EU will Alterskontroll-App an Google binden

Die EU-Kommission will das Alter von Internet-Nutzer:innen häufiger kontrollieren. Sie sollen etwa soziale Netzwerke oder Pornoseiten künftig nur dann nutzen dürfen, wenn sie zuvor das dafür festgelegte Mindestalter nachgewiesen haben.

Für den Nachweis entwickelt die EU-Kommission derzeit eine eigene App-Lösung. Ein erstes Konzept hatte sie im Frühjahr vorgelegt. Seit zwei Wochen gibt es einen Prototypen, dessen Quellcode öffentlich einsehbar ist.

In diesem Code haben interessierte Nutzer:innen nun Vorgaben gefunden, an denen sich Kritik entzündet. Erstens setze die Android-App demnach auf Google-Dienste und schließe damit alternative Android-Versionen aus. Zweitens verstoße die EU mit dem Prototypen ausgerechnet gegen Spezifikationen, die sie selbst vorgegeben hat.

Alternative Androids außen vor

Der Prototyp der Android-App verfügt derzeit über einen Verifizierungsmechanismus, den das Google-Ökosystem bereitstellt. Um sicherzustellen, dass die App authentisch ist, soll sie von Google geprüft werden. Dabei wird über Googles Dienst „Play Integrity“ unter anderem untersucht, ob die App aus dem Google Play Store bezogen wurde und ob sie auf einem von Google lizenzierten Betriebssystem läuft. Das schließt allerdings von Haus aus Google-freie Android-Versionen wie LineageOS, GrapheneOS, HarmonyOS oder e/OS aus, die viele aus Gründen des Datenschutzes bevorzugen.

Daniel Micay ist IT-Sicherheitsforscher und GrapheneOS-Entwickler. Er weist darauf hin, dass Android auch eine Hardware-basierte Verifizierung anbiete. Diese sie sicherer sei als die softwarebasierte Play-Integrity-Schnittstelle von Google.

Als Reaktion darauf schreibt einer der Entwickler:innen der EU-App via Github, bei der kritisierten Google-Bindung handele es sich lediglich um eine Empfehlung, keine Anforderung. „Dennoch erkennen wir an, dass dies ein sensibles Thema ist, und es ist möglich, dass wir es noch einmal überdenken müssen“. Er versichert, das Thema an die Verantwortlichen weiterzuleiten.

EU verstößt gegen selbst gesetzten Vorgaben

Andere Entwickler:innen kritisieren, dass die EU damit die Abhängigkeit von US-amerikanischen Techkonzernen erhöhe. Ihr Vorgehen widerspreche außerdem den von ihr selbst aufgestellten Vorgaben.

Der Kommission zufolge soll die Alterskontroll-App dem Prinzip der Interoperabilität folgen. Konkret heißt es in den Spezifikationen der Kommission, dass die App“eine nahtlose Integration über verschiedene Gerätebetriebssysteme, Brieftaschenanwendungen und Online-Dienste hinweg“ gewährleisten soll.

Die Entwicklerin Sylvia van Os weist darauf hin, dass diese Vorgaben durchaus erfüllt werden können. So komme beispielsweise die niederländische Identitäts-App Yivi ohne Google aus. Sie ist quelloffen und kann über alternative App Stores wie F-Droid bezogen werden. „Die Existenz von Yivi sollte ein ausreichender Beweis dafür sein, dass die Integration von Google Play Integrity unnötig ist“, schreibt van Os.

Vorläufer der EUDI-Wallet

Die Alterskontroll-App soll zunächst in Dänemark, Frankreich, Griechenland, Italien und Spanien getestet werden. Den Prototypen können diese Staaten in eigene nationale Apps integrieren oder als eigenständige App nutzen.

Die App soll eine Übergangslösung sein. Voraussichtlich Ende 2026 soll dann die geplante digitale Brieftasche der EU die Altersnachweise erbringen. Laut Kommission wird die aktuelle Anwendung mit der sogenannten EUDI-Wallet kompatibel sein.

Die europäische Brieftasche gilt auch als Prestige-Projekt von Bundesdigitalminister Karsten Wildberger (CDU). Im kommenden Jahr sind für das Vorhaben laut Haushaltsentwurf Finanzmittel in Höhe von 162 Millionen Euro eingeplant.