EU‑weite Altersverifikation – Schutz der Kinder oder Schritt zur digitalen Überwachung?

Die Zeit der simplen Frage "Bist du über 18?" im Internet neigt sich dem Ende zu. Großbritannien setzt seit Juli 2025 mit dem Online Safety Act eine verpflichtende Altersverifikation durch, mehrere US-Bundesstaaten folgen diesem Beispiel und die EU entwickelt eine eigene technische Lösung. Was als Schutzmaßnahme für Kinder beginnt, entwickelt sich zu einem regulatorischen System mit weitreichenden Folgen für Datenschutz und digitale Grundrechte.

Die Europäische Kommission veröffentlichte im Juli 2025 ihr Age Verification Blueprint – einen offenen Referenzentwurf für eine Altersverifikations-App. Nutzer sollen einmalig ihr Alter mithilfe eines elektronischen Ausweises, Bank-KYC-Verfahrens oder Reisepasses nachweisen und anschließend anonym bestätigen können, dass sie volljährig sind. Die Anwendung basiert technisch auf der geplanten europäischen Digital Identity Wallet und nutzt kryptografische Zero-Knowledge-Proofs, mit denen Nutzer nachweisen können, dass sie über 18 sind, ohne ihr Geburtsdatum preiszugeben.

Fünf Länder testen das System bereits: Dänemark, Griechenland, Spanien, Frankreich und Italien erproben App-Funktionen, Ausstellerservices und Schnittstellen zu nationalen Identitätsquellen. Für 2025 sind erste Produkttests vorgesehen, 2026 soll die Lösung in die EU-Digital-Identity-Wallet integriert werden. Der aktuelle Prototyp ist jedoch noch unvollständig – eine iOS-Version fehlt, andere zugesagte Optionen wie Dokumentenscan oder Bank-KYC sind nicht implementiert.

Rechtlich stützt sich das Vorhaben auf den Digital Services Act (DSA), der große Plattformen zu "geeigneten und verhältnismäßigen" Maßnahmen zum Schutz Minderjähriger verpflichtet. Die Kommissionsleitlinien empfehlen risikobasierte Altersverifikationsmethoden, die zuverlässig, robust und datensparsam sein sollen. Verstöße können Geldbußen von bis zu sechs Prozent des weltweiten Jahresumsatzes nach sich ziehen.

Die politische Debatte spaltet das Europäische Parlament entlang bekannter Linien. Berichterstatterin Christel Schaldemose von den Sozialdemokraten fordert einheitliche Alterskontrollen für Webseiten, Appstores und Betriebssysteme. Konservative Abgeordnete verlangen verbindliche Altersprüfungen und Identitätsnachweise, während Liberale das Vorhaben grundsätzlich unterstützen. Die Grünen und die Linke lehnen verpflichtende Alterschecks ab.

Bürgerrechtsorganisationen wie European Digital Rights (EDRi) warnen, dass Altersverifikation von strukturellen Problemen großer Plattformen ablenke. Die Kinderschutzorganisation ECPAT betont, technische Alterskontrollen allein garantierten keine Sicherheit. Das Munich Eye zählte Hunderte Änderungsanträge im Parlament und verwies auf wissenschaftliche Zweifel an der Wirksamkeit von Alterskontrollen.

Die Umsetzung zuverlässiger und gleichzeitig datensparsamer Altersverifikation erweist sich als komplex. Drei Hauptansätze dominieren die Diskussion: Biometrische Altersschätzung wertet Gesichts- oder Sprachmerkmale aus. Anbieter wie Yoti und Veriff versprechen hohe Genauigkeit ohne dauerhafte Speicherung der Bilder, doch ethische Risiken bleiben bestehen – Verzerrungen nach Geschlecht und Ethnie sind dokumentiert und biometrische Daten gelten als hochsensibel.

Kryptografische Altersnachweise mittels Zero-Knowledge-Proofs gelten als datenschutzfreundlicher. Nutzer erhalten von vertrauenswürdigen Stellen ein Token, das nur bestätigt, dass sie über einem Alterslimit liegen. Die Ausstellung erfordert jedoch eine Identitätsprüfung und logische Zwänge führen zu Protokollierung und höherem Verwaltungsaufwand.

Geräte- und Verhaltenssignale nutzen Parental-Control-Einstellungen, Kontoverlauf oder Verknüpfungsdaten zur Altersschätzung. Diese Methode hat geringe Nutzungsbarrieren, ist aber ungenau und diskriminierend – zudem gefährdet sie die Anonymität der Nutzer.

Die EU hat bewusst keine spezifische Methode vorgeschrieben und bevorzugt Flexibilität, da Dienste, Geräte und Szenarien heterogen sind. Unklar bleibt jedoch, wo die Altersverifikation angesiedelt werden soll: auf Plattformebene, im Betriebssystem oder im Browser. Eine App-basierte Lösung wie das EU-Pilotprojekt verschiebt die Verantwortung auf die Nutzer und setzt universelle Gerätekompatibilität voraus.

Datenschutzorganisationen sehen in der Altersverifikation einen Weg zur umfassenden Identifizierung aller Internetnutzer. Privacy Guides warnt, dass Regulierung Plattformen zwinge, alle Personen zu identifizieren, sobald Inhalte betroffen sind, die Minderjährige nicht sehen dürfen – dies bedrohe die Pseudonymität im Internet. Verifizierungsverfahren basieren auf Gesichts- oder Stimm-Scans oder erfordern das Hochladen amtlicher Dokumente – beide Methoden sammeln hochsensible Daten.

Biometrische und ID-Daten können nicht wie Passwörter geändert werden. Das britische IT-Sicherheitsunternehmen Aardwolf Security betont, dass das UK-System zentrale Datenbanken mit biometrischen Merkmalen schaffe, die attraktive Ziele für Hacker darstellten und katastrophale Folgen haben könnten. Frühere Datenlecks bei Drittanbietern zeigen, dass Tausende Ausweisdokumente und biometrische Templates kompromittiert wurden.

Die technische Umsetzung ist zudem angreifbar. In Großbritannien stieg die VPN-Nutzung nach Inkrafttreten des Online Safety Act um 1.400 Prozent, weil Nutzer mit ausländischen VPN-Servern die Verifikation umgehen. Bypass-Methoden wie manipulierte Selfies oder ausgetauschte Tokens unterlaufen biometrische Verfahren. Kostenpflichtige Identitätsprüfungen schaffen finanzielle Hürden und benachteiligen Menschen ohne Ausweis.

Sicherheitsforscher warnen vor "Mission Creep" – der schleichenden Ausweitung der Überwachung. Zero-Knowledge-Verfahren schützen nicht vor staatlicher Überprüfung: Gesetzliche Vorgaben verlangen Audit-Logs, die Namen, Adressen und Nachweisarten enthalten. Die Vielfalt akzeptierter Ausweise erhöht Betrugsrisiken und hohe Kosten könnten den Zugang zu legalen Inhalten einschränken. Wird ein Alters-Token geteilt, steigt der Druck, Tokens an Geräte oder Identitäten zu koppeln – dies eröffnet gefährliche Möglichkeiten für die Überwachung weiterer Lebensbereiche.

Großbritannien ging am weitesten: Der Online Safety Act (OSA) trat am 25. Juli 2025 vollständig in Kraft und verlangt von Pornoseiten, Streamingdiensten, Social-Media-Plattformen und sogar Audiodiensten wie Spotify eine Altersverifikation. Für Verstöße drohen Strafen bis zu zehn Prozent des weltweiten Umsatzes. Nutzer müssen Pass- oder Selfie-Überprüfungen, Kreditkartendaten oder Banknachweise hochladen. Die freie Enzyklopädie Wikipedia klagt gegen eine mögliche Einstufung als "Kategorie-1-Dienst", die eine anonyme Mitarbeit gefährden würde.

In den USA haben mehrere Bundesstaaten Gesetze zur Altersverifikation für Erwachsenen-Webseiten verabschiedet. Der Supreme Court erklärte 2025, Erwachsene hätten kein First-Amendment-Recht, Altersverifikationen zu umgehen. Gleichzeitig werden Gesetze, die soziale Medien für Jugendliche generell verbieten wollen, von Gerichten gestoppt. Australien testet Gesichts- und ID-Scans bei Discord und plant, Suchmaschinen zu "altersbeschränken".

Innerhalb der EU sind einige Mitgliedstaaten bereits vorgeprescht: Frankreich erließ 2023 ein Gesetz, das pornografische Webseiten zu Alterskontrollen verpflichtet. Die Datenschutzbehörde CNIL drängt auf datenschutzfreundliche Technologien und hat Zero-Knowledge-Nachweise getestet. Der französische Staatsrat bestätigte im Juli 2025 eine Verordnung, wonach pornografische Dienste Altersprüfungen implementieren müssen. Italien zählt bereits über fünf Millionen aktivierte digitale Wallets, während Deutschland erst 35 Prozent der Bevölkerung mit eID-Funktion versorgt hat.

Die EU nutzt das Argument des Kinderschutzes auch, um die Unabhängigkeit von US-Anbietern voranzutreiben. Kommissionspräsidentin Ursula von der Leyen verkündete im September 2025 den "Unabhängigkeitsmoment" und sieht die EU in der Pflicht, eigene Standards zu setzen. Der Aufbau eines "Euro Stack" – einer offenen, europäischen Technologie-Schicht – soll Innovation, Datenschutz und Wettbewerbsfähigkeit fördern.

Der EU-Prototyp basiert jedoch auf Googles Play Integrity API, was alternative Android-Systeme wie GrapheneOS oder F-Droid ausschließt und die EU in Abhängigkeit von US-Technologie zwingt. Dies widerspricht dem Ziel der digitalen Souveränität. Alternativen wie das niederländische Yivi-System, das ohne Google-Abhängigkeit arbeitet, wurden aus dem EU-Vergabeverfahren ausgeschlossen.

Gleichzeitig entstehen neue Abhängigkeiten: Die Vergabe an Konzerne wie T-Systems schließt kleinere Datenschutz-Innovatoren aus und verstärkt den Trend zu wenigen marktbeherrschenden Dienstleistern. Forscher des Carnegie-Instituts warnen, dass Technologiesouveränität ohne "Tech Citizenship" – also die Einbindung der Bürger und den Schutz demokratischer Praktiken – autoritäre Tendenzen verstärken kann.

Im Vereinigten Königreich besteht kein verbindlicher Datenschutzstandard für Altersverifikation. Die Open Rights Group kritisiert, dass der Online Safety Act den Plattformen die Wahl der Sicherheitsmaßnahmen überlasse und dadurch kommerzielle Interessen im Vordergrund stündhen – etwa günstige Anbieter, die Daten monetarisieren. Die Gruppe fordert eine verpflichtende Datenschutzzertifizierung und klare Regeln, um Wildwuchs und Betrug zu verhindern.

US-basierte Dienstleister seien problematisch, weil sie US-Überwachungsgesetzen unterlägen. Die Electronic Frontier Foundation und andere Bürgerrechtsgruppen weisen darauf hin, dass Zero-Knowledge-Proofs zwar Daten minimierten, aber keinen Missbrauch durch die Verifizierer verhinderten.

Die Diskussion um Altersverifikation offenbart ein grundlegendes Spannungsfeld zwischen Kinderschutz und digitalen Grundrechten. Während das Ziel, Minderjährige vor schädlichen Inhalten zu schützen, berechtigt ist, führt die technische Umsetzung zu systembedingten Risiken für Datenschutz, Anonymität und freie Meinungsäußerung.

Experten schlagen vor, Altersverifikation auf Bereiche mit klaren gesetzlichen Altersgrenzen wie Pornografie und Glücksspiel zu beschränken. Plattformen könnten sicherere Modi für Kinder anbieten, ohne alle Nutzer identifizieren zu müssen. Informationskompetenz, Jugendschutzprogramme und Medienbildung seien ebenso wichtige Säulen des Kinderschutzes.

Die EU-Blaupause zeigt trotz ihrer Schwächen einen Weg zu offenen, standardisierten Systemen: Quellcode und Spezifikationen sind öffentlich und sollen Interoperabilität gewährleisten. Gleichzeitig müssen Abhängigkeiten von proprietären Plattformen beendet und kleinere Innovatoren einbezogen werden.

Parlamentarische Debatten und zivilgesellschaftliche Expertise von Organisationen wie EDRi, EFF und nationalen Datenschutzbehörden müssen stärker einbezogen werden. Der Aufbau einer europäischen Technologie-Infrastruktur darf nicht zur Legitimation von Überwachung führen. Eine verantwortungsvolle Strategie muss sicherstellen, dass Bürger die Kontrolle über ihre Daten behalten und neue Technologien demokratische Teilhabe stärken statt einschränken.

Die Entwicklung zeigt: Kinderschutz und digitale Grundrechte müssen nicht als Gegensätze begriffen werden. Doch der Weg zu einem ausgewogenen System erfordert transparente Debatten, technische Innovation und demokratische Kontrolle – nicht nur regulatorischen Aktionismus und technologischen Souveränitätsanspruch.

Bild: Freepik.com