ICAO 9303 vs. ISO/IEC 19794-5: Was Schweizer HR- und Compliance-Teams beim Mitarbeiterfoto wirklich brauchen

Kurz vorweg: ICAO 9303 ist der Standard für maschinenlesbare Reisedokumente. ISO/IEC 19794-5 ist der Standard für die biometrische Bildqualität, auf dem ICAO 9303 aufbaut. Für Schweizer Unternehmen, die Mitarbeiter- oder Ausweisfotos in grossem Stil erfassen, sind beide relevant – aber aus unterschiedlichen Gründen. Wer den Unterschied nicht versteht, kauft entweder zu viel Standard ein oder zu wenig Sicherheit.

Warum dieser Vergleich überhaupt wichtig ist

In Ausschreibungen für HR-Plattformen, Zutrittssysteme oder Behördenausweise tauchen die beiden Bezeichnungen oft im selben Satz auf – und werden dort fast immer austauschbar verwendet. Das ist sachlich falsch und führt in der Praxis zu zwei typischen Problemen:

Erstens entstehen Fotosammlungen, die zwar "ICAO-konform" heissen, aber die biometrischen Qualitätskriterien nicht durchgängig erfüllen. Zweitens werden Lösungen eingekauft, die auf maximale Reisedokumenten-Konformität ausgelegt sind, obwohl für den eigentlichen Use Case – etwa ein einheitliches Mitarbeiterportrait im Intranet – ein deutlich pragmatischerer ISO-Rahmen ausreichen würde.

Beides kostet. Im ersten Fall durch Re-Uploads, Beschwerden und manuelle Nacharbeit. Im zweiten Fall durch einen überdimensionierten Prozess, der Mitarbeitende abschreckt und die Adoption killt.

ICAO 9303 in einem Satz

ICAO 9303 ist die Spezifikation der International Civil Aviation Organization für maschinenlesbare Reisedokumente – also Reisepässe, Personalausweise im ID-1-Format und Visa. Sie definiert nicht nur das Bild, sondern den gesamten Aufbau des Dokuments: Datenfelder, Sicherheitsmerkmale, Chip-Struktur, maschinenlesbare Zone. Das Foto ist ein Element davon.‍

Für das Foto verweist ICAO 9303 weitgehend auf ISO/IEC 19794-5. Wer also "ICAO-konformes Foto" sagt, meint in der Praxis meistens: ein Foto, das den biometrischen Anforderungen aus ISO 19794-5 entspricht, eingebettet in den dokumentenrechtlichen Rahmen von ICAO 9303.

Mehr dazu lesen

ISO/IEC 19794-5 in einem Satz

ISO/IEC 19794-5 ist der internationale Standard für Gesichtsbild-Daten in biometrischen Systemen. Er beschreibt detailliert, wie ein biometrisches Portrait aussehen muss, damit es maschinell verarbeitet werden kann: Auflösung, Auflicht-Bedingungen, Kopfposition, Augenposition, Hintergrund, neutrale Mimik, Brillen-Reflexionen, Schatten, Sättigung.

Es ist der eigentliche technische Massstab – und der Teil, den Unternehmen in der Praxis prüfen können, weil er messbar ist.

Mehr dazu lesen

Was das für die Schweizer Praxis bedeutet

In der Schweiz gibt es drei Kunden-Typen die für diese Standards in Frage kommen – und alle drei haben unterschiedliche Bedürfnisse.

Behörden und regulierte Industrien (Strassenverkehrsämter, Konsulate, Bundesstellen, Banken im KYC-Kontext) brauchen ICAO 9303 als verbindlichen Rahmen. Hier ist der Standard nicht verhandelbar, weil die Dokumente international anerkannt sein müssen. Ein Strassenverkehrsamt, das Führerausweisfotos erfasst, kann den ICAO-Pfad nicht abkürzen.

HR- und interne Kommunikations-Teams in Konzernen brauchen meistens nicht den vollen ICAO-Rahmen. Was sie wirklich brauchen, ist die ISO-19794-5-Disziplin: einheitliche Bildqualität über tausende Mitarbeitende hinweg, damit Intranet-Profile, Active-Directory-Einträge, Outlook-Kontakte und Teams-Avatare nicht aussehen wie eine zufällige WhatsApp-Sammlung. Ein striktes ISO-Setting reicht – ohne den Zertifizierungs-Overhead von ICAO.

Compliance- und IT-Security-Verantwortliche haben einen dritten Blickwinkel: Sie wollen wissen, ob die Plattform den Standard nachweisbar erfüllt und ob die Daten den richtigen Rechtsraum nie verlassen. Hier wird die technische Konformität zur Datenschutz-Frage – und damit zu einer Frage des Hosting-Standorts.

Der typische Denkfehler in Ausschreibungen

Viele Lastenhefte fordern pauschal "ICAO-konforme Fotoerfassung" – auch dort, wo es nur um interne Mitarbeiterportraits geht. Das klingt seriös, treibt aber den Prozess unnötig auf. Die zwei häufigsten Folgen:

Mitarbeitende werden mit Anforderungen konfrontiert, die für einen Reisepass-Antrag gelten – neutraler Hintergrund mit definierter Helligkeit, keine Brille mit Reflexionen, exakte Kopfposition. Die Re-Upload-Quote schiesst hoch, die Adoption sinkt, HR kompensiert manuell.

Oder umgekehrt: Es wird "ICAO" geschrieben, aber technisch nur ein loser ISO-Check durchgeführt. Das Ergebnis ist ein Foto-Pool, der weder international anerkannt noch intern konsistent ist – und der bei einer echten ICAO-Anwendung später aufwendig nachbearbeitet werden muss.

Der saubere Weg: vor der Ausschreibung klären, ob der Use Case ICAO 9303 als Rahmen wirklich braucht – oder ob ISO/IEC 19794-5 als technischer Massstab die ehrlichere Anforderung ist.

Wo Datenschutz dazu kommt

Sobald Gesichtsbilder ins Spiel kommen, sind sie biometrische Daten im Sinne des revidierten Schweizer Datenschutzgesetzes (revDSG) und der DSGVO. Das hat zwei praktische Konsequenzen:

Erstens muss die Verarbeitung dokumentiert, zweckgebunden und – bei systematischer Erfassung – mit einem Datenschutz-Folgenabschätzungs-Prozess unterlegt sein. Zweitens spielt der Verarbeitungs- und Speicherort eine Rolle. Eine US-gehostete Plattform unterliegt dem US CLOUD Act, was bei biometrischen Mitarbeiterdaten in regulierten Branchen zu Recht Fragen aufwirft. Bei Photo Collect werden übrigens alle Fotos zu 100% in der Schweiz verarbeitet.

Für Compliance-Verantwortliche heisst das: Der Standard auf dem Bild (ICAO/ISO) und die Datenresidenz der Plattform sind zwei getrennte Prüfpunkte, die beide bestehen müssen.

Worauf Sie bei der Plattform-Auswahl achten sollten

Egal ob ICAO- oder ISO-Anforderung im Vordergrund steht – die Plattform muss vier Dinge sauber abdecken:

1. Eine automatisierte Validierung gegen den jeweiligen Standard, nicht nur eine Sichtprüfung. Schärfe, Beleuchtung, Kopfhaltung, Hintergrund, Brillen-Reflexionen sollten algorithmisch geprüft werden, bevor das Foto in der Qualitätskontrolle landet.
2. Eine niedrige Eintrittshürde für Mitarbeitende. Ein personalisierter Link auf das eigene Smartphone (BYOD) ohne App-Installation ist heute der Standard, an dem sich alles messen lassen muss. Alles andere kostet Adoption.
3. Eine klare Datenresidenz. Wo wird verarbeitet, wo wird gespeichert, wer kann darauf zugreifen – inklusive Cloud-Anbieter-Rechtsräume. Für Schweizer Compliance-Use-Cases ist Schweizer Hosting in einem ISO-27001-zertifizierten Rechenzentrum der Mindestanspruch.
4. Ein sauberer Export in die Zielsysteme: Kartendrucker, Zutrittssoftware, HR-Plattform, Active Directory. Wenn am Ende manuell exportiert werden muss, ist der ganze Effizienzgewinn dahin.

Fazit

PhotoCollect ist die Schweizer SaaS-Plattform für die automatisierte, ICAO- und ISO-konforme Erfassung von Personenfotos – mit Schweizer Hosting, dedizierten Instanzen pro Kunde und über vier Millionen verarbeiteten Fotos. Im Einsatz unter anderem bei BMW Group, Migros, Strassenverkehrsamt Kanton Bern und Universitätsspital Basel. Jetzt selbst testen.