Direkt zum Seiteninhalt springen - Tastenkürzel 2 Direkt zum Hauptmenü springen - Tastenkürzel 1 Direkt zur Suche springen - Tastenkürzel 5

FOKUS


Veröffentlicht am 22.05.24

Ach wie gut, dass niemand weiß … Anonymität und Altersfeststellung im Netz

Jutta Croll & Torsten Krause, SDC

Anonymität ist ein hohes Gut, dessen Wahrung die Bundesregierung auch im Koalitionsvertrag für die Nutzung digitaler Dienste festgeschrieben hat. Wie in der physischen Welt, soll es auch im Internet möglich sein, ohne Preisgabe der Identität nach Informationen zu suchen, mit anderen ebenso anonymen Personen in Austausch zu treten, eine Meinung zu äußern oder Produkte zu erwerben. Wenn eine Altersfeststellung im Geschäft oder an der Kinokasse notwendig wird, kann ein Ausweisdokument vorgelegt werden. Dann genügt ein kurzer Blick auf das Geburtsdatum und ein Abgleich des Fotos mit der vorlegenden Person; Daten werden nicht gespeichert. In digitalen Diensten sieht das anders aus: Hier birgt der Einsatz des Ausweises grundsätzlich das Risiko der Verletzung der Anonymität. Wird ein Scan übermittelt oder ein Ausweis digital gezeigt, können alle erkennbaren personenbezogenen Daten ausgelesen und potenziell gespeichert werden. Zudem wird nicht in jedem Fall geprüft, ob die vorlegende Person tatsächlich mit der auf dem Dokument genannten übereinstimmt. Deshalb ist die Zertifizierung von Altersverifikationsverfahren, wie sie der Jugendmedienschutz-Staatsvertrag (JMStV) in § 5 zur Verhinderung des Zugangs von Kindern und Jugendlichen zu entwicklungsbeeinträchtigenden Inhalten vorsieht, mit hohen Anforderungen verbunden.

Altersfeststellung ist aber nicht nur ein Thema des Jugendmedienschutzes, sondern in vielen Lebensbereichen ein Instrument, um jeweils altersabhängig Vorteile zu gewähren oder Vorsorgemaßnahmen zu treffen, wie sie zum Beispiel in § 24 a des Jugendschutzgesetzes vorgesehen sind. Die Potenziale unterschiedlicher Verfahren der Altersfeststellung wurden beim ersten Global Age Assurance Standards Summit (GAASS) vom 8. Bis 12. April in Manchester von mehr als 600 Expert*innen vor Ort und online erörtert. Die Verfahren lassen sich im Wesentlichen in zwei Gruppen ordnen. So kann das Alter anhand offizieller Dokumente, wie einem Ausweis oder Führerschein, nachgewiesen werden. Neben den oben bereits erwähnten kritischen Aspekten hinsichtlich der Anonymität und der Datensparsamkeit, können solche Prozesse Menschen ausschließen, die über keine entsprechenden Nachweise verfügen. In diesem Zusammenhang wurde als Lösung unter anderem die CitizenCard aus dem Vereinigten Königreich als ein Beispiel vorgestellt. Vertrauenswürdige Personen, wie Lehrkräfte, Ärzte oder Sozialarbeitende stehen dabei für die Korrektheit der zu dokumentierenden Angaben ein. So wird Menschen, die ihre Angaben nicht offiziell, bspw. anhand von Urkunden nachweisen können, der Zugang zu einem verifizierenden Dokument ermöglicht.

In digitaler wie analoger Umgebung wird jedoch zunehmend auf Verfahren gesetzt, die das Alter der Nutzenden anhand biometrischer Merkmale ermitteln. So wird in den meisten Fällen das Gesicht der Person, welche Zugang zu einem Dienst oder einem Produkt in der Online- oder Offline-Welt haben möchte vermessen und mit umfangreichen Datenbeständen verglichen, um das Alter einschätzen zu können. Mitunter werden weitere Merkmale, wie beispielsweise die Stimme, verarbeitet, um das Alter festzustellen. Entsprechende Verfahren, wie bspw. von Yoti oder Privately wurden auf dem GAASS in Manchester vorgestellt. Neben möglichen Vorbehalten der Nutzenden hinsichtlich ihrer Datenverarbeitung stehen die Anbieter entsprechender Verfahren vor der Herausforderung, die Präzision ihrer Dienste zu verbessern. Testläufe und Praxiseinsätze führen mitunter zu Ergebnissen, die nicht der Realität entsprechen. Hinzu kommt, dass abhängig von Herkunftsregion und Hautfarbe weitere Ungenauigkeiten auftreten können. Daher arbeiten die bestehenden Systeme mit Toleranzen, die aktuell dazu führen können, dass sich zum Beispiel bei einer Feststellung der Volljährigkeit auch eine ältere Person ggf. noch mit einem Dokument verifizieren muss, wenn das System das Alter nicht präzise genug bestimmen kann.

Neben den oben genannten Verfahren werden aktuell auch Altersverifikationssysteme entwickelt, die sich für den digitalen Altersnachweis eines neutralen Dienstleisters bedienen, der die benötigten großen Bestände personenbezogener Daten aufbaut. Der Dienstleister erstellt einen Altersnachweis für Nutzende, den diese anschließend verschlüsselt an den zu nutzenden Online-Dienst übermitteln. Dabei erfährt der Dienstleister nicht, für welchen Dienst der Altersnachweis geführt wird, und die Person bleibt gegenüber dem zu nutzenden Online-Dienst anonym (double blindness). Ein solches Angebot wurde in Manchester von Opale vorgestellt.

In Kenntnis des bereits Erreichten sowie der bestehenden Herausforderungen verständigten sich die Expert*innen beim GAASS auf ein abschließende Communiqué, welches den Anspruch an und das Potenzial von Altersfeststellungsverfahren wie folgt formuliert:

„Wenn Altersfeststellung verhältnismäßig und wirksam eingesetzt wird, bietet sie die Möglichkeit, die Grundrechte von Kindern im digitalen Zeitalter zu stärken und gleichzeitig die Anonymität und die Freiheit von Erwachsenen zu schützen, auf Onlineprodukte, -inhalte und -dienste zuzugreifen.“

Voraussetzung dafür ist die Definition und Einhaltung von internationalen Standards für Altersfeststellungsverfahren. Als Grundlage der Standardisierung wurden auf dem Summit die folgenden vier Leitprinzipien formuliert:

  1. Altersfeststellung soll auf den Rechten und dem besten Interesse des Individuums beruhen
  2. Altersfeststellungssysteme sollen auf dem Prinzip der Datenminimierung beruhen
  3. Altersfeststellungssysteme sollen auf dem Prinzip der Transparenz und Rechenschaftspflicht beruhen
  4. Altersfeststellungssysteme sollen auf dem Prinzip der Zusammenarbeit und Beteiligung beruhen
Jutta Croll & Ann Skelton

Ein Exemplar des Communiqué, das sich auch auf die Allgemeine Bemerkung Nr. 25 über die Rechte der Kinder im digitalen Umfeld stützt, überreichte Jutta Croll der Vorsitzenden des UN-Ausschusses für die Rechte des Kindes, Ann Skelton, bei ihrem Besuch Ende April in Berlin.

Vor dem Hintergrund der Anforderungen des Jugendschutzgesetzes sowie des Digital Services Act, ihren Nutzenden altersgemäße Vorsorge- und Schutzmaßnahmen anzubieten, befasst sich auch die Bundesregierung seit einigen Monaten mit dem Thema der Altersverifikation. Dabei lässt sie sich von den Aspekten der Datensparsamkeit, der Wahrung der Anonymität und Persönlichkeitsrechte der Nutzenden sowie der Praktikabilität des Vorgangs leiten und bewegt sich damit im Einklang mit dem nunmehr in Manchester beschlossenen Communiqué. Den bisherigen Arbeitsstand des Bundesfamilienministeriums (im Video ab 1:15:50) stellte der Parlamentarische Staatssekretär Sven Lehmann am 15. Mai im zuständigen Fachausschuss des Deutschen Bundestages vor. Demnach sollen Nutzende eines risikobehafteten Services bei der Eröffnung oder Aktualisierung eines Accounts durch den Dienst aufgefordert werden, mittels Verifikation ihre Zugehörigkeit zu einer Alterskohorte nachzuweisen. Dazu übergibt der Diensteanbieter der nutzenden Person automatisiert eine Zufallszahl, die anschließend die korrekte Zuordnung des Nachweises zu dem passenden Account erlaubt, ohne Kenntnis über die nutzende Person zu erlangen. Die Zufallszahl wird an eine zur Verifikation berechtigte Stelle übermittelt, welche wiederum auf der Grundlage der bei ihr gespeicherten Daten lediglich die Zugehörigkeit zu einer Alterskohorte bestätigt, ohne zu erfahren, für welchen Online-Dienst der Nachweis geführt wird. Die zuvor übermittelte Zufallszahl wird mit dem Nachweis der Alterskohorte und einer autorisierenden Signatur versehen sowie verschlüsselt und anschließend durch die nutzende Person an den Online-Diensteanbieter weitergereicht. Dieser erkennt anhand der Zufallszahl die Zuordnung zum gewählten Account, und anhand der Signatur, dass eine berechtigte Stelle die Zugehörigkeit zu der angegebenen Alterskohorte bestätigt hat. Auf dieser Grundlage kann der Diensteanbieter den Nutzenden seines Angebotes altersgerechte Einstellungen und Optionen anbieten; welche Stelle den Nachweis generiert hat, erfährt der Dienst nicht. Staatssekretär Sven Lehmann verwies auf die Konformität mit bereits bestehenden und von der KJM anerkannten Verfahren zum Nachweis der Volljährigkeit und nannte mit Blick auf den Verzicht der Erhebung neuer Datenbestände als Beispiele für Stellen, die über die notwendigen personenbezogenen Daten bereits verfügen, auch Meldebehörden, Banken oder die Schulverwaltung.

Um die Praktikabilität und Nutzerfreundlichkeit des beschriebenen Vorgangs festzustellen, hat das Bundesfamilienministerium im Frühjahr in Absprache mit weiteren zuständigen Ressorts die Entwicklung eines Demonstrators ausgeschrieben und in der Folge das Fraunhofer-Institut für Sichere Informationstechnologie SIT beauftragt. Im Fokus steht dabei zu demonstrieren, dass das beschriebene Verfahren in der Lage ist, die Vorgaben der Anonymität und Datensparsamkeit einzuhalten. Parallel dazu beabsichtigt die Bundesregierung dieses Modell auch in die Fachdiskurse auf europäischer Ebene einzubringen. Sowohl für die künftigen Nutzenden als auch für global agierende Diensteanbieter ist ein auf internationaler Standardisierung beruhendes Verfahren anzustreben.

Der scheinbar unauflösliche Widerspruch zwischen Anonymität und Altersfeststellungsverfahren und die damit verbundenen Kontroversen könnten - wenn der im Auftrag der Bundesregierung derzeit in Entwicklung befindliche Demonstrator sein Potenzial unter Beweis stellt - möglicherweise bald der Vergangenheit angehören. Denn wenn Anbietende Kenntnis davon haben, welchen Alterskohorten die Nutzenden angehören, ermöglicht dies die anonyme und altersgerechte Bereitstellung von Onlinediensten und Produkten. Und die Internet-Community kann trotzdem frei nach Rumpelstilzchen froh verkünden: „Ach wie gut, dass niemand weiß, wer ich bin und wie ich heiß‘“.