- Gesetzentwürfe zur Altersverifikation, die mit der Einschränkung des Zugangs zu Online-Pornografie begannen, werden zu Beginn der staatlichen Legislaturperioden 2025–2026 bereits auf Hautpflegeprodukte, Dating-Apps und Diätprodukte ausgeweitet und entwickeln sich damit zu einem Datenschutzproblem für alle Nutzer
- Anders als der Verweis auf den Schutz von Kindern vermuten lässt, kann die tatsächliche Durchsetzung von allen Nutzern eine Identitätsprüfung verlangen, um auf grundlegende Inhalte oder Produkte zuzugreifen, und so Systeme zur massenhaften Erfassung personenbezogener Daten schaffen
- Kaliforniens AB-728, New Yorks A3323 und Washingtons SB 5622 zeigen, wie der Anwendungsbereich der Altersverifikation auf Kosmetikinhaltsstoffe, Online-Dating-Dienste und den Kauf von Diätprodukten ausgeweitet wird
- Verifikation auf Basis staatlich ausgestellter Ausweise, Gesichtsscans, Kreditkarten oder Telefonnummern sammelt sensible personenbezogene Daten und biometrische Informationen; wegen bereits erfolgter Hacks bei Anbietern von Altersverifikation ist auch das Risiko von Datenlecks real
- Da es keine Form der Altersverifikation gibt, die zugleich die Privatsphäre schützt und vollständig präzise ist, sollten Gesetzgeber nach weniger invasiven Wegen des Online-Schutzes suchen statt nach Verifikationssystemen, die das Risiko auf Einzelpersonen abwälzen
Von Pornobeschränkungen zu Alltagsprodukten: die Ausweitung der Altersverifikation
- Gesetzentwürfe zur Altersverifikation wurden zunächst mit dem Ziel vorangetrieben, Minderjährige online vor Pornografie und anderen Gefahren zu schützen
- Der Anwendungsbereich wird auf Hautpflegeprodukte, Dating-Apps und Diätprodukte ausgeweitet
- Das Kernproblem geht über die Sperrung bestimmter Inhalte hinaus: Alle Nutzer, die auf grundlegende Inhalte oder Produkte zugreifen wollen, sollen personenbezogene Daten übermitteln müssen
- Ein Unterstützer eines Gesetzesentwurfs zur Altersverifikation in Alabama sagte, man habe zunächst Pornografie ins Visier genommen und wolle in der nächsten Sitzungsperiode zum Thema soziale Medien übergehen
- Das zeigt eine Strategie: Zuerst wird ein Altersverifikationssystem in einem Bereich eingeführt, der sich emotional leicht durchsetzen lässt, wie Pornografie, und danach auf breitere Bereiche ausgedehnt
Drei Beispiele aus der frühen Phase der Sitzungsperiode 2025–2026
- AB-728 verlangt in Kalifornien eine Altersverifikation für Käufer von Hautpflegeprodukten oder Kosmetika, die bestimmte Chemikalien enthalten
- Zu den betroffenen Inhaltsstoffen gehören Vitamin A und alpha hydroxy acids
- Selbst Menschen, die eine Gesichtscreme kaufen wollen, könnten ein „Altersverifikationssystem“ durchlaufen und dabei sensible personenbezogene Daten übermitteln müssen
- Der Kauf scheinbar harmloser Produkte kann so in eine Struktur dauerhafter Nachverfolgung und Datenerfassung münden
- A3323 verlangt von Online-Dating-Diensten in New York, Alter, Identität und Standort ihrer Nutzer zu verifizieren
- Vor dem Zugang zur Plattform könnten sensible Informationen wie ein staatlich ausgestellter Ausweis und Standortdaten erforderlich sein
- Diese Informationen schaffen Risiken von Missbrauch, Weiterverkauf und Datenpannen
- SB 5622 beschränkt im Bundesstaat Washington den Verkauf von Diätpillen und Nahrungsergänzungsmitteln an Personen unter 18 Jahren
- Ziel ist es, Jugendliche vor potenziell schädlichen Diätprodukten zu schützen
- Bei der Durchsetzung könnte sowohl für Offline- als auch für Online-Käufe eine invasive Erfassung personenbezogener Daten nötig werden
- Damit steigt auch das Risiko, dass sensible Informationen missbraucht werden
Es gibt keine sichere und genaue Altersverifikation
- Es gibt keine Methode zur Altersverifikation, die die Privatsphäre schützt und zugleich vollständig präzise ist
- Methoden der Altersverifikation lassen sich nicht sauber in „sicherere“ und „weniger sichere“ Varianten aufteilen; jede bringt auf unterschiedliche Weise Risiken mit sich
- Diese Last trifft auch Erwachsene
- Selbst Menschen, die nur im Internet surfen oder Alltagsprodukte kaufen wollen, werden zum Ziel massenhafter Datenerfassung
Datenschutzrisiken je nach Verifikationsmethode
- Systeme, die einen staatlich ausgestellten Ausweis oder einen Gesichtsscan verlangen, erfassen sensible und teils unveränderliche biometrische oder personenbezogene Daten
- Auch Verfahren, die auf Kreditkartendaten, Telefonnummern oder Daten Dritter beruhen, häufen große Mengen personenbezogener Daten an
- Die gesammelten Daten können wie andere Daten missbraucht werden und schaffen Schwachstellen für Identitätsdiebstahl und Datenpannen
- Anbieter von Altersverifikation können gehackt werden, und solche Fälle hat es bereits gegeben
- Diese Bedenken sind keine bloße Theorie, sondern ein gegenwärtiges reales Risiko für Nutzer, denen Privatsphäre wichtig ist
Forderung an die Gesetzgebung
- Gesetzentwürfen zur Altersverifikation, die Überwachungssysteme schaffen und bürgerliche Freiheiten schwächen, sollte widersprochen werden
- Selbst wenn die Absicht der Kinderschutz ist, kann das Ergebnis eine massive Aushöhlung der Privatsphäre, Sicherheit und Meinungsfreiheit aller im Internet sein
- Gesetzgeber sollten nach besseren und weniger invasiven Wegen suchen, Menschen online zu schützen, statt auf begrenzte Altersverifikationssysteme zu setzen
- Sie sollten nicht die gesamte Risikolast auf Einzelpersonen abwälzen
- Sie sollten Grundrechte nicht gefährden
- Das Internet sollte ein Raum zum Lernen, zur Vernetzung und zum Schaffen bleiben, und alltägliche Handlungen wie der Kauf von Gesichtscreme, die Nutzung von Dating-Apps oder die Suche nach Diätprodukten dürfen nicht mit der Gefahr von Überwachung oder Zensur verknüpft werden
1 Kommentare
Hacker-News-Kommentare
Das Internet ist standardmäßig nicht eingestuft und sollte daher nur für Erwachsene sein. Wie öffentliche Orte eben.
Das ist ähnlich wie die Frage, ob man ein 8-jähriges Kind allein durch New York City laufen lassen würde; über stärker kontrollierte Räume kann man diskutieren.
Wenn eine Website auch für Kinder sichtbar sein möchte, kann sie in einem Header ausweisen, dass sie moderiert ist und eine bestimmte Einstufung anstrebt; verschiedene Indexdienste könnten das auslesen.
Beschwerden etwa wegen falscher Kennzeichnung würden bei US-Websites an zuständige Stellen wie die FTC weitergegeben; schwerere Straftaten würden wie bisher von anderen Behörden behandelt.
Eltern könnten ein Computerkonto als Kinderkonto markieren, und der Browser könnte so eingestellt werden, dass er listenbasierte Filterregeln befolgt, die die Eltern oder die aktuelle Aufsichtsperson (z. B. die Schule) ausgewählt haben.
Mit anderen Worten: Das Internet ist eine freie, nicht eingestufte Zone, und der Kindermodus sollte auf Inhalte mit Allowlist-basierter Filterung hinauslaufen.
In den meisten Teilen der USA darf man Pornografie nicht auf Werbetafeln zeigen, nicht im Supermarkt verkaufen und auch nicht auf ein T-Shirt drucken und damit herumlaufen.
Man darf auch nicht nackt herumlaufen oder in der Öffentlichkeit sexuelle Handlungen vornehmen.
Um Pornografie zu kaufen oder in einen Stripclub zu gehen, muss man einen Ausweis vorzeigen und einen Raum hinter geschlossenen Türen betreten, der eindeutig kein öffentlicher Ort ist; oft gibt es nicht einmal Fenster zur Straße.
Deshalb wurden diese Gesetze auf Grundlage der Analogie zu realen öffentlichen Orten und realen Räumen nur für Erwachsene verfasst.
Wenn es um ein 8-jähriges Kind geht, das allein durch New York City läuft, besteht die tatsächliche Gefahr mehr als in allem anderen darin, von der Polizei aufgegriffen oder entführt zu werden.
Das ist eine nordamerikanische Neurose; in anderen Ländern fahren Kinder täglich mit der U-Bahn zur Schule oder zur Arbeit oder gehen zu Fuß dorthin.
Ich halte solche Gesetze für völlig durchgeknallt.
Es sollte ausreichen, nur einzuschränken, wie Unternehmen mit Kinderdaten umgehen dürfen, und klar kenntlich zu machen, dass ein Konto einem Minderjährigen gehört.
Riesige Werbetafeln mit Pornografie sind nicht erlaubt; für den Eintritt in eine Bar braucht man einen Ausweis, für den Kauf von Tabak braucht man einen Ausweis, und in vielen Bundesstaaten muss Tabak in undurchsichtigen Schränken aufbewahrt werden.
Man darf nicht nackt herumlaufen und sich auch nicht betrunken in der Öffentlichkeit aufhalten.
Die Durchsetzung ist zwar uneinheitlich, aber die Gesellschaft tut in der physischen Welt ziemlich viel, um für Kinder eine angemessene Umgebung zu schaffen.
Dieser Fall zeigt sehr anschaulich, dass das Slippery-Slope-Argument nicht grundsätzlich ein Fehlschluss ist.
Es ist lediglich eine Argumentationsform, die leicht zum Fehlschluss wird, wenn Ursache und Wirkung nicht verbunden sind; Menschen werden dabei oft übermäßig wachsam und schalten schon wegen der Prämisse der Schlussfolgerung ab, bevor sie analysieren, wie steil die Rutschbahn tatsächlich ist.
Bei Eingriffen in die Privatsphäre ist der Kernpunkt, dass eine kleine Maßnahme über Symbolik hinaus tatsächlich größere Maßnahmen erleichtert.
Altersverifikation auf Ausweisbasis liefert dem Staat und der Regierung, selbst wenn sie aus guten Gründen eingesetzt wird, die Historie der Nutzung altersbeschränkter Inhalte durch die Bürger.
Wenn die Regierung später beschließt, Menschen zu bestrafen, die irgendein X angesehen, gekauft oder konsumiert haben, wird das deutlich einfacher als für eine Regierung ohne Altersverifikationssystem.
Dass die Regierung jedoch ein vernünftiges X (z. B. Pornografie) altersbeschränkt und anschließend auch ein ungerechtfertigtes Y (z. B. Geschichtsbücher) beschränkt, kann für sich genommen immer noch eher einem Fehlschluss ähneln.
Denn es gäbe dann fast denselben Widerstand und dieselben Umgehungen wie bei einer direkten Beschränkung von Y.
In diesem Artikel ist X Pornografie und Y sind Gesichtscreme, Dating-Apps und Diätpillen; auch solche Dinge können bis zu einem gewissen Grad altersbeschränkt sein.
Die eigentliche schiefe Ebene liegt darin, dass solche Beschränkungen der Regierung Daten über mehr Menschen liefern, insbesondere über Menschen, die keine Pornografie ansehen.
Fast alles ist möglich, aber Altersverifikation für X bedeutete nicht zwangsläufig Altersverifikation für Y.
Der Wert des Slippery-Slope-Arguments liegt daher darin: „Berücksichtige die Möglichkeiten, die X eröffnen kann.“
Im KI-Zeitalter sind rhetorische Argumente wichtiger denn je.
Probabilistische KI sagt auf Grundlage früheren Wissens zukünftiges Verhalten voraus — genauer gesagt das nächste Token — und ahmt Rhetorik unbeholfen nach.
Das bedeutet nicht, dass logische Argumente unwichtig wären; wir bevorzugen Gewissheit, aber in Situationen, in denen nicht alles gewiss ist, müssen Entscheidungen auf Grundlage von Wahrscheinlichkeiten und Unbekanntem getroffen werden.
Das ist kein deduktiver Fehler, sondern ein informeller Fehlschluss, weshalb nicht nur die Form des Arguments, sondern auch die Bewertung der Belege nötig ist.
Außerdem bedeutet weder ein deduktiver noch ein informeller Fehlschluss, dass die Schlussfolgerung falsch ist.
Ein Fehlschluss betrifft nicht die Frage, ob die Schlussfolgerung wahr ist, sondern wie stark die vorgebrachte Schlussfolgerung durch die angeführte Schlusskette und die Belege gestützt wird.
Nur weil ein Argument ein logischer Fehlschluss sein kann, heißt das nicht, dass die Behauptung falsch ist.
Für die von unserem Bundesstaat ausgestellte eID-Karte heißt es, sie solle eine Funktion haben, mit der das Alter gegenüber vertrauenswürdigen Parteien anonym bestätigt werden kann.
Der Anfragende sendet eine mit einem staatlich ausgestellten Zertifikat signierte Anfrage an die ID-Karte; die Karte prüft die Echtheit der Anfrage und gibt eine signierte Bestätigung zurück, ob das gesetzliche Mindestalter erfüllt ist; der Anfragende verifiziert dann diese Signatur.
Personenbezogene Daten werden nicht geteilt.
Ich bin zwar nicht mit breiten Altersbeschränkungen einverstanden, aber das ist eine gute technische Lösung für eine datenschutzwahrende Altersprüfung.
Wenn die Partei, die eine Bestätigung anfordert, direkt mit dem Staat als Prüfinstanz interagiert, erfährt der Staat die Identität des anfragenden Dritten.
Der richtige Ablauf zur Wahrung der Anonymität wäre, dass der Anfragende dem Nutzer ein Challenge-Token ausstellt, dessen Header den Anfragetyp enthält („über 18?“) und dessen Body vollständig zufällig ist.
Wenn der Nutzer diese Challenge auf seiner Seite verifizieren lässt und das signierte Token an den Anfragenden zurückgibt, kann der Staat nicht erkennen, wer der Challenge-Aussteller ist.
Allerdings setzt diese Methode voraus, dass der Challenge-Aussteller in gutem Glauben handelt und der Token-Body tatsächlich zufällig ist; es scheint, als ließe sich diese Schwachstelle mit einem einfachen DH-Schlüsselmechanismus abmildern.
Wenn sich wie bei Apples Ansatz ein beliebiges Alter bestätigen lässt, kann man mit einigen Anfragen das Alter herausfinden; und wenn bei jedem Besuch geprüft werden muss, erhält man am Ende sogar das genaue Geburtsdatum.
Wenn der Prüfer Daten an die Prüfseite weitergeben muss oder wenn die Prüfanfrage eine site-, app- oder unternehmensspezifische Kennung enthält, erfährt der Prüfer, welches Ziel besucht wird.
Außerdem sollten wir uns zuerst fragen, wozu das Ganze gut sein soll, solange es irgendwo auf der Welt Rechtsräume gibt, die keine Altersprüfung verlangen, denn Kinder können das leicht per kostenlosem VPN oder Proxy umgehen.
Das macht den Ablauf jetzt noch komplexer.
https://apnews.com/article/utah-app-store-age-verification-7...
https://le.utah.gov/~2025/bills/static/SB0142.html
Oder es ist der Test: „Wie schwer ist es für Minderjährige, Bier zu kaufen?“
Wenn die eID-Karte nur sagt: „Ja, diese Person ist alt genug“, kann jeder Jugendliche einfach ein Gerät mit eID-Karte in die Finger bekommen und es benutzen.
Es ist seltsam, von Käufern von Hautpflegeprodukten oder Kosmetika mit Inhaltsstoffen wie Vitamin A oder Alpha-Hydroxysäuren eine Altersprüfung zu verlangen.
Warum müssen Minderjährige vor „schädlichen Chemikalien“ geschützt werden, Erwachsene aber nicht?
Wenn Hautcremes mit Vitamin A oder Alpha-Hydroxysäuren schädlich sind – was bei angemessenen Konzentrationen überhaupt nicht einleuchtet –, dann sollte man sie einfach abschaffen.
Mit Kindern sind hier etwa frühe Teenager gemeint, manche von ihnen werden sogar selbst zu Influencern.
Gleichzeitig nehmen Berichte darüber zu, dass solche Produkte verwendet oder falsch verwendet werden und dadurch die Haut geschädigt wird.
Vitamin A und AHA sind großartig, aber heikel in der Anwendung und können leicht zu chemischen Verbrennungen oder Retinol-Verbrennungen führen.
Es scheint keinen guten Grund zu geben, Kinder solche Produkte allein handhaben zu lassen, und Dinge wie Retinol werden ohnehin gerade für alle reguliert.
Produkte, die Chemikalien enthalten, müssen ein Prop-65-Label tragen.
Ich frage mich, ob solche Gesetze zur Einführung von Technologien wie Verifiable Credentials führen könnten.
Ich sehe einen legitimen Anwendungsfall dafür, sagen zu können: „Eine bestimmte Drittinstanz kann ____ über mich bestätigen“, ohne offenzulegen, wer der Drittanbieter ist, der die Verifizierung angefordert hat, und ohne der prüfenden Seite mehr Informationen preiszugeben als die konkret benötigte Behauptung (z. B. das Alter).
[0]https://en.wikipedia.org/wiki/Verifiable_credentials
Kürzlich wurde ein Gesetz verabschiedet, das Pornoseiten zwingt, das Alter ihrer Besucher zu prüfen, und eine Authentifizierung über France Connect wäre vermutlich in Ordnung gewesen.
Der Staat weiß – wie ein DNS-Anbieter –, welche Website man besucht hat, aber nicht welche Inhalte; die Website weiß, welche Inhalte angesehen wurden, aber nicht, wer sie ansieht. Das hätte also die Vorteile beider Seiten.
Tatsächlich muss man der Website aber eine Kopie seines Ausweises schicken, was absurd ist.
Denn dann weiß die Website sowohl, wer ich bin, als auch, was ich mir ansehe.
Die Kräfte, die solche Altersprüfungsgesetze im Stil von „Rettet die Kinder“ vorantreiben, werden von Verifizierungsfirmen finanziert, die auf Aufträge hoffen.
Auch Russell Vought von Project 2025 ist sehr daran interessiert, Pornografie als Vorwand für mehr Überwachung zu nutzen.
Ich bin nicht für Altersprüfung und glaube auch nicht, dass sie irgendetwas löst.
Allerdings sind unter den ins Visier genommenen Produktkategorien Hautpflege sowie Diät-Lebensmittel und Nahrungsergänzungsmittel derzeit besonders werbeintensiv, und sie riechen ziemlich stark nach Betrügereien.
Nahrungsergänzungsmittel sind kaum reguliert, und da der FDA-Chef ein Fan von Supplements ist und selbst ein Supplement-Unternehmen besitzt, könnten sie bald faktisch völlig unreguliert sein.
Wenn Supplements ordentlich reguliert würden, ließen sich viele Probleme in diesem Bereich lösen.
Wer hätte so etwas vorhersehen können?
Es wäre doch schön gewesen, wenn ein wohlwollender Unternehmensgott schon bereitgestanden hätte, um für genau solche Situationen einen vertrauenswürdigen globalen Identitätsdienst anzubieten.
Wäre das nicht plötzlich passiert, gäbe es inzwischen vielleicht jemanden, der eine Art echte digitale Fingerabdrücke und passähnliche Identitäten schafft, die einen überall im Internet begleiten, damit man sich nicht immer wieder aufs Neue ausweisen muss.
Das wäre wohl eine so transparente Lösung gewesen, dass man sie weder sehen noch erreichen kann, die auf der Suche nach einem Problem ist.
Plötzlich kann mich das Internet nicht mehr mit dieser Präzision nachverfolgen?
Angeblich kennt es mein Alter nicht, aber Discord kennt mein Alter, und ich habe dort nie meinen Geburtstag angegeben.
Altersverifikation sollte nicht auf Websites erzwungen, sondern in den Browser eingebaut werden.
Eltern sollten in jedem Browser auf passwortgeschützte Einstellungen zugreifen können, um bestimmte Arten von Websites, etwa Pornoseiten, auszuschließen.
Der Staat kann dann gegen Websites vorgehen, die diese Einstellung nicht respektieren.
Aber Altersverifikation auf Websites zu erzwingen, ist dumm.
Aber wenn Erziehungsberechtigte auswählen können sollen wie „Drogen erlauben, Pornos blockieren, Nachrichten blockieren, Waffen blockieren“, wer erstellt dann ein Klassifikationssystem für alle Domains und Websites im Internet?
Oder wie soll eine beliebige Website dem Browser ihre eigene Altersbeschränkung mitteilen?
Sobald man über ein simples Flag „für diese Domain ist elterliche Zustimmung erforderlich“ hinausgeht, nähert man sich schnell klassischer Kinderschutzsoftware.
Ich bin sicher nicht der Einzige hier, der früher in der Schule Taschengeld damit verdient hat, überzogene elterliche Kontrollen zu umgehen.
Die Pflicht der Website sollte sich darauf beschränken, grundlegende Metadaten wie „Diese Website kann X enthalten“ offenzulegen.
Die Vorteile sind: Der Staat baut kein orwellsches Panoptikum, das den gesamten Verlauf der Kontoerstellung kennt; die Kosten für Aufbau und Wartung des Systems tragen diejenigen, die es tatsächlich wollen und nutzen; Eltern können in der physischen Realität direkt überprüfen, ob das Kind Papas Handy benutzt; und Ausnahmen wie Wikipedia-Seiten, die für Hausaufgaben nötig sind, lassen sich von Eltern leicht erlauben oder widerrufen.
Wenn in irgendeiner Religion entblößte Knöchel als Pornografie gelten, dann soll diese Kirche ihren eigenen Website-Bewertungsdienst aufbauen und ihre Gläubigen ihn auf den Familiengeräten einrichten lassen.
Wie immer beginnt und endet Erziehung bei den Eltern.
Das Internet sollte offen bleiben, und wenn ein Kind etwas Unangenehmes sieht oder etwas, das seine Annahmen infrage stellt, sollten Eltern ein Umfeld schaffen, in dem es bequem darüber sprechen kann.
Das ist auch fast der einzige Ort, an dem sie die beabsichtigte Wirkung haben dürfte, und hat den Vorteil, keine Massenüberwachung zu ermöglichen.
Die Daten sind bereits vorhanden, und soweit ich weiß, sind das auch die Daten, die Bars nutzen, wenn sie Ausweise mit tragbaren Lesegeräten scannen.
Das Internet sollte frei, offen und unzensiert sein.
Danach müssen Eltern die Pflicht übernehmen, sich um ihre Kinder zu kümmern.
Das heißt, man sollte einem dreijährigen Kind kein Smartphone kaufen und in die Hand drücken.
Es scheint, als würde die Welt das langsam begreifen.
Dass die Welt das begreift, halte ich allerdings für eher unwahrscheinlich.
Du wärst überrascht, wie hoch der Anteil der Eltern ist, die Erziehung gern an den Staat auslagern würden.
Aber ab welchem Alter sollte ein Mensch ein Telefon besitzen und unbeaufsichtigt nutzen dürfen?
21 oder 18 ist nicht vernünftig, und selbst 16 wirkt ziemlich puritanisch.