Die Falle der Altersprüfung: Altersverifikation schwächt den Datenschutz aller Nutzer

 (spectrum.ieee.org)
2 Punkte von GN⁺ 2026-02-24 | 1 Kommentare | Auf WhatsApp teilen
  • Gesellschaftlich wird eine Verschärfung der Altersgrenzen in sozialen Medien vorangetrieben, doch eine tatsächliche Altersverifikation erfordert zwangsläufig die Erhebung und Speicherung personenbezogener Daten
  • Plattformen stützen sich auf zwei Verfahren: ausweisbasierte Prüfung oder KI-gestützte Gesichtsschätzung; dabei entstehen Risiken durch Fehlalarme, Fehlentscheidungen und Datenlecks
  • Große Unternehmen wie Meta, TikTok, Google und Roblox haben bereits verschiedene Systeme zur Altersschätzung eingeführt, doch wiederholte Prüfungen und Fehlfunktionen sorgen für wachsenden Nutzerfrust
  • Diese Systeme kollidieren mit den Grundprinzipien moderner Datenschutzgesetze (Datenminimierung, Zweckbindung, begrenzte Speicherdauer) und führen besonders in Entwicklungsländern zu stärkerer Überwachung
  • Der Beitrag kritisiert das fehlende Gleichgewicht zwischen Kinderschutz und Datenschutz und warnt, dass Altersverifikation letztlich die Identitäts- und Zugangsstrukturen des Internets insgesamt neu ordnet

Das technische Dilemma der Altersverifikation

  • Gesellschaftlich werden soziale Medien als ähnlich regulierungsbedürftig wie Glücksspiel oder Alkohol betrachtet; daher werden Beschränkungen für Nutzer unter 13 oder 16 Jahren vorangetrieben
  • Um das tatsächliche Alter nachzuweisen, ist jedoch die Erhebung persönlicher Identitätsdaten nötig, und um diesen Nachweis zu belegen, müssen Daten langfristig gespeichert werden
  • Das Ergebnis ist ein struktureller Widerspruch: Strenge Altersregulierung schwächt den Datenschutz

Die wichtigsten Verfahren der Altersverifikation

  • Erstens: ausweisbasierte Verifikation – verlangt werden staatlich ausgestellte Ausweise, digitale Identitäten oder andere Dokumente
    • In manchen Regionen besitzen Jugendliche keinen Ausweis oder es fehlt an digitalen Formen
    • Die Speicherung von Ausweiskopien schafft Sicherheits- und Missbrauchsrisiken
  • Zweitens: inferenzbasierte Verifikation – das Alter wird anhand des Nutzerverhaltens, von Gerätesignalen oder mittels Gesichtserkennungs-KI geschätzt
    • Dabei gibt es probabilistische Fehler; statt Gewissheit besteht stets die Möglichkeit von Fehlurteilen
  • In der Praxis werden beide Verfahren kombiniert, sodass sich die Prüfungen stufenweise verschärfen: Selbstauskunft → KI-Schätzung → Ausweiskontrolle

Beispiele aus großen Plattformen

  • Meta (Instagram): Einführung einer videobasierten Gesichtsaltersschätzung per Selfie über Drittanbieter
    • Bei Verdacht auf Minderjährigkeit wird das Konto eingeschränkt oder gesperrt; bei Widerspruch ist eine zusätzliche Prüfung nötig
  • TikTok: Altersschätzung durch Analyse öffentlicher Videos
  • Google/YouTube: Schätzung auf Basis von Sehgewohnheiten und Aktivität; bei Unsicherheit wird die Vorlage eines Ausweises oder einer Kreditkarte verlangt
  • Roblox: Nach Einführung eines KI-Systems zur Altersschätzung kam es zu Missbrauchs- und Handelsfällen bei Kinderkonten
  • Für Nutzer wird die Altersprüfung so nicht zu einem einmaligen Schritt, sondern zu einem wiederkehrenden Verifikationsprozess

Systemversagen und Datenschutzrisiken

  • Fehlalarme: Erwachsene Nutzer werden als Minderjährige eingestuft und ihre Konten gesperrt
  • Durchrutscher: Jugendliche umgehen die Prüfung per VPN oder mit fremden Ausweisen
  • Im Widerspruchsverfahren müssen Plattformen biometrische Daten, Ausweisbilder und Logs langfristig speichern; damit ist ein Risiko von Datenschutzverletzungen fest eingebaut
  • Bei Hunderten Millionen Nutzern verankert diese Struktur Datenschutzrisiken direkt im Plattformbetrieb

Konflikt mit Datenschutzgesetzen

  • Moderne Datenschutzprinzipien beruhen auf minimal erforderlicher Datenerhebung, Zweckbindung und begrenzter Speicherdauer
  • Altersverifikation verlangt jedoch Log-Speicherung, Aufbewahrung von Nachweisen und fortlaufendes Monitoring und steht damit im Widerspruch zu diesen Prinzipien
  • Regulierungsbehörden lassen sich von dem Argument „wir haben weniger Daten erhoben“ kaum überzeugen; Unternehmen reagieren daher zur Vermeidung von Prozessrisiken mit noch mehr Datensammlung

Mehr Überwachung in Entwicklungsländern

  • Brasilien: Das Kinder- und Jugendschutzgesetz (ECA) besteht neben dem Datenschutzrecht
    • Wegen ungleich ausgebauter Identitätsinfrastruktur steigt die Abhängigkeit von Gesichtsschätzung und externen Verifikationsanbietern
  • Nigeria: Wegen mangelnder offizieller Ausweise kommen Verhaltensanalyse, biometrische Inferenz und ausländische Verifikationsdienste zum Einsatz
    • Dadurch nehmen Datenströme zu und die Kontrolle der Nutzer über ihre Daten sinkt
  • Je schwächer die staatliche Verwaltungskapazität, desto eher endet Altersverifikation in verstärkter Überwachung

Der Teufelskreis der Regulierungsdurchsetzung

  • Vage Standards wie „angemessene Maßnahmen“ entwickeln sich mit der Zeit zu immer invasiveren Eingriffen
  • Wiederholte Gesichtsscans, Ausweiskontrollen und langfristige Log-Speicherung werden zum Standardverfahren
  • Weniger invasive Designs gelten als unzureichend regulatorisch belastbar und verschwinden
  • Das ähnelt dem früheren Prozess, in dem Systeme zur Nachverfolgung von Online-Verkaufssteuern schließlich dauerhafte Transaktionslogs erforderten

Vermeidene Entscheidungen und strukturelle Probleme

  • Das Problem ist nicht der Kinderschutz an sich, sondern die Leugnung der Trade-offs
  • Selbst datenschutzschonende Altersnachweise (etwa mit staatlicher Drittbeteiligung) lösen das Problem von Menschen ohne Ausweis nicht
  • In manchen Ländern liegt das Alter für die Ausstellung eines Ausweises über dem Alter, ab dem soziale Medien erlaubt sind; dadurch muss man sich zwischen Ausschluss legaler Nutzer oder flächendeckendem Monitoring entscheiden
  • Unternehmen reagieren derzeit mit dem Aufbau von Systemen, die vor allem rechtliche Risiken minimieren
  • In der Folge formen Altersgrenzengesetze die Identitäts-, Datenschutz- und Zugangsstrukturen des gesamten Internets um

Fazit

  • Die Falle der Altersverifikation ist nicht bloß ein technischer Fehler, sondern eine unvermeidliche Struktur, die entsteht, wenn Regulierung die Altersdurchsetzung verpflichtend macht und Datenschutz zur Option erklärt
  • Damit zeigt sich das Paradox, dass Politik im Namen eines starken Kinderschutzes die Schutzmechanismen für die Daten aller Nutzer schwächt

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-02-24
Hacker-News-Kommentare

  • Wir scheinen Eltern nicht für die Inhalte verantwortlich machen zu wollen, die ihre Kinder konsumieren.
    In den USA wird man bestraft, wenn man Minderjährigen Alkohol, Waffen oder Zigaretten gibt, aber im Internet scheint diese gesellschaftliche Verantwortung verschwunden zu sein.
    Wenn man Kinder schützen will, sollte man Eltern starke Monitoring-Tools geben, damit sie selbst die Kontrolle ausüben können, anstatt einen Überwachungsstaat zu schaffen.
    Letztlich ist es die eigentliche Aufgabe der Eltern, Kinder zu schützen.

    • Ich bin mir nicht sicher, wer hier wirklich auf der Seite der Freiheit steht.
      Das Versprechen des Internets ist wegen Newsfeeds und großer Konzerne ohnehin schon zerbrochen.
      Es gibt sogar Dokumente darüber, dass Facebook-Führungskräfte darüber nachgedacht haben, Kinder noch süchtiger zu machen.
      In so einer Situation vertrete ich eher die Haltung: „Lieber keinen Überwachungsstaat, aber Nanny Zuck finde ich noch schlimmer.“
    • Ich stimme zu, dass man Eltern starke Tools geben sollte, aber in der Praxis ist das zu schwierig.
      Ich befinde mich gerade in einem YouTube-Blockadekrieg mit meinem 7-jährigen Kind; erst wurden DNS-Sperren umgangen, dann ein Proxy benutzt und jetzt wird Firefox mit DNS-over-HTTPS zur Umgehung verwendet.
      Am Ende kann ich nur noch mit Richtlinien blockieren. Die Tools für Eltern sind zu schwach.
    • Wenn Eltern eine gesellschaftliche Verantwortung haben, den Verkauf von Alkohol und Tabak zu verhindern, fragt sich auch, wer Unternehmen daran hindern soll, so etwas in Schulen zu verkaufen.
    • Aus Sicht von Eltern ist die fein granulare Kontrolle des Internetzugangs von Kindern ein endloser Kampf gegen Schlupflöcher.
      Selbst auf von der Schule ausgegebenen Geräten gibt es nur schwache Kontrollen, und Kinder teilen untereinander Umgehungsmethoden.
    • Ich bin für die Regulierung von Internet und sozialen Netzwerken, aber Eltern die gesamte Verantwortung aufzubürden, halte ich für unrealistisch.
      Selbst wenn Eltern technisch blockieren könnten, steckt die ganze Gesellschaft in einem Nash-Gleichgewicht.
      Alle benutzen Smartphones, und wer keines hat, wird sozial isoliert.
      Letztlich braucht es gemeinschaftliche Koordination, idealerweise lokale Zusammenarbeit, auch wenn sie nicht unbedingt vom Staat ausgehen muss.

  • Ich arbeite an einem europäischen Identity-Wallet-System auf Basis von Zero-Knowledge-Proofs.
    Dabei wird aus dem Reisepass nur das Attribut „über 18“ extrahiert, um das Alter anonym nachzuweisen.
    Wenn man staatlich ausgestellten IDs vertraut, kann man also das Alter prüfen, ohne personenbezogene Daten offenzulegen.
    In Verbindung mit Dingen wie der EU-Richtlinie zum Löschen inaktiver Accounts könnte das ein realistischer Lösungsansatz sein.

    • Wenn man sich aber die Dokumente zur EU Identity Wallet ansieht, ist die tatsächliche Struktur hochgradig eingriffsintensiv.
      Es werden 30 Tokens mit einer Laufzeit von drei Monaten ausgestellt, und die Installation von Google Play Services wird erzwungen.
      Auf GitHub wurde darauf hingewiesen, dass die Nachverfolgbarkeit der Tokens und die Verletzung der Privatsphäre gravierend sind, aber das wird ignoriert.
    • Es gibt die Frage, ob man das Alter nachweisen kann, ohne die ID an einen Server zu schicken.
      Wenn alles nur auf dem Client verarbeitet wird, ist Fälschung möglich, und wenn es an den Server gesendet wird, ist die Anonymität beschädigt.
      Am Ende braucht man ein staatliches Attestation, und in diesem Prozess entsteht Nachverfolgbarkeit.
      Solche Systeme enden letztlich in intransparenter Überwachung, gerechtfertigt mit dem Argument, „die Bösen aufzuhalten“.
    • Ich frage mich auch, ob so ein System Offline-Verifikation unterstützen kann.
      Wenn der Staat eine zentrale Datenbank betreibt, kann er Nutzer am Ende doch über Tokens verfolgen.
    • Zero-Knowledge-Proofs sind eine Verbesserung, aber das Vertrauensproblem bleibt bestehen.
      Wenn man sich mit einer staatlichen Wallet anmelden muss, um auf das Web zuzugreifen, ist das Gatekeeping.
      Tatsächlich wird nur das Gerät authentifiziert, nicht die Person vor dem Bildschirm.
      Am Ende wird es wie zu Zeiten von Net Nanny umgangen werden.
      Ich finde nicht, dass die USA diesem EU-Modell folgen sollten.
    • Einige Länder wollen Face-Scans von vornherein nur für andere Zwecke einsetzen und haben an Sicherheit gar kein echtes Interesse.

  • Ich denke, die Prämisse des Artikels ist falsch.
    Die Annahme „Um das Alter nachzuweisen, muss man personenbezogene Daten sammeln“ legitimiert Überwachung.
    Wenn man stattdessen gesetzlich das Sammeln personenbezogener Daten verbietet, würden sich Alternativen wie Zero-Knowledge-Proofs weiterentwickeln.
    Wenn man von Anfang an sagt, „ohne Eingriff in die Privatsphäre ist das unmöglich“, läuft es am Ende zwangsläufig auf Eingriffe hinaus.

  • Es ist viel zu verbreitet, dass Eltern ihren Kindern entsperrte Accounts geben oder dass Kinder sie stehlen und benutzen.
    Selbst wenn man das strafrechtlich ahnden würde, wäre es nicht wirksam; letztlich braucht es einen kulturellen Wandel.
    Wenn ein solcher Wandel eintritt, könnte man das Problem lösen, indem man Minderjährigen nur whitelist-basierte Geräte erlaubt.

    • Aber als Elternteil möchte ich keine solche pauschale Blockade.
      Schon das Konzept von „altersgerecht“ ist beleidigend.
      Ich denke, man sollte mit Kindern sprechen und sie selbst urteilen lassen.
      Am Ende ist Altersverifikation nur ein Instrument zur Stärkung staatlicher und unternehmerischer Kontrolle.
    • Wenn es um anonyme ID-Verifikation geht, werden Kinder sich eben mit der ID von Freunden oder Eltern verifizieren.
      Früher war es ein Grund zum Stolz, Content-Sperren zu umgehen; zu glauben, dass Kinder jetzt brav die Gesetze befolgen werden, ist eine naive Vorstellung.
    • Das Internet kennt keine Grenzen, deshalb kann man selbst dann über Server in anderen Ländern ausweichen, wenn irgendein Land ein Gesetz zur Altersverifikation erlässt.
      Die Pornoindustrie würde zwar getroffen, aber eine vollständige Sperre ist unmöglich.
    • Nach meiner Erfahrung loggen sich Kinder bei YouTube einfach aus einem altersbeschränkten Account aus und sehen dann uneingeschränkte Inhalte.
      Ich frage mich ernsthaft, was die Inhaltsbewertung im ausgeloggten Zustand überhaupt sein soll.
    • Es braucht einen Standard, bei dem Websites selbst Content-Ratings ausweisen und Geräte auf Basis dieser Einstufung blockieren.

  • Als ich früher eine Bildungs-App für Kinder entwickelt habe, bin ich auf das Problem der Altersverifikation gestoßen.
    Wir haben nach Teilen der SSN der Eltern gefragt oder COPPA-Verifikationsdienste genutzt, aber dadurch wurde der Onboarding-Prozess komplizierter.
    Am Ende ist das eine Frage des Trade-offs zwischen Sicherheit und User Experience.

  • Altersverifikation müsste auf Geräteebene erfolgen.
    Wenn Eltern den Browser ihres Kindes auf „Minderjährigenmodus“ setzen, müssten Websites nur diesem Signal folgen.
    Der Dienstanbieter müsste keine IDs speichern.

    • Das klingt ziemlich vernünftig. Ich frage mich, welchen Teil ich dabei übersehe.

  • Wenn das Ziel der Schutz von Kindern ist, gibt es auch andere Wege als ID-Verifikation.
    Man könnte zum Beispiel gezielte Werbung oder süchtig machende Inhalte, die sich an Kinder richten, für illegal erklären und Führungskräfte bestrafen, die das genehmigen.

    • Aber dann würden Unternehmen ihre Altersverifikation eher noch verschärfen.
      Sie müssten Kinder ja identifizieren, um ihnen solche Werbung nicht zu zeigen.
    • Letztlich würden sie zur Vermeidung von Strafen ID-Verifikation einführen.
    • Große Unternehmen haben bereits eine Infrastruktur zur Umgehung rechtlicher Verantwortung aufgebaut.
      Mit undokumentierten Weisungsketten und riesigen internen Kommunikationsnetzen machen sie die Nachverfolgung von Verantwortung praktisch unmöglich.
      In so einer Struktur ist es fast unmöglich, Unternehmen tatsächlich zur Rechenschaft zu ziehen.
    • Facebook schafft es nicht einmal, Betrugsanzeigen zu stoppen; zu erwarten, dass es Kinder schützt, ist unrealistisch.

  • Der Zweck eines Systems zeigt sich in seinen Ergebnissen.
    Bei der aktuellen Entwicklung der Altersverifikation ist die Schwächung des Datenschutzes das Wesentliche.
    Wenn westliche Regierungen sich gleichzeitig in dieselbe Richtung bewegen, wirkt es so, als sei die Abschaffung von Online-Anonymität das eigentliche Ziel.
    Kinderschutz ist nur der Vorwand, der tatsächliche Zweck ist politische Kontrolle und die Steuerung von Informationsflüssen.

    • Dazu kommt auch ein Profitmotiv.
      Unternehmen für Altersverifikation betreiben Lobbyarbeit für eine Pflichtlösung und verdienen Geld mit Eingriffen in die Privatsphäre.
    • Natürlich muss man nicht jedes Ergebnis eines Systems für Absicht halten.
      Es könnte auch einfach inkompetente Umsetzung sein.
    • Aber viele Diskussionen konzentrieren sich nur auf technische Lösungen und übersehen das Problem der Machtstrukturen.
    • Es erinnert an Adam Smiths Aussage, dass Menschen derselben Branche, wenn sie zusammenkommen, am Ende fast immer eine Verschwörung gegen das öffentliche Interesse schmieden.
    • Andererseits ist es überzogen, hinter jedem Ergebnis eine Verschwörung zu sehen.
      Zwischen Entwurf und Umsetzung gibt es auch eine unvermeidliche Lücke.

  • Man braucht ein System, das verschlüsselte Identitäts- und Altersinformationen auf dem persönlichen Gerät speichert und das der Dienst kryptografisch verifiziert.
    Zum Beispiel könnte ein iPhone DoorDash ähnlich wie bei Face ID nachweisen, dass die Person „über 21“ ist.
    Das Problem ist, wie schnell sich eine solche standardisierte kryptografische Infrastruktur durchsetzt und ob Unternehmen ihr vertrauen.

    • Aber das eigentliche Ziel ist nicht Altersverifikation, sondern die Abschaffung von Anonymität.
      Identitätsinformationen zu minimieren, steht ihren Zielen diametral entgegen.
    • Der Standard ISO/IEC 18013-5 ermöglicht es mit einem mobilen Führerschein (mDL), nur das Alter nachzuweisen.
    • Auch der deutsche elektronische Personalausweis kann sich per NFC mit Apps verbinden und nur das Alter verifizieren, ohne andere Informationen offenzulegen.
    • Ich hoffe, dass solche Systeme schnell eingeführt werden.
      Wie ich auch in meinem Blogbeitrag geschrieben habe, würden sie menschenzentrierte soziale Netzwerke ohne Bots ermöglichen.
    • Manche vertreten allerdings die Position: „Behandeln wir einfach alle als Erwachsene.“
      Das Internet ist seinem Wesen nach ein nicht kontrollierbares Netzwerk, deshalb ist es realistischer, Kinder vom Zugang fernzuhalten.
      Unter dem Vorwand „Kinder schützen“ eine Gesellschaft der Informationskontrolle zu schaffen, ist gefährlich.

  • Die Behauptung „Zur Verifikation muss man Daten dauerhaft speichern“ ist falsch.
    Es reicht, wenn ein Dritter wie iDIN(idin.nl) nur das Alter prüft und einen Marker „über 18“ hinterlässt.

    • Aber es ist sehr wahrscheinlich, dass Identitätsdaten bereits offengelegt, gespeichert und missbraucht werden.
      Selbst bei gutwilligen Regierungen oder Unternehmen gibt es keine echte Möglichkeit, das zu verhindern.
    • Es gibt keine Möglichkeit zu beweisen, dass Unternehmen die Daten nicht speichern.
      Deshalb ist eine Struktur, in der Daten das Gerät nie verlassen, die einzige Lösung.
    • Bei rechtlicher Prüfung wird ein solcher Ansatz jedoch nicht als Beweis anerkannt.
      Denn es gibt keine Möglichkeit nachzuweisen, dass die Plattform das Alter tatsächlich verifiziert hat.