Online-AlterskontrollenBanken oder Krankenversicherungen sollen Alter bestätigen

Das Bundesfamilienministerium will mit einem Konzept für eine „datensparsame Altersverifikation“ in den Debatten um den Jugendschutz punkten und hat dazu ein System beauftragt. Fachleute kritisieren die Pläne als kurzsichtig und technisch nicht machbar.

In einer Türspalte ist ein verpixelter nackter Körper
Wenn die Bank das Okay für die Volljährigkeit gibt, öffnet sich die Tür zur Welt der Erwachseneninhalte. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Tür: Jan Tinneberg | Körper: Janosch Lino | Bearbeitung: netzpolitik.org

Stellen wir uns vor, Hamoudi, 13, will durch TikTok scrollen. Er öffnet die App auf seinem Handy, doch statt der bunten Clips in seinem For-You-Feed sieht er eine Aufforderung. Er soll sein Alter nachweisen und bekommt deshalb eine zufällige Zahl zugeteilt. Über den Browser wird er weitergeleitet an eine „zur Altersverifizierung berechtigte Stelle“ seiner Wahl. Das könnte etwa seine Bank sein, nur hat Hamoudi gar kein Konto. Auch das Einwohnermeldeamt kommt in Frage, seine Kinderärztin oder die Schule.

Wen auch immer er auswählt: Nachdem ihm diese Stelle digital bestätigt hat, dass er in der Altersgruppe 13 bis 16 ist, leitet er diese Information an ByteDance weiter, das Unternehmen hinter TikTok. Dann kann er endlich weiter durch seinen Feed scrollen.

TikTok kann jetzt sicherstellen, dass er eine kindgerechte Version der App bekommt. Sein Feed soll keine Gewalt oder andere für ihn verstörende Inhalte mehr anzeigen. Und Chatnachrichten von Erwachsenen kann er auch nicht bekommen.

Was das Familienministerium plant

So in etwa stellt sich das Familienministerium laut einem aktuellen Konzept eine neue und „datensparsame“ Form der Alterskontrolle vor. Bereits im Februar hatte Bundesfamilienministerin Lisa Paus (Grüne) das Projekt angekündigt, im Familienausschuss des Bundestags stellte das Ministerium Mitte Mai weitere Details vor. Welche Vorstellungen das Ministerium im Detail für dieses System hat, geht aus der Ausschreibung für das System hervor, die wir hier im Volltext veröffentlichen. Sie war bisher nicht öffentlich, bekommen haben sie nur einige wenige, die Angebote dafür abgeben sollten.

Das Ziel des Systems: Menschen aller Altersklassen sollen in Zukunft im Netz ihr Alter nachweisen können. Und das, ohne dafür einen Account eröffnen zu müssen oder einem Unternehmen ihr Geburtsdatum zu nennen. Das soll über einen sogenannten Zero-Knowledge-Proof passieren: Wer über eine Seite oder App bestimmte „risikobehaftete“ Inhalte anschauen will, bekommt vom Anbieter eine Zufallszahl mit seiner Alterskohorte. Da könnte dann drinstehen, „9 bis 13 Jahre“ oder auch „über 18“.

Mit dieser Zahl wendet sich die Person an eine „unabhängige Drittstelle“, die bereits das Geburtsdatum kennt und überprüfen kann, ob die Alterszuordnung stimmt. Die Person muss gegenüber dieser Stelle ihre Identität nachweisen, etwa „durch Bankkonto-Login, Krankenversicherungsnummer oder einen im Rahmen der Umsetzung des Onlinezugangsgesetzes (OZG) zu verwendenden Identitätsnachweis“. Danach versieht die Stelle die Zufallszahl mit einer digitalen Bestätigung.

Mit dieser Altersbestätigung kann die Person dann wieder zurück zu TikTok, Instagram oder auch zu Pornoseiten wie XHamster und Pornhub. Die wissen dann zum Beispiel: Ja, die Person ist volljährig. Ob sie gerade 18 geworden ist oder bereits Seniorin, erfahren sie nicht. Der Vorgang ist abgeschlossen und der Anbieter darf „den für die jeweilige Alterskohorte vorgesehenen Funktionsumfang bereitstellen“. Das heißt: Volljährige dürfen Pornos oder Splatterfilme schauen, Minderjährige müssen besonders geschützt werden.

Ein Schaubild zeigt 1. ein Kind, 2. Logos von Apps, 3. ein stilisiertes Gebäude mit Schloss und ein weiteres Gebäude mit Infozeichen. Dazwischen Pfeile mit dem Hinweis, wer was wohin übermittelt. Titel: Vergabe und Altersverifikation mit ID.
Ein Schaubild aus dem internen Workshop: So stellt sich das Familienministerium die Alterskontrolle in Zukunft vor, etwa für den Besuch einer Pornoseite.

„Demonstrator“ soll zeigen, dass es funktionieren kann

Um diese Idee zu entwickeln, hat das Ministerium im vergangenen Jahr zwei Workshops abgehalten: im April und im Juli. Mit dabei waren Fachleute für Medienrecht, Vertreter des Bundesinnenministeriums, aber auch der Kinderschutzbund, jugendschutz.net und die Stiftung Digitale Chancen. Das Logo der Stiftung ist auch auf den Unterlagen zu diesen Workshops abgebildet.

im Frühjahr hat das Ministerium dann den Auftrag für eine Ausarbeitung des Projektes vergeben. Den Zuschlag erhielt das Fraunhofer-Institut für Sichere Informationstechnologie SIT, das bereits in den Workshops dabei saß. Für 55.000 Euro soll es bis zum Herbst ein konkretes technisches Konzept vorlegen, wie sich die Wünsche der Ministeriums in die Tat umsetzen ließen.

Und es geht um noch mehr: „Nach der technischen Ausarbeitung ist es für das weitere Vorgehen wichtig, dass gezeigt wird, dass das bisher grob beschriebene und dann im ersten Schritt ausgearbeitete System auch tatsächlich funktionieren kann“, heißt es in der Leistungsbeschreibung weiter. Dazu soll das Fraunhofer SIT einen „Demonstrator“ entwickeln, mit dem man „nach außen – auch auf EU-Ebene – treten“ könne. „Es sollte danach klar sein, ob und wie das System für eine Vielzahl von Nutzer/Nutzerinnen verwendet und in Abläufe der Nutzung digitaler Dienste integriert werden kann.“

Ein Kritikpunkt ausgeräumt, viele bleiben

Auf den ersten Blick klingt die Idee plausibel. Hamoudi müsste ByteDance sein Geburtsdatum nicht nennen, keine Ausweispapiere hochladen, auch nicht sein Gesicht von einem Drittanbieter scannen lassen, der daraufhin sein Alter einschätzt. So überprüft derzeit etwa Instagram das Alter seiner Nutzer:innen. Stattdessen würde eine „neutrale Drittinstanz“, die sein Alter ohnehin kennt, bestätigen, dass er in der Altersgruppe der 13- bis 16-Jährigen ist.

Fachleute lehnen die Idee trotzdem vehement ab und weisen auf die vielen Fehler hin. „Das Ministerium versucht, in seiner Ausschreibung einen einzelnen Kritikpunkt an Altersverifikationssystemen auszuräumen“, sagt Felix Reda, Vorstand der Open Knowledge Foundation Deutschland, „nämlich dass Nutzende den Plattformen sensible Daten über sich preisgeben müssten, um ihr Alter zu verifizieren.“ Dadurch werde eine pseudonyme oder anonyme Nutzung von Seiten und Apps unmöglich, so die Kritik. Dieser eine Punkt ließe sich mit dem Konzept des Ministeriums entkräften, sagt Reda. Viele weitere erhebliche Risiken für Grundrechte würden aber bleiben.

Da ist etwa das Problem, dass das Alter nicht nur einmal überprüft werden muss, bei der Anmeldung etwa, sondern kontinuierlich. Das geht auch aus der Ausschreibung hervor. Dort steht, dass das System bei „Eröffnung eines Accounts oder Nutzung eines Dienstes“ zum Einsatz kommen soll. Denn das Vorhaben aus dem Ministerium, erklärt Reda, knüpft an ein anderes viel größeres politisches Projekt an: den Verordnungsvorschlag der EU-Kommission zur „Bekämpfung sexuellen Missbrauchs“, besser bekannt unter dem Stichwort „Chatkontrolle“.

Dieser Vorschlag aus Brüssel sieht vor, dass Dienste feststellen können müssen, welche ihrer Nutzer:innen aktuell minderjährig sind, um diese vor Kontaktaufnahmen durch Erwachsene zu schützen. Anders als bei einer einfachen Altersschranke, bei der Minderjährigen die Erstellung eines Accounts verweigert wird, müsste das Alter dafür aber kontinuierlich verifiziert werden. Denn Minderjährige werden irgendwann erwachsen und müssen dann laut Verordnungsvorschlag nicht mehr als potenzielle Opfer von Grooming behandelt werden. Grooming bezeichnet die Kontaktaufnahme zu Kindern aus sexuellen Motiven.

„Jeder einzelne übertragene Datenpunkt mag also anonym sein“, sagt Reda, „aber wenn eine Person einen Dienst regelmäßig nutzt, erfährt die Plattform deren genaues Alter trotzdem, wenn diese Person im Laufe ihrer Nutzung das 18. Lebensjahr erreicht.“

Deutschland stimmt gegen Chatkontrolle

Dass die geplante Chatkontrolle Aufhänger für den Vorschlag des Ministeriums ist, geht auch aus der Ausschreibung und internen Workshop-Dokumenten hervor. Doch gerade stagnieren die Pläne aus Brüssel. Nach jahrelangen Verhandlungen fand sich Ende Juni keine Mehrheit unter den EU-Staaten für den Vorschlag, auf der Suche nach inkriminierenden Bildern und Nachrichten die private Kommunikation von Millionen von Nutzer:innen zu durchleuchten.

Fast ein Jahr hatte die Bundesregierung über die deutsche Position zur Chatkontrolle gestritten. Die FDP-Ministerien waren strikt gegen die anlasslosen Durchsuchungen, das Bundesinnenministerium dafür. Schließlich einigte sich die Bundesregierung auf eine gemeinsame Position: kein Scannen von Nachrichten, dafür aber Alterskontrollen.

Das steht auch in den Ausschreibungsunterlagen für die „datensparsame Altersverifikation“: „In der deutschen Stellungnahme zum Entwurf der CSA-R wird u. a. betont, dass bestehende Verschlüsselungssysteme von Kommunikationsinhalten Bestand haben sollen und dass sich die Bundesregierung aktiv in die Entwicklung eines europaweit einsetzbaren Altersverifikationssystems einbringen wird. Altersverifikation wird im Kontext der CSA-R als eine Maßnahme zur Risikominderung erachtet. Sie soll daher dort zur Anwendung kommen, wo dies effektiv zur Minderung eines Risikos beitragen kann.“

Kontrolle müsste weltweit funktionieren

Der Aufhänger Chatkontrolle führt zu einer neuen Situation, laut Reda bringt gerade die Probleme mit sich. Die heute im Einsatz befindlichen Altersschranken dienten vor allem dazu, Kinder von Inhalten für Erwachsene fernzuhalten, etwa auf Pornoplattformen. Sie sollen sicherstellen, dass eine Person volljährig ist. Um vor Grooming zu schützen, muss man hingegen feststellen, dass es sich bei einer Person um ein Kind handelt.

Das vom Familienministerium ausgeschriebene Produkt, die Alterskontolle per Browser-Extension, müsse also beides können, erklärt Reda: einerseits sicherstellen, dass nur Erwachsene bestimmte Plattformen nutzen können, andererseits, dass nur Minderjährige bestimmte Funktionen von Plattformen nutzen dürfen.

Spätestens hier scheitere das Projekt aber an der internationalen Implementierbarkeit. Um zu verhindern, dass Minderjährige in der EU eine Altersschranke mit wenigen Klicks umgehen können, müsse das System überall funktionieren. Alle Länder, in denen man einen bestimmten Dienst nutzen kann, müssten es einsetzen. Das bedeutet auch: in all diesen Ländern müsste es „zur Altersverifizierung berechtigte Stellen“ geben, die Nutzer:innen eine Bestätigung ausstellen.

Keine Krankenversicherung, kein Zugang

Reda hält das für unrealistisch: „Weder Banken noch Krankenversicherungen sind international so vernetzt, dass eine flächendeckende Verfügbarkeit des Verifikationsmechanismus wahrscheinlich wäre.“ Das gelte auch für andere Stellen wie Kinderärzt:innen und Schulen, die das Familienministerium bei der Vorstellung des Konzepts zur Sprache gebracht hat.

Wenn das aber nicht der Fall ist, könnte etwa Hamoudi, 13, aus Deutschland mit Hilfe eines VPN-Dienstes so tun als wohnte er in Wirklichkeit in den USA – und so etwa auf YouTube weiter Videos für Erwachsene schauen, ohne sein Alter nachweisen zu müssen. Würde er auf Stripchat Menschen beim Entkleiden zuschauen wollen, könnte er das ebenso leicht tun. Das kann man derzeit in Texas und weiteren US-Bundesstaaten beobachten, wo neue Gesetze eine Alterskontrolle für Pornoplattformen vorschreiben – und Betroffene dies per VPN umgehen.

Hinzu käme das Problem, sagt Reda, dass bei weitem nicht alle Personen ein Bankkonto oder eine Krankenversicherung haben. „Auch wenn man sich bei der Auswahl der zur Altersverifikation berechtigten Stellen große Mühe gibt und das System für diese Stellen so weit automatisiert, dass sie in der Lage sind, unzählige Verifikationsanfragen ohne personellen Mehraufwand sofort zu bearbeiten, drohen wie so oft Personen, die ohnehin marginalisiert sind, ausgeschlossen zu werden“, sagt Reda. Geflüchtete beispielsweise haben oft keine Ausweispapiere, kein Konto und meiden Interaktionen mit dem Gesundheitssystem, weil sie Angst vor einer Abschiebung haben.

Anforderungen „technisch nicht umsetzbar“

„Das Konzept wirkt wenig durchdacht“, sagt auch Lilith Wittmann. Als Sicherheitsexpertin befasst sich Wittmann mit den Schwachstellen der deutschen Verwaltung. Im Konzept des Ministerium erkennt sie gleich mehrere solche Schwachstellen. Ein Problem sei vor allem, dass das System über ein Browser-Plugin funktionieren soll.

„Anscheinend leben die Menschen im Ministerium noch in einer Welt ohne Smartphones“, sagt Wittmann. Gerade junge Menschen nutzten eher Apps als Webseiten. Für sie sei das System, wie das Ministerium es beauftragt, wenig nutzerfreundlich. Gleichzeitig eröffne die Lösung über das Browser-Plugin gute Möglichkeiten, das System auszutricksen.

Denn damit sich Menschen nicht jedes Mal beim Besuch einer Ü-18-Webseite ausweisen müssen, müsste die Information zur Alterskohorte in diesem Plugin hinterlegt sein, erklärt Wittmann, oder auf anderen Wegen auf dem Gerät der Nutzerin gespeichert bleiben. „Alles andere käme einer Registrierungspflicht gleich.“ Das hieße, dass Nutzer:innen sich etwa auf Plattformen wie Pornhub anmelden müssten, die man derzeit auch ohne Account nutzen kann – was das Familienministerium erklärtermaßen vermeiden will. Die Ampelregierung hatte das bereits in ihrem Koalitionsvertrag ausgeschlossen.

Wenn die Information allerdings im Plugin hinterlegt ist, könne man auch ein Plug-in anbieten, dass für alle Nutzer:innen ein Alter ihrer Wahl nachweist – eine Art digitalen Dietrich, um die Tür aufzuschließen. „Meine Antwort darauf wäre, dass ich dann auch ein Browser-Plugin anbiete“, sagt Wittmann.

„Wie das Altersverifikationssystem eine Weitergabe von Zugängen ausschließen soll, erschließt sich mir aus der Ausschreibung noch nicht“, kritisiert sie. Allgemein wirkten die Anforderungen des Ministeriums technisch nicht umsetzbar.

Wir haben dem Familienministerium alle genannten Kritikpunkte vorab geschickt und gefragt, was es diesen entgegnet. Eine Antwort steht bisher aus.

Wie Alterskontrollen das Internet umkrempeln sollen

In guter Gesellschaft

Das Ministerium ist mit seinem Vorhaben in guter Gesellschaft. Zahlreiche Regierungen bringen derzeit Gesetze in Stellung, die Alterskontrollen zu etablieren, darunter die EU, aber auch die USA mit dem Kids Online Safety Act oder Großbritannien mit dem Online Safety Bill.

In Deutschland versuchte vor allem die Medienaufsicht, in den vergangenen Jahren zunehmend offensiv Alterskontrollen für Pornoseiten durchzusetzen, wie es deutsche Gesetze zum Jugendmedienschutz eigentlich vorschreiben. Diese widersetzen sich aber derzeit erfolgreich. Zu den von der deutschen Medienaufsicht empfohlenen Methoden gehören etwa Ausweiskontrollen und Gesichtserkennung – Methoden, die das Familienministerium mit seinem Konzept gerne ablösen würde.

Deutsche Position zur „Task Force“ der EU

Wie es mit dem Konzept weitergehen soll, wenn das ausgearbeitete Produkt im Herbst vorliegt? Im Ministerium will man sich noch nicht festlegen. „Das Konzept und der Demonstrator dienen zunächst internen und ergebnisoffenen Entscheidungsprozessen“, sagt eine Sprecherin. Geplant ist, „die datensparsame Methode zur Altersverifikation auch auf europäischer Ebene einzubringen“. In welcher Form, werde noch geprüft.

Die EU-Kommission hat Anfang des Jahres eine „Task Force Altersverifikation“ gegründet, ausgehend von einem weiteren EU-Gesetz, das Anbieter zur Altersprüfung bewegen könnte: der Digital Services Act (DSA). Im Gegensatz zum Vorschlag zur Chatkontrolle ist dieses Gesetz verabschiedet, jetzt soll es darum gehen, wie Mitgliedstaaten die Vorgaben umsetzen. „Ziel ist es, die Zusammenarbeit mit den nationalen Behörden der Mitgliedstaaten zu fördern, die über Fachwissen in diesem Bereich verfügen, um bewährte Verfahren und Standards für die Altersüberprüfung zu ermitteln“, schreibt die Kommission.

Für Deutschland sitzt neben dem Familienministerium auch das Digitalministerium mit am Tisch, außerdem der Bundesbeauftragte für den Datenschutz, die Landesmedienanstalten (LMA) und die Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ). In diesem Kreis wird derzeit auch an Eckpunkten für eine gemeinsame deutsche Position zur Alterskontrolle gearbeitet.

Hinweis: Felix Reda ist im Vorstand der Open Knowledge Foundation Deutschland, wir haben den Beitrag entsprechend korrigiert.


Leistungsbeschreibung zum Vergabeverfahren
Projekt „Datensparsame Altersverifikation“

A. Hintergrundinformation

Das Bundesministerium für Familie, Senioren, Frauen und Jugend (BMFSFJ) beabsichtigt im Rahmen einer Verhandlungsvergabe ohne Teilnahmewettbewerb nach § 8 Abs. 4 Nr. 1 und 3 i. V. m. § 12 Unterschwellenvergabeordnung (UVgO) zu vergeben.

Eine wirkungsvolle Altersverifikation ist ein zentraler Hebel, um Kinder und Jugendliche vor Risiken im Netz wie z. B. Cybergrooming zu schützen und ihnen geeignete Teilhabemöglichkeiten zu bieten. Derzeit wird seitens der Anbieter eine Vielzahl von Mechanismen zur Altersermittlung verwendet (hard identifiers, self-declaration, parental confirmation, behavioral profiling, facial image analysis).

Eine vereinheitlichte Herangehensweise führt zu besserer Handhabbarkeit seitens der Nutzerinnen und Nutzer und birgt für die Anbieter die große Chance von stärkerer Akzeptanz. Gleichzeitig gilt es, dem Prinzip der Datensparsamkeit (Datenminimierung) gerecht zu werden. Die Möglichkeit einer anonymen oder pseudonymen Nutzung der betroffenen Dienste muss gewahrt bleiben.

Die CSA-VO sieht bisher vor, dass Dienste, bei denen ein hohes Risiko für Grooming gegeben ist, verpflichtet werden, eine Altersverifikation durchzuführen. Damit bietet sie eine Chance, dieses Thema europaweit anzugehen und ein möglichst umfassendes, möglichst sicheres sowie möglichst datenschonendes, die Anonymität der Nutzenden wahrendes System der Altersverifikation zu erarbeiten.

Hierzu wurde ein erstes Konzept entwickelt, welches nun zunächst technisch genauer ausgearbeitet werden soll, und für welches in einem zweiten Schritt ein Demonstrator entwickelt werden soll.

Folgende Schritte sollen dabei abgebildet werden:

Schritt 1: Eröffnung eines Accounts oder Nutzung eines Dienstes durch eine Person.

Schritt 2: Der risikobehaftete Dienst fordert die Person auf, einen Altersnachweis zu erbringen. Dafür übermittelt der Diensteanbieter eine Zufallszahl an die nutzende Person, die die für den Dienst vorgesehenen Alterskohorten enthält, sowie ggf. den Nachweis des Diensteanbieters, dass er zur Abfrage der Altersverifikation berechtigt ist.

Schritt 3: Die Person reicht die Anforderung des Diensteanbieters zur Altersverifikation mit der Zufallszahl an eine durch sie ausgewählte und zur Altersverifizierung berechtigte Stelle weiter. Diese Zufallszahl soll so angelegt sein, dass sie fälschungssicher ist. Sie bleibt bis zum Abschluss des Vorgangs mit der Person verbunden. Die Person muss sich gegenüber der zur Altersverifikation berechtigten Stelle authentifizieren, bspw. durch Bankkonto-Login, Krankenversicherungsnummer
der einen im Rahmen der Umsetzung des Onlinezugangsgesetzes (OZG) zu verwendenden Identitätsnachweis.

Schritt 4: Die zur Altersverifikation berechtigte Stelle versieht anhand der bei ihr hinterlegten Personendaten die übermittelte Zufallszahl mit der Zuordnung zu einer der verfügbaren Alterskohorten und weist ggf. ihre Berechtigung zur Altersverifikation – etwa über eine digitale Signatur – nach. Dies wird an die nutzende Person gegeben.

Schritt 5: Die Person reicht die signierte Altersbestätigung mit Zufallszahl an den Diensteanbieter weiter. Damit ist der Vorgang der Altersverifikation abgeschlossen und der Diensteanbieter kann der nutzenden Person den für die jeweilige Alterskohorte vorgesehenen Funktionsumfang bereitstellen.

Dieses Verfahren zur Altersverifikation soll technisch im Rahmen einer Browserextension realisiert werden, was sehr nutzerfreundlich wäre. Es ist darauf zu achten, dass das Verfahren auch bei der Nutzung von Apps zur Anwendung kommen kann.

Ziele hinter diesem System sind:

  • Die Menge personenbezogener oder -beziehbarer Daten, die default bei Diensteanbietern gespeichert werden können, reduziert sich erheblich. Die Anonymität der Nutzenden wird trotz Altersverifikation regelmäßig gewahrt.
  • Bisher ist der Anreiz für Plattformbetreiber, derartige sichere und für die Zielgruppe attraktive Angebote zu schaffen, gering. Ist die Nachfrage jedoch groß genug, könnte ein Markt entstehen, der dem Interesse folgt, die Nutzer/Nutzerinnen früh an bestimmte Angebotsformen heranzuführen und zu binden.
  • Für jüngere Altersgruppen kann das Nutzungserlebnis erweitert werden, indem der Zugang zu bestimmten, ansonsten nicht zugänglichen Angeboten in einem durch altersgerechte Voreinstellungen abgesicherten Modus ermöglicht wird. Beispielsweise können Spieleplattformen, die aufgrund ihrer Interaktionsrisiken nur für höhere Altersgruppen freigegeben sind, mit altersdifferenzierenden Funktionalitäten einen abgesicherten Nutzungsraum für Jüngere schaffen.

B. Auftragsgegenstand

Auf der Grundlage bisher erarbeiteten Konzepts umfasst der Auftragsgegenstand die nachfolgenden Bereiche:

1. Schriftliche technische Ausarbeitung

Es sollte das oben beschriebene Konzept technisch genauer ausgearbeitet werden. Hier ist es vor allem von Interesse, dass bei allen dargestellten Schritten die aktuellsten Sicherheitsstandards einbezogen werden. Da das Projekt den Fokus auf Datensparsamkeit, Anonymität der Nutzenden und Wirksamkeit des Systems legt, muss aber auch sichergestellt sein, dass die Möglichkeit des Missbrauchs dieses Systems so gering wie möglich gehalten wird. Sowohl security- als auch privacy-by-design sollten von Anfang an mitgedacht und eingebaut werden.

Es ist daher besonders wichtig, dass der Bieter/die Bieterin eine besondere Expertise im Bereich der IT-Sicherheit mitbringt.

Gleichzeitig sollte aber auch bereits Vorwissen im Bereich des Jugendschutzes vorhanden sein. Da es hier um den Schutz von Kindern und Jugendlichen geht, sollte auch ein Verständnis für die besonderen Belange von Minderjährigen mitgebracht werden. Es wäre wünschenswert, wenn die Hintergründe des Vorschlags einer datensparsamen, die Anonymität der Nutzenden wahrenden Altersverifikation bekannt wären, d. h. auch bereits Expertise im Bereich der EU-Regulierung bei der Bekämpfung von
sexuellem Missbrauch im digitalen Raum vorhanden wäre.

Auch datenschutzrechtliche Kompetenz wird erwartet.

Darüber hinaus stellen wir uns folgende Aspekte vor:

  • Bei der Umsetzung sollte auch möglichst auf bewährte Verfahren – wie eine Lösung über eine Browserextension – zurückgegriffen werden, da diese Verfahren bereits erprobt sind.
  • Es sollte zudem ein möglichst nutzerfreundliches, auch für jüngere und/oder weniger geübte Nutzende leicht verständliches System geschaffen werden.
  • Durch Zeitbegrenzung der Gültigkeit der Zufallszahl sowie durch Wiederholungsanforderung der Verifikation zu zuvor nicht bekannten Zeitpunkten kann einer unzulässigen Weitergabe entgegengewirkt werden.
2. Implementierung eines Demonstrators

Nach der technischen Ausarbeitung ist es für das weitere Vorgehen wichtig, dass gezeigt wird, dass das bisher grob beschriebene und dann im ersten Schritt ausgearbeitete System auch tatsächlich funktionieren kann. Mit dem Demonstrator sollte man nach außen – auch auf EU-Ebene – treten können. Es sollte danach klar sein, ob und wie das System für eine Vielzahl von Nutzer/Nutzerinnen verwendet und in Abläufe der Nutzung digitaler Dienste integriert werden kann.

3. Kalkulation

Eine Aufteilung der Aufgaben ist sowohl im Rahmen einer Bietergemeinschaft als auch mit der Vergabe von Unteraufträgen möglich. Das Angebot soll einzelne, separat kalkulierbare Module enthalten. Die Vertragslaufzeit beginnt voraussichtlich ab Kalenderwoche 16 (2024).

Dem Angebot ist eine nachvollziehbare und aussagekräftige Kalkulation beizufügen, die den im Angebot beschriebenen Leistungsumfang vollständig abdeckt. Das finanzielle Angebot soll eine Darstellung der Gesamtkosten sowie eine detaillierte Aufgliederung der Kosten pro Leistungsbaustein enthalten.

Die USt. ist gesondert auszuweisen.

17 Ergänzungen

  1. Die Kreativität (pejorativ gemeint, i.S.v. drum herum schummeln, mieses workaround) kennt keine Grenzen mehr, wenn es um persönliche Daten geht.

    Die zuverlässigste Datenquelle bez. Altersauskunft dürften doch die standesamtlichen Meldedaten sein. Ach, die geben keine Auskunft an „Private“? So ein Pech aber auch.

    Wo also lungern dann noch un- bzw. weniger geschütze Daten herum? Bei der Krankenkasse? Auf solche Ideen aus Bundesministerien kann man nur in völlig enthemmten Zustand kommen. Vielleicht sollte man dort das Abwasser auf Drogenrückstände überprüfen.

    Ist der Ruf erst mal dahin (Gesundheitsdaten für die [Pharma-]Forschung), dann sind der Kreativität keine Grenzen mehr gesetzt. Legal, illegal, scheißegal.

    Wir leben in einer gewendeten Zeit kreativer Ministerien.

  2. … Wollt ihr die Digitalisierung, wenn nötig, totaler und radikaler, als wir sie uns heute überhaupt noch vorstellen können?

    1. „Wollt ihr die totale Digitalisierung“

      In gewisser Weise unvorstellbar (Für Michel und Erna). Denn bald zählt unser digitales Bild mehr als irgendwas anderes. Es sei denn man ist irgendwie Buddy von sehr Einflussreichen Personen, dann zählt irgendwas, was die sich denken auch ein bischen. Aber insgesamt nimmt es die Richtung, dass alle Daten genommen werden, und dann bald nur noch die Daten – Fachkräftemangel lässt grüßen -, und dann kippen die noch KI überall drüber.

      Das wäre „unvorstellbar“ dumm, China + Sowjetunion, aber mit US-Technik und Cloud. Bis 3 zählt wohl keiner mehr…

  3. Kannste nicht ernst nehmen, wenn man auf YouTube ganz ohne Altersverifizierung Kriegsbilder zu sehen bekommt, oder Spiele die ab 18 freigegeben sind. Doch sobald es um einen natürlichen Akt geht DANN muss die Aushöhlung der Anonymität her.

    Einfach nur jämmerlich, wie ein intimes Thema missbraucht wird, weil man als Verteidiger wie ein Pornosüchtiger dargestellt werden kann.

    1. Thema YouTube:
      Auf der anderen Seite werden aber auch ziemlich oft Videos als „für Minderjährige ungeeignet“ klassifiziert obwohl sie völlig harmlos sind.

      Wenn mir ein Mensch sagen würde, dass diese Videos für Minderjährige gefährlich seien, würde ich dessen Zurechnungsfähigkeit ernsthaft in Frage stellen.
      Aber die Algorithmen der Alterskontrollen tun genau das.

      In den Köpfen der Politiker ist wohl alles was Ü18 ist, zwangsläufig irgendwas mit Gewalt oder Porno.

      Das dem nicht so ist, würde bereits oft genug bewiesen.
      Die Fehleranfälligkeit von Altersbeschränkungen allgemein ebenfalls.

      Über das beste Beispiel hatte NP selbst berichtet.

      https://netzpolitik.org/2024/verhuetung-erst-ab-18-deutschlands-wichtigster-jugendschutz-filter-blockiert-hilfsangebote/

    1. > Sind denn nun endgültig alle Dämme und Hemmschwellen gebrochen?

      Endgültig? Alle? Und sind „Dämme“ ein geeignetes Bild? Was ist mit „Hemmschwelle“ gemeint, und wer bestimmt darüber?

      Ich würde dem zustimmen, wenn gemeint wäre, dass Akteure zunehmend hemmungslos agieren. Also wenn Menschenrechte oder Grundgesetz opportunes Handeln von „interessierten Kreisen“ einschränkt, dann wird nicht mehr gesagt „okay, das geht nicht.“ Was stattdessen einsetzt, ist ein beharrliches Arbeiten an einem Workaround, welches dann sorgfältig mit anderen wohlfeilen und erhabenen Zielen getarnt werden muss.

      Was bei relevanten Akteuren (glücklicherweise noch nicht bei „allen“) abhanden gekommen erscheint, ist so etwas wie ein moralischer Kompass, der auch mal Einhalt gebietet.

      Wer heute als Verantwortlicher sagt, „hier stehe ich, und mit mir geht das nicht,“ der wird recht schnell als „Zögerling“ hingestellt, als jemand, dem die „Visionen“ fehlen, als jemand DER das Problem ist. Hier angelangt, hat man die intellektuelle Redlichkeit bereits weit hinter sich gelassen. Wer sich als „Macher“ versteht und inszeniert, der ist dann ganz schnell keiner mehr, wenn die Gelegenheit der Stunde nicht (aus)genutzt wurde.

      Die Frage, die sich mir stellt ist: Wie kann es sein, dass so gestrickte Menschen es nach so weit nach oben schaffen, um dort gesellschaftlichen Schaden anzurichten, zum Vorteil weniger?

      Und was kann ich im Rahmen meiner Möglichkeiten tun, dem entgegenzuwirken, dabei nicht mitzumachen?

  4. Ich bin ja (deutlich) über 18 und hätte schon große Bauchschmerzen wenn ich mich für jeden Ü18 Dienst (und das sind derzeit nicht viele) bei meiner Bank einloggen müsste. Zudem würde ich erwarten das die Zahl der Dienste die behaupten sie müssten das Alter kontrollieren steigen würde wenn es gewisse „Fehler im System“ gibt die jemand ausnutzen könnte. Ob Plugin oder Smartphone, es müsste dann ja vom Endgerät des Nutzers ZWEI Verbindungen existieren, eine zur Zielseite und eine zur Verifizierenden Stelle. Damit ist aber doch keineswegs sichergestellt das die Tracking-software die evtl. in einer App reingemogelt ist nicht auch die andere Verbindung weiter petzt. Oder noch perfider, das die zielseite einen irgendwann direkt oder inline zum verifizierenden durchleitet und das schon selbstverschlüsselt damit auch ja alle daten abgeschnorchelt werden können.
    Kurz: ich erwarte davon nichts gutes, nur noch mehr Datenklau-optionen. Als gäb’s noch nicht genug.

    Was ist eigentlich aus dem Klassischen Kinderschutz-ansatz geworden, elterliche Aufsichtspflicht und Aufklärung sowie einem „Effektiven“ (wenn es das gibt?) Kinderschutz bei allen Endgeräten.

    Denn m.E. ist das immer noch der Einzige Punkt an den den Alterskontrolle sinnvoll hin gehört, offline eingerichtet, ohne datenaustausch mit x Drittanbietern und ausschließlich lokal. Das sollte das Kind schützen und den Erwachsenen nicht im Weg sein. Deren Sorgfaltspflicht kann sowieso niemand ersetzen – also warum tun alle so als ob der Gesetzgeber hier nun tätig werden müsse?
    Nicht wissen (hier: um die Technik) war doch noch nie ein Grund der vor Strafe schützt oder?

    1. Weil der Gesetzgeber dazu verpflichtet ist die Bevölkerung „zu schützen“. Da in vielen richterlichen Beschlüssen immer wieder gegen Ü18 Dienste geurteilt wurde, weil nur „ein Bruchteil der Eltern die bereits existierenden Jugendschutzssoftware nutzen“.

      Ich würde es bevorzugen nicht wie ein Kind vom „Vater“staat behandelt zu werden.

    2. > Was ist eigentlich aus dem Klassischen Kinderschutz-ansatz geworden, elterliche Aufsichtspflicht und Aufklärung sowie einem „Effektiven“ (wenn es das gibt?) Kinderschutz bei allen Endgeräten.

      Der ist unter die Räder gekommen, weil die keinen Kinderschutz, sondern einen Überwachungsstaat wollen.

  5. Warum jetzt noch Banken und Versicherungen? Ist das der nächste Super-GAU?

    Altersverifikation für eine Pornoseite über den total neutralen Datenhändlerfreund… deine Sparkasse!?

    Der E-Perso ist dafür da, und ja: du sollst die Infrastruktur dafür bauen, und sie soll unentgeldlich und niederschwellig den Webdiensten und Nutzern zugänglich sein. Vergiss nicht die Hardware!

    Alles andere ist KÄSE.

    1. a) Geschenk an die Banken-Lobby – Neues Geschäftsmodell, ggf. gebührenpflichtig.
      b) Vermutung: Verheiraten der Netzaktivität mit Bankkonto-Historie und Patientenakte, sprich eine ID für alles?

      1. Oh, ein paar gute/böse Ideen.
        a. selbst bei nur 1ct pro Login/Verifizierung (die natürlich dem Bankkunden aufgedrückt würden werden die ne Menge verdienen.
        b. Jeder Zugriff (am Muster erkennbar) ist dann eine Altersanfrage und produziert dort wieder Metadaten (die verkauft werden könnten) ob nun bei Bank, Versicherung oder sonst wem.

        c. Und „natürlich“ muß man dann auch z.b. beim Virtuellen Behördengang so nachweisen das man Alt genug ist – und nicht Mutti’s Perso eingesackt hat – oder ähnliches.

        Ja, ähh. Wofür war jetzt der e-Perso noch mal gut? Einfach lächerlich.

        Trog ->> Schweine!

    2. Als jemand, der der analogen Pappe noch immer nachtrauert, möchte ich ehrlich gesagt am liebsten möglichst wenige bis gar keine Verwendungszwecke für den E-Perso.

  6. Ich begrüße diese Idee!

    Eine unabhängige Stelle, die allgemeingültig für das Internet zur Altersverfikation und gleichzeitig das Geschlecht bestätigen soll! So muss man den Webseiten weder den eigenen Ausweis noch ein Bild von sich selbst schicken. Man kann dafür ganz einfach eine Schnittstelle einbauen, womit die Websiten selbst nichts zu tun haben und keinen Zugang bekommen, und Alter sowie Geschlecht von den genannten Fachstellen bestätigt werden kann. Bei den Banken und den Krankenkassen geht das nur, wenn man die Zugangsdaten besitzt. Ansonsten soll sich die Ausweis-App eine Schnittstelle überlegen.

    1. Na, ich begrüße diese Idee nicht. Soziale Probleme sind mit Technik nicht zu lösen.

      Aber eigentlich wollte ich nur wissen, wozu um alles in der Welt du das „Geschlecht“ wissen möchtest?

      Mal weiter gesponnen: Ich meine, wäre die geistige Kompetenz, besser noch der „Geisteszustand“ oder psychische Resilienz nicht viel wichtiger? Bei anderen Angeboten wäre, um Menschen nicht in die Armut zu treiben, der finanzielle Status wirklich von Bedeutung. Gleiches gilt für Intelligenz, soziales Umfeld, Vorstrafen, sexuelle Vorlieben und Familienstand, Religion, Beruf, Gesundheitsstatus, Geschlecht und und und.

      Wo hören wir auf? Was haben wir schon überschritten?

      Liebe Politik, liebe Lobbyisten und Überwachungsfanatiker, manchmal frage ich mich wirklich …

      Ach was rede ich. „the expert seven perpendicular lines“ (youtube) erklärt vollständig, wie solche „Ideen“ zustande kommen.

  7. Und als nächstes werden Zäune um jede Straße gebaut, damit auf keinen Fall ein Kind drauflaufen kann?

    Eltern haben eine Aufsichtspflicht, und sie haften für ihre Kinder. Es gibt genügend Kindersicherungen, mit denen Eltern sicherstellen können, dass ihre Kinder keine unangemessenen Seiten besuchen können. Das muss reichen.

    Zumal das beschriebene System ganz einfach ausgehebelt werden kann: Indem nämlich ältere Geschwister/Freunde/Nachbarskinder ein Konto für eine höhere Altersgruppe freischalten lassen. Genau so, wie sie einem Zigaretten, Alkohol oder – früher – den Playboy besorgt haben.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.