Kinderdaten in Gefahr

Alterskontrollen und Social-Media-Verbot: Elternverbände sehen Daten von Kindern in Gefahr

CDU und Teile der SPD fordern Alterskontrollen im Netz, um ein Social-Media-Verbot für Minderjährige durchzusetzen. Aber Deutschlands Elternverbände haben Einwände: Manche lehnen die Pläne ab, andere knüpfen ihre Zustimmung an strenge Bedingungen.

Kinder sollen keine sozialen Medien mehr nutzen dürfen, und alle sollen dafür im Netz ihr Alter nachweisen. Das sind die Pläne der Kanzlerpartei CDU und wichtiger Politiker*innen der SPD Bei vielen Elternverbänden in Deutschland stößt das Vorhaben auf Kritik.

„Ein pauschales Social-Media-Verbot ohne begleitende Maßnahmen findet keine breite Unterstützung“, schreibt der Bundeselternrat mit Blick auf seine Landesverbände. Ein generelles Verbot „könnte Kinder eher isolieren als schützen“, warnt das Bundeselternnetzwerk, der Dachverband migrantischer Elternvereine, auf Anfrage von netzpolitik.org.

Durch die Bank äußern Eltern-Organisationen Bedenken beim Schutz sensibler Daten von Erwachsenen und Minderjährigen. Denn ein Social-Media-Verbot, wie es viele derzeit fordern, soll mit strengen Alterskontrollen einhergehen. Ältere Menschen könnten sich etwa per Ausweis prüfen lassen; Kinder ihr Gesicht vor die Handykamera halten. Die Elternvertretung Thüringen zum Beispiel lehnt die biometrische Erfassung von Kindern „ausdrücklich“ ab.

Zwei Organisationen fordern freiwillige Alterskontrollen. Das entspricht allerdings nicht dem australischen Modell, das deutsche und europäische Politiker*innen nachahmen möchten. Kontrollen beugen müssen sich demnach alle, auch die Erwachsenen. In Australien können Plattformen das Verhalten ihrer Nutzer*innen zunächst im Hintergrund mithilfe von Software prüfen. Sobald sich der Verdacht erhärtet, eine Person könnte zu jung sein, muss sie ihr Alter nachweisen.

Wie genau Alterskontrollen in Deutschland aussehen könnten, ist noch offen. Mindestens drei Szenarien sind wahrscheinlich:

• Erstens könnten Erwachsene und Jugendliche ab 16 Jahren ihr Alter per Ausweis-App bestätigen. Unter anderem der SPD-Vorschlag sieht dafür die für alle EU-Bürger*innen geplante digitale Brieftasche (EUDI-Wallet) vor, die in Deutschland Anfang 2027kommen soll.
• Zweitens könnten Menschen ihr Gesicht biometrisch scannen lassen; dann soll eine oftmals als „KI“ bezeichnete Software das Alter schätzen. So etwas gibt es schon heute für Pornoseiten.
• Schließlich könnten sich Erwachsene selbst bei einer Plattformen anmelden, dort ihr Alter verifizieren, und dann Minderjährigen Kindern einen Account freischalten.

Hier erklären wir genau, was die geplanten Alterskontrollen für Eltern bedeuten können.

Für diesen Artikel hat netzpolitik.org Elternverbände auf Bundes- und Landesebene um ihre Einschätzung zu Alterskontrollen und Social-Media-Verbot gebeten. Ihre Antworten ergänzen die vielfältigen Reaktionen aus Zivilgesellschaft, Wissenschaft und Kirche.

Bundeselternrat: Biometrie bei Kindern „besonders kritisch“

Der Bundeselternrat vertritt als Dachverband die teilnehmenden Elternverbände der Bundesländer. Diese Verbände engagieren sich auf Basis der Schulgesetze in der Schulpolitik. Nach einer internen Umfrage zieht der Dachverband ein ambivalentes Fazit. „Viele können sich strengere Altersregelungen grundsätzlich vorstellen – allerdings nur in Verbindung mit verbindlicher Medienbildung, wirksamer Prävention und klarer Verantwortung der Plattformanbieter.“

Wenn es um die praktische Umsetzung eines Social-Media-Verbots geht, äußert sich der Bundeselternrat skeptisch. Die geforderten Alterskontrollen werfen „Fragen zu Datenschutz, Datensicherheit und Verhältnismäßigkeit auf“, so der Dachverband. „Viele Eltern sehen es kritisch, wenn für alltägliche Online-Aktivitäten sensible Daten oder biometrische Verfahren erforderlich werden.“

Biometrische Verfahren bei Kindern würden viele Eltern sogar „besonders kritisch“ sehen. Ansätze, bei denen Eltern selbst einen Account anlegen, um einen Kinder-Account freizuschalten, müssten praktikabel und niedrigschwellig sein.

Bundeselternnetzwerk: „Alterskontrollen möglichst freiwillig“

Der Verein „Bundeselternnetzwerk der Migrantenorganisationen für Bildung & Teilhabe“, kurz bbt, versteht sich als Stimme migrantischer Eltern und Familien in Deutschland. Auf Anfrage erklärt Geschäftsführerin Anja Treichel, digitale Räume „dienen der Verbindung zu transnationalen Familien, zur Pflege von Sprache und Identität und zum Kontakt mit Freundeskreisen“. Ein generelles Social-Media-Verbot für Minderjährige würde das ignorieren. Es könnte „Kinder eher isolieren als schützen“, warnt sie.

Gegen Risiken im Netz brauche es Treichel zufolge „bessere Prävention von digitalem Mobbing, niedrigschwellige Meldewege für Diskriminierung“ sowie Unterstützung für Eltern, die sprachlichen Barrieren gegenüberstehen. Alterskontrollen sieht der Verein kritisch. Treichel erklärt:

Viele Familien – insbesondere solche mit Flucht- oder Migrationserfahrungen und solche, die in Diktaturen/ autoritären Regimen aufgewachsen sind – sind sensibel gegenüber staatlicher oder kommerzieller Datenerfassung. Biometrische Verfahren können Vertrauen in digitale Angebote untergraben. Alterskontrollen sollten daher möglichst datensparsam und freiwillig gestaltet sein.

Kontrollen auf Basis von Ausweisen könnten bestimmte Gruppen benachteiligen, schreibt sie weiter. „Menschen ohne sicheren Aufenthaltsstatus sind hier generell in Gefahr, ausgeschlossen zu werden.“

Außerdem kritisiert der Verein das Modell, dass Eltern sich zunächst selbst auf einer Plattform anmelden, um dann einen Account für ihre Kinder freizuschalten. Das setze voraus, „dass Eltern Zeit, digitale Kompetenz und Sprachkenntnisse haben“. Die beste Voraussetzung für gesunden Medienkonsum sei es, „wenn die Kinder den Eltern ihre Sorgen und Ängste anvertrauen und ihre Freuden mit ihnen teilen können“.

Deutscher Familienverband: „Bedenken“ bei Datenschutz

Der gemeinnützige Deutsche Familienverband befürwortet eine Social-Media-Regulierung für Kinder unter 14 Jahren, erklärt Geschäftsführer Sebastian Heimann auf Anfrage. Als Risiken nennt er „Cybermobbing, Suchtverhalten und unangemessene Inhalte“.

Bei Alterskontrollen mit digitalen Ausweisverfahren allerdings bestünden „Bedenken hinsichtlich Datenschutz und der Nutzung sensibler persönlicher Daten durch private Anbieter“. Das müsse „anhand der geltenden Gesetzeslage adressiert werden“, schreibt Heimamn.

Müssten Menschen ab 16 Jahren ihr Alter per Ausweis-App nachweisen, wäre das „akzeptabel“. Auf biometrische Scans per KI geht Heimann nicht ausdrücklich ein. Sollten Eltern ihren Kindern einen Account freischalten, könne das nur funktionieren, „wenn die Prozesse einfach und datenschutzfreundlich gestaltet sind“.

NRW: Verbot „zwingend“ durch Bildungsoffensive begleiten

Die Landeselternkonferenz Nordrhein-Westfalen vertritt die Eltern aus Deutschlands bevölkerungsreichstem Bundesland. Soziale Medien erst ab 14 Jahren zu erlauben ist ein „notwendiger Schritt zum Schutz der psychischen Gesundheit junger Menschen“, schreiben Torsten Hemkemeier und Hinrich Pich aus dem Vorstand auf Anfrage. Sie verweisen auf Risiken wie „Algorithmen, Suchtpotenziale und Cybermobbing“. Den Zuspruch knüpft die Elternkonferenz jedoch an zwei Bedingungen.

Erstens brauche es „technische Lösungen, die lediglich das Alter verifizieren, ohne personenbezogene Daten an die Konzerne zu übermitteln oder die Datenhoheit der Bürger zu gefährden“. Eine direkte Anmeldung per Ausweis bei Anbietern wie TikTok oder Meta würde „die Anonymität im Netz zerstören“, so Hemkemeier und Pich. Beim Austausch zu sensiblen Themen „wie Krankheiten, Schwangerschaften oder schulischen Problemen“ müsse Anonymität gewahrt bleiben. In der Vergangenheit seien soziale Netzwerk mehrfach Ziel erfolgreicher Hackerangriffe geworden, „bei denen Millionen von Nutzerdaten entwendet wurden“.

Zweitens müsse ein Social-Media-Verbot „zwingend durch eine massive Bildungsoffensive in den Schulen begleitet werden“, weil Sperren „niemals lückenlos sein werden“. Lehrer*innen seien bereits stark belastet. Deshalb fordert der Verband Geld „für externes Fachpersonal, dass die Medienkunde professionell in den Schulalltag integriert“. Die Kosten für diese Art der Prävention seien „weitaus geringer als die gesellschaftlichen und medizinischen Folgekosten“ von Cybermobbing oder Mediensucht.

Bayern: „Kein generelles Verbot“

Der Bayerische Elternverband (BEV) vertritt die Eltern aus Bayern, dem nach Einwohner*innen zweitgrößten deutschen Bundesland. Die Forderung des Verbands: „Kein generelles Verbot sozialer Medien“. Ein solches Verbot würde digitale Teilhabe von Kindern und Jugendlichen einschränken, nicht aber das Kernproblem lösen, erklärt BEV-Vorstandsmitglied Gundolf Kiefer. Neben seiner Tätigkeit im BEV ist er Professor für Informatik an der Technischen Hochschule Augsburg. Kiefer schreibt:

Das eigentliche Problem ist nicht der soziale Austausch Jugendlicher über das Internet, sondern es sind die Geschäftsmodelle der großen kommerziellen Plattformen: Algorithmen, die gezielt auf Engagement durch Empörung und Eskalation optimiert sind, auf möglichst langen Verbleib auf der Plattform, kombiniert mit zielgerichteter Werbung und umfassender Datenerfassung.

Statt eines pauschalen Verbots fordert der BEV ein rechtlich durchgesetztes Verbot von Plattformen, die für Menschen unter 16 Jahren „suchtverstärkende Algorithmen einsetzen oder Lock-in-Effekte zur Bindung nutzen“. Das könne Eltern entlasten. Zur Einordnung: Einen solchen Risiko-basierten Ansatz verfolgt das bereits bestehende Gesetz über digitale Dienste (DSA); dessen Lücken will die EU-Kommission mit dem geplanten Digital Fairness Act schließen.

In technischen Alterskontrollen sieht der BEV keine Lösung, wie aus der Antwort hervorgeht. Kontrollen per Biometrie oder Ausweis-App „sind aus Datenschutzsicht problematisch und lassen sich leicht umgehen“, warnt Kiefer. Hochsensible Daten könnten bei Unternehmen landen, „deren Geschäftsmodell auf Datenextraktion basiert – ein erhebliches Datenschutzrisiko“.

Statt eines Verbots sollten Schulen jungen Menschen Alternativen nahebringen, etwa das dezentrale Fediverse oder offene Messenger wie Element. Dann könnten Eltern ihren Kindern sagen: „Nein, du brauchst TikTok nicht – hier sind bessere Optionen.“

Sachsen: „Privacy by Design“ als Voraussetzung

Der Landeselternrat in Sachsen fordert ein „umfassendes Schutzkonzept“ für Kinder und Jugendliche, schreibt Vorsitzender Ronald Lindecke auf Anfrage. Lehrkräften zufolge seien Klassen weniger konzentriert; Schüler*innen würden Konflikte aus digitalen Räumen in den Schulalltag tragen. „Kinder sollten nicht den Mechanismen einer Plattformökonomie ausgesetzt sein, die stark auf Aufmerksamkeit, Datenauswertung und Konsum ausgerichtet ist“, schreibt Lindecke.

Wenn Social-Media-Regeln für unter 14-Jährige ein Teil des Konzepts sind, stehe er dem „grundsätzlich offen gegenüber“. Alterskontrollen hält er sogar für „zwingend notwendig“, entscheidend sei jedoch das Wie. Hierfür nennt Lindecke zwei Bedingungen: „Aus Elternperspektive kann eine Verifizierung Zustimmung finden, wenn sie datenschutzfreundlich und freiwillig umgesetzt wird“. Zur Erinnerung: Das australische Modell, das hierzulande als Vorbild gilt, ist nicht freiwillig oder datenschutzfreundlich.

Konkret fordert Lindecke „Privacy by Design“. Daten sollen demnach mit Ende-zu-Ende-Verschlüsselung übertragen werden; es sollen keine zentralen Datenbanken entstehen; und eine App sollte nur notwendige Attribute übermitteln. Das heißt zum Beispiel, dass eine Plattform mit Altersbeschränkung nicht etwa das Geburtsdatum einer Person erfährt, sondern bloß, ob sie alt genug ist.

Thüringen: „Lehnen biometrische Erfassung von Kindern ab“

Die Landeselternvertretung Thüringen sieht „hohen Klärungsbedarf“ bei Alterskontrollen für soziale Medien. „Wir halten Lösungen für sinnvoll, die sicherstellen, dass Eltern ihre Kinder schützen können, ohne selbst umfangreiche persönliche Daten preiszugeben“, schreibt Landeselternsprecher Peter Oehmichen auf Anfrage. „Dabei lehnen wir ausdrücklich die biometrische Erfassung von Kindern ab.“

Wenn Bilder von Kindern ins Netz gelangen, lasse sich nicht lückenlos prüfen, ob Datensammlungen entstehen. Die Elternvertretung warnt vor einem Risiko für die Sicherheit der Kinder.

„Verbote allein sind keine Lösung“, schreibt Oehmichen weiter. Er warnt davor, die Nutzung sozialer Medien zu kriminalisieren. Ein Verbot mache es schwerer, Kinder bei digitalen Aktivitäten zu begleiten. „Eltern sollen Partner im digitalen Schutz sein“. Der wichtigste Ansatz sei „Prävention, Aufklärung und Stärkung von Kindern“.

Mecklenburg-Vorpommern: Medienkompetenz vermitteln

Für den Landeselternrat Mecklenburg-Vorpommern steht ein Social-Media-Verbot nicht oben auf der Prioritätenliste. „Entscheidend ist aus unserer Sicht vor allem, dass Kinder frühzeitig lernen, verantwortungsvoll und kritisch mit digitalen Medien umzugehen“, erklärt Vorsitzende Diana Zander. Der Landeselternrat setze sich dafür ein, dass Schulen verbindlich Medienkompetenz vermitteln. „Ein reines Verbot ohne begleitende Bildung und Aufklärung würde zu kurz greifen.“

Technische Alterskontrollen könnten zwar helfen, Altersgrenzen besser durchzusetzen. Gleichzeitig müssten sie hohe Anforderungen an Datenschutz und Datensicherheit erfüllen. „Viele Eltern haben hier Bedenken, insbesondere wenn biometrische Daten wie Gesichtsscans genutzt werden sollen“, schreibt Zander. Außerdem dürften technische Lösungen nicht nur Hürden schaffen; sie müssten tatsächlich zur Sicherheit von Kindern beitragen.

Fazit: Eltern wollen Datenschutz für ihre Kinder

Die angefragten Eltern und ihre Vertreter*innen wünschen sich Schutz für ihre Kinder – das umfasst auch den Schutz ihrer Daten und Privatsphäre. Wirksame Alterskontrollen, die Daten von Kindern und Erwachsenen schützen und keine problematischen Hürden schaffen, diese Hoffnung prägt die aktuelle Debatte zum Social-Media-Verbot.

Erfüllen lässt sich diese Hoffnung aber nicht, denn bisher gibt es keine Technologie, die den Ansprüchen gerecht werden kann. Der Stand der Technik und die Rechtslage legen nahe: Die von Elternverbänden geäußerten Bedenken sind fundiert.

• Die digitale Brieftasche (EUDI-Wallet) ist die derzeit wohl ambitionierteste Lösung für potenziell EU-weite Alterskontrollen bei hohem Datenschutz. Ob diese Alterskontrollen jedoch wirklich anonym ablaufen, steht noch nicht fest. Eine Lösung für alle kann die digitale Brieftasche ohnehin nicht sein: Menschen ohne mit der Wallet kompatible Papiere können sie nicht nutzen, in Deutschland sind das Schätzungen zufolge mehrere Hunderttausend. Laut EU-Gesetz muss die digitale Brieftasche zudem „freiwillig“ sein. Das heißt, es muss Alternativen geben.
• Alternative Methoden zur Alterskontrolle wiederum versagen regelmäßig in Sachen Datenschutz und Privatsphäre. Wie gefährlich das werden kann, zeigen Fälle der jüngsten Vergangenheit: Kurz nachdem die Team-Software Discord Alterskontrollen eingeführt hatte, gab es einen Leak bei einem Drittanbieter; Betroffen waren sensible Ausweisdaten von 70.000 Menschen. In Australien wiederum horten manche Anbieter für Alterskontrollen ohne Not biometrische Daten, wie ein Gutachten im Auftrag der australischen Regierung zeigte.

In einem offenen Brief von Anfang März forderten 400 Forscher*innen aus 29 Ländern: Staaten sollen ihre Pläne für Alterskontrollen stoppen. Es fehle ein klares Verständnis für die Folgen der Technologie in Bezug auf „Sicherheit, Privatsphäre, Gleichberechtigung“ und die „Autonomie“ aller Menschen. Die Einführung von Alterskontrollen ohne weitere Forschung sei „gefährlich und gesellschaftlich nicht hinnehmbar“.

Derzeit arbeiten Expert*innen-Kommission auf Deutschland- und EU-Ebene an Antworten für Kinder- und Jugendschutz im Netz. Ergebnisse sollen beide Gremien bis zum Sommer vorlegen. Im Anschluss könnte die Arbeit an Gesetzentwürfen beginnen. Deutschlands Elternverbände dürften das genau verfolgen.

Sebastian Meineck ist Journalist und seit 2021 Redakteur bei netzpolitik.org. Zu seinen aktuellen Schwerpunkten gehören digitale Gewalt, Databroker und Jugendmedienschutz. Er schreibt einen Newsletter über Online-Recherche und gibt Workshops an Universitäten. Das Medium Magazin hat ihn 2020 zu einem der Top 30 unter 30 im Journalismus gekürt. Seine Arbeit wurde mehrfach ausgezeichnet, unter anderem zweimal mit dem Grimme-Online-Award sowie dem European Press Prize. Kontakt: E-Mail (OpenPGP), Sebastian Hinweise schicken | Sebastian für O-Töne anfragen | Mastodon. Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

#DatenPorno: Die EU-Kommission will uns alle ficken.

"'Wir sind wirklich entsetzt, welche Änderungen vor dem Start der digitalen Brieftasche nun vorgebracht werden', sagt Thomas Lohninger. 'Verpflichtende Gesichtsbilder würden ganz neue Gefahren durch biometrische Daten bei Online-Plattformen mit sich bringen. Offenbar ist die Akzeptanz in der Industrie für die Politik relevanter als das Vertrauen aus der Bevölkerung'"

https://netzpolitik.org/2026/digitale-brieftasche-eu-kommission-will-amazon-dein-gesicht-geben/

#EU #eIDAS #EUKommission #DigitaleBrieftasche

Digitale Brieftasche

EU-Kommission will Amazon dein Gesicht geben

Ende dieses Jahres soll die digitale Brieftasche für alle kommen. Doch Bürgerrechtsorganisationen warnen, dass die EU-Kommission zentrale Datenschutzgarantien aushöhlen und Nutzer:innen zur Weitergabe biometrischer Daten zwingen will. Wer eine Flasche Wein kaufen möchte, muss dafür im Laden unter Umständen den Personalausweis zücken. Erst nach einem prüfenden Blick des Kassierers auf das Geburtsdatum können Kund:innen dann bezahlen – oder nicht.

Weit mehr Daten könnten schon bald bei der geplanten EUDI-Wallet ausgetauscht werden, warnt die Nichtregierungsorganisation epicenter.works in einer Stellungnahme. Wer die digitale Brieftasche künftig einsetzt, könnte dann sogar gezwungen sein, die eigenen biometrischen Gesichtsdaten an Unternehmen weiterzugeben.

Verantwortlich dafür sind Änderungen der Europäischen Kommission, so die österreichische Nichtregierungsorganisation. Die Kommission höhle im Nachhinein die rechtlich vorgegebenen Schutzgarantien aus, auf die sich EU-Parlament und der Rat geeinigt hatten.

Mit der „European Digital Identity Wallet“ sollen sich künftig Bürger:innen und Organisationen online und offline ausweisen können. Die Bundesregierung hat ihren Start in Deutschland zum 2. Januar 2027 angekündigt.

Wenn soziale Plattformen Gesundheitsdaten abfragen

Konkret bezieht sich die Kritik von epicenter.works auf drei aktuelle Konsultationsentwürfe von sogenannten Durchführungsrechtsakten. Diese Rechtsvorschriften regeln die praktische Umsetzung von EU-Verordnungen. Insgesamt 40 von ihnen will die Kommission erlassen, bevor die digitale Brieftasche verfügbar ist.

Als besonders problematisch bewertet epicenter.works die Regelung, wonach „relying parties“ (zu deutsch: „vertrauenswürdige Parteien“) je nach Mitgliedstaat sogenannte Registrierungszertifikate nicht verpflichtend, sondern nur optional erhalten sollen.

Vertrauenswürdige Parteien können Unternehmen und öffentliche Einrichtungen sein. Sie müssen sich laut eIDAS-Verordnung, die der europäischen Wallet zugrundeliegt, vorab in einem EU-Mitgliedstaat registrieren. Dabei müssen sie darlegen, welche Daten sie zu welchem Zweck von den Nutzer:innen anfordern werden.

Diese Datenbeschränkung lässt sich technisch mit Registrierungszertifikaten kontrollieren. Sie dienen als eine Art Datenausweis, mit dem sich die vertrauenswürdigen Parteien gegenüber den Wallets legitimieren und die Abfragekategorien beschränken. Registrieren sich Nutzer:innen etwa mit Hilfe der Wallet bei einem sozialen Netzwerk, soll das so erst gar keine Gesundheitsdaten abfragen können.

Die eIDAS-Verordnung sieht solche Registrierungszertifikate zwar nicht explizit vor. Allerdings könne eine Wallet ohne diese technisch nicht ohne weiteres überprüfen, ob Informationsanfragen angemessen sind, schreibt epicenter.works. Und das widerspreche Artikel 5b Abs. 3 der Verordnung, wonach vertrauenswürdige Parteien nur jene Daten abfragen dürfen, die sie auch bei ihrer Registrierung angegeben haben.

Die Nichtregierungsorganisation plädiert daher für technische Kontrolle statt nur für Vertrauen. Andernfalls könnten etwa Unternehmen die vorgesehenen Schutzmaßnahmen relativ leicht umgehen, indem sie einen Mitgliedstaat als Niederlassungsort wählen, der keine Registrierungszertifikate ausstellt. „Unternehmen aus Ländern wie Irland könnten Schutzmechanismen der Wallet umgehen, so dass illegale Anfragen nach zu vielen Informationen möglich werden“, sagt Thomas Lohninger von epicenter.works.

EU-Kommission handelt „unprofessionell“

Es ist nicht das erste Mal, dass die Kommission die rechtlichen Vorgaben aus Sicht zivilgesellschaftlicher Organisationen untergraben will.

Bereits im November 2024 hatte die Kommission versucht, die Registrierung von vertrauenswürdigen Parteien freiwillig zu machen. Damals hatte sie die zweite Charge an Durchführungsrechtsaktenveröffentlicht. Nachdem mehrere Organisationen gefordert hatten, die dort aufgemachten „Schlupflöcher“ zu schließen, korrigierte die Kommission vorübergehend ihre Position, nur um wenige Wochen später zu ihrer ursprünglichen Forderung zurückzukehren.

„Dieses inkonsequente Vorgehen der […] EU-Kommission in einer so wichtigen Angelegenheit ist unprofessionell“, schreibt epicenter.works in der aktuellen Stellungnahme, „und es untergräbt das Vertrauen der Öffentlichkeit in das künftige eIDAS-Ökosystem erheblich.“ Die Nichtregierungsorganisation fordert die Kommission erneut dazu auf, „die Registrierung von vertrauenswürdigen Parteien verbindlich vorzuschreiben“. Nur so sei ein einheitliches Schutzniveau in der gesamten EU zu gewährleisten.

Kommission will Recht auf Pseudonymität beschneiden

Die eIDAS-Verordnung sieht außerdem vor, dass sich Wallet-Nutzer:innen im Alltag auch mit selbstgewählten Pseudonymen gegenüber Unternehmen und Behörden ausweisen können, sofern aus rechtlicher Sicht keine weiteren Daten erforderlich sind. So sollen sie ihre Identität und ihre persönlichen Daten vor übermäßigen Zugriff schützen. Dieses Recht auf Pseudonymität greife die Kommission auf zweierlei Art an, kritisiert epicenter.works.

Zum einen unterscheide die Kommission nicht klar zwischen Anwendungsfällen der Wallet, in denen die vertrauenswürdige Partei gesetzlich dazu verpflichtet ist, Nutzer:innen zu identifizieren, und solchen, in denen eine solche Verpflichtung nicht besteht. Dabei sei diese Unterscheidung essentiell, um die Rechte der Nutzer:innen zu wahren.

Zum anderen beschränke die Kommission den Gebrauch von Pseudonymen auf Authentifizerungsmaßnahmen – also etwa auf die Verwendung von pseudonymen Logins bei Webdiensten. „Die Kommission legt die eIDAS-Verordnung sehr einseitig aus“, schreibt epicenter.works. „Und sie übersieht dabei, dass die vertrauenswürdigen Parteien dazu verpflichtet sind, Pseudonyme generell zu akzeptieren, unabhängig von der Authentifizierungsfunktion der Wallet.“Damit könnten Unternehmen die rechtliche Identität von Nutzer:innen abfragen, ohne dass dies erforderlich ist.

Gerade vor dem Hintergrund der aktuellen Debatte um Alterskontrollen sei diese Verengung fahrlässig: „Soziale Medienplattformen, Pornografie-Websites, Glücksspiel- und andere Online-Anbieter werden derzeit als potenzielle vertrauende Parteien diskutiert“, mahnt epicenter.works. „Diese Anbieter seien möglicherweise sehr daran interessiert, Identitätsdaten von Nutzer:innen zu erhalten, verfügen jedoch über keine Rechtsgrundlage, um eine solche Identifizierung zu verlangen.“

Biometrische Gesichtsdaten sollen ebenfalls in die Wallet

Die übermittelten Informationen könnten sogar biometrische Gesichtsdaten enthalten. Die Kommission will diese verpflichtend in jenen Datensatz aufnehmen, der zur Identifizierung von Nutzer:innen verwendet wird. Bislang soll dieses „Minimum-Datenset“ den vollen Name, das Geburtsdatum und den Geburtsort sowie die Nationalität enthalten.

Unternehmen wie Amazon könnten damit nicht nur Namen und Anschrift ihrer Kund:innen erhalten, sondern auch eine Bilddatei mit deren Gesicht. Die Kommission nehme hier eine „massive Verschiebung“ vor, kritisiert epicenter.works, die der Gesetzestext explizit nicht vorsehe. Gleichzeitig würde damit „die gesamte Verarbeitung über die EUDI-Wallet unter Artikel 9 der Datenschutzgrundverordnung fallen, was wesentlich strengere Schutzmaßnahmen erfordern würde.“

„Wir sind wirklich entsetzt, welche Änderungen vor dem Start der digitalen Brieftasche nun vorgebracht werden“, sagt Thomas Lohninger. „Verpflichtende Gesichtsbilder würden ganz neue Gefahren durch biometrische Daten bei Online-Plattformen mit sich bringen. Offenbar ist die Akzeptanz in der Industrie für die Politik relevanter als das Vertrauen aus der Bevölkerung.“

epicenter.works fordert die Kommission auf, die entsprechende Stelle aus dem Entwurf ersatzlos zu streichen. Gleichzeitig mahnt sie, dass die Kommission das gesamte Projekt gefährde, indem sie kurz vor dem Start der Wallet derart weitreichende Änderungen an den technischen Spezifikationen vornehme.

Offener Brief erinnert Kommission an rechtliche Vorgaben

An die Kritik von epicenter.works knüpfen zehn europäische Organisationen an, die heute gemeinsam einen offenen Brief publiziert haben. Sie richten sich darin unter anderem an die Vizepräsidentin der EU-Kommission, Henna Virkkunen. Initiiert hat das Schreiben die Vereinigung von Bürgerrechtsorganisationen European Digital Rights, zu den Unterzeichnern zählen unter anderem der Chaos Computer Club und die Digitale Gesellschaft aus Deutschland, Homo Digitalis aus Griechenland, IT-Pol aus Dänemark, ApTI aus Rumänien und Vrijschrift.org aus den Niederlanden.

Die Organisationen zeigen sich „zutiefst besorgt“ darüber, dass die Kommission die Grundrechte von Millionen EU-Bürger:innen aushöhlen wolle. Die aktuell vorliegenden Entwürfe der Durchführungsrechtsakte „bergen die Gefahr, einige der zentralen Schutzmaßnahmen zu schwächen, die die eIDAS-Verordnung vorsieht.“ Das sei umso dramatischer, weil derzeit auch darüber diskutiertwird, die Wallet für Alterskontrollen zu verwenden.

Der offene Brief ruft die Kommission und die Mitgliedsstaaten dazu auf, die Befürchtungen der Zivilgesellschaft ernstzunehmen und die rechtlichen Vorgaben der eIDAS-Verordnung einzuhalten. Die digitale Brieftasche könne nur dann erfolgreich sein, wenn sie einen starken Datenschutz und Rechtssicherheit böte – und zwar in allen EU-Staaten gleichermaßen.

Daniel Leisegang ist Politikwissenschaftler und Co-Chefredakteur bei netzpolitik.org. Zu seinen Schwerpunkten zählen die Gesundheitsdigitalisierung, Digital Public Infrastructure und die sogenannte Künstliche Intelligenz. Daniel war einst Redakteur bei den “Blättern”. 2014 erschien von ihm das Buch »Amazon – Das Buch als Beute«; 2016 erhielt er den Alternativen Medienpreis in der Rubrik “Medienkritik”. Er gehört dem Board of Trustees von Eurozine und dem Kuratorium der Stiftung Warentest an. Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, Threema ENU3SC7K, Telefon: +49-30-5771482-28‬ (Montag bis Freitag, jeweils 8 bis 18 Uhr). Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

#Positionspapier von #Wirtschaft und #Zivilgesellschaft:

Die #digitaleBrieftasche als #gesellschaftlicher Auftrag

Schon bald soll #EU-weit eine #digitale_Brieftasche an den Start gehen. Damit sie erfolgreich ist und die Rechte der Nutzer:innen wahrt, müsse die #Bundesregierung vorab grundlegende Voraussetzungen schaffen, fordern Verbände der Wirtschaft und der Zivilgesellschaft in einem gemeinsamen Positionspapier.

https://netzpolitik.org/2025/positionspapier-von-wirtschaft-und-zivilgesellschaft-die-digitale-brieftasche-als-gesellschaftlicher-auftrag/#netzpolitik-pw