Jugendschutzgesetz in den Medien, ein kleiner Faktencheck

Unser Beitrag zur Internetfeindlichkeit des neuen Jugendschutzgesetzes hat grosses Echo gefunden, und zumindest einige Schweizer Medien und diverse PolitikerInnen sind (wenn auch spät) aufgewacht. So sehr wir das begrüssen, so sehr irritiert dann auch, wenn einzelne Beiträge die im Ursprungsartikel beklagte digitale Blauäugigkeit (um nicht zu sagen Inkompetenz) geradezu exemplarisch vorführen.

Unter dem Titel „Ausweiszwang für harmlose Youtube-Filme? «Krass irreführend»“ publizierte Edgar Schuler am 9. Januar einen Artikel im Tagesanzeiger. Neben einem Überblick über den aktuellen Stand enthält der Bericht einige Interpretationen zum Gesetz sowie Statements von Politikern. Was jedoch völlig vergessen ging, ist eine Einordnung dieser Interpretationen und Statements in Bezug auf den Wortlaut des Gesetzes; Auch für eine Einschätzung durch Digital-Experten hat die Zeit offenbar nicht gereicht. Und am 15. Januar doppelte Mirko Plüss in der NZZ am Sonntag mit einem Beitrag «Jugendschutzgesetz: Bund will das Alter mit E-ID kontrollieren» nach, welcher primär aus Statements und Absichtserklärungen des zuständigen Bundesamts für Sozialversicherungen besteht. Auch hier ist von einer kritischen Einordnung nichts zu sehen.

Wir holen dies hiermit gerne nach, angereichert mit einigen Hintergrundüberlegungen.

Wie funktioniert das Gesetz?

Das Gesetz spricht durchgehend von Abruf- und Plattformdiensten, die in Art. 5 definiert sind. Vereinfacht gesagt ist ein Abrufdienst einer, der Filme oder Spiele zum Download oder Streaming anbietet und Plattformdienste solche, welche von Benutzern hochgeladene Filme oder Spiele ohne eigene Redaktion teilen. Beispiele für Abrufdienste sind die ZDF-Mediathek, Cinefile, Netflix oder Steam, für Plattformdienste YouTube, Vimeo, PornHub oder vermutlich auch werbefinanzierte Plattformen zum Teilen von Spielen wie zum Beispiel Itch.io.

Dabei muss der Zugang zu Film oder Spiel nicht der alleinige Zweck des Dienstes sein, sondern es reicht, wenn ein entsprechender Video- oder Spieleteil „abtrennbar“ wäre. Da das Zurverfügungstellen von Videos und Spielen eigentlich immer spezialisierten Programmcode oder Infrastruktur benötigt, dürfte diese „abtrennbarer Teil“-Regel auch auf sehr viele Dienste angewandt werden können, bei denen das Teilen von Videos oder Spielen nur Beiwerk ist.

Grafischer Überblick über das Bundesgesetz über den Jugendschutz in den Bereichen Film und Videospiele (JSFVG) vom 30. September 2022
Ein vereinfachter grafischer Überblick über einige hier relevante Aspekte des Gesetzes.
[Update 2023-01-16: Fehlende Regulierung Jugendschutz im RTVG erwähnt.]
[Update 2023-01-17: Ergänzungen und Korrekturen; Aussage des Bakom zur fehlenden Regulierung nach Hinweis Martin Steiger korrigiert.]

Behauptung 1: Keine generelle Ausweispflicht

Beginnen wir mit der Aussage am Schluss des TA-Artikels:

Ursprünglich ausgearbeitet wurde das Jugendschutzgesetz vom Bundesamt für Sozialversicherungen. Sein Sprecher Harald Sohns verneint, dass es eine generelle Ausweispflicht für Plattformen vorsieht: «Es verlangt nur, dass Plattformbetreiber oder Anbieter von Games und Videos verhindern müssen, dass Kinder für sie ungeeignete oder gar gefährliche Inhalte konsumieren können.»

Das tönt zwar soweit plausibel, deckt sich aber nicht mit der Aussage im Gesetz. Dieses schreibt (in Art. 20) vor, dass Plattformdienste «geeignete Massnahmen treffen [müssen], damit Minderjährige vor für sie ungeeigneten Inhalten geschützt werden» und dass solche Massnahmen mindestens «die Einrichtung und den Betrieb eines Systems zur Alterskontrolle vor der erstmaligen Nutzung des Dienstes» umfassen müssten. (Für Abrufdienste findet sich in Art. 8 eine analoge Regelung.) Wenn die Alterskontrolle bei der erstmaligen Nutzung des Dienstes greifen soll, muss sie unabhängig von der Art und Kindertauglichkeit des jeweiligen Inhalts erfolgen und daher alle Nutzer betreffen.

Was dem Bundesamt hier wohl vorschwebt: Dass Plattformen wie YouTube oder TikTok quasi alle kindertauglichen Videos frei verfügbar anbieten würden und nur für Erwachseneninhalte eine Kontrolle vorsähen. Dies hat Harald Sohns, der Mediensprecher des zuständigen Bundesamts für Sozialversicherung (BSV) auf Anfrage hin bestätigt:

Bei YouTube z.B. können jegliche Inhalte, die für Minderjährige freigegeben sind, konsumiert werden, ohne sich einzuloggen.

Wie das mit der „vor erstmaliger Nutzung“-Formulierung im Gesetz vereinbar ist, ist unklar. Auch ist fraglich, wie TikTok und andere Dienste, welche zwingend ein Account benötigen, eine solche Lösung ohne Weiteres übernehmen könnten.

Die Annahme des BSV steht aber auch insofern auf tönernen Füssen, als das YouTube schon rein von der Masse an Filmmaterial her gar nicht in der Lage ist, sämtliche Videos altersspezifisch zu markieren, und infolge dessen hochgeladene Videos per default in der Erwachsenenkategorie landen müssten, selbst wenn der Inhalt kinderkonform wäre. Anders können die Plattformanbieterinnen, die ja per Definition keine redaktionelle Kontrolle über den Inhalt ausüben, diese Hoffnung des Bundesamts kaum erfüllen.

Allenfalls ist auch gemeint, dass YouTube das heutige System (Selbstdeklaration durch die Uploader, verbunden mit Meldemöglichkeit) einfach weiterführt, und nur die Ü18-Videos hinter der Loginschranke versteckt. Diese Intention bestätigt Harald Sohns auch auf Anfrage von DNIP:

Plattformdienste (= Dienste, die nutzergenerierte Inhalte zur Verfügung stellen) müssen lediglich gewährleisten, dass Ü-18-Inhalte für Minderjährige nicht zugänglich sind.

Dies widerspricht unserer Ansicht nach aber den Artikeln 8 und 20 des Gesetzes, welche mit identischem Wortlaut einen Schutz von Minderjährigen von für sie ungeeigneten Inhalten fordert. Wenn für alle Minderjährigen (auch z.B. Sechsjährige) nur der Ü18-Inhalt „ungeeignet“ wäre, wäre dies gleichzeitig auch ein Indiz, dass eine feinere Einstufung anderswo (wie z.B. die Forderung bei Abrufdiensten bzw. bei PEGI) nicht nötig wäre. Entsprechend wäre es unserer Ansicht nach notwendig gewesen, die vom BSV gewünschte Trennung nur zwischen U18- und Ü18-Inhalten auch explizit in Art. 20 festzuschreiben.

Das BSV räumt im oben erwähnten NZZ-Artikel zwar ein, dass der entsprechende Artikel im Gesetzesentwurf mindestens missverständlich formuliert sei und stellt eine Konkretisierung in der Verordnung in Aussicht. Inwieweit man sich auf diese verlassen will, sei aber zumindest mal dahingestellt (ganz abgesehen davon, dass eine Verordnung schlicht nicht dazu da ist, eine im Gesetz absolut formulierte Vorgabe signifikant abzuschwächen).

Behauptung 2: Passpflicht

Nochmals aus dem TA-Artikel:

SP-Nationalrat Matthias Aebischer befürwortet das Gesetz und hat seine Entstehung eng begleitet. Für ihn sind die Aussagen des Referendumskomitees «krass irreführend»: «Es stimmt nicht, dass wir uns künftig mit dem Pass ausweisen müssen, um uns auf Youtube Filme anzuschauen.» Denn wer Youtube benütze, ohne sich auf der Plattform einzuloggen, könne das weiterhin tun. Daran ändert das Jugendschutzgesetz laut Aebischer nichts.

Offenbar geht Aebischer wie das Bundesamt (siehe Behauptung 1 oben) davon aus, dass die Anbieter in Zukunft kindertauglichen und kinderuntauglichen Inhalt sauber trennen und nur zweiteren hinter einer Verifikationsschranke verstecken. Das würde grundsätzlich funktionieren, sofern Videos und Games streng in zwei Gruppen («allgemein zugänglich» und «nur für Erwachsene») einteilbar wären.

Alterseinstufung von Game of Thrones (gemäss IMDB.com)

Wie schwierig eine Alterseinstufung ist, lässt sich an obiger Liste zu Game of Thrones entnehmen. Oftmals ist schon die Einstufung innerhalb eines Landes nicht einfach (siehe z.B. Kanada, Deutschland, Frankreich oder Südkorea). Für einen internationalen Anbieter ist eine Anbringung einer eigenen, länderspezifischen Klassifikation für nicht offiziell klassierte Spiele oder Filme schlicht unmöglich. (Und Art. 11 lit. f öffnet Tür und Tor für Missbrauch der Altersklassifizerung zur Zensur durch jedermann.)

Wie bei Behauptung 1 schon festgehalten, führt dies direkt zu einer Passpflicht für praktisch sämtliche Inhalte. Und darunter fällt weit mehr als die gerne zitierten PornHub-Videos, auch diverse Games dürfen Jugendlichen nicht zugänglich gemacht werden, ganz abgesehen von notwendigen feineren Abstufungen als nur U18/Ü18. Aus dem Gesetz zum Jugendschutz wird dadurch nicht nur ein Gesetz zur Internet-Ausweispflicht für Erwachsene, es zwingt Erwachsene beim für sie legalen Zugriff auf entsprechende Videos und Games, einen Account beim jeweiligen Anbieter anzulegen, welches mit ihrem Pass verknüpft ist; auch für Angebote, welche ohne Abonnementsgebühren genutzt werden könnten. Darüber freuen dürften sich primär die Anbieter, welche so, staatlich verordnet, zu einer Vielzahl neuer Accounts kommen welche deutlich einfacher und finanziell einträglicher mit gezielter Werbung beglückt werden können als anonyme Besucher.

Das wäre in etwa vergleichbar mit der Pflicht, bei jedem Einkauf im Coop unabhängig vom Inhalt des Warenkorbs den Ausweis vorzeigen zu müssen weil Coop ja auch alkoholische Getränke und Messer im Angebot hat. Und als Sahnehäubchen hätte Coop das Recht, den Ausweis zu kopieren und durch einen einfachen Eintrag in ihren AGB auch für Werbe- und weitere Zwecke zu nutzen.

Nutzung der Ausweisdaten

De facto wird es also unumgänglich sein, dass Erwachsene ein Account auf der Plattform ihres Interesses anzulegen, da nur über ein solches die Alterskontrolle funktionieren kann. Und da amtliche Ausweise momentan die einzige verlässliche Quelle von Altersinformationen darstellen, wird damit de facto eine Ausweispflicht für Erwachsene etabliert.

Da wirkt es dann fast ironisch, dass das Gesetz zwar die Zweitnutzung von Ausweisdaten Minderjähriger verbietet aber nicht die von Erwachsenen. Laut Bundesamt für Sozialversicherungen sind die erfassten Ausweisdaten aller Nutzenden bereits heute durch das Datenschutzgesetz abgedeckt und dürfen nur für den in den Nutzungsbedingungen definierten Zweck verwendet werden. Die zusätzlichen Artikel im Jugendschutzgesetz sollen beim Missbrauch von Ausweisdaten Minderjähriger eine spezifischere Ahndung/Strafe erlauben. Übersehen wird dabei, dass die AGBs von Onlinediensten bereits heute eine Formulierung wie „Die von Ihnen zur Verfügung gestellten Daten nutzen wir zur Verbesserungen unseres Dienstes“ enthalten, womit sich die Anbieterin eigentlich völlige Freiheit zur Nutzung dieser Daten gibt. Der durch das DSG gedeckte Missbrauchschutz ist daher nicht äquivalent zum Zweitnutzungsverbot der Daten Minderjähriger. Die Lücke hätte sich mit einer Formulierung wie „Die im Rahmen der Altersprüfung erhobenen Daten dürfen für keinen anderen Zweck als diese Prüfung verwendet werden“ vermeiden lassen können.

Daten und Lecks

Auch wenn eine Anbieterin die Passdaten nicht für Zwecke wie Profiling und zielgerichtete Werbung verwenden will, wird ihre Hausjuristin ihr möglicherweise zum Speichern der Daten raten, damit bei der in Art. 11 lit. h vorgesehenen Kontrollen der Umsetzung der Jugendschutzregelung die ordnungsgemässe Durchführung der Altersverifikation belegt werden kann.

Aber: Datenlecks gehören ja leider schon fast zur Tagesordnung, es ist also eine Frage der Zeit bis derart erhobene Identitätsdaten in den Händen Unbefugter landen. Ebenso dürften zum Zeitpunkt des Inkrafttretens des Gesetzes eine Unzahl an Phishingmails für diese Passdaten im Umlauf sein. Diese attraktiven Daten erzielen auf dem Schwarzmarkt hohe Preise, da sie ideal für Identitätsdiebstahl und mehr sind.

Je nach Inhalt der Videos und Spiele, für die man sich registriert hat, kommt zum Ärger aufgrund des Identitätsdiebstahls noch die Angst hinzu, die Existenz des Kontos auf der Plattform könnte publik gemacht werden oder zu Erpressungen genutzt werden…

Behauptung 3: Rechtsfreier Raum

Wieder aus dem TA-Artikel:

Die Gegnerinnen und Gegner seien gegen jede Art der Regulierung im Internet. «Aber für mich – und die Mehrheit des Parlaments – ist klar: Das Internet ist kein rechtsfreier Raum.» Der Jugendschutz gelte dort genauso wie überall sonst.

Die Aussage, dass das Internet ein rechtsfreier Raum sei, hört man immer wieder. Es geht aber häufig vergessen, dass es einen riesigen Unterschied macht, ob ich mit physischen Personen und Objekten interagiere oder ob diese nur rein virtuell sind. Entsprechend gibt es natürliche Unterschiede, ob eine Regelung in der physischen oder virtuellen Welt einfacher umgesetzt werden kann. Dazu ist aber häufig eine andere Herangehensweise notwendig. Und die Erkenntnis dieser inhärenten Unterschiede scheint an vielen Stellen noch zu fehlen.

Auch in der physischen Welt gibt es bereits unterschiedliche Regelungen. Obwohl auf einem Kinderspielplatz z.B. keine Schilder für Höchstgeschwindigkeiten von Kindervelos aufgestellt sind, käme niemand auf die Idee, den Kinderspielplatz verkehrstechnisch als rechtsfreien Raum zu bezeichnen.

Es gibt auch Regelungen, die in der digitalen Welt einfacher umzusetzen sind als in der physischen: Eine Pflicht zur verschlüsselten Kommunikation personenbezogener Daten wäre im Digitalen technisch viel einfacher umzusetzen als beim persönlichen Gespräch zwischen zwei Personalsachbearbeitern oder beim Versand per Post. Auch eine Pflicht zum Erstellen von Backups unersetzbarer Daten (beispielsweise gegen Elementarschäden) ist bei einer Harddisk deutlich einfacher umzusetzen als bei den umgerechnet tausenden von Bundesordnern. (Bei der mangelhaften Umsetzung solcher, aktuell noch hypothetischer, Regelungen, müsste man dann im Gegenzug die physische Welt als „rechtsfreien Raum“ bezeichnen.)

Schlussendlich ist die Aussage ein Allgemeinplatz der gerne als Standardgrund für Internet-spezifische Gesetze vorgeschoben wird, dabei aber vor allem die digitale Inkompetenz des Sprechers hervorhebt. Im Falle von Medienbeiträgen sollten solche Statements daher immer ein guter Moment sein, kritisch nachzuhaken.

Behauptung 4: Technik noch nicht definiert

Wiederum aus dem TA-Artikel:

Wie der Jugendschutz technisch umgesetzt wird, steht laut [Ständerat] Michel nämlich noch gar nicht fest. Die Details würden später in einer Verordnung in enger Absprache mit den betroffenen Anbietern festgelegt.

Grundsätzlich hat er damit natürlich recht. Allerdings sind die technischen Möglichkeiten schlussendlich überschaubar, zumindest solange man nicht auf unsichere und schlecht skalierende Lösungen wie das Übermitteln von fotografierten Pässen setzen möchte. Unsicher sind diese, weil sich solch ein Bild leicht fälschen lässt (noch leichter, wenn man wie ARD + ZDF nur die Übermittlung des auf dem Pass aufgedruckten Geburtsdatumscodes verlangt); schlecht skalierend, weil wohl kein grosser Anbieter in der Lage ist, Account-Requests von Zehntausenden von CH-Einwohnern innert nützlicher Frist zu verifizieren.

Eine vordergründig einfache technische Möglichkeit wäre die Verknüpfung des Logins mit einer Kreditkarte. Dies basiert aber auf der Annahme, dass Banken Kreditkarten nur an Erwachsene ausgeben (eine Annahme, die sich nach einem kurzen Blick in die Jugendkonto-Angebote von CH-Banken als falsch herausstellt), auch ist es wohl nicht jedermanns Sache (und schon rein aus Datensparsamkeitsgründen eine schlechte Idee), Kreditkarten-Daten bei einem Anbieter hochzuladen von welchem man gar nichts zu kaufen beabsichtigt. (Und auch in der heutigen Zeit gibt es noch viele Erwachsene, die keine Kreditkarte besitzen können oder wollen.)

Also würde wohl kein Weg an der von Ständerat Michel erwähnten engen Absprache vorbeiführen. Es gibt allerdings weltweit unzählige Anbieter sowohl von Plattform- wie auch von Abrufdiensten, eine Absprache wird sich also zwangsweise auf wenige Grosse fokussieren. Und da besteht dann natürlich das Risiko, dass diese dann Lösungen vorschlagen werden, welche vor allem ihnen selbst in die Hände spielen und es für die kleinen Anbieter erst recht schwer machen. MindGeek, der Besitzer einer Reihe von Erotikplattformen wie PornHub, hat mit AgeID zum Beispiel ein eigenes System zur Altersverifikation im Angebot, ein System welches umso wertvoller wird, je mehr Plattformen es nutzen. Die dadurch entstehenden Probleme sind vergleichbar mit denen, welche eine zentrale eID-Plattform (so wie sie ursprünglich in der Schweiz angedacht war) mit sich bringen würde. (Es ist auch fraglich, ob eine generelle Altersverifikation wirklich von einem Inhalteanbieter für seine Konkurrenz erbracht werden soll und ob die Nutzung der Lösung eines Erotikanbieters auch für sonstige Altersverifikationen sinnvoll ist.)

Offenbar hat man auch im BSV eingesehen, dass da noch einiges im Argen liegt. Entgegen den Ausführungen in der bundesrätlichen Botschaft zum Gesetz (und entgegen den Äusserungen einiger ParlamentarierInnen) ist die Passpflicht jetzt plötzlich kein Thema mehr, und das Bundesamt hat via NZZ zwei neue Ideen ins Spiel gebracht:

  • Verwendung der neuen eID: Zwar ist das neue eID-Gesetz noch nicht in trockenen Tüchern, und auch Verordnung und technische Realisierung stehen noch aus (letztere unter anderem auch, da sie erst nach Vorliegen von Gesetz und Verordnung finalisiert werden kann). Allerdings braucht es hier schon einiges an kreativer Planung: Das Bundesamt geht gemäss NZZ davon aus, dass es 2026 werden wird, bis das neue Jugendschutzgesetz zur Anwendung kommen wird, weil sowohl die Ausarbeitung der zugehörigen Verordnung wie auch die Übergangsfrist für die Anbieter Zeit brauchen werden. Kreativ ist das insofern, da die Variante eID nur funktioniert, wenn das wie erwähnt noch nicht beschlossene neue eID-Gesetz samt Verordnung und technischer Realisierung bis dann (de facto also deutlich schneller als das JSFVG) umgesetzt sein werden. Dies ist eine sehr sportliche Herausforderung…
  • Als Alternative zur eID hat das Bundesamt auch das Edulog-System vorgeschlagen, welche schweizweit Schülern und Auszubildenden zur Verfügung steht. Mal abgesehen dass eine Alterskontrolle über eine zentrale Schnittstelle den Fehler der zentralen Protokollierung wiederholt welcher zum Scheitern der ersten eID-Vorlage beigetragen hat: Wie das Bundesamt selbst mehrfach äusserte, wird nur für Erwachsenen-Inhalte eine Prüfung durch YouTube etc. notwendig sein, Erwachsene sind aber (mit Ausnahme von Lehrpersonen) keine Edulog-Nutzer. Oder, wie es Matthias Schüssler auf Twitter in Bezug auf den möglichen Einsatz von Edulog zum Jugendschutz kommentierte: „Damit können sich Schüler:innen bei Diensten anmelden, für die sie zu jung sind.“

Behauptung 5: Wie der Rest der Welt

Nochmals aus dem TA-Artikel:

[Ständerat] Michel widerspricht auch der Aussage, das Schweizer Jugendschutzgesetz sei das internetfeindlichste in ganz Europa: «Im Gegenteil: Die Angleichung an die internationale und insbesondere europäische Entwicklung war dem Parlament wichtig.»

Auch wenn sich das einzelne Politiker immer wieder schönreden: Die Schweiz kann der grossen, weiten Welt nicht im Alleingang ihren Willen aufzwingen. Insbesondere beim effektiven Durchsetzen von Regelungen gegenüber internationalen Anbieterinnen ist eine internationale Zusammenarbeit bzw. die Übernahme oder zumindest Angleichung von Gesetzen notwendig. Insbesondere Unternehmen, die nur einen kleinen Teil ihres Umsatzes mit Schweizer NutzerInnen machen, würden sich einfach von diesem Markt zurückziehen. Für einige internationalen Anbieterinnen dürfte es sicherer und günstiger sein, einfach alle Schweizerinnen und Schweizer von ihrem Dienst auszuschliessen, als sicherzustellen, dass sie alle Inhalte korrekt einstufen.

Wie schon im DNIP-Beitrag vom 5. Januar ausgeführt, geht die Schweizer Lösung aber weit über das hinaus, was im europäischen Raum aktuell diskutiert wird (oder teilweise bereits Gesetz ist). So ist im Ausland teilweise der Zugriffsschutz klar auf potentiell jugendgefährdende Inhalte limitiert, eine Lösung welche in der Schweiz nicht möglich sein dürfte, da das Gesetz keine Unterschiede macht, sondern generell von einer Verifikation vor der ersten Nutzung spricht. Und der Digital Services Act (DSA) der EU schreibt sogar explizit vor, dass Anbieterinnen nicht verpflichtet werden dürfen, personenbezogene Daten zu erheben um das Alter festzustellen.

Zusammenfassung

Die meisten der Behauptungen zeigen nicht, wie «krass irreführend» die Aussagen der Kritiker des Gesetzes seien, sondern wie krass mangelhaft das Verständnis der digitalen Welt und der Auswirkungen des Gesetzes sowohl im Parlement wie auch bei Journalisten sind. Dass Parlamentarier Gesetze beschliessen, bei denen sie annehmen dass diese die adressierten Probleme effektiv lösen, ist vermutlich parlamentarischer Alltag (Dossierkenntnis ist oft eine Zeitfrage, und wenn sich bei einem Jugendschutzgesetz vor allem die am Thema Jugendschutz interessierten Parlamentarier engagieren, bleiben die Digitalspezialistinnen schon mal auf der Strecke).

Die Berichterstattung in den Medien zeigt aber auch, wie unkritisch heute oft Journalismus betrieben wird, insbesondere wenn es um Digitalthemen geht.

Anhang: Grundsätzliche Überlegungen

Hier noch einige Überlegungen, die unserer Ansicht nach bei der Umsetzung des Gesetzes oder einer allfälligen (hoffentlich!) noch folgende Überarbeitung einfliessen sollten.

Unterschiede zwischen physischer und digitaler Welt

Im Internet fehlt natürlicherweise die physische Position bzw. man muss sich nicht an einen physischen Ort aufhalten. Auch digitale Grenzübertritte funktionieren meist unbemerkt. Entsprechend sind physische Kontrollen wie beim Kinoeintritt oder beim Betreten eines Spielezentrums nicht möglich.

Von diesen falschen Vorstellungen muss sich auch der Gesetzgeber lösen. Genau gleich, wie auch der Gesetzgeber nicht auf die Idee kommt, für die physische Welt schwer umsetzbare Gesetze zu fordern, nur weil sie in der digitalen Welt einfach funktionierten (wie weiter oben beispielsweise die Pflicht zum Kopieren von Akten in Bundesordnern).

Überlegungen zum Jugendschutz

Wir wollen hier aber weder propagieren, dass Informationen im Internet halt generell frei verfügbar sein sollen noch in Frage stellen, dass Hilfsmittel für einen sinnvollen Jugendschutz im Internet notwendig sind. Der Spagat zwischen den verschiedenen Interessen am Thema ist jedoch anspruchsvoll:

  • Eltern haben Aufsichts- und Schutzpflichten gegenüber ihren Kindern und können diese nicht einfach an Abruf- und Plattformdienste delegieren. Man kann aber von diesen Diensten erwarten, dass sie den Eltern die notwendigen Hilfsmittel in die Hand geben um diesen Pflichten nachzukommen.
  • Man kann aber auch von Eltern erwarten, dass sie ein Umfeld geschaffen haben, in dem der Nachwuchs Vertrauenspersonen hat (Eltern, Verwandte, Bekannte, …), welche die Kinder in geeigneter Weise auf die reale Welt vorbereiten und an die sich die Kinder auch wenden können, wenn sie etwas Verstörendes erlebt haben, egal ob in der realen oder digitalen Welt.
  • Technische Mittel wie Kinderschutzeinrichtungen auf Rechnern, Routern oder ein kindergerechter Zugang beim Internet-Provider sind für motivierte Jugendliche leicht zu umgehen (und welcher Teenager hat nicht zumindest teilweise Motivation aus dem Umgehen von Verboten geholt?).
  • Die „kindersichere“ Konfiguration obiger Geräte dürfte die digitalen Fähigkeiten der meisten Eltern übersteigen. Zumindest die Eltern kleinerer Schützlinge sollten aber die Möglichkeit nutzen, ihren Kindern internetfähige Geräte nicht unkontrolliert zur Verfügung zu stellen.
  • Länderspezifische Schutzmechanismen helfen beschränkt, wie Erfahrungen mit Online-Casinos zeigen. Und auch das Einrichten eines Zugang zu streaming-tauglichen VPNs ist für viele Jugendliche inzwischen ein Kinderspiel.
  • Allfällige Lösungen sollten Prinzipien wie Datensparsamkeit und Verschlüsselung im Auge behalten, und vor allem für nicht-Betroffene (konkret Erwachsene) keine übermässigen oder unnötigen Nachteile mit sich bringen.

Optionen für die Altersprüfung

Während der Schutz kleinerer Kinder noch vom Elternhaus übernommen werden kann (und soll), muss der Schutz bei zunehmender Autonomie der Jugendlichen global von Seiten der Diensteanbieter her passieren. Damit diese Bemühungen der Anbieterinnen nicht halbherzig bleiben, müsste ihnen die konsequente Umsetzung des Jugendschutzes am besten einen direkten wirtschaftlichen Vorteil bringen; nicht nur das Entgehen einer Strafe, welche international sowieso oft nur schwer durchsetzbar ist. Neben klassischen kostenpflichtigen Diensten sollten auch die im aktuellen Gesetz vernachlässigten Freemium– bzw. werbefinanzierte Dienste in die Überlegungen eingebunden werden.

Also: Gesucht ist eine eierlegende Wollmilchsau. Diese ist wohl auch hier kaum zu finden. Deshalb hier einige technische Abwägungen:

  • Die Online-Überprüfung von physischen Ausweisen funktioniert nur beschränkt. Sowohl die Echtheitsprüfung als auch die Zuordnung zur Person sind schon für sich alleine schwierige Probleme. Vollautomatisierte Lösungen sind bisher trivial zu umgehen. Lösungen mit menschlicher Überprüfung sind kostspielig und deshalb nur bei hohen zu erwartenden Einnahmen lukrativ; aber auch diese können getäuscht werden, insbesondere auch im Familienumfeld.
  • Eine zuverlässige Lösung ist kostengünstiger umzusetzen, wenn die Kosten für die Identifikation zwischen mehreren Diensten geteilt werden können, eine Idee auf der u.a. auch das Geschäftsmodell von AgeID basiert. Die Nutzung eines Identifikationsdienstes bietet aber ihre eigenen Nachteile (u.a. Datenschutz). Es gibt aber mathematische Verfahren, mit denen ein elektronisches Gerät (eID-App auf Handy, Chip im Ausweis wie z.B. im deutschen nPA, …) gegenüber einem Dienstleister ein „genügend hohes“ Alter des entsprechenden Besitzers unfälschbar nachweisen könnte, ohne etwas über die Identität oder das genaue Alter der Person auszusagen. (Solche Überlegungen werden auch im Rahmen der aktuellen eID-Gesetzgebung in der Schweiz angestellt.) Damit würden nur noch Informationen über die Art des Ausweises und das ausstellende Land geleakt, also ein riesiger Fortschritt aus Datenschutzsicht. Allerdings wäre auch mit einer E-ID die Alterskontrolle für alle Inhalte und von Anfang an unverhältnismässig.
  • Allerdings ist auch das nur eine Aussage über den rechtmässigen Besitzer des Geräts und sagt nichts aus über die Person, welche aktuell vor dem Gerät sitzt. Insbesondere im Familienumfeld dürfte eine 100%-ige Trennung nicht realistisch umsetzbar sein.
  • Natürlich gäbe es noch die (Horror-)Vision der totalen Sperrung aller Geräte (ohne der Möglichkeit, eigene Software zu installieren) und der vollständigen und andauernden Überwachung aller Online-Aktivitäten aller Personen. Diese sei nur der Vollständigkeit her aufgelistet.

Weitere Informationen

10 Antworten

  1. Unser Parlament ist leider (noch) nicht digitalkompatibel. Es werden wahrscheinlich auch nie passende Fachpruefungen erforderlich sein, wie zu ueberhaupt keinem Gebiet. Also sollte auch nicht per se angenommen werden, dass Parlamentarier eine Ahnung haben, und schon das Richtige tun werden. Danke fuer’s dran bleiben
    Hier am Besten den Jugendschutz kippen. Der ist so effizient wie den Jugendlich das Hanf rauchen zu verbieten.

  2. „Das wäre in etwa vergleichbar mit der Pflicht, bei jedem Einkauf im Coop unabhängig vom Inhalt des Warenkorbs den Ausweis vorzeigen zu müssen weil Coop ja auch alkoholische Getränke und Messer im Angebot hat“ – das Beispiel geht nicht weit genug.

    Folgende Analogie dürfte besser passen:
    Weil Coop auch Messer und Alkohol im Angebot hat, findet an der Eingangstür eine Passkontrolle statt. Dabei werden die Pässe kopiert und können danach für gezielte (z.B. „altergerechte“) Werbung gebraucht werden

  3. Diese hervorragende Analyse hätte während des Vernehmlassungsverfahrens für das wohl naiv-gut gemeinte, aber katastrophale Gesetze vorliegen müssen. Das führt zur Frage, wie überhaupt diese Vernehlassung ablief. Aus der Botschaft Seite 8236 (im PDF 34) geht hervor, dass es eine Begleitgruppe gab „mit Vertreterinnen und Vertretern der betroffenen Bundesstellen, der Kantone, der wichtigsten Branchenverbände im Film- und Videospielebereich sowie der Konsumentenorganisationen.“ 1)
    Was in der nachfolgenden Liste der in der Begleitgruppe Mitwirkenden insbesondere fehlt, ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte.
    Die Vernehmlassung wurde 2019 abgeschlossen. 2) Beim zugehörigen Bericht vor der Vernehmlassung 3) wird zu Art. 8 (Seite 42, im PDF 50) die Ausweiskontrolle noch nicht genannt.
    Die Adressliste zur Vernehmlassung 5) teilt sich in „ständige Vernehmlassungsadressaten“ und „zusätzliche Vernehmlassungsadressaten“. Ich würde erwarten, dass die Datenschutzbeauftragten des Bundes und der Kantone auf der Liste der „ständigen Vernehmlassungsadressaten“ sind, sind sie aber nicht.
    Hier stellt sich die Frage, ob bei der Organisation von Vernehmlassungen der Datenschutz systematisch aussen vor bleibt?

    1) https://www.fedlex.admin.ch/eli/fga/2020/2122/de – Seite 34
    2) https://www.fedlex.admin.ch/de/consultation-procedures/ended/2019#https://fedlex.data.admin.ch/eli/dl/proj/6019/14/cons_1
    3) https://www.fedlex.admin.ch/filestore/fedlex.data.admin.ch/eli/dl/proj/6019/14/cons_1/doc_2/de/pdf-a/fedlex-data-admin-ch-eli-dl-proj-6019-14-cons_1-doc_2-de-pdf-a.pdf
    4) https://www.fedlex.admin.ch/filestore/fedlex.data.admin.ch/eli/dl/proj/6019/14/cons_1/doc_5/de/pdf-a/fedlex-data-admin-ch-eli-dl-proj-6019-14-cons_1-doc_5-de-pdf-a.pdf

  4. Folgende Möglichkeiten welche ich nicht einordnen kann wurden mit als Alternative genannt:

    a) Ausweis ähnlich des Covid-Zertifikates
    b) Bei der Post/Detailhändler und anderen Anbietern in der physischen Welt wird gegen Zeigen des Ausweises ein einmal verwendbarer Code ausgedruckt welcher bestätigt dass die Person welche den Ausdruck entgegengenommen hat in eine bestimmte Alterskategorie fällt.

    Wie schätzen dies die Experten ein?

    1. Hmm, kreativ sind die Vorschläge auf jeden Fall 🙂 Was die wirklichen Experten sagen, weiss ich nicht, kann aber gerne meine Einschätzung dazu geben:

      a) quasi ein Erwachsenen-Zertifikat basierend auf einer Infrastruktur wie sie auch fürs Covid-Zertifikate aufgebaut wurde? Wirkt ein bisschen wie „eID light“, müsste man vielleicht detaillierter anschauen. Auf die Schnelle sehe ich aber Risiken bzgl dem Leaken der IP-Adresse des zu Authentisierenden (Risiko besteht beim Covid-Zertifikat nicht da die Verifikation ja mit dem Gerät des Prüfers erfolgt, nicht mit dem Gerät des Zertifizierten) gegenüber dem Zertifikat-Server.
      b) unter der Annahme, dass die Ausgabestellen über ausgegebene Rubbellose ähh Codes nicht Buch führen (also nicht festhalten, dass Code 4711 an den Menschen mit Passnummer 0815 verkauft wurde), könnte das unter Umständen funktionieren. Andererseits bietet das ein erhebliches Schwarzhandelspotential, es hindert mich ja dann niemand daran, über die Zeit (oder in verschiedenen Ausgabestellen) eine ganze Reihe solcher Codes zu erwerben und sie dann (verbotenerweise) gegen Bares an interessierte Jugendliche zu verkaufen.

      Für beide Varianten gilt natürlich, dass die (ausländischen) Anbieter mitziehen müssten. Das wäre vermutlich um um so einfacher desto näher CH-Lösungen an internationalen Standards sind.

      1. Es geht gerne immer wieder vergessen, dass auch das Covid-Zertifikat eigentlich nur in Verbindung mit dem Zeigen eines amtlichen „Lichtbildausweises“ gültig war, das einen Zusammenhang zwischen dem Impfstatus (der Name und Geburtsdatum enthält) und dem Ausweis (der ebenfalls Name und Geburtsdatum enthält) herstellt.

        Und dieser Prozess war immer nur in einer physischen Begegnung gültig, das war nichts für einen „Online Check-In“ – es ging ja genau um die Koordination von physischen Begegnungen.

        Die Idee der „Rubbellose“ sehe ich als nicht sinnvoll an – eben wegen dem fehlenden Abgleich zur Identität des Vorweisenden, denn der Ort, wo dies stattfindet, ist eben die digitale Welt. Da braucht es andere Massnahmen wie eine E-ID, wenn man das überhaupt will – ich bin immer noch der Ansicht, dass „Jugendschutz“ (vor was genau auch immer Jugendliche geschützt werden müssen) Sache der Eltern ist und kein technischer Vorgang.

  5. Könnte man nicht bei allen Gesetzen, zu denen der Aebischer Ja sagt, einen Stempel aufführen. Dann wüsste ich gleich, dass sie Müll sind und müsste mich gar nicht mehr mit dem Inhalt beschäftigen. Seit der sich so vehement für das Abzocken Schweizer Spielsüchtiger in Online-Casinos und der dazugehörenden DNS-Sperren eingesetzt hat, hat er mir genügend Inkompetenz bewiesen.
    Danke für die etwas sehr ausführliche Analyse, hoffen wir, dass das Referendum kommt und die Schweizer Stimmbevölkerung nicht diesen ständigen Kassandra-Rufern zu untauglichem Kinderschutz erliegen.

  6. Um eine Verbesserung im Gesetzgebungsprozess (für ‚Digitalgesetze‘) zu erreichen, steht wohl nicht die Digitalkompetenz des Parlaments im Vordergrund (die wird sich wohl erst ergeben, wenn die Digital Natives nachgerückt sind).
    Vielmehr müsste die Digitalkompetenz dort vorhanden sein, wo die Gesetzesentwürfe geschrieben werden, sowie dort wo sie einem Review unterzogen werden (Vernehmlassung).
    Es müsste doch möglich sein, dass sich Kreise, die über die notwendige Kompetenz verfügen, in der Vernehmlassung einbringen können.

  7. Auch wenns natürlich einfacher ist, die Pflicht an den Anbieter abzuschieben, sind die Argumente für diese Umsetzung absurd. So ziemlich jedes Betriebssystem erlaubt die einfache Einrichtung eingeschränkter Konten oder bietet einen Kindermodus. Da können keine Apps/Programme/VPNs zur Umgehung mehr installiert werden. Der Weg an dieser Sperre vorbei ist mindestens so aufwändig wie die Umgehung anbieterseitiger Sperren per VPN/Proxy.
    Aber mal angenommen, die anbieter hätten eine möglichkeit, eine entspechende magische sperre umzusetzen, die auch nicht mit den klassischen wegen umgangen werden kann. jeder account wäre mit einem gültigen schweizer pass/ID registeiert. können die ach so technisch inkompetenten eltern verhindern, dass ihr kind nicht mal auf ihren netflix-account zugreifft? dass der sohn am tablet der eltern heimlich youtube öffnet? das der jugendliche die ID ode eID der mutter kurz „ausleiht“, um sich selbst einen account freizuschalten?

  8. Inzwischen ist es amtlich, das Referendum ist nicht zustande gekommen (siehe Medienmitteilungen der Bundeskanzlei). Es wurde um mehr als die Hälfte der Unterschriften verfehlt. Ohne das Engagement der Piratenpartei kleinreden zu wollen, stellte sich mir schon noch die Frage, wie man sich um mehr als 25’000 Unterschriften verschätzen kann, das hat am Tag der Einreichung definitiv noch anders getönt.

    Was ich auch nicht ganz verstehe, ist wieso eine Kreditkarte bei so vielen als weniger problematisch angesehen wird als der Ausweis. Eine Kreditkarte wäre wohl das Einzige, was ich noch weniger gerne irgendwo hochladen wollte. Auch der Artikel redet primär von allgemeiner Datensparsamkeit. Wie wär’s mit, ich möchte nicht, dass jemand mein Geld verpulvert?

    Das Lamentieren über die eID seitens gewisser Politiker in demokratieverachtendster Selbstverständlichkeit kann ich nicht mehr hören. Dieses Ding 2021 wurde klar und deutlich an der Urne abgelehnt. Und selbst wenn man es irgendwann mal hinkriegt und beim Volk durchbringt, wieso sollten sich Anbieter wie Google nach einer Schweizer Schnittstelle richten? Der Anreiz am Sammeln von Ausweisen war ja gerade der Datenerhalt, der mit einer eID entfällt. Ein Gutes hat der Plan des Bundesrats, bis 2026 zu warten, aber: Das reicht für eine Volksinitiative.

    Was in meinen Augen in dem Artikel fehlt, ist ein Hinweis darauf, dass Jugendschutz auch im realen Leben nicht funktioniert. Das erste Mal gesoffen und geraucht habe ich glaube ich mit 13 – und damit war ich in meinem Freundeskreis eher spät dran. Wir können ja eine Umfrage veranstalten, wie viele Jugendliche nicht vor 16/18 Alkohol getrunken haben. Mir scheint, manche Politiker kommen mit der Realität genauso gut zurecht, wie mit der digitalen Welt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge