Weltweit beobachten wir einen immer stärker werdenden Trend zur Einführung von Altersverifikationssystemen, von Frankreich bis Australien. Solche Systeme sind oft schlecht konzipiert und bringen neben enormen Gefahren für Datenschutz und Meinungsfreiheit auch die Möglichkeit staatlicher Kontrolle über das tägliche Online-Leben der Menschen mit sich. Diese Systeme stützen sich häufig auf von der Regierung ausgestellte (digitale) Identifizierungsmechanismen oder KI-basierte Altersschätzungen, die zu Fehlern, Ausgrenzung, Diskriminierung und Datenschutzverletzungen führen können. Seit langem beschäftigen wir uns mit dem Thema digitale Identität und verfolgen diese Debatte deshalb mit wachsender Besorgnis.

Statt Probleme zu lösen, verschleiern die derzeit diskutierten Maßnahmen zur Altersüberprüfung diese nur. Die negativen Auswirkungen vom Kampf nach Aufmerksamkeit in sozialen Medien betreffen Nutzer:innen aller Altersgruppen gleichermaßen. Viele solcher negativen Folgen sollen bereits durch bestehende digitale Gesetze eingedämmt werden, wie dem Digital Services Act (DSA), der Werbung für Minderjährige verbietet, oder der Datenschutz-Grundverordnung (DSGVO), die in vielen Fällen das Einwilligungsalter vorschreibt. Beide Gesetze sehen umfassende Vorschriften und erhebliche Strafen in Milliardenhöhe vor. Das große Problem bleibt jedoch die mangelnde Durchsetzung. Die DSGVO ist seit fast einem Jahrzehnt in Kraft und bietet Möglichkeiten Unternehmen zu bestrafen, die eine große Menge personenbezogener Daten von Minderjährigen verarbeiten. Jetzt könnte die DSGVO aber abgeschwächt werden, bevor sie jemals zum Schutz von Kindern eingesetzt wurde. Eine Durchsetzung ist schwierig, insbesondere gegenüber reichen, multinationalen Unternehmen. Die geopolitischen Spannungen mit USA und China tragen nicht gerade dazu bei, die Situation zu verbessern. Anstatt sich jedoch dem systematischen Versagen Europas bei der Durchsetzung unserer Vorschriften zu stellen, wollen Gesetzgeber jetzt das Internet mit einer Altersbeschränkung versehen.

Epicenter.works hat mit der epicenter.academy auch einen Bildungszweig, der in den letzten drei Jahren über 500 Workshops für 9.103 Jugendliche durchgeführt hat. In diesen Workshops erzählen viele Schüler:innen, dass sie sich Sorgen machen, wie sich ihr eigener Social Media-Konsum auf sie auswirkt. Spannend dabei: Wenn man fragt, ob sie Social Media für sich selbst verbieten würden, sagen die meisten nein. Aber sobald es um ein Verbot für jüngere Mitschüler:innen geht, ist plötzlich eine klare Mehrheit dafür.

I. Der autoritäre Ansatz

Die Altersüberprüfung wird oft als Teilbereich von digitalen Identitäten verstanden. In diesen Systemen wird die Identität von Benutzer:innen festgestellt, um daraus das Alter abzuleiten und entsprechend den Zugang zu Online-Diensten bereitzustellen oder zu verweigern.

Die lösbaren Probleme

Zuerst zu dem, was einfach zu lösen ist. Der Verifizierungsteil der Altersüberprüfung kann privatsphärefreundlich gestaltet werden. Die Interaktion zwischen den Nutzer:innen muss dafür nach den drei Prinzipien Zero-Knowledge, Unverknüpfbarkeit und Unbeobachtbarkeit ablaufen. So können Nutzer:innen bestätigen, ob sie über oder unter einem bestimmten Alter sind, ohne ihr Geburtsdatum oder andere persönliche Informationen preisgeben zu müssen. Dabei wird jede Interaktion einzeln betrachtet und verhindert so, dass das Nutzerverhalten herausgelesen oder nachverfolgt werden kann. Außerdem, und das ist vielleicht der wichtigste Punkt, der Anbieter oder Betreiber der Altersverifizierung wird technisch daran gehindert zu sehen, wie das System genutzt wird. Die Regierung kann also nicht nachvollziehen, welche sozialen Medien oder Pornoseiten jemand besucht.

So ein System könnte sogar für die Altersverifikation gegenüber den am wenigsten vertrauenswürdigen, böswilligen oder peinlichen Websites genutzt werden - ohne Risiko für die Nutzer:innen. Selbst bei einem Hack der Website gäbe es keinerlei personenbezogene Daten, die zurückverfolgt werden könnten. Die Leitlinien der Europäischen Kommission zum Jugendschutz setzen diese drei Prinzipien recht gut um.

Die unlösbaren Probleme

Wenn digitale Identifizierung zur Voraussetzung wird, würden Millionen Menschen vom Internet ausgeschlossen werden. Nicht alle verfügen über digitale Identitäten, die Name, Alter und andere persönliche Informationen liefern. Viele besitzen kein Smartphone – geschweige denn eines, das digitale IDs sicher verwalten kann. Das Abfotografieren physischer Ausweise in einer App ist ebenfalls manipulierbar. Und vor allem schließt es Menschen aus, die keinerlei Ausweisdokumente besitzen. Viele haben auch nicht die digitale Kompetenz, komplexe Altersverifikationslösungen zu bedienen, insbesondere ältere Generationen oder Haushalte mit geringerem Einkommen. Die Erfahrungen aus anderen Ländern zeigen deutlich, dass Menschen staatliche Systeme ablehnen, wenn diese Voraussetzung dafür sind, sich online äußern zu können. Verpflichtende digitale Ausweise sind also Gift für das Vertrauen in staatliche Institutionen.

Einfache Umgehbarkeit. Verpflichtende Altersverifikation, die als zu tiefgreifend oder weitgehend wahrgenommen wird, führt zu unterschiedlichsten Umgehungsstrategien. VPNs oder Anonymisierungsdienste wie Tor bieten schnelle und einfache Wege daran vorbei. Selbst die offizielle EU-Altersverifikation hat keinen Schutz davor, dass Minderjährige die ID oder das Smartphone eines Erwachsenen benutzen. Die einzigen wirklich wirksamen Jugendschutzmaßnahmen finden auf dem Gerät statt, dazu später mehr. Wer über digitale Kompetenzen verfügt, findet immer Wege, diese Verbote zu umgehen, und die meisten jungen Menschen sind technisch versiert.

Überidentifizierung als Folge. Obwohl datenschutzfreundliche Altersnachweise technisch möglich sind, setzen fast alle existierenden Systeme in der Praxis auf deutlich invasivere Methoden. Diese sind oft günstiger und liefern Unternehmen wertvolle Identitätsdaten. Ohne klare Regulierung folgen technische Implementierungen immer dem Weg des geringsten Widerstands, und der führt selten zum Datenschutz. Selbst wenn ein Gesetz datenschutzfreundliche Lösungen vorschreibt, könnte es leicht geändert werden. Ist erst einmal eine Infrastruktur zur Altersverifikation etabliert, genügt ein Software-Update, um doch die echte Identität der Nutzer:innen abrufen zu können. Damit wäre die technische Grundlage geschaffen, das gesamte Internet zu gatekeepen – mit enormen Risiken für Ausgrenzung, Diskriminierung, Überwachung und Meinungsfreiheit. Einmal etabliert, könnte das System jederzeit erweitert werden, um weitere Personengruppen auszuschließen.

Wir lehnen daher jedes Altersverifikationssystem ab, das an die Identität einer Person gekoppelt ist. Die gesellschaftlichen Risiken überwiegen bei Weitem den potenziellen Nutzen. Solche Systeme sind unausgereift, gefährlich und bringen keine wirkliche Verbesserung. Wir glauben jedoch, dass es eine alternative Idee gibt, über die es sich zu sprechen lohnt.

II. Unser Lösungsvorschlag

Wir möchten eine mögliche Lösung für das Dilemma der Altersüberprüfung diskutieren, die ein besseres Gleichgewicht zwischen dem Schutz von Kindern und dem Schutz des offenen Internets herstellt. Die Grundidee besteht darin, dass wir nicht die Online-Interaktionen aller Personen an ihre Identität binden, sondern einfach die Geräte von Kindern an ihre Altersgruppe. Eltern oder Schulen haben in der Regel die Kontrolle über die Geräte ihrer Kinder. Sie kennen deren Alter und können die Geräte ohne (digitale) Identifizierung einrichten. Was fehlt, ist eine standardisierte Methode, mit der Betriebssysteme und Browser diese Informationen über die Altersgruppe der Nutzer:innen an die Apps und Websites weitergeben können.

Wichtig ist, dass Apps oder Websites, die solche Informationen über das Alter der Nutzer:innen erhalten, entsprechend handeln müssen. Wenn beispielsweise eine Website, die nur für Erwachsene bestimmt ist, von einem Minderjährigen aufgerufen wird, darf es nicht möglich sein eine Sperre durch einen einfachen Klick auf „18+“ zu umgehen. Social-Media-Apps hätten keine Entschuldigung dafür, Minderjährige gezielt anzusprechen oder ihnen zu erlauben, ohne Zustimmung ihrer Eltern Konten zu eröffnen. Es würde in die Verantwortung (und vielleicht sogar in die Haftung) jeder App oder Website fallen, die für Minderjährige in dem Land, aus dem die Anfrage stammt, illegal ist, sich selbst für Kinder auf Geräten, die dieses System verwenden, zu sperren. Das Alterssignal über diese API sollte daher rechtlich anerkannt werden. So würde man die Durchsetzung erleichtern und Schlupflöcher für große Technologieunternehmen beseitigen.

Was wir brauchen, ist ein technischer Standard, um Geräte oder Benutzerkonten auf diesen Geräten speziell für Kinder einzurichten. Ein solcher Standard muss interoperabel und unter freier Lizenz verfügbar sein. Auch freie Betriebssysteme müssen ihn implementieren können. Sowohl Google als auch Apple haben ähnliche Systeme für Smartphones angekündigt, um den lokalen Gesetzen in den USA zu entsprechen. Die EU hätte also gute Gründe, einen solchen Standard zu entwickeln und dessen Verwendung von marktbeherrschenden Betriebssystemen und Webbrowsern zu verlangen. Auch Webbrowser sind wichtige Akteure, da Websites ebenfalls die Altersangaben erhalten sollten. Technisch gesehen kann der Standard sehr einfach gestaltet werden, sodass er auch für ältere Geräte geeignet ist. Eine vollständige Unterstützung aller Smartphones oder Desktop-Betriebssysteme (Versionen) ist nicht erforderlich, da eine Untergruppe von für Kinder geeigneten Geräten ausreichen würde.

Schließlich werden Geräte und Benutzerkonten, die keine Informationen zum Alter an Apps oder Websites senden, wie bisher behandelt. Der Anbieter der Inhalte kann davon ausgehen, dass diese Benutzer:innen volljährig sind, ähnlich wie in der aktuellen Situation. Das bedeutet, dass sich für die Mehrheit der Benutzer:innen und Geräte im Internet nichts ändert.

Die Vor- und Nachteile dieser Lösung

Inklusiv und realistisch. Die vorgeschlagene Lösung ist weitaus inklusiver als alle anderen Modelle, die derzeit diskutiert werden. Menschen ohne technische Fähigkeiten zur Altersverifizierung, Migranten ohne Ausweispapiere oder Menschen, die sich einfach weigern, eine staatliche App zu nutzen, werden nicht vom Internet ausgeschlossen. Die vorgeschlagene Lösung ist auch weitaus realistischer, da sie lediglich einen Schritt bei der Einrichtung eines neuen Geräts oder Benutzerkontos auf einem unterstützten Betriebssystem erfordert.

Die Lösung tragt dazu bei, bestehende Vorschriften gegen große Technologieunternehmen durchzusetzen. Derzeit unternehmen viele Online-Plattformen nicht genug, um Kinder zu schützen, mit der Ausrede, dass sie nicht wissen, welche ihrer Nutzer:innen minderjährig sind. Angesichts der riesigen Datenmengen und der Profilerstellung, die dem Geschäftsmodell der großen Technologieunternehmen zugrunde liegen, ist das schwer zu glauben. Mit der vorgeschlagenen Lösung wird diese Ausrede jedoch hinfällig. Online-Plattformen, die die vorgeschlagenen standardisierten Altersangaben erhalten, würden die Altersgruppe der Nutzer:innen auf rechtlich verbindliche Weise kennen und müssten entsprechend handeln. Das könnte zur Durchsetzung digitaler Vorschriften gegen Online-Plattformen beitragen. Vorschläge für eine umgekehrte Signalübermittlung von der Online-Plattform zum Gerät der Nutzer:innen gibt es bereits.

Eine gemeinsame Nutzung von Geräten lässt sich leichter integrieren. Jede Lösung zur Altersüberprüfung stößt auf Probleme, wenn Kinder einfach die Geräte der Eltern nutzen. Diese gängige Praxis birgt das Risiko, dass Kinder auf Inhalte zugreifen, die nur für Erwachsene zugänglich sein sollten. Auch andere Formen der Altersüberprüfung, wie beispielsweise app-basierte Modelle, haben dieses Problem. Wenn das Betriebssystem separate Konten oder Kindermodi zulässt (wie es bei den meisten Smart-TVs oder Streaming-Apps bereits der Fall ist), kann diese Praxis integriert werden, um den Jugendschutz auch in diesen Fällen sicherzustellen.

Eltern und andere Erziehungsberechtigte müssen eine aktive Rolle übernehmen. Ein Gegenargument zu der vorgeschlagenen Lösung könnte sein, dass Eltern oder Erziehungsberechtigte eine aktive Rolle im digitalen Leben ihres Kindes übernehmen müssen. Die Einrichtung eines Kontos ist ein notwendiger Schritt, damit das gesamte System funktioniert. Theoretisch könnte der Wartungsaufwand weiter reduziert werden, wenn das System die Altersgruppe am jeweiligen Geburtstag des Kindes automatisch erhöht und die Uhr des Systems von den Benutzer:innen nicht verändert werden kann.

Altersgerechte Inhalte sind oft etwas Relatives. Die rechtlichen und kulturellen Rahmenbedingungen für den Jugendschutz sind weltweit, innerhalb Europas und sogar zwischen den einzelnen Staaten sehr unterschiedlich. Zwar gibt es Websites, die eindeutig nur für Erwachsene bestimmt sind, doch der Großteil der nutzergenerierten Inhalte lässt sich nicht so einfach kategorisieren. Feste Altersgrenzen berücksichtigen selten die individuelle Entwicklung von Kindern und Jugendlichen. Jede Technologie, die versucht, den Zugang zu beschränken, wird an ihre Grenzen stoßen. Im besten Fall können Erziehungsberechtigte gemeinsam mit ihrem Kind entscheiden, was angemessen ist, und den Zugang entsprechend personalisieren.

Die Ausweitung über die großen Technologieunternehmen hinaus sollte freiwillig sein und auf offenen Standards basieren. Damit dieses System für Europa von Vorteil ist, muss der zugrunde liegende Standard so transparent, inklusiv und einfach wie möglich gestaltet werden. Die Belastung für die Anbieter von Betriebssystemen und Browsern sollte minimal sein. So kann die Kompatibilität erhöht werden und auch kleinen und mittleren Unternehmen die Möglichkeit geben, den Standard zu integrieren, auch in gepatchten Betriebssystemen oder auf Geräten ohne proprietäre Frameworks wie Google. Dennoch kann es bei älteren Betriebssystemen und Geräten mit längeren Update-Zyklen einige Zeit dauern, bis sie das neue System übernehmen. Aber marktbeherrschende Produkte oder solche, die sich speziell an Kinder richten, sollten diesem Standard entsprechen.

Eine Umgehung ist ab einem bestimmten Alter oder mit bestimmten Fähigkeiten unvermeidlich. Solange die Kindersicherung, die die Installation von Apps und die Nutzung von Kindergeräten einschränkt, in Kraft ist, wird die vorgeschlagene Lösung Bestand haben. Aber für Nutzer:innen mit bestimmten digitalen Fähigkeiten wird es Möglichkeiten geben auch die vorgeschlagene Lösung zu umgehen. Das Starten eines nicht eingeschränkten Betriebssystems, das Erlangen von Administratorrechten zum Erstellen eines nicht eingeschränkten Benutzerkontos, die Verwendung alternativer Browser, das Entfernen der Altersangaben aus der Netzwerkübertragung oder die Verwendung eines VPN oder Tor sind funktionierende Umgehungsstrategien. Die meisten dieser Strategien sind jedoch auch Möglichkeiten, den autoritären Ansatz der Altersüberprüfung zu umgehen. Junge Menschen werden letztendlich Wege finden, das zu tun, was ihnen verboten ist. Das ist kein Argument gegen Altersbeschränkungen, sondern eine warnende Perspektive hinsichtlich der Wirksamkeit jeder Lösung.

Klarer Anwendungsbereich: Dieses System würde Kinder davor schützen, Inhalte zu sehen, die für ihre Altersgruppe verboten sind. Der Vorschlag versucht nicht, Erwachsene daran zu hindern, sich online als Kinder auszugeben, ein Problem, das schwer zu lösen ist, da Erziehungsberechtigte immer die Kontrolle über die Ausweisdokumente ihrer Kinder haben. Der Vorschlag gibt auch keine Garantien hinsichtlich des Alters von Nutzer:innen, die das System nicht verwenden, da dies einfach außerhalb seines Anwendungsbereichs liegt. Zusammenfassend lässt sich sagen, dass dieser Vorschlag versucht,das eine Problem zu lösen, dem die meisten Menschen zustimmen dürften: Der Schutz von Kindern im Internet ist ein erstrebenswertes Ziel, und dies sollte auf Geräten geschehen, die auf einem interoperablen Standard basieren, der Eltern mehr Möglichkeiten gibt und Inhalteanbieter in die Verantwortung zieh. Wir glauben, dass dies der sinnvollste und einzige praktikable Ansatz ist.

Wie geht es nun weiter?

Wir veröffentlichen diesen Beitrag in voller Kenntnis der Kontroversen zu diesem Thema und nachdem wir wiederholt von anderen Organisationen und Politiker:innen dazu aufgefordert wurden. Wir würdigen die hervorragende Arbeit, die die Risiken dieses Problems aufzeigt. Wir sind jedoch der Ansicht, dass Untätigkeit politisch keine Option mehr ist. Wir freuen uns über Feedback und Kritik zu diesen Ideen, sei es privat oder öffentlich.