Die EU-Kommission will nach eigenen Angaben Minderjährige vor Inhalten schützen, die für ihr Alter nicht angemessen sind. Dafür hält sie Alterskontrollen für das geeignete Werkzeug. Alle EU-Nutzer*innen sollen also häufiger beweisen, dass sie schon erwachsen sind. Eine entsprechende Software soll demnächst erscheinen. Die EU-Kommission spricht von einer „kurzfristigen, den Datenschutz wahrenden Lösung“. Zunächst soll es eine App geben.

Anschauen und ausprobieren kann man die Software zwar noch nicht. Aber die technische Spezifikation hat die EU-Kommission jetzt auf GitHub veröffentlicht. Das ist eine Plattform für Softwareentwicklung, die zu Microsoft gehört. Wir haben die Spezifikation gelesen und mit Fachleuten darüber gesprochen. Sie üben scharfe Kritik an den EU-Plänen. Hier fassen wir das Wichtigste zusammen.

1. Alterskontrollen, was kommt da auf mich zu?

Alterskontrollen sollen nach den Plänen der EU das Internet umkrempeln. Noch sieht man im Netz häufig schlichte Altersabfragen, die man mit einem Klick überwinden kann, etwa: „Bist du schon 18?“ Künftig sollen aber strenge Schranken den Zutritt zu Online-Angeboten begrenzen. Möchte man das Internet wie gewohnt weiter nutzen, braucht man eine Software, zum Beispiel eine App.

Wer beispielsweise ein nicht jugendfreies Video schauen oder im Netz eine Flasche Wein kaufen möchte, der soll künftig erst einmal beweisen, auch wirklich alt genug zu sein. In einer dafür vorgesehenen App sollen erwachsene EU-Nutzer*innen den Nachweis dafür hinterlegen, dass sie schon erwachsen sind. Erst mithilfe der App soll der gewünschte Dienst dann nutzbar sein.

2. In welchem Stadium ist das Vorhaben?

Den Zuschlag für die Entwicklung der App haben T-Systems und das schwedische Unternehmen Scytales bekommen. Seit Anfang des Jahres arbeiten sie im Auftrag der Kommission daran. In einer ersten Phase soll die App einen „Altersnachweis unter Verwendung von Pseudonymen“ ermöglichen. Das ist die Version, deren Spezifikation wir gesichtet haben.

Erst in einer zweiten Phase sollen die Unternehmen auch eine Lösung entwickeln, die weniger Daten preisgibt. Anbieter würden dann nur noch erfahren, ob Nutzer*innen volljährig sind. Das ist in der Spezifikation zwar bereits angekündigt, aber es ist unklar, wann das kommen soll. „In dieser Version der Altersverifizierungsarchitektur müssen mehrere Schlüsselbereiche noch weiter analysiert und verfeinert werden“, heißt es dazu. Darunter fallen demnach ausgerechnet Datenschutzrisiken und deren Minimierung.

Offiziell vorgestellt hat die Kommission die App noch nicht; das wird aber vermutlich bald geschehen. Die erste Version der App, die mit Pseudonymen arbeitet, soll schon im Juni 2025 verfügbar sein. Kommende Woche stellen die Unternehmen sie beim Global Age Assurance Standards Summit in Amsterdam vor. Das ist eine internationalen Konferenz, wo sich Vertreter*innen von Industrie und Politik treffen.

Die App soll quelloffen sein und als eine Art Mustervorlage dienen. Das heißt, Mitgliedstaaten und andere Entwickler*innen können damit weiterarbeiten, die App mit einem eigenen Namen und Look versehen und dann auf App-Marktplätzen anbieten.

3. Warum will die EU jetzt Alterskontrollen einführen?

Die App soll dazu beitragen, die Jugendschutzbestimmungen des Gesetzes über digitale Dienste (DSA) umzusetzen, wie die Kommission erklärt. Das EU-Gesetz stellt Regeln auf, an die sich Anbieter von Online-Plattformen in der EU halten müssen. Das Spektrum reicht von Online-Marktplätzen wie Kleinanzeigen über YouTube bis hin zu Pornhub.

Online-Plattformen, die für Minderjährige zugänglich sind, verpflichtet das Gesetz dazu, für „ein hohes Maß an Privatsphäre, Sicherheit und Schutz von Minderjährigen“ zu sorgen. Alterskontrollen sind dabei eine Möglichkeit, aber keine Vorschrift. Anbieter können selbst abwägen, wie sie den Verpflichtungen nachkommen.

Allerdings will die EU-Kommission den Anbietern bei ihren Abwägungen auf die Sprünge helfen. Dafür entwickelt sie derzeit Leitlinien. Sie betreffen Maßnahmen zum Schutz von Minderjährigen nach Artikel 28 des DSA. Diese Leitlinien sollen nach Angaben von Personen, die daran mitgearbeitet haben, bald vorgestellt werden. Beobachter*innen vermuten, dass die Leitlinien einen starken Fokus auf Alterskontrollen legen und zusammen mit der App als Paket vorgestellt werden.

Mit der „European Digital Identity Wallet“ entwickelt die EU-Kommission bereits eine digitale Brieftasche, mit der EU-Bürger*innen künftig Personalausweis oder Führerschein in einer Handy-App speichern sollen. Damit soll sich auch das Alter nachweisen lassen.

Doch die Brieftasche soll frühestens Ende 2026 fertig sein. So lange möchte die Kommission offenbar nicht warten. Die gerade entwickelte App soll „die Lücke schließen“, steht in der Spezifikation – und später in der umfangreicheren digitalen Brieftasche aufgehen.

4. Wie soll diese Alterskontrolle genau ablaufen?

Im Mittelpunkt für die Alterskontrolle sollen laut Spezifikation „alle üblichen Geräte“ stehen, „mit denen Europäer*innen auf Online-Dienste zugreifen“, zum Beispiel Handys, Tablets, Laptops und Desktop-Computer. Für den Anfang möchte die EU allerdings bloß eine App entwickeln lassen. Alternative Methoden „könnten“ geplant werden, heißt es auf GitHub; garantiert ist es also nicht.

Unter die „üblichen Geräte“ dürften in dem Kontext wohl Handys mit Android oder iOS fallen, die meistverbreiteten mobilen Betriebssysteme der Welt. Offen ist, was Menschen mit alternativen Betriebssystemen tun sollen – oder Menschen ohne Smartphone.

Einmal eingerichtet, soll die App auf Wunsch einen Altersnachweis ausspucken können, den man zum Beispiel einer Website präsentieren kann. Wer also eine Flasche Wein kaufen, einen Porno schauen oder im Online-Casino spielen will, müsste erst einmal die Alterskontroll-App hervorholen.

Diese App könnte sich per Fingerzeig kurz öffnen, wenn man ohnehin alles am Handy macht. Oder die App könnte einen QR-Code generieren, wenn man den gewünschten Dienst auf einem anderen Gerät nutzen möchte. So geht es aus der Spezifikation hervor. Das dürfte sich in etwa so anfühlen, als müsste man ein zusätzliches Passwort eingeben. Wer eine Zwei-Faktor-Authentifizierung nutzt, kennt dieses Gefühl bereits. Es ist etwas lästig.

Online-Dienste, bei denen man einen eigenen Account anlegt, könnten sich auf Wunsch merken, dass man schon erwachsen ist. Dann müsste man das nicht jedes Mal aufs Neue nachweisen.

Laut der Spezifikation können EU-Mitgliedstaaten, Unternehmen und andere Interessierte eigene Versionen der App herausbringen. „Derzeit ist es jedem Anbieter von Mobilanwendungen gestattet, eine App zur Altersüberprüfung bereitzustellen und Altersnachweise gemäß den in diesem Dokument enthaltenen Anforderungen auszustellen“, heißt es.

5. Wie soll ich der App beweisen, dass ich erwachsen bin?

Es soll mehrere Wege geben, mit denen Nutzer*innen ihrer Alterskontroll-App nahebringen, dass sie keine Kinder mehr sind. Laut Spezifikation soll die App etwa Ausweise und Pässe scannen können, die das Alter einer Person verraten. Wenn das Dokument einen Online-Ausweisfunktion (eID) hat, genüge das bereits.

Andernfalls müsste die App auch prüfen, dass man wirklich den eigenen Pass präsentiert. Dafür sollen etwa biometrische Gesichtsscans oder andere Maßnahmen in Betracht gezogen werden. Ins Detail geht die Spezifikation hier nicht.

Geplant ist laut Spezifikation auch die Zusammenarbeit mit Organisationen, die das Alter von Menschen ohnehin schon geprüft haben, etwa Banken oder Mobilfunkanbieter. Wer Pass und Gesicht nicht scannen lassen kann oder will, könnte also Alternativen bekommen. Garantiert ist das laut Spezifikation jedoch nicht. In Frage kommen dürften zumindest solche Anbieter, die bereits jetzt von der Kommission für Jugendmedienschutz empfohlen werden, um Besucher*innen von Pornoseiten zu kontrollieren.

6. Und was ist mit Datenschutz?

Anonymität ist in der Spezifikation nicht vorgesehen. Zwar ist schon ganz zu Beginn die Rede von Datenschutz und Datenminimierung als „Design-Prinzip“. Allerdings arbeitet die App mit Pseudonymen.

Der Unterschied ist essentiell. Ein Pseudonym kann man auf eine Person zurückführen – es ist wie ein Spitzname, den man bloß einmal richtig zuordnen muss. Anonym heißt, dass man eine Person wirklich nicht zuordnen kann.

Geplant sind laut Spezifikation „Domain-spezifische Identifier oder Pseudonyme“. Das heißt, für jeden genutzten Dienst – etwa eine bestimmte Pornoseite – bekämen Nutzer*innen einen eigenen Identifier verpasst. Auf diese Weise könnten sie zwar nicht über mehrere Websites hinweg verfolgt werden. Aber eine einzelne Website könnte durchaus wiederkehrende Besucher*innen erkennen.

Laut Spezifikation soll die App nur die Eigenschaften einer Person übermitteln, die unbedingt notwendig sind. Bei konsequent datensparsamer Umsetzung würde das heißen: Die App legt einem Online-Dienst nur offen, dass gerade jemand Erwachsenes anklopft. Aber in der Spezifikation wird auch beschrieben, wie sich darüber hinaus Daten erfassen lassen, zumindest optional. Weitere Datenpunkte sind demnach etwa das Datum, wann ein Nachweis hinterlegt wurde, in welchem Land das geschah oder durch welche Institution. Das würde dem Prinzip der Datenminimierung widersprechen.

Immerhin sollen Beteiligte Daten nicht länger speichern als für die Alterskontrolle nötig, heißt es. Dieses Anliegen geht allerdings über die Spezifikation der App hinaus. Die Entscheidung, wie erfasste Daten genutzt oder gelöscht werden, trifft der Gesetzgeber. Und hier zeigt das Beispiel Vorratsdatenspeicherung: Staaten haben immer wieder ein großes Interesse an jeglichen Daten, die bei der Internet-Nutzung anfallen, sogar gegen den Widerstand oberster Gerichte.

Beim Schutz von Daten und Privatsphäre offenbart die Spezifikation ein weiteres Problem: Es wird keine unabhängige Kontrolle für App-Versionen externer Anbieter beschrieben. Stattdessen sollen die Anbieter selbst dafür verantwortlich sein, die App regelkonform zu gestalten.

7. Was ist mit Menschen ohne Papiere?

Teilhabe ist eine zentrale Kritik an der geplanten App: Menschen ohne Papiere könnten ihr Alter nicht nachweisen und deshalb bestimmte Plattformen oder Angebote nicht mehr wie gewohnt nutzen. Denn ohne Ausweis gäbe es auch keinen Altersnachweis.

Dieses Problem ist auch der Kommission bewusst. Unter dem Schlagwort „Gerechtigkeit“ steht dazu in der Spezifikation, die technische Lösung solle möglichst inklusiv sein. Wer das Standardverfahren nicht nutzen könne, „beispielsweise aufgrund des Fehlens eines erforderlichen Ausweises oder elektronischer Identifikationsmittel“, für den sollten Alternativen für die Ausstellung des Nachweises „in Betracht gezogen werden“. Das ist jedoch nur eine Empfehlung, keine Verpflichtung.

Technisch sollte es mit der App auch möglich sein, den Altersnachweis etwa in einer Postfiliale oder auf dem Bürgeramt zu erbringen. Die Person bekäme dann einen Code, mit dem sie ihren Altersnachweis in die App laden könnte. Das könnte etwa für Menschen mit einer Duldung eine Option sein.

Wer hingegen ganz ohne Dokumente lebt, dürfte auch auf diesem Weg keinen Altersnachweis bekommen. Es gibt keine gesicherten Zahlen dazu, wie viele Menschen sich derzeit ohne Papiere in Deutschland aufhalten. Mehr als 50.000 Menschen waren (Stand Ende 2022) unmittelbar ausreisepflichtig. Schätzungen auf Basis der polizeilichen Kriminalstatistik gehen von 180.000 bis 520.000 Personen aus.

Der Dachverband von Organisationen für digitale Freiheitsrechte, EDRi (European Digital Rights), warnte bereits 2023: Auf Papieren basierende Alterskontrollen würden strukturell benachteiligte Gruppen weiter ausschließen, etwa Rom*nja und Sinti*zze. Auch Alternativen wie Kreditkarten oder Studierendenausweise würden das Problem nicht lösen.

8. Wo genau soll ich mich dann mit dieser App ausweisen?

Das bleibt abzuwarten. Zunächst soll die App nur prüfen können, ob jemand volljährig ist. Für Accounts bei Diensten mit niedrigeren Altersfreigaben wäre sie deshalb in dieser Form nicht geeignet. Unter solche Dienste würden etwa TikTok, WhatsApp oder YouTube fallen.

Rein technisch könnte eine solche App allerdings auch abgestufte Altersnachweise erbringen. Manche Jugendschützer*innen fordern so etwas vermehrt mit der Begründung, damit könne man Kinder und Jugendliche besser vor Grooming und anderen Gefahren im Netz schützen.

Es gibt mindestens zwei Hürden, die eine Verbreitung der App bremsen können. Erstens wehren sich selbst Anbieter, die jetzt schon Alterskontrollen einführen müssten, beharrlich dagegen – allen voran die meistbesuchten Pornoseiten der Welt. Zweitens sind Alterskontrollen, wie von der App vorgesehen, häufig nur eine Option für Anbieter und keine Pflicht.

Wie Alterskontrollen das Internet umkrempeln sollen

Gesetzlich vorgeschrieben ist ein Altersnachweis in Deutschland etwa für pornografische Inhalte oder für Filme und Spiele mit Altersfreigabe ab 18 Jahren. Auch wer Alkohol, Tabak oder Zubehör für E-Zigaretten im Netz kauft oder wer wetten will, muss sein Alter nachweisen.

Die Kommission wird Anbietern, die unter den DSA fallen, vermutlich ihre Alterskontroll-App als bequeme Option nahelegen, um den Auflagen des Gesetzes zu entsprechen. Besonders für Pornoseiten dürfte das ein Thema werden. Auch Online-Dienste jenseits des DSA könnten sich für die App interessieren, gerade wenn sie sich damit Ärger mit Aufsichtsbehörden ersparen könnten. Als EU-weite Lösung könnte die App mildere und differenzierte Ansätze für Jugendschutz im Netz verdrängen.

9. Was sagen Fachleute dazu?

In ersten Einschätzungen zu der Spezifikation äußern Fachleute ernste Bedenken. Sie verweisen jedoch darauf, dass eine detaillierte Analyse noch aussteht.

„Altersverifikation betrifft alle Nutzenden und kann deren Grundrechte auf Privatsphäre, freie Meinungsäußerung und Zugang zu Informationen ernsthaft untergraben“, warnt Svea Windwehr, die für die Organisation für digitale Freiheitsrechte EFF (Electronic Frontier Foundation) zu EU-Politik arbeitet. Besonders sensibel seien Methoden, die auf Ausweisen basieren.

Es sei positiv, dass die EU-Kommission einen transparenten Prozess vorgesehen habe, schreibt Windwehr. Jetzt müsse genau geprüft werden, wie sicher die App sei und ob sie sich anonym nutzen lasse. „Sehr besorgniserregend ist, dass die vorgeschlagene App nur für Personen mit Zugang zu modernen Smartphones und amtlichen Ausweisen zugänglich zu sein scheint, was das Risiko birgt, dass Millionen von Menschen Zugang zu Diensten verlieren könnten.“

CCC-Sprecherin und Informatikerin Elina Eickstädt kritisiert nicht nur das Wie, sondern auch das Ob von Alterskontrollen. Es sei „schlichtweg falsch“, die Priorität auf eine Zugangskontrolle zu Online-Diensten zu legen. „Regulatorische Priorität sollte die Durchsetzung einer besseren Gestaltung von Plattformen haben“, schreibt sie auf Anfrage von netzpolitik.org. Die geplanten Anwendungsfälle reihten sich ein „in den massiven Wunsch nach Überwachung, den wir gerade sehen“.

Bei Menschenrechten und Datenschutz ließ die vorgelegte Spezifikation wesentliche Fragen offen, so Eickstädt. Auch mit Blick auf Teilhabe übt sie Kritik. Die aktuell auf Ausweispapieren basierende App „würde viele Menschen vollständig aus dem digitalen Raum ausschließen und dies sollte nie das Ziel sein“. Allerdings bleibe abzuwarten, wie die tatsächliche Lösung von T-Systems aussieht.

Janine Patricia Santos vom Dachverband EDRi kritisierte bereits im März gegenüber netzpolitik.org die Entscheidung, in einer ersten Phase der App auf Pseudonyme zu setzen statt auf höchste Datenschutz-Standards. „Wir glauben, dass diese Anforderung von Anfang an in die App eingebaut werden muss.“