Warum digitale Passfotos in der Amazon-Cloud Datenschützern Sorgen machen

Immer wieder gerät die Wahrung des Datenschutzes in Grauzonen, die schwer zu überschauen sind. Das gilt auch für eins der persönlichsten Datenpakete in der digitalen Erfassung, Speicherung und Verarbeitung: den Passfotos.

Biometrische Daten nur noch digital

Seit 1. Mai 2025 akzeptieren deutsche Behörden von Antragstellern keine Papier-Passbilder mehr. Die Pflicht zum digitalen Foto soll die Abläufe in den Ämtern schneller und reibungsloser machen. Biometrische Daten in digitaler Form – dagegen werden viele nichts einzuwenden haben. Ohnehin werden professionell oder für den Privatgebrauch kaum noch Papierabzüge entwickelt. Eine Frage für den Datenschutz wirft allerdings die Speicherung der digitalen Passfotos auf.

Digitale Passbilder auf Nicht-EU-Servern

Behörden bieten die Möglichkeit an, gleich vor Ort ein Passfoto abzulichten. Mit eigens angeschafften Fotogeräten der Bundesdruckerei sparen sich die Bürger Zeit und Laufwege. Nach wie vor bieten auch Fotostudios, Drogeriemärkte, Schreibwarengeschäfte und andere Dienstleister einen Passbildservice an. Dort landen die Bilddaten in einer Foto-Software und damit in den meisten Fällen auf einem Server, der die betreffenden Passfotos für die Ämter zum Download bereitstellt. Dabei kommen Verschlüsselungsverfahren zum Einsatz. Aus der Wahl der Server könnten sich allerdings Datenschutzprobleme ergeben.

So hat das Berliner Cyber-Security-Start-up Mint Secure herausgefunden, dass verschiedene Passbild-Fotografen die Bilddaten an das Unternehmen Alfo Passbild / Ringfoto oder die dm-Drogeriemarktkette weiterleiten. Diese legen die Datensätze verschlüsselt in einer Cloud ab. Laut Mint Secure handelt es sich dabei um eine Cloud von Amazon Web Services (AWS). Nun heißt es in der Passdatenerfassungs- und Übermittlungsverordnung (PassDEÜV):

§ 1b Übermittlung des Lichtbilds unter Einbindung eines Cloudanbieters
(4) Die Verarbeitung der personenbezogenen Daten darf ausschließlich durch einen im Gebiet der Europäischen Union ansässigen Cloudanbieter und ausschließlich im Gebiet der Europäischen Union erfolgen.

US Cloud Act sorgt für Unsicherheit

Damit berührt auch die Speicherung von Passbilddaten die Schrems-II-Problematik, die zu Unsicherheiten im Umgang mit US-Cloud-Diensten geführt hat. So hat beispielsweise die Vergabekammer Baden-Württemberg 2022 die Nutzung US-amerikanischer Cloud-Anbieter mit Blick auf Artt. 44 ff DSGVO für rechtswidrig erklärt (Az.: 1 VK 23/22). AWS fährt deshalb seit längerer Zeit eine Kampagne, in der die Datensicherheit seiner Clouddienste unterstrichen werden soll. Der europäische Sitz von AWS ist Luxemburg. Damit sind die EU-Bestimmungen zwar erfüllt. Datenschützer wie Mint Secure befürchten jedoch, dass das Amazon-Tochterunternehmen nach dem US Cloud Act verpflichtet sein könnte, seinen Datenspeicher auch dann freizugeben, wenn sich dieser in Europa befindet. Die Cyber-Sicherheitsfirma warnt: „Letztlich hätte man so biometrische Informationen von nahezu jeder Person in Deutschland.“