Passfotos in der Amazon-Cloud sind aus Datenschutzsicht problematisch

Datenschutzinteressen und gängige Praxis: Immer wieder kommt es hier zu Kollisionen. Das gilt sogar für Passfotos und deren Verarbeitung.

Papier-Passbilder sind Geschichte

Zum Mai dieses Jahres sind klassische Passbilder vom Fotografen oder aus dem Bahnhofsautomaten nicht mehr behördentauglich. Die Pflicht zum digitalen Foto soll die Abläufe in den Ämtern schneller und reibungsloser machen. Biometrische Daten in digitaler Form – dagegen werden viele nichts einzuwenden haben. Ohnehin werden professionell oder für den Privatgebrauch kaum noch Papierabzüge entwickelt. Diese hatten jedoch den „datenschutzrechtlichen“ Vorteil, nirgends außer in der heimischen Schreibtischschublade aufbewahrt, also „gespeichert“ zu werden.

Wieder mal eine Frage des Serverstandorts

Amtsstuben, in denen Pässe beantragt werden können, bieten inzwischen oft einen eigenen Fotoservice mit Geräten der Bundesdruckerei an. Nach wie vor bieten aber auch Fotostudios, Drogeriemärkte, Schreibwarengeschäfte und andere Dienstleister einen Passbildservice an. Dort landen die Bilddaten in einer Foto-Software und damit in den meisten Fällen auf einem Server, der die betreffenden Passfotos für die Ämter zum Download bereitstellt. Dabei kommen Verschlüsselungsverfahren zum Einsatz. Aus der Wahl der Server könnten sich allerdings Datenschutzprobleme ergeben. Wann immer die Daten nämlich auf Servern außerhalb der EU gespeichert werden, kollidiert dies mit der DSGVO.

Mint Secure ist ein junges Unternehmen aus Berlin, das sich mit Cybersicherheit beschäftigt. Hier wurde herausgefunden, dass verschiedene Passbild-Fotografen die Bilddaten an das Unternehmen Alfo Passbild / Ringfoto oder die dm-Drogeriemarktkette weiterleiten. Diese legen die Datensätze verschlüsselt in einer Cloud ab. Laut Mint Secure handelt es sich dabei um eine Cloud von Amazon Web Services (AWS). Dem widerspricht allerdings die sogenannte „Passdatenerfassungs- und Übermittlungsverordnung“ (PassDEÜV):

§ 1b Übermittlung des Lichtbilds unter Einbindung eines Cloudanbieters
(4) Die Verarbeitung der personenbezogenen Daten darf ausschließlich durch einen im Gebiet der Europäischen Union ansässigen Cloudanbieter und ausschließlich im Gebiet der Europäischen Union erfolgen.

Da hilft auch der aktuelle „US Cloud Act“ nicht weiter

Somit sind auch digitale Passfotos hinsichtlich der „Schrems-II-Problematik“ äußerst problematisch. So hat beispielsweise die Vergabekammer Baden-Württemberg 2022 die Nutzung US-amerikanischer Cloud-Anbieter mit Blick auf Art. 44 ff DSGVO für rechtswidrig erklärt (Az.: 1 VK 23/22). AWS fährt deshalb seit längerer Zeit eine Kampagne, in der die Datensicherheit seiner Clouddienste unterstrichen werden soll. Der europäische Sitz von AWS ist Luxemburg. Damit sind die EU-Bestimmungen zwar erfüllt. Jedoch argwöhnen beispielsweise die Datenschutzexperten bei Mint Secure, dass durch den US Cloud Act auch Amazon-Daten unter Umständen freigegeben werden müssen, wenn US-Behörden dies anordnen. So kommt Mint Secure zu folgender Einschätzung. „Letztlich hätte man so biometrische Informationen von nahezu jeder Person in Deutschland.“ Ein Zustand, der aus Datenschutzsicht absolut inakzeptabel ist.