Verordnung zur Erfassung und
Qualitaetssicherung des Lichtbildes und der
Fingerabdruecke in den Passbehoerden und der
Uebermittlung der Passantragsdaten an den
Passhersteller (Passdatenerfassungs- und
Uebermittlungsverordnung - PassDEUeV)
PassDEUeV

vom  09.10.2007



"Passdatenerfassungs- und Uebermittlungsverordnung vom 9. Oktober 2007 (BGBl. I S.
2312), die durch Artikel 2 der Verordnung vom 13. November 2008 (BGBl. I S. 2201)
geaendert worden ist"

Stand:     Geaendert durch Art. 2 V v. 13.11.2008 I 2201

Fussnote

 Textnachweis ab: 1.11.2007
Die V wurde als Art. 1 d. V v. 9.10.2007 I 2312 (PassDEUeV/BMeldDUeV21995AendV) von der
Bundesregierung mit Zustimmung des Bundesrates erlassen. Sie ist gem. Art. 3 Abs. 1
dieser V am 1.11.2007 in Kraft getreten. § 3 Abs. 2 u. § 7 Abs. 3 treten gem. Art. 3
Abs. 2 d. vorstehenden V am 1.5.2008 in Kraft.

§ 1 Anwendungsbereich
(1) Diese Verordnung regelt die technischen Anforderungen und Verfahren fuer die
elektronische Erfassung des Lichtbildes und der Fingerabdruecke, die Uebermittlung
saemtlicher Passantragsdaten von der Passbehoerde an den Passhersteller, die
Qualitaetssicherung in der Passbehoerde und beim Passhersteller sowie das Verfahren zum
Nachweis der Erfuellung der Anforderungen dieser Verordnung.

(2) Diese Verordnung gilt fuer Passbehoerden, den Passhersteller sowie fuer Hersteller
und Lieferanten von technischen Systemen und Bestandteilen, die zum Einsatz bei den
Verfahren bestimmt sind, die in dieser Rechtsverordnung geregelt sind.

§ 2 Erfassung von Lichtbild und Fingerabdruecken; dezentrale
Qualitaetssicherung
Die Passbehoerde hat durch geeignete technische und organisatorische Massnahmen
die erforderliche Qualitaet der Erfassung des Lichtbildes und der Fingerabdruecke
sicherzustellen. Die einzelnen Anforderungen an die mit der Datenerfassung und
Qualitaetssicherung verbundenen technischen und organisatorischen Massnahmen sowie an
die in diesem Verfahren eingesetzten Systeme und Bestandteile bestimmen sich nach den
Kapiteln 2 und 3 der Anlage *) .

*) Die Anlage wird als Anlageband zu dieser Ausgabe des Bundesgesetzblatts
ausgegeben. Innerhalb des Abonnements werden Anlagebaende auf Anforderung gemaess
den Bezugsbedingungen des Verlags uebersandt. Ausserhalb des Abonnements erfolgt die
Lieferung gegen Kostenerstattung.

§ 3 Uebermittlung der Daten an den Passhersteller


                                               -1-
      
                                                                              

(1) Nach der Erfassung werden saemtliche Passantragsdaten in den Passbehoerden zu
einem digitalen Datensatz zusammengefuehrt und an den Passhersteller uebermittelt. Die
Datenuebermittlung umfasst auch die Qualitaetswerte zu den erhobenen Fingerabdruecken und
– soweit vorhanden – zu den Lichtbildern, die Behoerdenkennzahl, die Versionsnummern der
QS-Software und der Sollwerte, den Zeitstempel des Passantrags sowie die Speichergroesse
der kodierten biometrischen Daten. Die Datenuebermittlung erfolgt durch Datenuebertragung
ueber verwaltungseigene Kommunikationsnetze oder ueber das Internet. Sie erfolgt
unmittelbar zwischen Passbehoerde und Passhersteller oder ueber Vermittlungsstellen. Die
zu uebermittelnden Daten sind elektronisch zu signieren und zu verschluesseln.

(2) Zum Signieren und Verschluesseln der gemaess Absatz 1 zu uebermittelnden
Daten sind gueltige Zertifikate gemaess den Anforderungen der vom Bundesamt fuer
Sicherheit in der Informationstechnik (BSI) erstellten Sicherheitsleitlinien der
Wurzelzertifizierungsinstanz der Verwaltung zu nutzen. Diese sind auf der Internetseite
des BSI veroeffentlicht und koennen dort auf Anfrage bezogen werden. Der Passhersteller
hat geeignete technische und organisatorische Regelungen zu treffen, die eine
Weiterverarbeitung von ungueltig signierten Antragsdaten ausschliessen.

(3) Die Datenuebertragung nach Absatz 1 Satz 3 erfolgt unter Verwendung eines XML-
basierten Datenaustauschformats (XPass) gemaess Kapitel 4 der Anlage und auf der
Grundlage des Uebermittlungsprotokolls OSCI-Transport in der im Bundesanzeiger
sowie im elektronischen Bundesanzeiger bekannt gemachten jeweils gueltigen Fassung.
Das Auswaertige Amt kann fuer die Datenuebertragung an den Passhersteller als
Uebermittlungsprotokoll auch WSDL/SOAP gemaess Kapitel 5 und 6 der Anlage verwenden.
Die Datenuebertragung zwischen den Stellen, die gemaess § 19 Abs. 2 des Passgesetzes
fuer Passangelegenheiten im Ausland zustaendig sind, und dem Auswaertigen Amt muss
hinsichtlich Datensicherheit und Datenschutz ein den Anforderungen der Verordnung
entsprechendes Niveau aufweisen.

(4) XPass ist ein auf XML basierendes Datenaustauschformat fuer Dokumentdaten
und dokumentenabhaengige Geschaeftsprozesse in Nachrichten zwischen den
Passbehoerden und dem Passhersteller. OSCI-Transport ist der am 6. Juni 2002 vom
Kooperationsausschuss ADV Bund/Laender/Kommunaler Bereich herausgegebene Standard fuer
ein Datenuebermittlungsprotokoll. Hinsichtlich des Standards OSCI-Transport gilt § 2
Abs. 4 Satz 4 bis 7 der Ersten Bundesmeldedatenuebermittlungsverordnung entsprechend.

(5) Die einzelnen Anforderungen an die mit der Datenuebermittlung verbundenen
technischen und organisatorischen Massnahmen sowie an die in diesem Verfahren
eingesetzten Systeme und Bestandteile bestimmen sich nach den Vorgaben der Kapitel 4
bis 7 und 9 der Anlage.

(6) Soweit die Datenuebermittlung ueber Vermittlungsstellen erfolgt, gelten die Absaetze
1 bis 5 fuer die Datenuebermittlung zwischen Vermittlungsstelle und Passhersteller
entsprechend. Die Datenuebermittlung zwischen Passbehoerde und Vermittlungsstelle muss
hinsichtlich Datensicherheit und Datenschutz ein den Anforderungen der Verordnung
entsprechendes Niveau aufweisen. Die Einzelheiten richten sich nach dem jeweiligen
Landesrecht.

§ 4 Nachweis der Erfuellung der Anforderungen
(1) Die Einhaltung der Anforderungen dieser Verordnung ist vom BSI vor dem Einsatz
der Systeme und Bestandteile festzustellen (Konformitaetsbescheid). Hersteller
und Lieferanten von technischen Systemen und Bestandteilen, die zum Einsatz bei
den in den §§ 2 und 3 geregelten Verfahren bestimmt sind, koennen beim BSI einen
Konformitaetsbescheid gemaess Satz 1 beantragen.

(2) Die Pruefung der Konformitaet erfolgt durch eine beim BSI akkreditierte und fuer
das Verfahren nach dieser Vorschrift speziell autorisierte Pruefstelle gemaess den
Vorgaben des Kapitels 9 der Anlage zu dieser Verordnung. Die Pruefstelle dokumentiert
Ablauf und Ergebnis der Pruefung in einem Pruefbericht. Das BSI stellt auf Grundlage
des Pruefberichtes einen Konformitaetsbescheid aus. Die Kosten des Verfahrens, die sich
nach der Kostenverordnung fuer Amtshandlungen des Bundesamtes fuer Sicherheit in der
Informationstechnik vom 3. Maerz 2005 in der jeweils gueltigen Fassung richten, und die
Kosten, die von der jeweiligen Pruefstelle erhoben werden, traegt der Antragsteller.
                                            -2-
      
                                                                              

§ 5 Qualitaetsstatistik
Der Passhersteller erstellt eine Qualitaetsstatistik. Sie enthaelt anonymisierte
Qualitaetswerte zu Lichtbildern und Fingerabdruecken, die sowohl in der Passbehoerde
als auch beim Passhersteller ermittelt und vom Passhersteller ausgewertet werden.
Der Passhersteller stellt die Ergebnisse der Auswertung und auf Verlangen die in der
Statistik erfassten anonymisierten Einzeldaten dem Bundesministerium des Innern und dem
BSI zur Verfuegung. Die Einzelheiten der Auswertung der Statistikdaten bestimmen sich
nach den Vorgaben des Kapitels 10 der Anlage.

§ 6 Behebung technischer Fehler und Inkonsistenzen
(1) Soweit bei der Durchfuehrung der in den §§ 2 bis 6 geregelten Verfahren geringfuegige
technische Fehler oder Inkonsistenzen offenbar werden, die das Datenaustauschformat
XPass betreffen, kann das BSI nach Anhoerung der Verfahrenshersteller, des Deutschen
Staedtetages, des Deutschen Staedte- und Gemeindebundes, des Deutschen Landkreistages
und des Passherstellers Empfehlungen zur Behebung dieser Fehler und Inkonsistenzen
aussprechen. Die Empfehlungen sind auf der Internetseite des BSI zu veroeffentlichen.

(2) Die nach den Vorschriften dieser Rechtsverordnung Verpflichteten koennen in dem
vom BSI gemaess Absatz 1 empfohlenen Umfang von den in Kapitel 4 der Anlage enthaltenen
technischen Vorgaben abweichen.

§ 7 Uebergangsregelungen
(1) Passbehoerden, die zum Zeitpunkt des Inkrafttretens dieser Verordnung bereits ein
Verfahren zur elektronischen Datenuebertragung betreiben, das auf einem von den Vorgaben
des § 3 Abs. 3 Satz 1 abweichenden Datenaustauschformat beruht, koennen dieses Verfahren
bis zum 31. Oktober 2009 weiterfuehren.

(2) Passbehoerden, die zum Zeitpunkt des Inkrafttretens dieser Verordnung bereits
ein Verfahren zur elektronischen Datenuebertragung betreiben, das auf einem von den
Vorgaben des § 3 Abs. 3 Satz 1 abweichenden Uebermittlungsprotokoll beruht, koennen
dieses Verfahren bis zum 31. Oktober 2009 weiterfuehren.

(3) Signaturkarten, die vor dem 1. Mai 2008 ausgestellt wurden, behalten bis zum Ablauf
der Gueltigkeitsdauer ihre Geltung. Das Auswaertige Amt tauscht bis zum 1. Mai 2008 mit
dem Passhersteller bilateral Softwareschluessel und Zertifikate aus.

(4) Abweichend von § 4 Abs. 1 Satz 1 koennen bis zum 31. Oktober 2009 auch Systeme
und Bestandteile zur Qualitaetssicherung der Lichtbilder bei der Erfassung eingesetzt
werden, fuer die noch kein Konformitaetsbescheid erteilt wurde.

Anlage zu Artikel 1
der Verordnung ueber die Erfassung und Uebermittlung von Passdaten sowie
zur Aenderung der Zweiten Bundesmeldedatenuebermittlungsverordnung vom 9.
Oktober 2007
Fundstelle: Anlageband zum BGBl I Nr. 49 vom 12. Oktober 2007

Link auf Anlagenband




                                            -3-