© Richard Johnson / 123RF.com

Die EU bemüht sich derzeit, das Gesetz über digitale Dienste zu erfüllen, und lässt eine EU-weite Lösung für die Altersüberprüfung entwickeln. Die Planungen sind auf Github einzusehen.

Das Ziel der Europäischen Union ist es, eine digitale Altersüberprüfung zu entwickeln, die gemäß dem Gesetz über digitale Dienste (Digital Services Act, DSA) einen sicheren und vertrauenswürdigen digitalen Raum gewährleistet. Besonderes Augenmerk liegt auf Artikel 28 des DSA, der sich auf den Schutz von Minderjährigen konzentriert, und auf einem sichereren und vertrauenswürdigeren Onlineumfeld. Dazu zählen eine Altersbeschränkung für den Kauf von Produkten wie Alkohol oder Tabak sowie die Überprüfung der Berechtigung für Rabatte oder Dienstleistungen für bestimmte Altersgruppen.

Unbestritten ist, dass die derzeitigen digitalen Altersprüfungen unzulänglich sind und sich oft auf einen Klick beschränken, mit dem Besucher einer Seite ihre vorgebliche Volljährigkeit bestätigen. Einerseits grätscht der Jugendschutz in den öffentlich-rechtlichen Mediatheken des deutschen Fernsehens in die Wiedergabe von Krimis oder Erotik-Filmen und verlangt eine PIN (Abbildung 1). Andererseits genügt bei Pornoseiten ein Klick auf einen Button, um ungehindert Zugang zu bekommen. Die Anbieter weigern sich, ihren Verifizierungsprozess zu ändern, und lavieren sich erfolgreich um gegen sie verhängte Netzsperren herum, etwa über die Änderungen von Domains. Dabei ist in Deutschland ein Altersnachweis für pornografische Inhalte vorgeschrieben. Eine Altersfreigabe ab 18 Jahren gilt auch für entsprechend eingestufte Filme und Spiele sowie den Erwerb von Alkohol und Tabak.

Abbildung 1: Ohne PIN-Eingabe aus der Altersverifizierung geht es in der ARD-Mediathek nicht weiter. Quelle: ARD

Entwicklungsauftrag

Die Vergabe eines Auftrags zur Entwicklung, Beratung und Unterstützung für eine Lösung zur Altersüberprüfung hat bereits stattgefunden. In einem ersten Los des mit insgesamt rund vier Millionen Euro dotierten und auf eine Entwicklungszeit von 24 Monaten ausgelegten Projekts haben T-Systems und Scytales den Zuschlag bekommen [1]. Das schwedische Unternehmen Scytales hat unter anderem bereits Lösungen in Form von Apps für digitale Ausweise und Führerscheine im Angebot. Das Volumen des Auftrags für die beiden Unternehmen beträgt rund zwei Millionen Euro.

Laut den auf Github einsehbaren Spezifikationen [2] sieht der Alterskontrollprozess im ersten Schritt eine App vor, die eine Offenlegung von Daten einschränkt und die Privatsphäre der Nutzer schützt. Dabei spielen bereichsspezifische Identifikatoren oder Pseudonyme eine entscheidende Rolle für die Datenminimierung, heißt es in den Specs. Nutzer sollen sich bei der Interaktion mit Onlinediensten nicht auf dieselbe eindeutige Kennung verlassen müssen.

In der derzeitigen Fassung der Spezifikationen sind die bereichsspezifischen Identifikatoren und die Pseudonyme entscheidend für den Schutz des Nutzers. Dabei vergeben besuchte Webseiten und deren Services jeweils eine eigene ID. Damit bleiben die nachverfolgbaren Spuren eines Nutzers zumindest auf den jeweiligen Dienst beschränkt. Dass die Spezifikation Pseudonyme statt Klarnamen vorsieht, dürfte bei Datenschützern keine Jubelstürme auslösen. Die Definition eines Nutzernamens ist in Sachen Anonymität zumindest nicht der Weisheit letzter Schluss.

Probleme und Risiken

Mehrere Schlüsselbereiche der derzeitigen Version der Altersüberprüfungsarchitektur müssen noch weiter analysiert und verfeinert werden, teilt die EU mit. Vorgesehen ist eine Zusammenarbeit mit den Mitgliedstaaten, der Europäischen Gruppe für Altersüberprüfung, der Zivilgesellschaft, Branchenvertretern und Fachleuten. Es gilt unter anderem, Authentifizierungsmechanismen auszuarbeiten, über die Nutzer auf ihre Geräte zugreifen. Diese Frage zu klären, ist wichtig, damit ein Smartphone in den falschen Händen nicht über die geplanten Wallets dem Angreifer Tür und Tor öffnet.

Dass der Fokus der Entwicklungen auf Apps und den technischen Möglichkeiten moderner Smartphones liegt, betrachten Kritiker jedoch als diskriminierend. Ohne Zugang zu einem Smartphone, das etwa zur Authentifizierung den Chip eines Ausweisdokuments auslesen kann, bleibt der Zugang zu vielen Diensten verwehrt. In Brüssel sieht man das weniger kritisch. Die Spezifikationen sehen vor, die Nutzung auf allen für den Onlinezugriff gängigen Gerätetypen zu ermöglichen. “Die Nutzer sollten in der Lage sein, einen Altersnachweis vorzulegen, wenn sie mit weitverbreiteten Gerätetypen wie Mobiltelefonen, Tablets, Laptops und Desktop-Computern auf Onlinedienste zugreifen”, lautet die Formulierung. Legitimiert sieht man das durch die Daten von Eurostat, die zeigten, “dass alle diese Geräte derzeit von den Europäern häufig genutzt werden, wobei Desktop-Computer am wenigsten verbreitet sind”.

Wie die Spezifikation Menschen mit unterschiedlichem technologischem Zugang oder unterschiedlichen Kenntnissen eine hindernisfreie Teilnahme ermöglichen will, bleibt eher ungewiss. Die Rede ist von Abhilfemaßnahmen wie alternativen Verfahren zur Ausstellung von Bescheinigungen oder menschlichem Eingreifen. Das sollte zumindest für Personen in Betracht gezogen werden, die das reguläre Verfahren nicht nutzen können, weil sie nicht über ein erforderliches Ausweisdokument oder ein elektronisches Identifizierungsmittel verfügen, heißt es weiter.

Übergangslösung

Die nun zu entwickelnde Altersverifizierungsapp (AV-App) soll lediglich die Zeit überbrücken, bis Ende 2026 die EUDI-Wallets (EU Digital Identity Wallets) für die digitale Identität zur Verfügung stehen und dann die Altersüberprüfungsfunktion dort integriert werden kann.

Abbildung 2: Die AV-App setzt viel weniger voraus als die EU Digital Identity Wallets. Quelle: EU

Zwischen der Altersverifikationsanwendung und der Altersverifikationsfunktion in einer EUDI-Wallet gibt es allerdings große Unterschiede (Abbildung 2). Das Trust-Framework der EUDI Wallet setzt beispielsweise voraus, dass die Anwendung zertifiziert und der Anbieter der Anwendung registriert wurde. Auch die Relying Parties (RPs) müssen registriert sein. Zudem muss die Wallet-Einheit in der Lage sein, die RPs zu authentifizieren. Die Altersverifikationsanwendung dagegen sieht keine Zertifizierung oder Registrierung für die Anbieter der Anwendung oder die vertrauenden Parteien vor.

Fazit

Den Plänen zur Altersverifizierung darf man durchaus mit gemischten Gefühlen gegenüberstehen. Zwar ist der Jugendschutz ein stichhaltiges Argument dafür, doch haben sich die beanstandeten Webseiten bislang stets erfolgreich um jegliche Netzsperren herumgemogelt.

Dass vor dem großen Wurf mit der EUDI-Wallet mit integrierter Altersverifikation noch eine kleine Lösung kommt, dürfte die Anwender eher verwirren. Auf jeden Fall ist ein späterer Wechsel mit allem damit verbundenen Ungemach programmiert. Auch die abgespeckte Zertifizierung und Registrierung der Beteiligten trägt nicht zum Vertrauen in die Zwischenlösung bei. (uba)