Altersüberprüfung im Internet: Wie neue Gesetze Datenschutz und Sicherheit aller Nutzer gefährden

Immer mehr Länder verlangen von Internetnutzern, ihren Ausweis oder Reisepass hochzuladen, um Zugang zu Apps, Websites und Online-Plattformen zu erhalten. Hunderte Sicherheits- und Datenschutzforscher warnen nun in einem offenen Brief vor den weitreichenden Folgen dieser Praxis – und richten sich dabei nicht nur an Eltern oder Jugendliche, sondern an alle Nutzer des offenen Internets.

Wer künftig eine App öffnet oder eine Website besucht, könnte zunächst aufgefordert werden, ein Foto des eigenen Gesichts aufzunehmen oder eine Kopie des Personalausweises hochzuladen. Erst danach erteilt die Plattform Zugang. Wer das ablehnt – oder schlicht nicht in der Lage ist, entsprechende Dokumente vorzulegen –, bleibt dauerhaft ausgesperrt. Das gilt auch für Nutzer, die seit Jahren ein Konto bei einem Dienst führen und diesem bereits persönliche Daten anvertraut haben.

Was wie ein Zukunftsszenario klingt, ist für Hunderte Millionen Menschen bereits gelebte Realität. Weltweit haben Regierungen in kurzer Zeit Gesetze zur Altersüberprüfung verabschiedet, die Erwachsene dazu verpflichten, ihre Volljährigkeit aktiv nachzuweisen, bevor sie bestimmte Online-Dienste nutzen dürfen. Die Überprüfung selbst übernehmen dabei häufig private Drittanbieter, die Ausweisdokumente mit vorhandenen Nutzerdaten abgleichen, um den Zugang zu regulieren.

Eine Regulierungswelle mit globalem Ausmaß

Die Entwicklung hat in kurzer Zeit an Fahrt gewonnen und zeigt sich auf mehreren Kontinenten gleichzeitig:

• Großbritannien und Australien schreiben Altersüberprüfungen seit 2024/2025 für Social-Media-Plattformen, Messaging-Apps und weitere Online-Communities verbindlich vor
• Mindestens die Hälfte aller US-Bundesstaaten hat inzwischen entsprechende Regelungen eingeführt
• Dutzende weiterer Länder befinden sich in laufenden Gesetzgebungsverfahren
• Die Europäische Union bereitet eigene Vorschriften auf Gemeinschaftsebene vor

Der erklärte Zweck dieser Gesetze ist der Schutz Minderjähriger vor nicht altersgerechten Inhalten – insbesondere vor sozialen Medien und explizitem Material. Kritiker hingegen sehen darin vor allem einen bequemen politischen Schachzug: Regierungen signalisieren Handlungsbereitschaft beim Thema Kinderschutz, ohne dabei die großen Tech-Konzerne ernsthaft in die Pflicht zu nehmen. Stattdessen wird die Last der rechtlichen Konformität auf die Nutzer abgewälzt – also auf genau jene Menschen, die ohnehin bereits mit undurchsichtigen Datenrichtlinien und intransparenten Plattformbedingungen umgehen müssen.

Was Forscher dem Gesetzgeber vorwerfen

Hunderte Wissenschaftler aus den Bereichen IT-Sicherheit und Datenschutz haben in einem gemeinsamen offenen Brief Stellung bezogen. Ihr zentrales Argument: Die derzeit konzipierten Altersüberprüfungssysteme werden eingeführt, ohne die technologischen Risiken und gesellschaftlichen Konsequenzen ausreichend zu berücksichtigen. Sie könnten unter dem Strich mehr Schaden anrichten als Nutzen stiften.

Die Forscher benennen dabei mehrere konkrete Problembereiche:

• Zentralisierte Datenspeicherung: Viele Systeme bündeln Ausweisdokumente und persönliche Informationen in zentralen Datenbanken. Diese sogenannten „Single Points of Failure“ sind für Hackerangriffe, Missbrauch durch Insider und behördliche Zugriffsbegehren besonders anfällig. Weil strenge Datenschutzvorgaben häufig fehlen, greifen Unternehmen standardmäßig auf einfache, zentralisierte Speichermethoden zurück, anstatt in Technologien zu investieren, die Identität und Nutzungsverhalten vollständig voneinander trennen.
• Verknüpfung von Identität und Nutzungsverhalten: Gespeicherte Ausweisdaten lassen sich mit dem individuellen Surfverhalten verbinden. Welche Inhalte jemand aufruft, welche Communities er besucht und welche Themen ihn interessieren – all das kann mit seiner amtlichen Identität verknüpft werden, was tiefgreifende Auswirkungen auf Meinungsfreiheit und Selbstbestimmung hat.
• Ausgrenzung vulnerabler Gruppen: Menschen ohne gültige Ausweispapiere – darunter ältere Personen, Menschen ohne gesicherten Aufenthaltsstatus oder Personen aus einkommensschwachen Verhältnissen – werden durch diese Systeme systematisch vom Internetzugang ausgeschlossen. Das trifft häufig genau jene, die auf digitale Angebote besonders angewiesen sind.
• Missbrauchspotenzial durch Behörden und Regierungen: Sind die Infrastrukturen erst einmal etabliert, können autoritäre Regierungen diese Systeme nutzen, um den Zugang zu unliebsamen Informationen zu sperren, politische Gegner zu identifizieren oder Nutzer gezielt zu überwachen. Was heute als Jugendschutzmaßnahme gilt, kann morgen als Instrument politischer Kontrolle eingesetzt werden.

Die Forscher bringen es in ihrem Brief auf den Punkt:

Wird ein solches zentrales System kompromittiert – ob durch Hacker, behördliche Vorladungen oder böswillige Handlungen von innen –, ist der vermeintliche Datenschutz vollständig ausgehebelt.

Datenpannen sind keine Ausnahme, sondern ein Muster

Die beschriebenen Risiken sind keine abstrakte Theorie. Bereits heute zeigt sich, wie angreifbar entsprechende Systeme in der Praxis sind – und wie weitreichend die Folgen sein können:

• Discord (Oktober 2025): Ein Sicherheitsvorfall ermöglichte Hackern den Zugriff auf rund 70.000 Ausweisdokumente. Betroffen waren Nutzer, die im Rahmen von Support-Anfragen gegen Entscheidungen bei der Altersüberprüfung Einspruch eingelegt und dafür ihre Dokumente eingereicht hatten.
• Tea und TeaOnHer: Beide Apps, die ausschließlich nach erfolgreichem Ausweis-Upload Zugang gewährten, waren von Sicherheitsvorfällen betroffen, bei denen persönliche Dokumente zahlreicher Nutzer in falsche Hände gerieten.
• AU10TIX: Der Verifizierungsdienstleister, der unter anderem von TikTok, Uber und X eingesetzt wird, legte laut einem Bericht von 404 Media interne Administratorzugangsdaten über den Zeitraum von einem Jahr ungeschützt im Netz offen. In dieser Zeit hätten Angreifer theoretisch auf sensible Nutzerdokumente zugreifen können.

Diese Vorfälle verdeutlichen ein strukturelles Problem: Je mehr Plattformen verpflichtet werden, Ausweisdaten zu sammeln, desto größer wird die Angriffsfläche – und desto attraktiver werden diese Datenpools für kriminelle Akteure.

Wenn Jugendschutz zum Einstieg in weitergehende Kontrolle wird

Besonders aufschlussreich ist die Entwicklung in Großbritannien. Nachdem die Altersüberprüfungspflicht 2025 in Kraft trat, verzeichneten VPN-Anbieter einen sprunghaften Anstieg britischer Nutzer. VPNs ermöglichen es, den eigenen Standort zu verschleiern und damit die länderspezifischen Zugangsschranken zu umgehen. Die Reaktion der Regierung ließ nicht lange auf sich warten: Sie prüft seither eine Ausweitung der Verifizierungspflicht auf VPN-Dienste selbst – ein Schritt, der massive Auswirkungen auf Unternehmen, Journalisten, Aktivisten und Privatpersonen hätte, die VPNs aus völlig legitimen Gründen nutzen.

Ähnliche Entwicklungen zeichnen sich in den USA ab. Einige Bundesstaaten haben ihre Gesetze so weit gefasst formuliert, dass Angebote für LGBTQ+-Communitys oder Informationen zur reproduktiven Gesundheit unter die Regelungen fallen könnten. Die Journalistin Taylor Lorenz beschrieb in einem Beitrag für den Guardian, wie Altersüberprüfungsgesetze das Internet von einem Raum freier Meinungsäußerung in ein vollständig überwachtes digitales System verwandeln könnten, in dem jede Online-Handlung mit einem amtlichen Ausweis verknüpft ist.

Fest steht: Sind entsprechende Systeme erst einmal etabliert, fällt es dem Gesetzgeber deutlich leichter, deren Anwendungsbereich schrittweise auszuweiten.

Was Nutzer konkret tun können

Die Situation ist nicht aussichtslos. Öffentlicher Widerstand hat bereits Wirkung gezeigt: Discord verschob die Einführung einer geplanten Altersüberprüfung nach erheblichem Nutzerwiderstand. Das zeigt, dass Plattformen durchaus auf Reputationsrisiken reagieren – und dass Gegendruck funktioniert.

Organisationen wie Amnesty International und die Electronic Frontier Foundation (EFF) empfehlen folgende Schritte:

• Politischen Druck ausüben: Abgeordnete direkt kontaktieren – per Telefon, E-Mail oder über soziale Netzwerke. Dabei sollte deutlich gemacht werden, dass das Thema wahlentscheidend ist. Konkrete Informationen und Verlinkungen zu Fachliteratur erhöhen die Wirkung solcher Kontaktaufnahmen.
• Auf strukturelle Lösungen dringen: Statt Altersüberprüfungen empfiehlt Amnesty International verbindliche Datenschutzgesetze, die Tech-Unternehmen für Schäden haftbar machen, die durch rücksichtslose Nutzerbindungsstrategien und die Auswertung persönlicher Daten entstehen.
• Informiert bleiben: Die EFF stellt einen Leitfaden bereit, der erklärt, was Nutzer erwartet, wenn sie mit einer Altersüberprüfung konfrontiert werden, und welche Optionen ihnen dabei offenstehen.
• Für Sicherheitsforscher: Die technische Architektur von Verifizierungsplattformen untersuchen, Schwachstellen über verantwortungsvolle Kanäle melden und Erkenntnisse öffentlich machen. Je mehr Transparenz über die Funktionsweise dieser Systeme herrscht, desto besser kann die Öffentlichkeit die damit verbundenen Risiken einschätzen.

Anekdotisch berichten Nutzer in Online-Foren zudem, dass manche Plattformen auch teilweise geschwärzte Ausweiskopien akzeptieren – etwa wenn lediglich das Geburtsdatum sichtbar bleibt, während Adresse und Ausweisnummer unkenntlich gemacht wurden. Eine verlässliche Aussage darüber lässt sich jedoch nicht treffen, da dies stark vom jeweiligen System abhängt.

Altersüberprüfungen sind kein technisches, sondern ein politisches Problem. Die entscheidenden Weichen werden nicht in Serverräumen gestellt, sondern in Parlamenten.

Quelle: Zack Whittaker. Der Originalartikel erschien auf TechCrunch.

Lesen Sie mehr

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk