Kalifornien steuert nach Gegenwind auf eine Ausnahme für Linux im Altersverifizierungsgesetz zu

 (tomshardware.com)
1 Punkte von GN⁺ 3 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • AB 1856 in Kalifornien ist ein Änderungsvorschlag, der die meisten Open-Source-Betriebssysteme von der Pflicht zur Altersverifizierung auf Betriebssystemebene im Digital Age Assurance Act ausnehmen soll
  • Die Änderung soll Betriebssysteme und Apps aus dem Anwendungsbereich herausnehmen, die unter Lizenzen vertrieben werden, welche es Nutzern erlauben, die Software zu kopieren, weiterzuverbreiten und zu verändern
  • Das bestehende AB 1043 verlangt, während der Geräteeinrichtung nach Alter oder Geburtsdatum zu fragen und Apps sowie App-Stores ein Altersgruppensignal bereitzustellen
  • Linux-Distributionen sind keine zentral kontrollierten kommerziellen Plattformen; oft fehlen Nutzerkonten, Telemetrie und unternehmenseigene Strukturen, was die Anwendung des Gesetzes umstritten macht
  • Linux-basierte kommerzielle Plattformen mit einem proprietären Steam-Store und -Client wie SteamOS könnten auch nach der Ausnahme weiter unter das Gesetz fallen

Ausnahme für Open-Source-Betriebssysteme und Stand des Gesetzgebungsverfahrens

  • Das Parlament von Kalifornien treibt AB 1856 voran, das die meisten Open-Source-Betriebssysteme von der Pflicht zur Altersverifizierung auf Betriebssystemebene im Digital Age Assurance Act ausnehmen soll
  • Assembly Bill 1856 (AB 1856) steht vor der Ausschussberatung im Juni, und große Linux-Distributionen wie Debian, Fedora, Ubuntu, Arch Linux und Mint könnten faktisch von den Compliance-Pflichten ausgenommen werden, die ab dem 1. Januar 2027 gelten sollen
  • Die Änderung soll Software von der Anwendung des bestehenden Gesetzes ausnehmen, wenn sie unter einer Lizenz vertrieben wird, die es Nutzern erlaubt, die Software zu „kopieren, weiterzuverbreiten, zu verändern“
  • Der vorgeschlagene Wortlaut stellt klar, dass „Betriebssystemanbieter“ keine Person oder Organisation bezeichnet, die ein Betriebssystem oder eine Anwendung unter Lizenzbedingungen vertreibt, welche dem Empfänger das Kopieren, Weiterverbreiten oder Verändern der Software erlauben
  • Die kalifornische Abgeordnete Buffy Wicks brachte AB 1856 am 11. Februar 2026 ein
  • Die Formulierung zur Open-Source-Ausnahme wurde später in eine überarbeitete Fassung aufgenommen und begann daraufhin in der Linux- und Datenschutz-Community Aufmerksamkeit zu erhalten
  • Die jüngste Version trägt das Datum 18. Mai 2026
  • Mit Stand vom 19. Mai 2026 hat der Gesetzentwurf die zweite Lesung durchlaufen und wurde an die dritte Lesung überwiesen

Aufbau des bestehenden Digital Age Assurance Act

  • Das bestehende Assembly Bill 1043 (AB 1043) wurde Ende 2025 verabschiedet; sein offizieller Name ist Digital Age Assurance Act
  • Das Gesetz ist darauf ausgelegt, die Online-Altersverifizierung weg von einzelnen Websites und Apps zu verlagern und stattdessen auf die Betriebssystemebene zu heben
  • Betriebssysteme müssen während der Geräteeinrichtung nach dem Alter oder dem Geburtsdatum des Nutzers fragen und Apps sowie App-Stores ein „Altersgruppensignal (age bracket signal)“ bereitstellen
  • Das Gesetz definiert Altersgruppen als Bereiche wie „unter 13 Jahren“, „13–15 Jahre“, „16–17 Jahre“ und „18 Jahre oder älter“
  • Sofort entbrannte eine Debatte darüber, wie solche Anforderungen auf ein verteiltes Open-Source-Software-Ökosystem angewendet werden könnten

Konflikt mit Linux und dem Open-Source-Ökosystem

  • Anders als Apple iOS oder Google Android sind die meisten Linux-Distributionen keine zentral gesteuerten kommerziellen Plattformen
  • Viele Linux-Distributionen sind communitygetriebene Projekte, die von Freiwilligen gepflegt werden; oft gibt es keine Nutzerkonten, keine Telemetriesysteme und keine formale Unternehmensstruktur
  • Kritiker bemängelten, dass der bestehende Gesetzeswortlaut so weit gefasst sei, dass selbst Open-Source-Betriebssysteme zur Rolle einer Plattform für Altersverifizierung gezwungen werden könnten
  • Datenschutzorganisationen einschließlich der Electronic Frontier Foundation sehen das Gesetz als eingriffsintensiv an und warnen davor, dass es eine breitere Infrastruktur zur Identitätsverfolgung im Internet schaffen könnte
  • Linux-Entwickler stellten zudem infrage, wie Kalifornien solche Anforderungen bei Open-Source-Softwareprojekten, die sich beliebig forken lassen, praktisch durchsetzen könnte

SteamOS und die Grenze proprietärer App-Ökosysteme

  • SteamOS könnte weiterhin unter das Gesetz fallen, da es mit einem proprietären Anwendungsökosystem verbunden ist
  • Die Linux-basierte Gaming-Plattform von Valve liefert den proprietären Steam-Store und -Client mit
  • Dadurch könnte SteamOS aus regulatorischer Sicht näher am Apple App Store oder an Google Play liegen
  • AB 1856 hebt den bestehenden Digital Age Assurance Act nicht auf, sondern grenzt den Kreis dessen ein, was im Gesetz als „Betriebssystemanbieter“ gilt
  • Kommerzielle Plattformen mit proprietären App-Ökosystemen könnten daher weiter unter die kalifornischen Vorgaben zur Alterssicherung fallen, auch wenn die meisten Open-Source-Linux-Distributionen ausgenommen werden

Verwandte Beiträge

1 Kommentare

 
GN⁺ 3 시간 전
Hacker-News-Kommentare

  • Eine Pflicht auf Geräteebene müsste im Grunde nur prüfen, ob bei der Standardinstallation des Web-Clients Jugendschutzfunktionen aktiviert sind.
    Das würde nur die großen Browser betreffen, und irgendein Praktikant bei jeder Browserfirma könnte diese Prüfung in wenigen Minuten einbauen. Wenn sie aktiviert sind und der eingeloggte Nutzer kein Administrator oder Konto mit erweiterten Rechten ist, sollte die Standardinstallation des Web-Clients den RTA-Header prüfen. Wenn der Header vorhanden ist, sollte ein Umgehungs-Passwort verlangt werden, und der Administrator sollte die Domain direkt vor Ort auf eine Zulassungsliste setzen können. Nicht perfekt, aber eine perfekte Lösung gibt es nicht.
    Was Server, Plattformen, Websites und Dienstanbieter tun müssten, wäre lediglich, den RTA-Header zu setzen, wenn es sich möglicherweise um Erwachsenen-Content handelt oder wenn es nutzergenerierte Inhalte gibt, die dynamisch zu Erwachsenen-Content werden können. So würden kleine Kinder fast keinen Erwachsenen-Content mehr sehen, und sie könnten auch keine sozialen Medien nutzen, bis Eltern oder gesetzliche Erziehungsberechtigte zustimmen — zwei Probleme auf einmal reduziert.
    Wenn eine Website keinen RTA-Header hinzufügt, sollten die Geldstrafen schrittweise erhöht werden. Wenn Geldstrafen einfach als Betriebskosten hingenommen werden, sollte Vermögen eingezogen und die Verantwortlichen in den allgemeinen Strafvollzug gesteckt werden. Sogar ein Praktikant kann den Header in 5 Minuten einschalten.
    Gesetzgebung zur Altersverifikation sollte sich auf diesen Ansatz konzentrieren, andernfalls sollte sie wegen missbräuchlichen Trackings und Eingriffen in die Privatsphäre abgelehnt werden. Der Fokus sollte auf kleinen Kindern liegen. Jugendliche teilen selbst in Spielen mit Altersfreigabe für alle Pornos, Warez und Filme.
    https://news.ycombinator.com/item?id=47950091

    • Ich halte das Header-/Metatag-Design für schlecht. Der RTA-Vorschlag läuft darauf hinaus, dass alle Website-Betreiber ihre Inhalte prüfen und einen Header anbringen müssen, der die Website als „sicher“ oder „riskant“ kennzeichnet; wenn dieser Vorschlag durchgeht, würde er Betreibern unnötige Lasten aufbürden, und das ist falsch.
      Stattdessen sollte der Standardwert riskant sein, wenn kein Header vorhanden ist oder er nicht geparst werden kann. Wenn ein Header vorhanden ist, sollte er beschreiben, welche riskanten Inhalte die Seite enthalten kann. Header sollten an darstellbare Inhalte wie HTML, Text, Bilder, Audio und Video angehängt werden können, aber besser nicht an maschinenlesbare Inhalte wie JS-Dateien oder AJAX-Antworten.
      Dann müssten nur Websites, die für Minderjährige zugänglich sein sollen, Header hinzufügen. In sozialen Netzwerken könnten Nutzer die Option haben, ihre eigenen Inhalte als „sicher“ zu markieren.
      In diesem Vorschlag müssten Betreiber bestehender Websites nichts tun, um ihre Website als „riskant“ zu markieren. Alle Websites wären standardmäßig „riskant“. Das ist deutlich besser, weil Millionen von Website-Betreibern 0 Dollar an Anpassungskosten ausgeben müssten.
      Browser auf Geräten mit aktiviertem Elternmodus sollten keine Inhalte anzeigen, bei denen kein Header vorhanden ist, die als riskant markiert sind oder deren Header ungültige Werte enthält. Eltern könnten einige Websites auf eine Zulassungsliste setzen.
      Wer riskante Inhalte absichtlich als „sicher“ kennzeichnet, sollte dafür haften. Man muss auch Fälle bedenken, in denen ausländische Betreiber riskante Inhalte absichtlich mit falschen Headern versehen. Man könnte sie auf eine Sperrliste setzen, die der Browser regelmäßig aktualisiert.
      Suchmaschinen wie Google könnten standardmäßig im „sicheren“ Modus arbeiten, aber wenn der Nutzer die Beschränkung deaktivieren will, könnte ein „riskant“-Header gesetzt werden.
      Ich halte ein Modell, bei dem nur für vorsätzliche Falschkennzeichnung der Inhaltssicherheit Bußgelder verhängt werden, für besser als den Ansatz „Wenn eine Website keinen RTA-Header hinzufügt, erhöhen wir die Geldstrafen schrittweise“.
    • Kühn, bei Technologiegesetzgebung anzunehmen, dass Abgeordnete gesunden Menschenverstand besitzen. Vor 15 Jahren hätten drei Praktikanten aus den Browserfirmen in drei Stunden einen Cookie-Consent-Standard implementieren können, und heute leben wir in der Hölle der Cookie-Banner.
    • So eine Pflicht sollte es überhaupt nicht geben.
    • Ich frage mich, ob diese Idee beim Entwurf des Gesetzes diskutiert wurde. Ich würde gern wissen, ob sie bewusst aus irgendeinem Grund ausgeschlossen wurde oder einfach grundlos ignoriert wurde.
    • Ich stimme im Großen und Ganzen zu, aber der RTA-Header scheint für die meisten Websites nicht ausreichend zu sein. Was ist, wenn eine Website Browser mit aktiviertem Jugendschutz blockieren möchte, aber keine Pornoseite ist und auch nicht von SafeSearch blockiert werden muss?
      https://webmasters.stackexchange.com/questions/140733/how-to...

  • Wie immer wissen über 95 % der Kommentare nicht, was tatsächlich im kalifornischen Gesetz steht, und kommentieren stattdessen Dinge, die mit diesem Gesetz nichts zu tun haben.
    Mehrere Bundesstaaten, Länder und multinationale Organisationen, die in diesem Bereich bereits Gesetze erlassen haben oder gerade daran arbeiten, verfolgen unterschiedliche Ansätze. Sie unterscheiden sich in Reichweite, Methode der Altersverifikation, ob das Alter tatsächlich geprüft wird, ob Dokumente verlangt werden, ob es fürs Web, für Apps oder für beides gilt, ob anonyme Nutzung erschwert wird, wie viele sensible Informationen gegenüber Apps/Websites offengelegt werden und ob der Staat die Nutzungshistorie nachverfolgen kann.
    Am lächerlichsten ist es, wenn jemand sagt, das Gesetz sei schlecht, dann Dinge kritisiert, die im kalifornischen Gesetz gar nicht stehen, und anschließend als Lösung fast genau den Ansatz beschreibt, den das kalifornische Gesetz ohnehin verfolgt.

    • Auf HN ist es nichts Ungewöhnliches, eher das Gesamtthema als den genauen Inhalt des Artikels selbst (TFA) zu diskutieren. Artikel dienen meist als Auslöser für die Debatte.
      Wie du am Ende sagst, ist es ziemlich peinlich, wenn jemand es wie eine neue Idee zur Lösung des Problems verkauft, obwohl es in Wirklichkeit dieselbe Lösung ist wie im Artikel selbst.
      Trotzdem halte ich die übrige Diskussion für völlig diskussionswürdig.

  • Wer schreibt am Ende eigentlich diese äußerst besorgniserregende Internetgesetzgebung Kaliforniens, die sehr wahrscheinlich die gesamten USA und die Welt beeinflussen wird?
    Wurde der kalifornische Internetgesetzentwurf geschrieben, ohne mit Internetunternehmen in Kalifornien zu sprechen?
    Wurde er direkt von einigen kalifornischen Internetunternehmen geschrieben?
    Oder wurde er von anderen Kräften verfasst?

    • Allein Meta hat weltweit 2 Milliarden Dollar dafür in Lobbyarbeit gesteckt und war damit enorm erfolgreich. Jetzt wird das Ganze überall einstimmig verabschiedet
    • Wenn man den Text des CA-Gesetzes liest, das tatsächlich „zum Gesetz geworden ist“, merkt man sofort, dass der Verfasser in einer sehr engen Blase lebt, in der die einzigen existierenden „Computer“ tabletartige Mobiltelefone sind, die einzigen Betriebssysteme Android und iOS heißen und Software ausschließlich über App Stores installiert wird
      Der gesamte Wortlaut zeigt einen extrem eingeschränkten Blick auf „Computer“, aber die Begriffsdefinitionen sind so weit gefasst, dass womöglich sogar eine kleine eingebettete CPU in einer Mikrowelle erst nach dem Alter fragen müsste, bevor sie irgendetwas tut
    • Dieser Gesetzentwurf wurde von Buffy Wicks geschrieben, die meinen Wahlkreis im kalifornischen Parlament vertritt. In den Bereichen Wohnen, Verkehr und Klima ist sie hervorragend, aber sie sollte nicht versuchen, Plattform-APIs gesetzlich zu regeln, und besser bei ihrem Fachgebiet bleiben
    • Nein, nein, das Letzte trifft ganz sicher zu
      Solche Gesetze werden nach dem Muster geschrieben: „Lasst uns einen Ausschuss oder eine Organisation schaffen, um Gutes zu tun und Schlechtes zu verhindern, Geld für Gutes bereitzustellen und sicherzustellen, dass Schlechtes nicht passiert.“ Sobald das Gesetz dann verabschiedet ist, schreiben Lobbyisten die Details, das Programm erhebt Gebühren oder Steuern von den Menschen, das Geld wird zu Unternehmensgewinn, Unternehmen spenden an Politiker, und Politiker verkaufen Stimmen an Lobbyisten und Interessengruppen
      Kaliforniens Politiker gehen von den Endzielen „Macht erhalten, Aufstände unterdrücken, Kapital sichern, Versagen leugnen“ aus
      Das geht weit über bloßes Lügen ins Gesicht hinaus. Sie geben sich aufrichtig und überzeugend, während sie nach Wegen suchen, für sich selbst, ihre Partei und letztlich die „Regierung“ so viel wie möglich herauszuholen, und sie tun alles, um die Illusion aufrechtzuerhalten, man habe Wahlfreiheit, Stimmrecht und Mitspracherecht
      Ich habe mein ganzes Leben hier verbracht, und diese Politiker sind bösartig. Sie lügen, täuschen, stehlen, leugnen es, wenn sie erwischt werden, und bestrafen jeden, der sie anfasst

  • All das geschieht, weil öffentliche Stellen den Willen oder die Fähigkeit verloren haben, Unternehmen zu regulieren. Deshalb wird die Last auf die Verbraucher abgewälzt

    • Auch das ist Regulierung durch öffentliche Stellen. Ganz gleich, auf welchem Weg es verabschiedet wird, die Auswirkungen tragen die Verbraucher
    • Den Willen verloren? Eher so, als würden sie dafür bezahlt, wegzuschauen, oder?
    • Anders gesagt: Kapital handelt wie immer im eigenen Interesse

  • Zynisch betrachtet könnte der Grund dafür sein, dass Linux-Entwickler keine Klagebefugnis haben sollen, um das Gesetz auf Basis des First Amendment anzufechten

    • Nein, das ist noch nicht zynisch genug
      Das ist der klassische Trick: „Was wir vorhaben, ergibt grundsätzlich keinen Sinn, also bauen wir zufällige Ausnahmen ein, damit es wie ein Nischenthema aussieht, ziehen unser Ding durch und schließen diese Ausnahmen dann mit der Zeit eine nach der anderen wieder“
      In fünf Jahren werden in den Kommentaren Idioten behaupten, das „Linux-Schlupfloch“ sei ein Versehen gewesen und müsse geschlossen werden
      Quelle: die Geschichte
    • Genau das ist es. Es geht darum, die Klagebefugnis zu beseitigen, und das ist ein großer Mangel unseres Rechtssystems. Um verfassungsmäßige Rechte wirklich zu verteidigen, bräuchte es tiefgreifende Änderungen
    • Man muss auch lernen, einen Sieg als Sieg zu akzeptieren. Wer in allem nur einen Betrug sieht, ist klinisch fast paranoid

  • Politisch ist das ein kluger Schachzug. Die Gruppe, die sich am stärksten gegen diese Altersverifikation stellt, überschneidet sich nämlich stark mit Leuten, die Open-Source-Software mögen, also Technikern, denen Nutzerfreiheit wichtig ist
    Natürlich bedeutet das auch, dass Nerds mit Linux oder LineageOS nun leichter an mehr Erwachsenen-Content kommen und dafür coole Punkte sammeln

  • Das wird scheitern oder das ganze Gesetz wird kassiert. Microsoft wird viel Geld ausgeben, damit es nicht benachteiligt wird

  • Es geht nicht nur um Linux. Genauer gesagt heißt es, dass „Betriebssystemanbieter“ keine natürliche oder juristische Person meint, die ein Betriebssystem oder eine Anwendung unter Lizenzbedingungen verbreitet, die dem Empfänger erlauben, die Software zu kopieren, weiterzuverbreiten oder zu verändern

    • Als ich nur die Überschrift gelesen hatte, dachte ich: „Für die BSD-Leute ist das wohl eine Beerdigung.“ Gut, dass es nicht ganz so kurzsichtig ist, wie ich zuerst dachte
    • Ich frage mich, welche False Positives und False Negatives diese Definition erzeugen wird. Man könnte auch sagen, dass Microsoft Inhabern von Unternehmenslizenzen erlaubt, Software auf alle PCs und Server zu kopieren, sie intern weiterzuverbreiten und sie von Unternehmensentwicklern oder Administratoren mit Gruppenrichtlinien ändern zu lassen
      Vielleicht müsste dort eigentlich Software-„Code“ stehen, Open-Source-Code ausdrücklich verlangt werden und das alles zusätzlich „kostenlos“ sein

  • Das ist schlecht formuliert. Kalifornien hat kein Gesetz zur Altersverifikation, sondern nur ein Gesetz zum Fragen nach dem Alter, und alle guten Gründe, Nutzer zu fragen, ob sie über 18 sind, gelten auch dann noch, wenn das Betriebssystem Linux ist
    Die Strafe dafür, ein Betriebssystem bereitzustellen, das nicht fragt, ob jemand über 18 ist, besteht darin, dass das Produkt als mangelhaft gilt und erstattet werden kann; Open-Source-Software wird aber ohnehin kostenlos und ohne Gewährleistung bereitgestellt, also wen interessiert das. Die einzige Ausnahme wäre wohl, wenn man sie von Red Hat gekauft hat, und das käme einer grundlosen gesetzlichen Immunität für Red Hat gleich

  • Zum Punkt „SteamOS könnte weiterhin betroffen sein“: Steam selbst führt bereits eine Altersverifikation durch. Wenn man ein Steam Deck zum ersten Mal einschaltet, zwingt es einen meines Wissens sogar ziemlich früh zum Steam-Login, bevor man ohne anfängliche Umgehung überhaupt viel anderes tun kann
    Ist man aber einmal drin, gibt es keine Möglichkeit, den Wechsel in den Desktop-Modus und das Starten von Firefox zu verhindern, um Pornos anzuschauen
    Leider bleibt die Lösung weiterhin, dass Eltern tatsächlich erziehen. Das ist natürlich ungefähr so, als würde man sagen, dumme Menschen sollten sich nicht fortpflanzen