An der Altersverifikation gescheitert – was nun?

 (eff.org)
1 Punkte von GN⁺ 2026-01-16 | 2 Kommentare | Auf WhatsApp teilen
  • Da Online-Dienste die Altersverifikation (Age Gate) verpflichtend einführen, werden Nutzer dazu gedrängt, unter dem Risiko der Preisgabe persönlicher Daten eine Wahl zu treffen
  • Die EFF lehnt solche gesetzlich vorgeschriebenen Maßnahmen ab und gibt zugleich praktische Hinweise, wie sich Nutzerrechte auch in bereits eingeführten Systemen bestmöglich schützen lassen
  • Der Beitrag betont das Prinzip der minimalen Datenweitergabe und vergleicht für die einzelnen Verfahren Risiken und Grenzen wie Gesichtserkennung, Upload von Ausweisen und Verifikation per Kreditkarte
  • Die Richtlinien zu Altersschätzung, Verifikation durch Dritte und Datenspeicherung bei großen Plattformen wie Meta, Google und TikTok werden konkret analysiert
  • Da keine Methode vollständigen Datenschutz garantiert, ist es für Nutzer unerlässlich, nur die nötigsten Informationen bereitzustellen und Löschverfahren zu prüfen

Die Realität und die Risiken von Altersverifikationssystemen

  • Die EFF erklärt ausdrücklich, dass Age Gates und verpflichtende Altersverifikation die Meinungsfreiheit und den Datenschutz verletzen
    • In mehreren Bundesstaaten und Ländern sind entsprechende Gesetze bereits in Kraft, und Nutzer werden im gesamten Web zur Altersprüfung aufgefordert
    • Im Verifikationsprozess kam es bereits in vielen Fällen zu Lecks sensibler Daten
  • Nutzer müssen selbst abwägen, ob sie einen Dienst weiter nutzen wollen und wie sich die Preisgabe persönlicher Daten minimieren lässt
    • Die EFF stellt für jede Verifikationsmethode eine Checkliste mit Fragen bereit: Art der Daten, Zugriffsberechtigte, Speicherdauer, Auditierung, Umfang der Offenlegung
  • Empfohlen wird das Prinzip der minimalen Datenweitergabe, also so wenig Informationen wie möglich anzugeben
    • Schätzungen auf Basis von Gesichtserkennung sind für manche Nutzergruppen (People of Color, Transgender-Personen, Menschen mit Behinderungen usw.) weniger genau
    • Digitale IDs sind nur auf einigen Plattformen möglich und bergen weiterhin das Risiko der Offenlegung von Informationen

Altersverifikationsmethoden der wichtigsten Plattformen

Meta (Facebook, Instagram, WhatsApp, Messenger, Threads)

  • Meta schätzt das Alter von Nutzern anhand von Beiträgen, Nachrichten usw.
    • Wenn keine Schätzung möglich ist oder das Alter als zu jung eingeschätzt wird, wird eine Verifikation verlangt
  • Bei der Verifikation per Gesichtserkennung wird das Foto zur Verarbeitung an die Server von Yoti übertragen
    • Yoti gibt an, die Daten sofort zu löschen, doch durch vorhandene Tracker besteht das Risiko einer Offenlegung gegenüber Dritten
    • Durch sichtbare Hintergründe können Standortinformationen preisgegeben werden, daher ist Vorsicht geboten
  • Beim Upload eines Ausweises versprechen sowohl Meta als auch Yoti, die Daten nach Speicherung wieder zu löschen
    • Meta speichert sie 30 Tage, Yoti gibt eine sofortige Löschung an
    • Ausweise enthalten sensible Informationen wie Klarnamen und Adresse, was ein Risiko darstellt

Google (Gmail, YouTube)

  • Google schätzt das Alter anhand des Zeitpunkts der Kontoerstellung, des Sehverlaufs usw.
    • Scheitert die Schätzung, kann zwischen Ausweis, Gesichtserkennung, E-Mail, Kreditkarte und digitaler ID gewählt werden
  • Die Gesichtserkennung über Private ID ist durch Verarbeitung auf dem Gerät vergleichsweise sicher
    • Bei gezielten Angriffen auf bestimmte Personen besteht jedoch die Möglichkeit, dass Bilder übertragen werden
  • Die Verifikation per E-Mail wird von VerifyMy durchgeführt, das die E-Mail-Adresse mit Datenbanken Dritter abgleicht
    • Welche Drittanbieterlisten verwendet werden, ist nicht offengelegt
  • Die Verifikation per Kreditkarte läuft über Google Payments und gilt daher als vergleichsweise sicher
    • Nach einer kleinen Belastung erfolgt eine Rückerstattung, anschließend kann die Karte ersetzt werden
  • Digitale IDs sind nur in einigen Regionen verfügbar und können eine Kommunikation mit staatlichen Systemen umfassen
  • Beim Upload eines Ausweises erklärt Google, die Daten nach der Verifikation zu löschen, doch ob externe Audits stattfinden, ist unklar

TikTok

  • TikTok schätzt das Alter automatisch anhand hochgeladener Videos und Audiodaten
    • Wird ein Nutzer als zu jung eingestuft, wird das Konto eingeschränkt oder gelöscht; Einspruch ist nur innerhalb eines bestimmten Zeitraums möglich
  • Die Gesichtserkennung über Yoti birgt dieselbe Risikostruktur wie bei Meta
  • Die Verifikation per Kreditkarte erfolgt über eine kleine Belastung mit anschließender Rückerstattung, doch wie die Sicherheit technisch umgesetzt wird, ist unklar
  • Es gibt auch Verfahren mit der Kreditkarte eines Elternteils oder Erziehungsberechtigten oder mit einem gemeinsamen Foto mit einer erwachsenen Person,
    • doch reale Anwendungsfälle sind kaum bekannt und die Prüfverfahren sind intransparent
  • Das Verfahren über Incode mit Ausweis- und Gesichtsabgleich unterstützt keine automatische Löschung der Daten
    • TikTok erklärt, einen Löschantrag zu starten, doch es ist zusätzlich eine direkte Löschanfrage an Incode nötig
    • Auch hier enthält der Ausweis sensible Informationen wie Klarnamen und Adresse

Weitere Dienste und gemeinsame Grundsätze

  • Spotify und OnlyFans nutzen Yoti, Quora und Discord nutzen k-ID
  • Keine Methode garantiert vollständigen Datenschutz
    • Die zentralen Prinzipien sind minimale Datenweitergabe, begrenzter Zugriff und schnelle Löschung
  • Die EFF kritisiert, dass diese Systeme die Privatsphäre und die Meinungsfreiheit von Nutzern verletzen, und setzt sich weiterhin weltweit für die Rücknahme verpflichtender Altersverifikation ein

Verwandte Beiträge

2 Kommentare

 
roxie 2026-01-23

Bei Roblox dachte ich wirklich, das sei ein Witz.
 
GN⁺ 2026-01-16
Hacker-News-Kommentare

  • Unser Kind hat vor Kurzem mit Roblox aufgehört, weil das Verfahren zur Altersprüfung per Gesichtserkennung zu dubios wirkte
    Das Kind und seine Freunde wissen genau, dass sie niemals eigene Fotos ins Internet hochladen sollen, also sind sie entweder zu anderen Spielen gewechselt oder haben Stockfotos aus dem Internet heruntergeladen und hochgeladen (das soll tatsächlich funktionieren)
    So etwas ist sicherheitstechnisch ein kompletter Witz. Dass Unternehmen es bei Kindern als ‘normal’ etablieren, persönliche Fotos hochzuladen, ist eine wirklich falsche Entwicklung

    • Der Grund, warum diese ‘Normalisierung’ des Foto-Uploads gefährlich ist: Böswillige Nutzer könnten Meldungen wie „Wenn du dich nicht erneut verifizierst, verlierst du deine In-Game-Währung“ anzeigen und so Ausweisfotos sammeln
      Ich fürchte, dass der Schaden schon eingetreten sein wird, bevor Gesetzgeber das Problem überhaupt begreifen
    • Unsere Kinder geben im Internet als Geburtstag immer den 1. Januar 1970 an
    • Andererseits will ich auch nicht selbst meinen Ausweis einreichen müssen
      Anonymität und pseudonymer Zugang sind meiner Meinung nach die beste Lösung
      Wenn ich sehe, dass die EU Altersverifikation vorantreibt und gleichzeitig Daten mit den USA und Polizeibehörden teilen will, mache ich mir Sorgen, dass solche Daten per Gesetz ‘normalisiert’ werden
    • Dass Unternehmen so handeln, ist kein bloßer Fehler, sondern aus meiner Sicht eine bewusste Entscheidung, Privatsphäre zu entnormalisieren und Überwachung zum Alltag zu machen
    • Die britische Regierung unternimmt Schritte, unter dem Vorwand von Altersbeschränkungen Überwachung und Nachverfolgung auszuweiten
      Wenn der Staat von Unternehmen Ausweise, Gesichtsfotos und Videos verlangt, ist das gefährlich und wird am Ende nur Betrug und Datenschutzverletzungen vermehren und die Freiheit einschränken

  • Mein Google-Konto ist alt genug, trotzdem bekomme ich auf YouTube ständig Pop-ups zur Altersverifikation
    Letztlich geht es dabei meiner Meinung nach nicht bloß um Altersprüfung, sondern um das Sammeln von Gesichtsdaten
    Solche Daten werden mit hoher Wahrscheinlichkeit an Dritte verkauft

    • Manche meinen allerdings, Unternehmen wollten Gesichtsdaten nicht unbedingt, hätten aber auch keinen Grund, sie nicht zu nehmen
      Gesichtserkennung ist einfach der leichteste Weg, gesetzliche Vorgaben einzuhalten, deshalb machen sie es einfach so
    • Mein Konto ist auch über 18 Jahre alt, aber als ich ein FPGA-Video ansehen wollte, kam ebenfalls ein Pop-up zur Altersverifikation. Das Alter des Kontos spielt also keine Rolle
    • Ich habe eher den Eindruck, dass Google, Apple und Meta mehr an interner Nutzung der Daten interessiert sind als am Verkauf
    • Nach der EU-Regulierung hat YouTube wohl überreagiert. Ich denke, es war eine Maßnahme, um nach dem ElsaGate-Vorfall seltsame Inhalte auf der Plattform auszublenden
    • Solche Behauptungen klingen viel zu paranoid. Meistens geht es einfach nur darum, gesetzliche Anforderungen zu erfüllen

  • Viele Menschen neigen dazu, einen Dienst einfach nicht loslassen zu können, selbst wenn er vorbei ist
    Wenn HN eine Ausweisprüfung verlangen würde, würde ich die Nutzung einfach einstellen. So ist das eben manchmal

    • Andere sagen jedoch, das sei nicht bloß eine Frage eines Hobbys
      Wenn zum Beispiel Kirche oder Kindergarten Mitteilungen nur über WhatsApp oder Facebook verschicken, haben Nichtnutzer überhaupt keinen Zugang zu Informationen
    • Ich hingegen finde, dass alle Webinhalte frei kopierbar sein sollten
      Früher konnte man sich mit Werkzeugen wie HyperCard oder FileMaker selbst versorgen, heute ist nur noch Überwachungskapitalismus übrig
      Im KI-Zeitalter wird das Kopieren und Automatisieren von Websites möglich, sodass Monopolunternehmen ihre ‘Enshittification’-Strategie vielleicht nicht mehr weiterfahren können
    • Viele Menschen leisten gegen das Aufgeben ihrer Privatsphäre in Wahrheit überhaupt keinen Widerstand

  • Meine größte Sorge ist, dass ich gar nicht wissen kann, ob meine Daten sicher gespeichert werden
    Ich habe einmal eine Benachrichtigung über ein Datenleck auf den Namen meines Babys bekommen. Ein Krankenhaus-Dienstleister hatte die Daten verloren
    Die personenbezogenen Daten meines Kindes waren also kompromittiert, bevor es überhaupt sprechen gelernt hatte
    Wenn ein Unternehmen, mit dem ich nie direkt Geschäfte gemacht habe, meine Daten verlieren kann, dann ist Online-Identitätsprüfung grundsätzlich riskant
    Dazu passend: Your ID online and offline

    • Am Ende wird jede ‘private’ Information, die man online hochlädt, irgendwann öffentlich
      Aussagen wie „wird temporär gespeichert und dann gelöscht“ sind nicht glaubwürdig
      Selbst 2026 weiß man noch nicht einmal sicher, wie Passwörter gespeichert werden, bei Fotos ist das noch viel intransparenter
    • Wenn zudem eine Phishing-Seite wie eine echte Verifizierungsseite aussieht, ist das Risiko groß, dass die Daten im Moment einer Fehleingabe missbraucht werden

  • Ich denke, Altersverifikation ist letztlich ein unvermeidlicher Trend
    So wie man beim Betreten einer Bar oder eines Clubs nach dem Ausweis gefragt wird, wird das auch online ganz natürlich akzeptiert werden
    Deshalb ist entscheidend, wie man es umsetzt
    Denkbar wären zum Beispiel ein Modell, bei dem man nach der Ausweiskontrolle im Laden einen Token in Form einer Geschenkkarte bekommt, oder ein vom Staat ausgegebener anonymer Token, der nur das Alter nachweist
    Die EFF sagt zwar, manche Nutzer hätten Schwierigkeiten mit solchen Technologien, aber ich frage mich, wie hoch dieser Anteil tatsächlich ist

  • Ich war überrascht, dass die EFF die Umgehung per VPN nicht erwähnt hat

    • Andererseits wäre es unangemessen, wenn eine Aktivistenorganisation dazu rät, „das Problem einfach zu umgehen“
    • Außerdem kontrolliert Cloudflare so große Teile des Internets, dass der Zugang per VPN schwierig ist
    • Die Nutzung eines VPN kann sogar dazu führen, dass ein Konto als verdächtig markiert wird
    • „Gib einfach auf“ ist keine Lösung
    • Wenn schließlich immer mehr Länder Gesetze zur Altersverifikation einführen, werden auch VPNs wirkungslos werden, und dann bleibt nur, das Internet zu verlassen oder alternative Netzwerke zu suchen

  • Ich akzeptiere aus Prinzip niemals Cookie-Banner
    Mit uBlock Origin blockiere ich sie alle. Bei Altersverifikation würde ich wohl ähnlich reagieren

    • Wenn eine Website den Zugang ohne Verifikation komplett sperrt, reicht bloßes Blockieren allerdings nicht aus
    • Cookie-Banner sind bloße Hinweise, Altersverifikation ist dagegen eine Zugangsschranke selbst
    • Ein Banner zu ignorieren kommt faktisch einer Einwilligung in sämtliches Tracking gleich

  • Ich denke, ein datenschutzfreundlicher Identitätsdienst könnte eine Geschäftschance sein
    Drittseiten würden nur das Alter prüfen, ohne die eigentliche Identität zu erfahren

    • Das e-ID-System der Schweiz wurde in dieser Form vorgeschlagen
    • Internetzugangsanbieter könnten die Altersverifikation auf Haushalts- oder Unternehmensebene übernehmen
      Zum Beispiel, indem IPv6-Segmente nach Altersbeschränkungen getrennt werden und die Verifikation auf Netzwerkebene erfolgt
    • Die Drittpartei muss die tatsächliche Identität nicht kennen. Verwandte Diskussion: HN thread
    • Umgekehrt fände ich es gut, wenn ein legales Geschäftsmodell entstünde, das Diensten, die unnötigerweise Ausweise verlangen, gefälschte IDs liefert
    • Die Idee ist interessant, aber Kommerzialisierung und Netzwerkeffekte dürften schwierig sein; am Ende müssten wohl große Anbieter wie Apple oder Google vorangehen

  • Technologien zur Altersschätzung anhand des Gesichts sind meiner Meinung nach, egal wie weit sie sich entwickeln, Snake Oil
    Schon der Versuch, Namen und Gesichter miteinander zu verknüpfen, wirkt verdächtig

  • Zuerst habe ich auf den Artikel geklickt, weil ich dachte, es ginge um Jobsuche im höheren Alter

    • Das habe ich anfangs auch missverstanden