EU-App zur Altersverifikation

„Die App der EU zur Altersverifikation ist ein erster Schritt hin zu einer einheitlichen und breit verfügbaren Möglichkeit, das Alter von Nutzerinnen und Nutzern im Internet nachzuweisen. Aktuell kann sie allerdings nur bestätigen, ob jemand mindestens 18 Jahre alt ist. Dadurch ist ihr Einsatzbereich noch begrenzt.“

„Das liegt wahrscheinlich daran, dass es deutlich schwieriger ist, das genaue Alter von Kindern und Jugendlichen über sogenannte ‚Attestation Provider‘ (Verifizierungsstellen, in diesem Fall zur Altersverifikation; Anm. d. Red.) zuverlässig zu bestätigen. Moderne Verfahren zur Altersverifikation sind vielversprechend. Dazu zählen etwa Zero-Knowledge-Protokolle (Verfahren, um die Gültigkeit bestimmter Informationen – wie die Tatsache, dass man volljährig ist – nachzuweisen, ohne weitere Informationen – wie das konkrete Alter oder weitere Informationen über die Person – zu enthüllen; Anm. d. Red.). Solche Verfahren haben in der App aber nur ein experimentelles Stadium. Dennoch zeigt die App, dass die zuständigen Stellen bemüht sind, einen hohen Standard an Datenschutz zu erreichen.“

„Grundsätzlich dient die App als anonyme Vermittlungsstelle: Sie verbindet Stellen, die das Alter bestätigen können, mit solchen, die diese Information benötigen. Aus Datenschutzsicht ist das ein klarer Vorteil, weil die anfragenden Dienste nur die unbedingt nötigen Informationen erhalten – zum Beispiel lediglich die Bestätigung ‚über 18‘, statt weiterer persönlicher Daten.“

„Zum Vergleich: Wenn eine Website das Alter über Gesichtserkennung schätzt, erhält sie gleichzeitig auch ein Bild des Gesichts. Damit erhält sie meist auch Informationen über das Geschlecht und andere personenbezogene Daten.“

„Allerdings ist die App nicht vollständig gegen Umgehung geschützt, denn die Abrechnungsdaten sind auf dem Gerät gespeichert. Wird das Gerät weitergegeben, kann auch der Zugang weitergegeben werden. Das ist ähnlich, wie wenn Eltern ihr Smartphone an Kinder verleihen, um Altersbeschränkungen zu umgehen.“

„Hinzu kommt, dass manche Websites Altersprüfungen möglicherweise nur für Anfragen aus der EU durchführen. Über ein Virtual Private Network (VPN) oder Anonymisierungsdienste kann dann jeder so tun, als ob die Anfrage von außerhalb der EU kommt. Damit könnte man ohne Altersprüfung auf Inhalte zugreifen.“

„Ich stehe der Idee der Altersverifikation sehr kritisch bis ablehnend gegenüber. Der Grund dafür ist, dass sie potenziell mehr Schaden anrichtet, als sie Nutzen für Sicherheit, Privatsphäre und gesellschaftliche Teilhabe bringt.“

„Es gibt bislang meines Wissens nach keine Evidenz, dass Altersverifikation die eigentlichen Probleme wirksam löst und ihre Ziele erreicht. Trotzdem wird dadurch versucht, ein internetweites Zugangskontrollsystem einzuführen – mit schwer abschätzbaren Folgen.“

„Außerdem ist die Verifikation trivial zu umgehen (detaillierte Antwort dazu weiter unten). Sie bringt also nur Nachteile und keinen echten Gewinn.“

„In einem offenen Brief [1] haben sich bereits im Februar 2026 über 400 Wissenschaftler*innen gegen eine solche Altersverifikation ausgesprochen. Der Brief liefert sehr detaillierte Begründungen für diese klare Ablehnung. Man muss sich nur mal die Liste der Unterzeichner*innen ansehen: viele international führende Köpfe der IT-Sicherheit. Es ist schade, dass man den Eindruck bekommt, dass solche fundierten Bedenken aus der Wissenschaft einfach ignoriert werden.“

„Es wird eine weitreichende Infrastruktur mit unklarer Wirksamkeit und erheblichen Risiken eingeführt, trotz breiter fachlicher Kritik.“

„Nutzerfreundlich: Die App scheint eher das Gegenteil von nutzerfreundlich zu sein. Beim Log-in müssen zusätzliche Schritte durchgeführt werden. Des Weiteren wird man von einem zusätzlichen Gerät abhängig – nämlich dem Smartphone, auf dem die App läuft. Außerdem werden weniger technikaffine oder nicht mit passenden Geräten ausgestattete Nutzer ausgeschlossen.“

„Höchste Privatsphärestandards: Die höchsten Privatsphärestandards könnte man durch Nutzung von kryptographischen Anonymous Credentials erreichen (Zertifizierung, ohne dass weitere persönliche Daten preisgegeben werden müssen; Anm. d. Red.). Die Dokumentation verspricht jedoch nur, dass eine ‚nächste Version der technischen Spezifikation‘ so etwas als ‚experimentelles Feature‘ enthalten soll. Die versprochenen höchsten Standards werden also nicht erreicht und auch für die Zukunft nur ‚experimentell‘ versprochen.“

„Auf jedem Gerät einsetzbar: Soweit ich weiß, soll die App vorerst nur für Apple-Geräte oder über Googles Android-App-Store verfügbar sein. Das deckt zwar viele Nutzer ab, aber ganz sicher nicht wie versprochen ‚jedes Gerät‘.“

„Open Source: Das ist prinzipiell gut, aber für die Kernprobleme der Altersverifikation völlig irrelevant.“

„Insgesamt bleibt eine deutliche Lücke zwischen den formulierten Ansprüchen und dem, was die App tatsächlich leistet.“

„Zusätzlich bedenklich finde ich auch, dass die EU sich hier voll auf Technik verlässt, die nicht aus der EU stammt. Damit wird die digitale Souveränität nicht verbessert. Ganz im Gegenteil: Bestehende Abhängigkeiten werden noch weiter zementiert.“

„Weil es in der Frage speziell um digitale Lösungen geht: Um Kinder mit technischen Mitteln vor Inhalten zu schützen, die nicht für Kinder geeignet sind, könnte man zum Beispiel so vorgehen: Ich konfiguriere auf dem Tablet meiner kleinen Töchter ohnehin eine Elternkontrolle, zum Beispiel, um die Nutzungszeit bei Bedarf einzuschränken. Hier könnte man zusätzlich das Alter auf dem Gerät konfigurieren, zum Beispiel ‚zehn Jahre‘. Wann immer der Browser eine Anfrage an einen Internetserver sendet, könnte er in dieser Anfrage mitsenden: ‚Bitte nur Inhalte für Personen bis zehn Jahre anzeigen‘. Das könnte der Serverbetreiber auswerten und dann nur geeignete Inhalte senden oder die Anfrage blockieren.“

„Aber noch wichtiger: Ich denke, dass die Suche nach einer rein technischen Lösung ein Irrweg ist. Zum Beispiel verunglücken jedes Jahr um die 27.000 Kinder im Straßenverkehr [2]. Aber die Antwort darauf ist auch keine App, die Kindern den Zugang zur Straße verwehrt, sondern Verkehrserziehung – durch die Eltern und in der Schule.“

„Im Internet ist das meiner Meinung nach auch der beste Ansatz, um effektiven Kinderschutz zu erreichen: ‚Digitale Verkehrserziehung‘ für das Internet. Dabei müssten Eltern ihre Kinder über die Risiken aufklären, gemeinsam mit ihnen den sicheren Umgang üben und einen Überblick darüber behalten, was ihre Kinder im Internet tun, um bei Bedarf zu helfen. Dafür benötigt man im Internet genauso wenig eine Totalüberwachung wie im Straßenverkehr. Und das könnte man durch zusätzliche sinnvolle Angebote in der Schule ergänzen.“

„Kinderschutz entsteht nicht durch Kontrolle, sondern durch Kompetenz und Verantwortung – online genauso wie auf der Straße.“

„Die Altersverifikation ist trivial zu umgehen. Der einfachste Weg ist die Nutzung eines Virtual Private Networks (VPN). Damit kann man so tun, als ob man aus einem Land außerhalb der EU kommt. Eine andere Möglichkeit ist die Nutzung von fremden Accounts oder des Handys der Eltern oder der großen Geschwister. Und ich glaube, dass wir fest davon ausgehen können, dass motivierte Jugendliche auch noch ganz andere clevere Lösungen finden werden, um die Sperren zu umgehen.“

„Im Zweifelsfall weichen Jugendliche einfach auf alternative Plattformen aus – zum Beispiel im Darknet. Und wenn dann auf unregulierten Plattformen noch schädlichere Inhalte zu finden sind, hat die Altersverifikation dem Kinderschutz einen Bärendienst erwiesen und am Ende genau das Gegenteil erreicht.“

„Vorbemerkung: Ich teile die Kritik Frau von der Leyens an vielen digitalen Plattformen. Allerdings schaden deren Geschäftsmodelle nicht nur Kindern, sondern allen Nutzer:innen. Die Kommission sollte also alle Hebel des Digital Services Act (DSA) und anderer Instrumente nutzen, um digitale Umgebungen insgesamt besser und sicherer zu machen. Dann bräuchte man auch weniger Barrieren, um Kinder und Jugendliche von Angeboten fernzuhalten.“

„Nichtsdestotrotz wird es Bereiche und Angebote geben, auf die Kinder nicht zugreifen sollten. Für jene bedarf es effektiver technischer Lösungen, die aber gleichzeitig nebenwirkungsarm sein sollten. Apps zur Altersverifikation können dafür ein Baustein sein. Aber dann müssten alle Nutzer:innen sie verwenden, um sich im Netz auszuweisen. Darum muss sie auch wirklich so gut sein, wie angekündigt.“

„Wenn man der Pressemitteilung folgt, wurden viele richtige und wichtige Dinge berücksichtigt: Nutzerfreundlichkeit, dass die App auf allen Endgeräten funktioniere, einen hohen Schutz der Privatsphäre bieten soll und vor allem auch, dass die App vollständig Open Source sei. So könnte sie von unabhängigen Akteuren überprüft werden.“

„Ein Fragezeichen habe ich hinsichtlich der Aussagen zum Schutz der Privatsphäre, hier scheint es ja Lücken zu geben. Auch stellt sich die Frage, in welchem Verhältnis diese App zu EUDI Wallet steht, welche parallel entwickelt wird und ähnliche Funktionen erfüllen soll.“

„Ich bin keine Informatikerin, aber meines Wissens verfügt der aktuelle technische Stand der App nicht allen notwendigen Voraussetzungen, um den Schutz der Privatsphäre sowie Sicherheit zu garantieren. Aufgrund allgemeiner Probleme mit Altersbestimmungstechnologien haben viele Forscher:innen aus dem Bereich der Cybersecurity sich noch im März in einem offenen Brief gegen den Einsatz solcher Technologien ausgesprochen [1] – auch, weil eine technisch saubere Umsetzung von Verifikationstechnologien Zeit bräuchte.“

„Zusammen mit drei Kollegen aus den Bereichen IT-Sicherheit und Digitalrecht haben wir die verschiedenen Möglichkeiten der Altersbestimmung einer eingehenden Analyse unterzogen [3]. Wir kommen zu dem Schluss, dass alle Altersbestimmungstechnologien umgehbar sind. Daher sollte man jene Technologien bevorzugen, welche möglichst wenige ‚Nebenwirkungen‘ haben.“

„Wir schlagen ein mehrstufiges Modell vor. Die erste Stufe des Schutzes von Kindern online sollte durch die elterliche Kontrolle (von Nutzungszeiten oder dem Zugriff auf Apps) auf den Endgeräten erfolgen. Dies funktioniert aber nur, wenn Eltern diese Tools auch wirklich nutzen. Biometrische Verfahren zur Altersschätzung, bei welchen die Daten aber auf dem Endgerät verbleiben, können eine zweite Ebene bilden.“

„Für strafrechtlich relevante Inhalte wie Pornografie reichen solche Verfahren jedoch nicht aus. Hier bedarf es dokumentenbasierter Verifikationsverfahren (Verifikation auf Basis eines offiziellen Dokuments – etwa eines Personalausweises; Anm. d. Red.). Aber auch dies kann auf dem Endgerät erfolgen. Wenn die neue App oder die European Digital Identity (EUDI) Wallet tatsächlich alle Garantien an selektive Datenweitergabe und Unverknüpfbarkeit erfüllt, dann wäre sie hier eine Alternative für diese harte Form der Verifikation.“

„Kritisch sehen wir Verfahren, bei denen Plattformen das Alter von Nutzer:innen auf Basis biometrischer Daten oder Verhaltensdaten schätzen. Diese Verfahren sind einerseits nicht sicher und andererseits hochgradig invasiv. Man sollte es daher Plattformen keinesfalls freistellen, welche Verfahren sie für die Altersbestimmung von Nutzer:innen verwenden. Dies würde ihnen einen weiteren Vorwand geben, Nutzer:innen noch stärker zu tracken – mit dem Argument, sie müssten das tun, um wirklich unterscheiden zu können, ob jemand 15 oder 16 ist.“

„Alle Altersbestimmungstechnologien sind prinzipiell umgehbar, wenn auch nicht alle im gleichen Ausmaß. Das ist der Grund, warum Systeme mit möglichst wenigen ‚Nebenwirkungen‘ vorzuziehen sind.“

„Ich halte die App der Europäischen Union (EU) zur Altersverifikation für wenig sinnvoll. Mit der European Digital Identity (EUDI) Wallet wird aktuell in allen EU-Mitgliedsstaaten eine Infrastruktur und App für digitale Nachweise entwickelt. Diese wäre auch technisch in der Lage, Altersnachweise zu erstellen, wenn es hierfür die Anforderung gibt. Dass parallel von der EU eine weitere App für einen einzelnen Nachweis entwickelt wird, scheint mir wenig hilfreich – insbesondere, da sie in wichtigen Design- und Sicherheitskriterien von den electronic Identification, Authentication and Trust Services (eIDAS) und der EUDI-Wallet-Architektur abweicht.“

„Es gibt meines Wissens auch noch keine gesetzliche Grundlage, die den Einsatz einer solchen App für die angekündigten Altersnachweise in Social Media erlauben würde.“

„Es gibt aktuell nur wenige Informationen zur Altersverifikations-App der EU. Ohne eine klare technische Spezifikation lassen sich Sicherheit und Datenschutz der Lösung kaum bewerten. Basierend auf den veröffentlichten Informationen scheint die App auf sogenannte Batch-Issuance zu setzen. Das bedeutet, es werden mehrere Einmalzertifikate für die Altersnachweise ausgestellt. Diese sind grundsätzlich sehr sicher, wenn sie korrekt umgesetzt werden. Allerdings bieten sie nur eine limitierte Form von Anonymität.“

„Diese Lösung ist kein Zero-Knowledge-Proof (ZKP) wie angekündigt. Mit diesem hätte der höchste Datenschutz auf kryptographischer Ebene garantiert werden können. ZKPs werden nur als experimentelles Feature für eine zukünftige Version erwähnt, basierend auf einem proprietären Verfahren von Google. Im Rahmen der parallel entwickelten EUDI-Wallet wird aktuell an der Standardisierung von ZKPs gearbeitet, um diese in Zukunft für Anwendungen mit besonders hohen Datenschutzanforderungen nutzbar zu machen. Solche Standards sind notwendig, um sichere, interoperable und unabhängige Implementierungen zu ermöglichen und unnötige Abhängigkeiten zu vermeiden.“

„Selbst mit optimalem Datenschutz auf kryptographischer Ebene ist vollständige Anonymität im Netz aber kaum umsetzbar. Denn es fallen zusätzlich zu den Altersnachweisen weitere Daten an, mit denen Nutzer:innen leicht zu tracken oder sogar zu identifizieren sind. Dies gilt insbesondere, wenn die Nachweise im Kontext von Social Media eingesetzt werden. Hier sollte in der Kommunikation klar zwischen kryptographischer und tatsächlicher Anonymität unterschieden werden.“

„Ein anderes Verfahren zur Altersverifikation ist sogenanntes Age Assessment. Hier werden biometrische oder Kontextdaten genutzt, um das Alter abzuleiten oder zu schätzen. Diese sind aber weder sonderlich sicher noch datenschutzfreundlich. Das gleiche gilt für Identitätsnachweise, bei denen Nutzer:innen durch Video-Ident-Verfahren oder das Abfotografieren ihres physischen Ausweises ihre Identität nachweisen.“

„In allen alternativen Verfahren werden deutlich mehr Informationen gesammelt als notwendig. Außerdem sind sie teils leicht zu umgehen. Aus Sicherheits- und Datenschutzperspektive wären kryptographisch gesicherte und anonyme Nachweise die beste Lösung für digitale Altersverifikation.“

„Grundsätzlich bleibt aber die Frage, ob Altersverifikation für Social Media der richtige Weg ist. Denn auch die datenschutzfreundlichste Lösung ist nicht frei von ‚Nebenwirkungen‘. Hier keine voreiligen Entscheidungen zu fällen, ohne das Problem der Gefahr durch Social Media wirklich verstanden zu haben, wurde kürzlich in einem offenen Brief von mehr als 400 Sicherheitsforschenden gefordert [1].“

„Wird Altersverifikation nur in einigen Ländern verlangt, wird sich die Lösung generell durch Virtual Private Networks (VPN) umgehen lassen. Das wäre ganz unabhängig von der Umsetzung. Mittels VPN kann eine Nutzerin vorgeben, aus einem Land ohne Altersverifikation zuzugreifen.“

„Auch darüber hinaus gibt es noch einige offene Fragen. Eine ist, wie ein Nachweis an eine konkrete Person – und nicht nur ihr Gerät – gebunden werden kann. Eine weitere wäre, wie sichergestellt werden kann, dass der Zugang zu sozialen Netzwerken und Informationen weiter inklusiv und diskriminierungsfrei ist.“