EU-Altersverifizierungs-App ohne Pläne für Desktop-Unterstützung

 (github.com/eu-digital-identity-wallet)
2 Punkte von GN⁺ 2025-09-25 | 1 Kommentare | Auf WhatsApp teilen
  • Das EU-Projekt für die digitale Identitäts-Wallet konzentriert sich nur auf mobile Plattformen (Android/iOS) und zieht keine Desktop-Unterstützung in Betracht
  • Viele Bürger werden dadurch von Diensten ausgeschlossen, darunter Menschen ohne Smartphone und Nutzer verschiedener Betriebssysteme
  • Häufige Anfragen zur Altersverifizierung und Datenschutzprobleme verschlechtern die Nutzbarkeit
  • Der Ansatz führt zu zentralen Bedenken wie Abhängigkeit von Google und Apple, eingeschränktem Wettbewerb und geschwächter digitaler Souveränität
  • Die Notwendigkeit von Alternativen auf Basis von Open Source, Browser-Erweiterungen und allgemeinen Standards wird hervorgehoben

Überblick und Kernproblem

  • Dieses Thema wirft Bedenken hinsichtlich der Nutzbarkeit des Altersverifizierungssystems der EU Digital Identity Wallet (eu-digital-identity-wallet) auf
  • Da sich der aktuelle Vorschlag auf mobile Apps (Android und iOS) konzentriert, zeigt sich ein faktischer Ausschluss von Menschen ohne Smartphone, PC-Nutzern und Anwendern alternativer Betriebssysteme

Zentrale Usability-Probleme

  • Es wird angenommen, dass alle Bürger ein Smartphone besitzen, obwohl es weiterhin Fälle von Menschen ohne Smartphone, etwa ältere Personen, gibt
  • Bei der Web-Nutzung, insbesondere im privaten oder anonymen Modus, wird jedes Mal eine Altersverifizierung verlangt, was die Zugänglichkeit des Webs stark verschlechtert
  • Eine Browser-Erweiterung zur Automatisierung wurde ebenfalls diskutiert, hat aber Grenzen bei Zuverlässigkeit und Datenschutz
  • Die technische Umsetzung ist kostspielig, und es besteht die Gefahr einer Bindung an bestimmte Programmiersprachen oder Ökosysteme, was die Teilnahmehürden für kleinere Akteure wie Startups erhöht

Reaktion der EU und der Community

  • Das EU-Projekt erklärt, dass beim Zugriff auf bestimmte altersbeschränkte Inhalte eine Authentifizierung in einer für Nutzer vertrauenswürdigen und datenschutzfreundlichen Weise erforderlich sei
  • Da Mobilgeräte (Android/iOS) den Großteil der Nutzer und realen Anwendungsfälle ausmachen, gehört Desktop-Unterstützung derzeit nicht zum Umfang
  • Es handele sich nur um eine Referenzimplementierung zur Erfüllung des DSA, und auch andere alternative Lösungen seien möglich
  • Künftig werde eine Ausweitung auf weitere Plattformen sowie die Einbindung unterschiedlicher Beiträge in Betracht gezogen

Gegenargumente und weitere Bedenken

  • In einigen europäischen Ländern verfügt mehr als jeder zehnte Haushalt nicht über ein Smartphone
  • Obwohl auf dem Markt verschiedene Betriebssysteme und Geräte jenseits der Standard-OS von Google und Apple existieren (Linux, Windows, Sailfish usw.), schließt der bestehende Ansatz diese aus
  • Eine öffentliche Identitätsinfrastruktur würde dadurch von der monopolartigen Struktur bestimmter Unternehmen (Google, Apple) abhängig, was Wahlfreiheit der Nutzer und künftigen Marktwettbewerb untergräbt
  • Als öffentliche Infrastruktur müssen Plattformunabhängigkeit und Vendor-Neutralität gewährleistet sein; erforderlich sind Alternativen wie Smartcards, FIDO2-Hardware-Token und ein EU-eigenes Authentifizierungs-Framework

Vorschläge für technische und politische Alternativen

  • Vorgeschlagen wird ein allgemeiner Ansatz auf Basis von Standards wie der W3C Credential Management API, Browsern, Betriebssystemen und Open-Source-Erweiterungen
  • Die Fokussierung digitaler Identitätssysteme auf Mobilgeräte mag als Ersatz für physische Ausweise geeignet sein, für Online-Authentifizierung sind jedoch Web-Basis und Erweiterbarkeit unverzichtbar
  • Im Zuge regulatorischer Vorhaben äußern viele die Sorge, dass Bürger in der EU dadurch von bestimmten US-Unternehmen abhängig werden

Fazit und Forderungen

  • Bei kritischer Infrastruktur wie der digitalen Identität (einschließlich Altersverifizierung) sind Universalität, Vendor-Neutralität und Plattformunabhängigkeit unverzichtbar
  • Die Entwicklung und Einführung alternativer Lösungen auf Basis unterschiedlicher Hardware, Betriebssysteme, Browser und offener APIs wird als notwendig betont
  • Das EU-Projekt ist nur ein Beispiel; die Zulassung von Open-Source- und Drittanbieter-Implementierungen sowie die Ausweitung auf Desktop und andere Plattformen bleiben zentrale Aufgaben

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-09-25
Hacker-News-Kommentare

  • Derzeit konzentriert sich dieses Projekt auf mobile Plattformen, also Android und iOS, mit der Begründung, dass diese beiden Plattformen die meisten Nutzer abdecken; Desktop-Unterstützung ist derzeit nicht Teil der Planung. Für mich klingt diese Situation wie die Frage: „Habt ihr etwa kein Handy?“, nur in viel größerem Maßstab. Auch dort, wo ich lebe, nutze ich mein Handy nur auf das Nötigste beschränkt. Das gilt sogar, obwohl ich in der Tech-Branche arbeite. Umso besorgniserregender finde ich, dass es zunehmend unbequemer wird. Es entsteht der Eindruck, man müsse ein Handy benutzen, um überhaupt als Teil der Gesellschaft anerkannt zu werden. Vor allem, weil mehrere Länder – darunter auch meines – an Altersverifikation arbeiten und sogar davon die Rede ist, das „Sideloading“ auf Android zu blockieren. Ich frage mich ernsthaft, ob man Ende 2026 ohne staatlich anerkanntes Smartphone womöglich nicht mehr als vollwertige Person behandelt wird. Siehe YouTube-Link

    • Solche Projekte werden mit der Absicht vorangetrieben, über leicht zugängliche und günstige Smartphones mehr Menschen den Zugang zur modernen Gesellschaft zu ermöglichen, aber das Ergebnis ist eine stärkere gesellschaftliche Schichtung. Mein Bruder hasst Technik regelrecht und nutzt nur ein altes Klapphandy, und es ist fast erstaunlich, welche Probleme daraus entstehen. Am schlimmsten sind Desktop-Websites, die ständig die Installation einer App verlangen und dann nicht richtig funktionieren.

    • Ich möchte über aktuelle Nachrichten zur erzwungenen App-Nutzung sprechen: Ryanair will ab November gedruckte Bordkarten abschaffen und Bordkarten nur noch über die App bereitstellen. Selbst im mobilen Browser zeigt die Ryanair-Website keinen QR-Code an – man muss zwingend die App benutzen. Nachrichtenlink

    • Im Kern geht es darum, alle Menschen wie mit einem „Halsband“ verfolgbar zu machen. Verschwörungstheoretiker sorgen sich um implantierte Mikrochips, aber tatsächlich wird in der modernen Gesellschaft längst auf eine Weise kontrolliert, die viel weniger Abwehr hervorruft. Es wirkt, als gäbe es unendliche Freiheit und Chancen, doch in Wirklichkeit ist genau das ein Mittel zur Einschränkung der Freiheit. Um Gilles Deleuzes „Postskriptum über die Kontrollgesellschaften“ zu zitieren: Kontrollsysteme verfolgen die Position jedes Elements – Tier oder Mensch – in Echtzeit; was wie ein digitaler Ausweis oder eine Karte aussieht, bedeutet in Wahrheit, dass Computer unseren Aufenthaltsort und unser Verhalten vollständig überwachen. Paper-Link

    • Ich finde es eher gut, dass Altersverifikation nicht auf freie Desktops angewendet wird. Zumindest auf dem Desktop gibt es noch Freiheit.

  • Für mich ist das ein gutes Beispiel dafür, dass diese Vorgabe ohne ausreichendes Nachdenken vorangetrieben wird. Nach ihrer eigenen Aussage fallen Desktop-Apps gar nicht erst in den Geltungsbereich der Altersverifikation. Vielleicht erleben wir dadurch sogar ein Comeback von Desktop-Anwendungen statt Webservices. Gleichzeitig bedeutet es aber, dass Erwachsene nun mit noch mehr Unannehmlichkeiten belastet werden. Ein weiteres Problem ist, dass diese Politik die Entwicklung neuer Handy-Betriebssysteme praktisch verhindert. Wenn eine Verifikation über Online-Wallets nicht möglich ist, wer würde dann noch ein neues Handy-OS entwickeln wollen?

    • Ich würde sagen, genau so ist die Realität bereits heute. Banking-Apps oder staatliche eID-Apps lassen sich nur auf Geräten von Google oder Apple verwenden.

    • Diese Politik vermittelt sehr stark den Eindruck: „PCs sind veraltet und deshalb unwichtig.“

    • Dieses Beispiel zeigt meiner Meinung nach nicht, dass die Politik schlecht umgesetzt wurde, sondern dass man missverstanden hat, was die Verantwortlichen eigentlich wollen. In Wahrheit ist ihr Ziel, genau diese Inhalte zu blockieren; die Erwachsenenbeschränkung ist nur die Verpackung. Ihr eigentliches Ziel ist es, den Zugang selbst zu verhindern.

    • Tatsächlich lautet die richtige Antwort wohl: „Um diese Desktop-App zu benutzen, brauchst du ein Smartphone.“

    • Auf eine Rückkehr der „Desktop-Anwendungen“ zu hoffen bringt nichts; weil es gesetzlich nötig wäre, müsste selbst eine Desktop-App am Ende mit einem Smartphone gekoppelt sein.

  • Ich möchte noch einmal betonen, dass dieses Projekt nicht THE digital wallet ist, sondern ein früher Prototyp. Die Infrastruktur soll nicht auf Attestation setzen, sondern auf doppelt blinde ZKP (Zero-Knowledge Proof), was beim Datenschutz besser ist als bestehende Public-Key-Systeme. Es wäre auch plattformübergreifend kompatibel. Falls man damit nicht vertraut ist: In diesem System erfährt die Zertifizierungsstelle außer der Aussage über ein Attribut (Alter, Führerschein usw.) nichts weiter, und auch die EU weiß nicht, welches Attribut wann verifiziert wurde oder wer es versucht hat.

    • Man könnte sagen: „Die Leute missverstehen das Projekt“, aber tatsächlich wird bisher nur ein Ansatz erforscht, bei dem keine Unterscheidung zwischen Ausstellern möglich sein soll; aktuell wird jedoch eine verknüpfbare Lösung auf Basis standardisierter Kryptografie eingesetzt. Wenn also die verifizierende Stelle (die Regierung eines Mitgliedstaats) und der Verifikationsanfrager (die Website) zusammenarbeiten, können sie die Anonymität der Nutzer leicht aufheben. Sowohl SD-JWT als auch die Signaturen werden geteilt, sodass Aussteller und Anfrager Identifikatoren sehen können. Letztlich ist dieses Projekt also eine Demonstration dafür, dass Altersverifikation technisch machbar ist. Vielleicht wird später Privacy-Technologie eingeführt, aber oft wird eine Übergangslösung zur dauerhaftesten Lösung von allen. Weil sich der Aussteller im aktuellen Design so leicht identifizieren lässt, könnten Datenschutzmaßnahmen sogar verschlechtert werden. Referenzlink

    • Ich frage mich, ob es Dokumente zu ZKP (Zero-Knowledge-Proof) gibt.

    • Ich bin verwirrt darüber, was mit „Dieses Projekt ist nicht THE digital wallet, sondern the wallet“ gemeint ist.

  • Wenn man das Wesen von Hardware-Attestation erklären will: Sie ist wirklich ein äußerst scharfes zweischneidiges Schwert. Das größte Problem ist, dass die Attestierungs-Hardware und die Client-App auf demselben Gerät desselben Herstellers laufen. Hersteller stellen ihre eigenen Einnahmen über die Privatsphäre ihrer Kunden. Die aktuelle pro-Attestation-Landschaft ist so stark, dass ich den Moment der „Offenheit“, den wir noch haben, wertschätzen möchte.

    • Ich verstehe die Metapher vom „zweischneidigen Schwert“ so, dass es Vor- und Nachteile gibt, aber ich sehe nicht so recht, worin der Vorteil bestehen soll, meine eigene Hardware nicht mehr so nutzen zu können, wie ich möchte.

    • Am absurdesten finde ich, dass die EU Hardware-Attestation, die von zwei privaten US-Unternehmen kontrolliert wird, zur Voraussetzung für den Zugang zu Diensten machen will. Der Geist der EU-Regulierung dreht sich doch um Verbraucherschutz, die Verhinderung von Monopolen und die Grundrechte der Bürger. In letzter Zeit wird sogar digitale Souveränität betont. Das hier steht jedoch frontal gegen all diese Prinzipien. Es schadet den Kunden – faktisch das Gegenteil der DSGVO –, nützt nur monopolartigen Großkonzernen und führt dazu, dass US-Unternehmen darüber bestimmen, ob Bürger Zugang zu Informationen erhalten. Für mich widerspricht das komplett dem Geist der EU.

    • Ich hege die hoffnungsvolle Erwartung, dass diese Situation sogar eine neue Art von Hardware-Chance eröffnen könnte.

    • Ich frage mich, wie Private Access Token (PAT) die Privatsphäre zugunsten der Monetarisierung untergraben.

  • Ich denke, am Ende bleibt uns nur die Option, solche Dienste nicht zu nutzen. Realistisch gesehen werden Menschen aber den Komfort nicht aufgeben wollen, sodass kollektives Handeln wohl ausbleibt. Vielleicht wäre es möglich, wenn alle Dienste meiden würden, die Desktop-Nutzer ausschließen. Die echte Lösung wäre Verbraucherhandeln im Sinne von „mit den Füßen abstimmen“. Doch die meisten Menschen kümmern sich nicht darum, wie ihre Daten und Rechte verwendet werden, und akzeptieren Unannehmlichkeiten einfach. Jedes Jahr ein neues Handy kaufen? OK. Sämtliche Kommunikationsdaten den Big-Tech-Konzernen überlassen? OK. Überwachung durch Privatunternehmen statt staatliche Stellen? Wird ebenfalls hingenommen. Es gibt einfach zu viele Menschen, die sofort das Interesse verlieren, sobald man über technische oder gesellschaftliche Probleme spricht. Wie man gewöhnliche Menschen überhaupt für digitale Rechte interessiert – das ist die größte Aufgabe.

    • Diese Debatte fühlt sich schon seit Langem wie ein verlorener Krieg an. Ich erwarte, dass die Freiheit im Internet auch künftig schrittweise eingeschränkt wird. Wenn die Menschen aufwachen, ist es wahrscheinlich bereits zu spät. Trotzdem hoffe ich optimistisch, dass föderierte Dienste zum Mainstream werden und so etwas einhegen können.

    • Das ist meiner Ansicht nach erst der erste Schritt. Der nächste Schritt wird sein, verpflichtende Identitätsverifikation für alle Dienste einzuführen. Dann bleibt nur noch: akzeptieren oder den Dienst gar nicht mehr nutzen.

    • Die meisten Menschen kümmern sich erst dann darum, wenn sie selbst einen klaren Ursache-Wirkung-Fall erleben, bei dem ein Klick auf den OK-Button in irgendeinem Formular reale negative Auswirkungen auf Familie, Arbeit oder Alltag hat. Andernfalls bleibt alles bloß eine abstrakte Sorge.

  • Nachdem ich das DSA (Digital Services Act) geprüft habe, sehe ich nur an drei Stellen Bezüge zur Altersverifikation. Erwägungsgrund 71 und Artikel 28 sagen, dass die Privatsphäre und Sicherheit von Minderjährigen besonders geschützt werden müssen, verbieten aber zusätzliche Verarbeitung personenbezogener Identitätsdaten. Nur Artikel 35 deutet an, dass „sehr große Online-Plattformen“ Altersverifikation einführen könnten. Erwägungsgrund 57 stellt klar, dass KMU nicht unter diese Regulierung fallen. In der aktuellen Lage ist Altersverifikation also außerhalb großer Plattformen nicht verpflichtend. Die Kommission versucht zwar, Druck aufzubauen, aber rechtlich ist es noch keine Pflicht. Siehe auch die Leitlinien und den Kommentar

    • Die digitale Identitäts-Wallet ist nicht Teil des DSA, sondern ein Projekt, das „die Identität auf das Handy verlagert“. Wenn alles nach Plan läuft, lassen sich Personalausweis, Führerschein, Zeugnisse, Zugtickets und sogar Zahlungen vollständig über solche Apps abwickeln. Weil es um Attributsnachweise geht, könnte man zum Beispiel seine Fahrberechtigung nachweisen, ohne seine Bürgernummer offenzulegen. Aber sobald diese Infrastruktur existiert, wird die Regierung – unter dem Vorwand von Kostensenkung, Kinderschutz, Terrorabwehr usw. – weitere Pflichten hinzufügen. Am Ende besteht das Risiko, dass verpflichtende Verifikation auf immer mehr Unternehmen ausgeweitet wird. Projektlink

  • Ich denke, der Titel „EU age verification app not planning desktop support“ ist irreführend, weil er so klingt, als sei Altersverifikation auf dem Desktop unmöglich. Tatsächlich sind viele verschiedene Lösungen denkbar. Diese App ist nur ein „Beispiel“ davon. Deshalb wäre „EU age verification example app not planning desktop support“ wohl der passendere Titel. Ich stimme der Umsetzung nicht zu, aber die Kritik sollte präzise sein.

  • Das mag verschwörungstheoretisch klingen, aber ich glaube, genau deshalb versucht Google, Sideloading zu beenden. Mobile Plattformen sind derzeit die einzigen Plattformen, auf denen sich erzwungene Softwareinstallation und Remote-Verifikation praktisch umsetzen lassen. Wenn Sideloading blockiert wird, könnte Google – oder auf iOS Apple – künftig allen App-Stores und Browsern die Nutzung staatlich zertifizierter APIs aufzwingen.

    • Google begrüßt solche Verifikationsgesetze, weil sie zum eigenen Geschäftsmodell passen. Für den Verkauf von Werbung ist es wichtig, dass Nutzer echte Menschen sind, daher ist Verifikation wertvoll. Andere soziale Medien wie X haben ähnliche Anreize.

  • „Wegen solcher Politik wird das gesamte Web für Menschen unbenutzbar, die privat im Web surfen wollen“ – das ist kein Unfall, sondern ihre „Absicht“. Man schaue sich nur Fälle in Großbritannien und Deutschland an, in denen Menschen wegen Äußerungen in sozialen Medien festgenommen wurden.

  • Solche Politik ist absurd und nicht nachvollziehbar.

    • In Wahrheit ist sie völlig nachvollziehbar. Das Ziel ist, Nutzer freiheitsorientierter Betriebssysteme wie Linux schief anzusehen und sie wie Bürger zweiter Klasse zu behandeln. Siehe verwandten Fall

    • Je nachdem, wen man fragt. Google will durch Entwicklerverifikation oder die Sideloading-Hürden von iOS kontrollieren, was Nutzer verwenden. Der Desktop bietet zu viel Freiheit; deshalb dämpfen solche Politiken gerade die Desktop-Nutzung und stärken die Abhängigkeit von geschlossenen Ökosystemen.