Um Abläufe in Behörden zu beschleunigen, werden seit dem 1. Mai auf deutschen Ämtern keine Passbilder in Papierform mehr akzeptiert. Mit dem Inkrafttreten einer gesetzlichen Neuerung müssen die biometrischen Aufnahmen digital vorliegen.
Dazu gibt es zwei Wege. Zum einen können die e-Passfotos direkt in den Ämtern aufgenommen werden, wobei spezielle Geräte der Bundesdruckerei zum Einsatz kommen. Zum anderen können die Passbilder von Fotografen erstellt werden, die diese anschließend mithilfe einer speziellen Software auf einen Server übertragen. Die Behörden können die Bilder dann bei Bedarf abrufen. Die Entschlüsselung erfolgt vor Ort gemeinsam mit dem jeweiligen Antragsteller.
e-Passfotos wandern in die Cloud von AWS
Die e-Passfotos werden von den einzelnen Fotografen an Alfo Passbild, das zur Ringfoto GmbH gehört, oder zur Drogeriekette dm geleitet. Anschließend werden die Bilder verschlüsselt in einer Cloud abgelegt. Diese gehört jedoch nicht den Dienstleistern selbst.
Sicherheitsexperten des Unternehmens Mint Secure haben in einem Selbstversuch aufgezeigt, dass ihre Bilder in eine Cloud der Amazon Web Services (AWS) übertragen wurden. Sie verweisen darauf, dass der Gesetzgeber Cloud-Dienste zwar erlaubt. Dieser fordert jedoch, dass sowohl der Speicherort als auch der Sitz des Unternehmens innerhalb der EU liegen müssen.
Welche Gesetze gelten für Amazon?
Diese Vorgabe sieht dm offenbar mit der Europa-Zentrale von AWS in Luxemburg als erfüllt an. Schließlich gelte für diese die in der EU gültige DSGVO. Gegenüber netzpolitik.org erklärte die Drogeriekette zudem, dass letztlich nur AWS die Anforderungen an Sicherheit und Verfügbarkeit erfüllen konnte, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gestellt wurden. Allerdings wurde die Zertifizierung noch nicht abgeschlossen.
Das Speichern personenbezogener Daten auf Servern US-amerikanischer Anbieter gilt mit Blick auf deren Sicherheit als heikel. US-amerikanische Geheimdienste können im Rahmen des seit 2018 geltenden CLOUD Act auch auf Daten von Anbietern mit Sitz in den USA zugreifen, wenn diese außerhalb der Vereinigten Staaten verwaltet werden.