Ausweispflicht?
Trilog zu Alterskontrollen: Warnung vor „Ausweispflicht für weite Teile des Internets“
Sowohl der Rat als auch das EU-Parlament haben Nein gesagt zur verpflichtenden Chatkontrolle. Aber die umstrittene Verordnung birgt weitere Risiken für digitale Grundrechte – und zwar flächendeckende Alterskontrollen. Worüber Kommission, Parlament und Rat jetzt verhandeln.
Es war ein merkliches Aufatmen Ende vergangenen Jahres. Nach mehr als drei Jahren Verhandlungen hatten sich Vertreter*innen der EU-Staaten im Rat auf eine gemeinsame Position zur sogenannten Chatkontrolle geeinigt, einem der weitreichendsten Überwachungsprojekte der EU.
Hinter der Chatkontrolle stecken Pläne der EU-Kommission, Anbieter von Messengern wie Signal oder WhatsApp auf Anordnung dazu verpflichten zu können, die Kommunikation von Nutzer*innen zu durchleuchten. Vertrauliche Nachrichten müssten sie dann in großem Stil nach sogenannten Missbrauchsdarstellungen durchsuchen – ein fundamentaler Angriff auf sicher verschlüsselte Kommunikation. Anlass ist der Vorschlag für eine Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern, kurz: CSA-VO.
Fachleute aus unter anderem Kinderschutz, Wissenschaft, Zivilgesellschaft sind gegen das Vorhaben Sturm gelaufen. Mit dem Nein von Rat und EU-Parlament dürfte die Chatkontrolle vom Tisch sein. Kaum beachtet geblieben ist dabei jedoch ein weiteres Überwachungsvorhaben im Vorschlag der Kommission, und zwar die Einführung von Alterskontrollen.
Die EU-Kommission möchte Anbieter nämlich auch dazu verpflichten dürfen, das Alter ihrer Nutzer*innen zu überprüfen. Betroffen sind Dienste, die Erwachsene nutzen können, um sexuelle Kontakte zu Minderjährigen anzubahnen. Das nennt sich Grooming.
Alterskontrollen laufen oftmals auf invasive Maßnahmen heraus. Nutzer*innen müssten dann zum Beispiel ihr Gesicht biometrisch vermessen lassen, damit eine Software ihr Alter schätzt, oder mithilfe von Dokumenten wie dem Ausweis belegen, dass sie erwachsen sind. Mindestens würde es damit für Millionen Nutzer*innen schwerer, sich frei im Netz zu bewegen. Wenn es nicht gelingt, solche Kontrollen sicher zu gestalten, drohen Datenschutz-Verletzungen und massenhafte Überwachung.
Kommission, Rat und Parlament haben teils widersprüchliche Positionen zu den Alterskontrollen. Aktuell verhandeln sie im sogenannten Trilog über die Verordnung – und damit auch über die Zukunft von Alterskontrollen in der EU. Wir liefern die Übersicht über die zentralen Positionen und die Risiken dahinter.
Das will die EU-Kommission
Der Vorschlag der EU-Kommission sieht eine Verpflichtung zu Alterskontrollen bei „interpersonellen Kommunikationsdiensten“ vor, einfach ausgedrückt: Anbietern mit Chatfunktion.
Sie sollen zunächst selbst das Risiko für Grooming einschätzen, also ob ihre Dienste zum Zweck des „sexuellen Kindesmissbrauchs“ eingesetzt werden könnten. Dabei spielt etwa eine Rolle, wie viele Kinder den Dienst überhaupt verwenden, wie leicht sie von Erwachsenen auf der Plattform kontaktiert werden können und welche Möglichkeiten es gibt, solche Kontakte zu melden.
Potenziell von Grooming betroffene Anbieter sollen dann das Alter ihrer Nutzer*innen überprüfen, um Minderjährige „zuverlässig“ zu identifizieren. Die Konsequenz sollen Maßnahmen zur Risikominderung sein. Zwar nennt der entsprechende Artikel im Entwurf kein konkretes Beispiel – denkbar wären aber zum Beispiel eingeschränkte Chat-Funktionen, die keine Gespräche mit Fremden erlauben.
Vergangene Recherchen über Grooming legen nahe: Diese Regelung könnte viele populäre Plattformen treffen, etwa TikTok, Instagram und Roblox oder das unter Gamer*innen beliebte Discord. Auch Messenger wie WhatsApp oder Signal könnten dazu verpflichtet werden, das Alter ihrer Nutzer*innen zu prüfen.
Entscheidend sind hier die Worte „zuverlässig identifizieren“. Eine schlichte Altersabfrage dürfte kaum genügen. Es geht auch nicht bloß darum, dass Anbieter Schutzfunktionen für Minderjährige bereithalten müssen, damit betroffene Minderjährige (oder ihre Aufsichtspersonen) sie einsetzen können. Stattdessen könnte es sein, dass Nutzer*innen in großem Stil beweisen sollen, dass sie schon erwachsen sind.
Zusätzlich sieht die Kommission eine weitere Altersschranke vor, die noch einen Schritt früher ansetzt, und zwar bei „Stores für Software-Anwendungen“. Darunter dürften mindestens der Google Play Store und Apples App Store fallen, je nach Auslegung auch Spiele-Marktplätze wie Steam. Auch dort müssten Nutzer*innen demnach ihr Alter nachweisen, bevor sie Zugang bekommen.
Das will der Rat der EU
Der Rat der EU vertritt die Regierungen der Mitgliedstaaten. Geht es um Alterskontrollen, deckt sich die Ratsposition weitgehend mit dem Vorschlag der Kommission. Auch der Rat will, dass Anbieter, die ein Risiko zur Kontaktaufnahme mit Kindern bei sich feststellen, das Alter ihrer Nutzer*innen kontrollieren. Das Gleiche will der Rat für App Stores.
Für die Ausgestaltung dieser Kontrollen stellt der Rat weitere Anforderungen auf. Demnach sollen die Maßnahmen Privatsphäre und Datenschutz wahren, transparent, akkurat und dabei auch zugänglich und diskriminierungsfrei sein. Der Rat spricht damit Aspekte an, die sich auch an anderer Stelle in EU-Regeln finden, etwa in den Leitlinien zum Jugendschutz im Netz auf Grundlage des Gesetzes über digitale Dienste (DSA).
Der Knackpunkt: Keine Technologie wird all diesen Anforderungen gerecht. Um den Anspruch zu erfüllen, akkurat zu sein, müssten Prüfungen wohl invasiv sein – sonst lassen sie sich täuschen. Typisch sind Kontrollen mit biometrischen Daten oder auf Basis von Dokumenten wie Ausweispapieren. Erstere können Menschen diskriminieren, die nicht ausreichend in den Trainingsdaten eines KI-Systems repräsentiert sind, etwa Women of Color. Letztere können Menschen ausschließen, die keine Papiere haben.
Das will das EU-Parlament
Das EU-Parlament will bei Alterskontrollen einen anderen Weg einschlagen, wie dessen Position zeigt. Streichen will das Parlament demnach die Pflichten für Alterskontrollen auf der Ebene von App-Stores.
Die Marktplätze sollen demnach bloß deutlich ausweisen, wenn Apps erst ab einem bestimmten Alter vorgesehen sind. Zudem sollen sie bei Apps, die das verlangen, die Zustimmung von Erziehungsberechtigten sicherstellen. Diese Maßnahmen könnten etwa Apple und Google bereits umgesetzt haben: Dort gibt es entsprechende Vorkehrungen für Accounts von Minderjährigen, die an Eltern-Accounts gekoppelt sind.
Für die Anbieter von Kommunikationsdiensten will das Parlament im Gegensatz zu Rat und Kommission keine verpflichtenden Alterskontrollen, sondern optionale. Risiken mindern müssen betroffene Anbieter dennoch; sie hätten allerdings die Wahl, auf welche Weise sie das tun.
Weniger invasive Methoden zur Altersprüfung haben einige Plattformen bereits heute im Einsatz. So will TikTok das Verhalten von Nutzer*innen auf Signale untersuchen, die auf ein zu geringes Alter hindeuten, etwa, mit welchen Accounts sie interagieren.
Das Parlament fordert zudem eine Reihe von Auflagen für Alterskontrollsysteme und wird dabei konkreter als der Rat. Demnach soll es für Nutzer*innen weiterhin möglich sein, anonyme Accounts einzurichten, und es sollen keine biometrischen Daten verarbeitet werden dürfen. Zudem sollen Kontrollen nach dem Zero-Knowledge-Prinzip erfolgen. Praktisch heißt das: Anbieter, bei denen man das eigene Alter nachweist, sollen nichts weiter erfahren, außer ob man die nötige Altersschwelle überschreitet. Ein mögliches Werkzeug dafür ist die von der EU in Auftrag gegebene Alterskontroll-App, die künftig Teil der digitalen Brieftasche (EUDI-Wallet) werden soll.
Für Dienste, die sich an Kinder unter 13 Jahren richten, fordert das Parlament zusätzlich, dass sie standardmäßig in ihren Funktionen hohe Sicherheitsstandards wählen. Sie sollen etwa verhindern, dass Nutzer*innen persönliche Daten teilen oder Screenshots machen können.
Gesondert verlangt das Parlament außerdem Regeln für Pornoplattformen. Diese besondere Gruppe von Anbietern soll verpflichtend das Alter von Nutzer*innen kontrollieren. Das entspräche jedoch im Tenor den Anforderungen aus bereits bestehenden EU-Gesetzen wie der Richtlinie über audiovisuelle Mediendienste und dem DSA.
Das steht auf dem Spiel
Alterskontrollen sind nicht nur ein Thema für Kinder und Jugendliche – es geht nämlich darum, alle Nutzer*innen zu kontrollieren, um Minderjährige herauszufiltern. Die deutsche Europa-Abgeordnete Birgit Sippel (SPD) warnt: „Eine verpflichtende Altersverifikation würde eine Ausweispflicht für weite Teile des Internets bedeuten, und zwar vor allem auch für Erwachsene.“ Diese Warnung würde jedoch voraussetzen, dass die EU eine Pflicht zu Alterskontrollen sehr streng auslegt.
Wenn bei Alterskontrollen die Plattformen zum Türsteher werden und Daten auch für andere Zwecken nutzen können, wäre das „höchst problematisch“, so Sippel weiter. Deshalb brauche es Safeguards wie das Zero-Knowledge-Prinzip. „Schließlich darf die Anonymität und Nutzung von Pseudonymen nicht gefährdet werden.“ Außerdem warnt die Abgeordnete davor, Alterskontrollen als Allheilmittel zu betrachten. „Um Kinder effektiv zu schützen, braucht es eine strukturelle Reform der Plattformen, damit Profit nicht mehr aus dem Geschäft mit missbräuchlichen Inhalten geschlagen werden kann.“ Abgeordnete aus anderen Fraktionen haben sich auf Anfrage von netzpolitik.org nicht geäußert.
Für European Digital Rights (EDRi), dem Dachverband von Organisationen für digitale Freiheitsrechte, beobachtet Politikberater Simeon de Brouwer das Gesetzesvorhaben. „Verpflichtende Altersverifikation bei Diensten für zwischenmenschliche Kommunikation ist gefährlich, weil sie die freie Rede unterdrückt“, warnt er. Je nach Art der Kontrollen könnten ganze Gesellschaftsgruppen ausgeschlossen werden – etwa Menschen ohne Papiere. Außerdem warnt er vor Einschüchterung („chilling effects“), wenn der Zugang zu sicherer Kommunikation hinter verpflichtenden Kontrollen steht.
Auch Alterskontrollen auf App-Marktplätzen lehnt de Brouwer ab. „Ein derartiges Maß an Kontrolle und aufdringlicher Datenverarbeitung sollte nicht normalisiert werden – besonders nicht an einem solchen Nadelöhr.“ Es entstehe keine Sicherheit, sondern Kontrolle, wenn der Zugang zu digitalen Werkzeugen vom Überwinden zentraler Prüfsysteme abhängig gemacht wird.
Svea Windwehr ist Co-Vorsitzende des Vereins für progressive Digitalpolitik D64. „Alle bekannten Technologien zur Altersbestimmung im Netz weisen signifikante Schwächen auf“, schreibt sie auf Anfrage. So seien etwa KI-gestützte Altersschätzungen häufig ungenau und „bergen massive Diskriminierungspotenziale, da ihre Leistung stark von Geschlecht, Alter, Hautfarbe und anderen Merkmalen abhängt“. Verifikation anhand von Ausweisdokumenten wiederum könne „eine signifikante Barriere für gesellschaftliche Teilhabe darstellen“.
Unterm Strich würden neue Pflichten zur Altersverifikation „einen Bärendienst für die Privatsphäre von jungen Menschen im Netz“ darstellen, warnt Windwehr. Vor allem würden sie nichts an den strukturellen Problemen ändern, die Plattformen zu unsicheren Räumen für Kinder machen können. „Der politische Anspruch sollte darin bestehen, an der Wurzel des Problems anzusetzen und Plattformen für ihre Produkte zur Verantwortung zu ziehen, statt vulnerable Nutzende auszuschließen.“
So geht es jetzt weiter
Beim Gesetz steht die EU unter gewissem Zeitdruck. Obwohl viele Dienstleister wie etwa Meta bereits jetzt eine freiwillige Chatkontrolle durchführen, fehlt dafür eine dauerhafte Rechtsgrundlage. Möglich ist die Maßnahme nur durch eine vorübergehende Ausnahmeregelung mit Blick auf die Datenschutz-Richtlinie für elektronische Kommunikation. Die Frist dafür endet jedoch im April 2026. Zumindest Kommission und Rat wollen sie um zwei Jahre verlängern; das Parlament müsste dem noch zustimmen.
Weil der Rat sich jahrelang nicht auf eine Position zur Chatkontrolle einigen konnte, war das ganze Gesetzesvorhaben für lange Zeit blockiert. Erst mit der Einigung auf die Ratsposition Ende November wurde der Weg frei für die informellen Trilog-Verhandlungen zwischen Kommission, Rat und Parlament. Beim Trilog versuchen die drei EU-Organe einen Kompromiss zu finden. Verhandelt wird hinter verschlossenen Türen. Dauer: ungewiss; ein Ergebnis ist nicht garantiert.
„Trotz der Differenzen zeigen das Europäische Parlament und der Rat die feste Absicht, intensiv an dem Vorschlag zu arbeiten und so schnell wie möglich eine Einigung zu erzielen“, sagte jüngst der spanische Abgeordnete Javier Zarzalejos (EVP) während einer Ausschuss-Sitzung am 27. Januar. Er ist der zuständige Berichterstatter der konservativen Fraktion im Parlament.
Nach dem ersten Verhandlungstermin am 9. Dezember sollen Verhandlungen auf technischer Ebene am 15. Januar begonnen haben. Aus diesen bis dato zwei Terminen könne Zarzalejos von „guter Atmosphäre und beachtlichem Fortschritt“ berichten. Diskutiert habe man bisher insbesondere das neue EU-Zentrum – das ist die geplante zentrale Anlaufstelle zur Umsetzung der Verordnung. Der nächste Trilog-Termin soll der 26. Februar sein.
Sebastian Meineck ist Journalist und seit 2021 Redakteur bei netzpolitik.org. Zu seinen aktuellen Schwerpunkten gehören digitale Gewalt, Databroker und Jugendmedienschutz. Er schreibt einen Newsletter über Online-Recherche und gibt Workshops an Universitäten. Das Medium Magazin hat ihn 2020 zu einem der Top 30 unter 30 im Journalismus gekürt. Seine Arbeit wurde mehrfach ausgezeichnet, unter anderem zweimal mit dem Grimme-Online-Award sowie dem European Press Prize. Kontakt: E-Mail (OpenPGP), Sebastian Hinweise schicken | Sebastian für O-Töne anfragen | Mastodon. Chris Köver recherchiert und schreibt über Migrationskontrolle, biometrische Überwachung, digitale Gewalt und Jugendschutz. Recherche-Anregungen und -Hinweise gerne per Mail oder via Signal (ckoever.24). Seit 2018 bei netzpolitik.org. Hat Kulturwissenschaften studiert und bei Zeit Online mit dem Schreiben begonnen, später eine eigene Zeitschrift mitgegründet. Ihre Arbeit wurden ausgezeichnet mit dem Journalistenpreis Informatik, dem Grimme-Online-Award und dem Rainer-Reichert-Preis zum Tag der Pressefreiheit. Kontakt: E-Mail (OpenPGP), BlueSky, Mastodon, Signal: ckoever.24. Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.
netzpolitik.org
longshot
WebZwoNull
Erik Tuchtfeld - netzpolitik
Strange Quark
Villanyautósok
Agnieszka Serafinowicz
