –rechtliche und praktische Herausforderungen

Die Einbindung der Automaten in das digitale Fachverfahren ist Aufgabe der verantwortlichen Kommune vor Ort, ebenso wie die erfolgreiche organisatorische, logistische sowie datenschutzkonforme Einbindung. Hierbei muss nicht nur ein unbefugter Zugriff auf die Daten effektiv ausgeschlossen werden. Unter Umständen sind vor Ort auch bauliche Maßnahmen notwendig. Ein uneingeschränktes Sichtfeld auf den Automaten und die sich davor befindlichen Personen muss etwa für die Behördenmitarbeiter eine Kontrollfunktion ermöglichen.

Datenschutz-Folgenabschätzung als Pflicht nach der DSGVO

Als Teil der datenschutzrechtlichen Verantwortlichkeit stellen sich, nicht zuletzt im Anbetracht der Sensibilität der verarbeiteten Daten, auch Fragen der datenschutzrechtlichen Risikoabschätzung nach Art. 35 DSGVO. Spätestens nachdem ein Passfoto einem Fachverfahren zugeordnet wurde, ergeben sich für die Rechte und Freiheiten von natürlichen Personen nach Ansicht des Verordnungsgebers hohe Risiken. Hierzu ausreichende risikominimierende Maßnahmen zu treffen, die sich nach Ort und genauem Ablauf sowohl in technischer wie auch in tatsächlicher Hinsicht unterscheiden, bleibt dabei Aufgabe des jeweiligen datenschutzrechtlichen Verantwortlichen vor Ort – folglich der zuständigen Passbehörde.

Mögliche Schwachstellen können sich hierbei insbesondere bei der Datenübertragung oder bei der Übergabe an den Dienstleister, welcher die fertigen Anträge an die Bundesdruckerei weiterleitet, ergeben. Hier ist es für den Verantwortlichen und den Datenschutzbeauftragen von elementarer Bedeutung, den Prozess und damit die Verarbeitung der Daten – etwa in Form eines sogenannten Datenflussdiagramms – nachzuvollziehen und die einzelnen Schritte datenschutzrechtlich zu bewerten. Hierbei können auch fachkundige Informationssicherheitsexperten eingebunden werden. Nach der Einschätzung der verschiedenen Risiken der Datenverarbeitung und dem Ergreifen ergänzender Schutzmaßnahmen kann das jeweilige Fachverfahren datenschutzrechtlich final bewertet werden.

Frühzeitige Planung und Einbeziehung der DSGVO

Es hilft hierbei, sich frühzeitig mit den verschiedenen Systemen aus dem In- und Ausland zu befassen, die zur Umsetzung der neuen Gesetzeslage angeschafft werden können. Durch das frühzeitige Hinzuziehen des Datenschutzbeauftragen kann der gesetzlichen Pflicht zur Verfahrens- und Maßnahmendokumentation sowie der Durchführung einer Datenschutz-Folgenabschätzung rechtzeitig nachgekommen und ggf. erforderliche Anpassungen (zum Datenschutz oder der Informationssicherheit) vorgenommen werden. Wer sich als verantwortliche Stelle erst im nächsten Jahr mit dem Datenschutz und der Informationssicherheit der neuen Systeme befasst, läuft Gefahr, das System nicht ausreichend rechtssicher einzuführen.

Fazit

Ob Sie als Mitarbeitende einer Behörde oder als Bürger vor einem der Automaten sitzen – seien Sie sich der Sensibilität der verarbeiteten Daten bewusst. Denn das ist es, was uns als Individuum und Gesellschaft vor den Gefahren des digitalisierten Informationszeitalters schützt: Bewusstsein und Information. Gerne unterstützen wir Sie als verantwortliche Stelle bei der Einführung des gesetzlich vorgesehenen Lichtbildautomaten und der datenschutzrechtlichen Bewertung Ihres Fachverfahrens.