Datenschutzkonforme Altersverifikation

Die Altersverifikation im Internet ist ein vielschichtiges Problem. Einerseits verlangen Regulierer und Jugendschützer nach effektiven Maßnahmen, um Minderjährige vor ungeeigneten Inhalten zu schützen. Andererseits birgt die Identitätsprüfung Datenschutzrisiken, da hierfür persönliche Daten erhoben und oft zentral gespeichert oder weitergegeben werden. Familienministerin Lisa Paus hat daher das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) beauftragt, ein Konzept für eine datenschutzkonforme Altersverifikation zu entwickeln. Dieses liegt nun vor.

Herausforderungen der Altersverifikation im Netz

Bislang gibt es kaum Verfahren, die sowohl den Schutz Minderjähriger als auch die Wahrung der Privatsphäre in Einklang bringen. Gängige Methoden wie Video-Ident-Verfahren, eID-basierte Identifikation oder Kreditkartenverifizierung stehen in der Kritik. Sie seien entweder mit erheblichen Nutzungshürden verbunden oder würden auf die zentrale Speicherung personenbezogener Daten setzen. Dies führt nicht nur Sicherheitsrisiken durch Hackerangriffe, sondern auch ganz allgemein zu einem Kontrollverlust der Nutzer über ihre eigenen Informationen.

Konzept: Altersnachweis ohne Konto oder personenbezogene Speicherung

Die von Fraunhofer entwickelte und von netzpolitik.org im Juli 2024 veröffentlichte Lösung, verfolgt das Ziel, die Altersverifikation auf ein Minimum an Daten zu reduzieren. Dabei soll lediglich bestätigt werden, ob ein Nutzer einer bestimmten Altersggruppe angehört – beispielsweise über 16 oder 18 Jahre alt ist. Weitere personenbezogene Informationen soll er nicht preiszugeben müssen.

Das vorgeschlagene Modell basiert auf einem vermittelnden und vertrauenswürdigen Verifikationsdienst. Nutzer erhalten vom jeweiligen Online-Dienst eine Altersanforderung in Kombination mit einer zufälligen Identifikationsnummer. Mittels dieser Daten kann sich der Nutzer dann bei einer unabhängigen Prüfstelle identifizieren. Diese verifiziert wiederum das Alter über bereits bestehende offizielle Register oder vertrauenswürdige Institutionen. Die Stelle sendet dann den Altersnachweis digital signiert an den Diensteanbieter zurück, ohne dass dieser weitere personenbezogene Daten, die auf die Identität des Internetnutzers hinweisen, erhält. Da nur eine Identifikationsnummer weitergereicht wird, erfährt im besten Fall auch der Verifikationsdienst nicht, welche Webseite besucht wird, wenn eine ordnungsgemäße Pseudonymisierung stattgefunden hat.

Dieses Verfahren bietet gleich mehrere Vorteile: Es ermöglicht einen Altersnachweis ohne dauerhafte Speicherung oder Erstellung eines Benutzerkontos und reduziert so das Risiko von Identitätsdiebstahl oder ungewollter Profilbildung.

Rolle der Vertrauensstelle und regulatorische Herausforderungen

Die zentrale Herausforderung liege in der Implementierung einer unabhängigen und vertrauenswürdigen Verifizierungsinstanz. Diese dürfe nicht kommerziellen Interessen unterliegen, sondern müsse von staatlicher Seite beauftragt sein. Denkbare Akteure sind laut ersten Ergebnissen eines mit der Implementierung des Konzepts beauftragten Workshops das Melderegister, Banken, Krankenkassen oder das Kraftfahrtbundesamt. Daneben gäbe es auch trotz der getroffenen Sicherheitsvorkehrungen weiterhin die Gefahr der Ausspähung und Weitergabe von Zugangsdaten.

Felix Reda, Vorstand der Open Knowledge Foundation Deutschland, habe außerdem gegenüber netzpolitik.org kritisiert, dass das Vorhaben spätestens an der globalen Implementierung scheitere. Die deutschen Akteure, die als Vertrauensstellen fungieren könnten, hätten keine hinreichende internationale Vernetzung, um „eine flächendeckende Verfügbarkeit des Verifikationsmechanismus“ zu ermöglichen. Daneben bestünde die Gefahr der Diskriminierung, falls Betroffene bei den entsprechenden Akteuren kein Konto besitzen. Exemplarisch nenne er Geflüchtete. Im Übrigen sei das System auch per VPN leicht zu umgehen.

Fazit

Das vom Fraunhofer-Institut entwickelte Konzept für datenschutzkonforme Altersverifikation ist grundsätzlich ein vielversprechender Ansatz, um Minderjährigenschutz mit deutlich weniger Datenschutzrisiken umzusetzen. Insbesondere der Verzicht auf zentrale Datenspeicherung und die klare Trennung zwischen Nutzer, Verifizierungsdienst und Anbieter könnten einen echten Fortschritt darstellen. Gleichzeitig sind die Herausforderungen bei der praktischen Umsetzung allerdings erheblich. Die Frage, wer als neutrale Vertrauensstelle agieren kann und wie die Infrastruktur in bestehende regulatorische globale Rahmenbedingungen integriert wird, bleibt bislang offen.