Der Cartoon im Beitragsbild stammt aus 1993 und erschien damals im amerikanischen Magazin The New Yorker. Er steht sinnbildlich für eine Zeit, in welcher sich das Internet von einem Tummelfeld für Nerds und Hacker zu einem allen zugänglichen Kommunikationsumfeld entwickelte und viele erst lernen mussten, was Anonymität (niemand weiss, wer ich bin) und Authentizität (weiss ich, wer mein Gegenüber ist) bedeutet.
Unterdessen ist viel passiert und das Internet ist nicht mehr das unbekümmerte Umfeld, in welchem Gesetze zwar grundsätzlich gelten, aber selten durchgesetzt werden (oder nur schon durchgesetzt werden können). Das Bedürfnis nach mehr Kontrolle ist sowohl bei Regierungen (Kinderpornografie, Drogenhandel, Terrorismus, Unterdrückung unliebsamer Meinungen) als auch bei Privaten (Online-Stalking, Ehrverletzungen) gewachsen. Und auch wenn wir in Europa weit von der Situation in China (und anderen totalitären Staaten) entfernt sind, so nehmen auch hier die Bestrebungen zu, Online-Kontrollmechanismen sowohl rechtlich als auch technisch zu etablieren.
EU
Die EU-Kommission hat vor zwei Wochen Leitlinien und den Prototyp einer App vorgestellt, welche eine Online-Altersüberprüfung erlauben und so einen sicheren Online-Raum für Kinder schaffen sollen. Dabei muss man sich bewusst sein, dass «Kinderschutz» aus technischer Sicht in einem grundsätzlich offenen Netzwerk gleichbedeutend ist mit «Wer auf für Kinder ungeeignete Inhalte zugreifen will, muss sich ausweisen». Wie Heise schreibt, sollen in einer ersten Phase in Dänemark, Frankreich, Griechenland, Italien und Spanien Tests mit dem App-Prototyp stattfinden, um deren Wirksamkeit zu testen.
Die technische Lösung dazu ist auf einer Webseite der EU-Kommission dokumentiert (European Age Verification Solution). Sie soll sicherstellen, dass eine Altersüberprüfung stattfinden kann, ohne dass a) die Verifikationsstelle (also die Stelle, welche den Altersnachweis erstellt) erfährt, auf welche Webseite man mit dem Altersnachweis anschliessend zugreift, und b) diese Seite mehr als «ist über 18» über die Benutzerin erfährt.
Dabei kommt ein zweistufiger Prozess zum Einsatz, bei dem man sich im ersten Schritt gegenüber der Verifikationsstelle ausweist und eine «User ist Ü18»-Bestätigung erhält (im schematischen User Journey wird dazu eine App verwendet, welche mit eIDs und anderen Methoden zur Altersbestätigung interagiert). In einem zweiten Schritt nutzt man diese Bestätigung, um auf altersgeschützte Inhalte zuzugreifen. Zumindest konzeptionell ist damit sichergestellt, dass die Verifikationsstelle nicht erfährt, auf welche Daten zugegriffen werden soll, und der Anbieter von altersgeschützten Inhalten ausser «User ist Ü18» keine persönlichen Informationen über den Benutzer erhält.
Dieser Ansatz deckt den technischen Teil der Lösung ab. Damit sie wirksam wird, ist es aber auch notwendig, dass Anbieter von altersgeschützten Inhalten überhaupt eine Verifikation vornehmen. Dies ist in der EU grundsätzlich über den Digital Services Act (DSA) geregelt, welcher die Grundlage für EU-Leitlinien zum Kinderschutz bildet. Diese Leitlinien umfassen ein ganzes Paket an Anforderungen (und es dürfte interessant zu verfolgen sein, wie die grossen Tech-Plattformen diese umzusetzen gedenken), darunter auch die Pflicht zur Altersverifikation.
Praktisch gesehen ist die oben beschriebene Verifikation höchstens so gut wie die Zuverlässigkeit beim Ausstellen der «User ist Ü18»-Bestätigung, aber zumindest besser als heute. Wenn ein Elternteil seinen Zugriff auf die eID also ungenügend schützt und die eigenen Kinder sich damit Ü18-Bestätigungen ausstellen, dann kann das Verifikationssystem dies prinzipbedingt nicht erkennen. Das mag jetzt unwahrscheinlich wirken, aber vermutlich gibt es, gerade bei nicht digital-affinen Eltern, genügend Fälle, in denen sich die jugendlichen Kinder um die Online-Belange der Familie kümmern.
Wie gut die Pseudoanonymisierung aufgrund des zweistufigen Prozesses in der Praxis funktionieren wird, muss sich noch zeigen. Nicht anonym ist man schlussendlich ja beim Ausstellen der Bestätigung. Solange Webseiten für Erwachsenenunterhaltung die einzigen sind, welche eine Ü18-Bestätigung verlangen, kann man schon rein aus der Tatsache, dass sich jemand eine Bestätigung ausstellen lässt, entsprechende Schlüsse ziehen. Zumindest den zeitlichen Zusammenhang kann man entschärfen, indem die Verifikationsstelle jeweils mehrere Nachweise aufs Mal ausstellt und man diese dann einen nach dem anderen verwendet.
Am Rande bemerkt: die Pflicht zur Altersverifikation bringt insbesondere Apple und Google mit ihren App Stores in die Bredouille. Einerseits stellt sich speziell Apple auf den Standpunkt, mit dem App Store die Sicherheit der Benutzerinnen zu erhöhen, andererseits sträuben sich beide dagegen, diese offensichtliche Gatekeeper-Funktion auch in Bezug auf App Store-Downloads (bzw. generell auf die Verwendung von iOS und Android) wahrzunehmen. Das ist insofern teilweise nachvollziehbar, als eine solche Kontrolle kaum 100 % zuverlässig wahrgenommen werden kann und sie befürchten, das Ziel von Klagen zu werden. Andererseits fordert Apple in gerade erst aktualisierten Guidelines Entwickler dazu auf, die Alters-Klassifizierung ihrer im Store publizierten Apps zu aktualisieren. Und grundsätzlich erlaubt es iOS über Parental Control-Funktionen Eltern heute schon, das Alter ihres Kindes im iPhone abzulegen. Downloads von altersmässig unpassenden Apps sind dadurch gar nicht erst möglich.
Die App Stores spielen noch eine weitere unrühmliche Rolle: Wie OSnews und etwas ausführlicher netzpolitik.org ausführen, ist zumindest angedacht, App und Smartphone über die von Apple bzw. Google dazu bereitgestellten APIs zur Laufzeit zu verifizieren. Dies würde dazu führen, dass man zwingend einen Account bei Apple bzw. Google haben muss und auf Android-Hardware auch nur eine offizielle Android-Version verwenden kann. Wer aus Datenschutz-Gründen zum Beispiel GrapheneOS einsetzt, könnte von der Altersverifikations-App keinen Gebrauch machen (und muss sich deshalb – entgegen seiner Intention – mit einer Datenschutz-unfreundlichen Methode direkt beim Anbieter identifizieren). Auch wer ein Mobiltelefon ausserhalb der Apple/Google-Sphäre einsetzt, bleibt aussen vor. Es ist mehr als nur ironisch, dass die EU auf der einen Seite versucht, die digitale Abhängigkeit von USA zu verringern, und sie dann andererseits bei der Altersverifikation verstärkt.
UK
Bereits einen Schritt weiter ist die UK, wo das Parlament im Herbst ’23 den Online Safety Act (OSA) verabschiedet hat. Es verpflichtet sämtliche Anbieter von Online-Plattformen zu weitreichenden Massnahmen zum Schutz von Kindern und generell zur Verhinderung von psychischen Schäden. Das tönt auf den ersten Blick durchaus begrüssenswert, schliesst aber schlussendlich auch Inhalte auf Aufklärungsseiten oder schon nur Wikipedia mit ein. Dieses Gesetz gibt dem britischen Telekom-Regulator (Ofcom) auch das Recht, einen Anbieter dazu zu verpflichten, sämtliche, auch verschlüsselte, User-Kommunikation nach Child Sexual Abuse Material (CSAM) zu durchsuchen. Entsprechend gross war daher schon im Vorfeld die Opposition gegen das Gesetz.
Kritisch zu sehen ist dabei, dass der OSA in der UK weit über das hinausgeht, was die EU mit dem DSA reguliert hat. Die EU verwendet grundsätzlich einen «Notice and Takedown»-Ansatz, welcher Anbieter von Online-Plattformen verpflichtet, problematische Inhalte dann zu entfernen, wenn sie dazu aufgefordert werden. Der OSA sieht dagegen eine aktive Monitoring-Pflicht der Plattform selbst vor, d.h. die Plattform-Betreiberin macht sich strafbar, falls sie als problematisch definierte Inhalte nicht von selbst löscht. Dabei spielt es keine Rolle, ob es sich um eine Plattform wie Pornhub handelt oder um Reddit, relevant sind nur die jeweiligen Inhalte. Zusammen mit einer sehr weitreichenden Definition von «problematisch» und der fehlenden Einschränkung auf grössere Plattformen hat das in UK dazu geführt, dass seit Verabschiedung des Gesetzes diverse kleinere Community-Websites schliessen mussten. Diese können weder den Aufwand für die ständige Kontrolle leisten noch sind sie überhaupt in der Lage, einen umfassenden Schutz sicherzustellen, ohne das Ziel der Plattform zu verfehlen. Betroffen davon sind etwa speziell auf Jugendliche ausgerichtete Aufklärungsseiten und LGBTQ-Communities, also gerade Plattformen, bei denen ein einfacher und anonymer Zugang für alle von Vorteil wäre.
«Grosse» Anbieter wie Reddit und Bluesky haben in der Zwischenzeit begonnen, das Alter ihrer britischen User zu verifizieren. Die Verifikation ist im Falle von Reddit nicht nur für den Zugriff auf mehr oder weniger pornografisches Material notwendig, sondern generell für potenziell verstörende Inhalte. Wie das amerikanische Online-Magazin 404 Media berichtet, fallen darunter auch Subreddits mit Berichten und Bildern aus der Ukraine oder dem Gaza-Streifen. Die obligatorische Alterskontrolle hat also durchaus auch einen Einfluss auf die politische Meinungsbildung.
Technisch funktioniert die Prüfung ähnlich wie die oben beschriebene EU-Variante über eine externe Verifikationsstelle. Allerdings lässt UK beliebige externe Verifikatoren zu und macht diesen kaum Vorgaben bezüglich Datenschutz und Datenverwendung. UK-User fürchten daher wohl zu Recht, dass ihre für die Verifikation verwendeten Ausweisdaten entweder schlecht geschützt gespeichert oder an Datenhändler weiterverkauft werden. Es ist daher kaum überraschend, dass VPN-Anbieter eine starke Nachfrage registrieren, erlauben VPNs doch den Zugriff auf zum Beispiel Reddit und Bluesky direkt in den USA oder anderen Ländern, wo die UK-Kontrollen nicht implementiert sind.
Neben Aktionen der Zivilgesellschaft haben sich auch Anbieter von Internet-Plattformen zu Wort gemeldet. Signal hat angekündigt, UK zu verlassen, falls sie zum Aufbrechen der E2E-Verschlüsselung gezwungen würden, um User-Kommunikation auf verbotene Inhalte zu scannen. Apple hat sein E2E-verschlüsseltes Cloud-Angebot in UK eingestellt, kann es aber unter Umständen mit Hilfe des Weissen Hauses wieder aktivieren. Und Wikipedia wehrt sich vor Gericht gegen die Auflagen aus dem Online Safety Act, da sie den Betrieb und die Weiterentwicklung der Plattform gefährden würden. Damit will Wikipedia vermeiden, dass die Mitwirkung am Online-Lexikon auf verifizierte AutorInnen beschränkt wird.
Schweiz
Im Vergleich zu EU und UK steckt die Alterskontrolle im Internet noch in den Kinderschuhen. Die vom Bundesrat erarbeitete Vorlage zur Plattformregulierung, welche unter Umständen auch eine Alterskontrolle gefordert hätte, wurde im Frühling aus Angst vor der Rücksicht auf die USA schubladisiert. Eingeführt wurde die Alterskontrolle für den Schutz Minderjähriger vor Inhalten in Filmen und Videospielen im Rahmen des Bundesgesetz
über den Jugendschutz in den Bereichen Film
und Videospiele (JSFVG) (wir haben über dessen Auswirkungen und die irreführenden Aussagen des Bundesamtes berichtet). Und spätestens seit dem Vorliegen der Verordnung ist klar, dass dieses Gesetz, wie im Vorfeld vermutet, de facto zu einer Ausweispflicht für den Zugriff auf Film- und Videospielplattformen führt.
Offen ist nach wie vor, wie die Alterskontrolle konkret ausfallen wird. Die Branchenorganisationen haben bis 2026 Zeit, entsprechende Vorschläge zu erarbeiten, welche dann anschliessend von den Plattformen und Videoplattformen implementiert werden müssen. Details dazu sind bisher nicht bekannt geworden, man kann aber zumindest vermuten, dass man sich schon rein aus Standardisierungsgründen an die Lösung der EU anlehnen wird. Nicht lösen wird das Problem die eID, die ist gemäss Gesetz freiwillig und kann auch beim Zugriff auf Film- und Videospielplattformen nicht vorausgesetzt werden. Wenn eine Plattform die eID-Altersverifikation als optionalen Mechanismus nutzen würde, müsste sie auf jeden Fall auch eine eID-freie Alternative wie eben dem Upload einer Passkopie bieten (welche dann dieselben Probleme bezüglich Datenschutz mit sich bringt wie die Lösungen in UK und EU).
Rest der Welt
Auch in anderen Ländern rund um den Globus nimmt der Appetit auf Internet-Kontrolle zu. Im Folgenden führen wir, ohne Anspruch auf Vollständigkeit, einige Beispiele auf:
- In Australien dürften bald die meisten Online-Aktivitäten mit einem Alterscheck verbunden sein (selbst wenn es nur die Benutzung der Google-Suche ist), anders scheint das Gesetz, welches ab Dezember Social Media-Nutzung nur ab 16 erlaubt, nicht einhaltbar zu sein.
- In Kanada wurde ein Gesetzesentwurf eingebracht, welcher sich inhaltlich stark am britischen OSA orientiert.
- In den USA gibt es sowohl in Bundesstaaten als auch in Washington Bestrebungen, Alterskontrollen und andere Kinderschutz-Massnahmen einzuführen. Das entsprechende texanische Gesetz wurde, obwohl es grundsätzlich das in der Verfassung verankerte (und sehr breit ausgelegte) Recht auf freie Rede ritzt, vom Obersten Gericht bestätigt. Und mit Vorlagen wie KOSTA haben Politiker auch in Washington Anläufe unternommen, entsprechende Regeln für das ganze Land (und angesichts der Dominanz von US-Plattformen wohl für die ganze Welt) aufzustellen.
Fazit
Kurz gesagt: Zumindest die Altersverifikation ist im Internet angekommen und wird Auswirkungen auf das frei zugängliche Angebot haben. Die Unterschiede in den verschiedenen Ländern zeigen deutlich, dass es in der Ausgestaltung der Regulierung oft stark auf die Details ankommt. Gerade die UK (und mit KOSTA auch die USA) zeigen, dass bei zu breit formulierten Gesetzen die negativen Auswirkungen gerade auf Randgruppen oder generell auf Anonymität angewiesene User gross sind. Ob diese Auswirkungen beabsichtigt sind oder schlicht auf fehlendem digitalen Verständnis der ParlamentarierInnen beruhen, lässt sich nicht schlüssig sagen. Vermutlich spielen bei den Entscheidungsprozessen verschiedene Faktoren eine Rolle, bis hin zu vor allem rechtskonservativen Stimmen, für welche jede Art von öffentlich dokumentierter Sexualität (und sei es nur eine Aufklärungsseite) des Teufels ist.
Nun ist nicht von der Hand zu weisen, dass sich im Internet diverse Inhalte finden lassen, welche für Kinder selbst bei einer grosszügigen Interpretation nicht angemessen sind. Es kann daher durchaus Sinn machen, die elterlichen Erziehungs-Pflichten zu unterstützen und den Zugang zu diesen Inhalten Kindern zumindest zu erschweren. Solange dies mit Augenmass und ohne Preisgabe von Anonymität oder allenfalls sensiblen Daten geschieht, kann man dies Erwachsenen durchaus zumuten. Allerdings zeigen sowohl der OSA in UK als auch das Gesetz in Australien, dass eine unsorgfältige (oder allenfalls primär emotional getriebene) Regulierung schnell einmal zu vermutlich mehr Schaden als Nutzen führen wird. Und die EU tut sich schon beim Start schwer damit, eine Lösung bereitzustellen, welche die Abhängigkeit von Apple und Google nicht noch verstärkt. Hier wird noch viel Aufklärungsarbeit und zivilgesellschaftliches Engagement notwendig sein, um schlussendlich eine gute Lösung zu erhalten.
3 Antworten
Ich habe noch einen Hirnknoten bzgl der in der EU geplanten App. Wie soll die App Zugriff auf Inhalte steuern, wenn diese gar nicht auf dem Smartphone selber sondern beispielsweise auf einem Laptop, (Gaming-)PC oder SmartTV aufgerufen werden ohne selber exakt diesen Zugriffsversuch protokollieren zu können? Mir fällt spontan ein Zahlungsvorgang via Twint ein, bei dem die Webseite einen QR-Code präsentiert, dieser wird von der Twint-App gescannt und der bei Twint bestätigte Zahlvorgang wird dann an die Webseite gemeldet. Zwangsläufig weiss Twint, wer den Zahlvorgang eingefordert hat. Mit einer TOTP ähnlichen Funktion, wo nur ein Code aus der App abgetippt wird, kann es auch nicht gehen, weil das wiederum auf der Webseite zu einer Identifikation führen müsste.
Hirnknoten 2: Alternative Android-Implementierungen wie /e/ oder GrapheneOS bekommen die App nicht, weil sie nicht OpenSource ist und deshalb bei F-Prot & Co nicht eingestellt werden können?
Im Video auf https://ageverification.dev wird genau das gemacht: Webseite präsentiert einen QR-Code, welchen die App scannt (und der die Callback-Infos enthält, mit denen die App dann direkt mit der Webseite kommuniziert).
Die App (zumindest der EU-Prototyp) ist Open Source (https://github.com/eu-digital-identity-wallet/av-app-android-wallet-ui, https://github.com/eu-digital-identity-wallet/av-app-ios-wallet-ui). Die aktuelle Android-Version aber Google Play-Funktionen, um zu verifizieren ob die App aus dem Google Play Store bezogen wurde und ob sie auf einem von Google lizenzierten Betriebssystem läuft.
Danke – heisst:
Die App weiss, wer sich wann wo identifizieren muss (wegen der im QR-Code enthalten Callback-Referenz)
Warum aber die Playstore-Version überprüfen muss, ob sie auf einem lizensierten Android läuft bzw aus dem Playstore stammt ist eher Schikane und hat keinen effektiven Wert, ganz im Gegenteil (aus meiner Sicht).