Seit dem 1. Mai 2025 gelten neue Anforderungen für Passbilder. Wer ein Foto für den Personalausweis oder Reisepass einreichen will, muss das digital erledigen. Das biometrische Bild muss dafür direkt bei der Behörde oder bei externen Dienstleistern erstellt werden, die die Aufnahmen gesichert an die Ämter weiterleiten. Doch laut den IT-Sicherheitsexpert:innen von Mint Secure beginnen genau hier die Probleme mit den neuen Ausweisregeln.

In einem Selbstversuch haben die Sicherheitsexpert:innen zwei externe Dienstleister genutzt, um ein biometrisches Foto an eine Behörde zu übermitteln: alfo-Passbild und dm-Drogeriemarkt. Beide Anbieter betonen auf ihren Websites, dass die aufgenommenen Bilder in die Cloud hochgeladen und dort sicher gespeichert werden. Kund:innen erhalten einen QR-Code, der von den Bürgerämtern eingelesen werden kann, um das Bild abzurufen.

dm betont, dass es sich bei der Speicherlösung um die hauseigene zertifizierte dm-Cloud handelt, während alfo-Passbild auf eine C5-Hochsicherheits-Cloud verweist. Laut Mint Secure, die sich die QR-Codes und die daraus folgenden Weiterleitungen genauer angeschaut haben, nutzen beide Dienstleister die Cloud der Amazon Web Services, um die biometrischen Bilder zu speichern.

Daraus ergeben sich laut den Sicherheitsexpert:innen Bedenken für den Datenschutz. Laut Gesetz muss die Verarbeitung personenbezogener Daten von Anbietern in der EU auch im Gebiet der Europäischen Union stattfinden. AWS ist ein Tochterunternehmen von Amazon und in der EU ansässig. Allerdings besteht durch die Zusammengehörigkeit die Gefahr, dass auch Amazon in den USA auf die Daten zugreifen kann – obwohl die Daten in der EU gespeichert werden.

Gerade in Verbindung mit dem Cloud-Act der USA könnte das zu weiteren Problemen führen. Das Gesetz, das im Jahr 2018 in Kraft getreten ist, verpflichtet amerikanische IT-Unternehmen dazu, US-Behörden Zugriff auf gespeicherte Daten zu geben. Das gilt auch dann, wenn sich die Server, auf denen die Daten gespeichert werden, nicht auf dem Gebiet der USA befinden.

Zwar werden die biometrischen Passbilder verschlüsselt abgespeichert, doch könnten US-Behörden die Daten vorsorglich abspeichern. Sollte es zu einem späteren Zeitpunkt eine neue Methode geben, um sie zuverlässig zu entschlüsseln, hätten die US-Behörden biometrische Daten von zahlreichen deutschen Bürger:innen. Und das gilt laut Mint Secure nicht nur für die Personen, die ein Bild von sich machen lassen. Alle Uploads müssen mit einem vorhandenen Personalausweis mit eID signiert werden. Dementsprechend landen auch die Daten von Mitarbeiter:innen und Fotograf:innen der Anbieter auf den Servern.

Wer dem möglichen Upload zu AWS aus dem Weg gehen will, muss Passbilder zwangsläufig bei den Behörden vor Ort anfertigen lassen. Ein Problem dabei dürfte aktuell noch sein, dass vor allem Ämter im ländlichen Bereich aktuell nicht das nötige Equipment besitzen, um die digitalen Aufnahmen anzufertigen. Künftig sollten aber immer mehr Behörden nachziehen und aufrüsten.