Künstliche Intelligenz
Pläne zur Altersverifikation: „Problem ist das Plattformdesign, nicht das Alter“
Die EU-Kommission will den Schutz von Kindern und Jugendlichen im Internet deutlich verschärfen. Eine Expertenkommission empfiehlt unter anderem ein europaweit harmonisiertes Mindestalter für soziale Netzwerke sowie verpflichtende Alterskontrollen. Parallel arbeitet die EU an einer digitalen Altersverifikation, eine Art Mini-Wallet, die auch unabhängig von der EUDI-Wallet genutzt werden kann.
Weiterlesen nach der Anzeige
Marielle Findorff ist Referentin für Daten- und IT-Sicherheit beim Verbracherzentrale Bundesverband.
(Bild: vzbv)
Über die Chancen und Risiken dieser Pläne sprach heise online mit Marielle Findorff, Referentin für Digitales und Medien beim Verbraucherzentrale Bundesverband (vzbv).
Die EU könnte beim Schutz von Minderjährigen künftig stärker auf Altersgrenzen und Altersverifikation setzen. Ist das aus Sicht des Verbraucherschutzes der richtige Ansatz?
Das eigentliche Problem ist das Plattformdesign und die oft unsicheren Grundeinstellungen. Altersgrenzen lösen dieses Grundproblem nicht. Minderjährige würden zwar ausgeschlossen, alle anderen Nutzerinnen und Nutzer wären den gleichen Risiken aber weiterhin ausgesetzt. Deshalb sollte der Schwerpunkt darauf liegen, Plattformen selbst sicherer zu gestalten, und zwar für alle.
Was müsste sich aus Ihrer Sicht stattdessen ändern?
Die Plattformen sollten nachweisen müssen, dass ihre Angebote tatsächlich sicher gestaltet sind. Das betrifft beispielsweise Voreinstellungen, Empfehlungsmechanismen oder andere Designentscheidungen, die Risiken für Nutzerinnen und Nutzer erhöhen können. Nur wenn die Ursachen auf den Plattformen selbst angegangen werden, lassen sich die Probleme nachhaltig lösen.
Es ist deshalb zu begrüßen, dass auch die Von-der-Leyen-Kommission in ihren Empfehlungen die Verantwortung und Beweislast bei den Anbietern sieht. Dabei darf es jedoch nicht bleiben. Digitale Dienste müssen standardmäßig für alle sicher gestaltet sein. Funktionen und Gestaltungsmuster, die exzessive Nutzung fördern, sollten wirksam begrenzt oder verboten werden.
Die EU-Empfehlungen der EU-Kommission sehen vor, dass Plattformen Zugangsbeschränkungen bis 13 Jahren durchführen sollen. Jugendliche zwischen 13 und 17 Jahren sollen digitale Dienste nutzen können, wenn die Anbieter ein altersgerechtes Design und entsprechende Schutzeinstellungen nachweisen. Plattformen könnten somit entweder ihre Dienste anpassen oder den Zugang für Minderjährige beschränken. Wie bewerten Sie das?
Weiterlesen nach der Anzeige
Grundsätzlich ist es positiv, wenn Plattformen nachweisen müssen, dass ihre Dienste für Kinder und Jugendliche sicher sind. Problematisch ist aber, dass Anbieter möglicherweise einfach den anderen Weg wählen: Sie behalten ihr bisheriges Design bei und schließen Minderjährige per Altersverifikation aus. Das wäre vermutlich in einigen Fällen günstiger, als grundlegende Änderungen am Produkt vorzunehmen. Ich glaube nicht, dass das das eigentliche Ziel der Empfehlungen ist, ausgeschlossen wird diese Möglichkeit aber nicht ausdrücklich.
Diskutiert wurde in der Vergangenheit auch eine Alterskontrolle direkt auf Betriebssystemebene. Wäre das sinnvoller?
Das wäre eine mögliche Alternative. Eltern könnten beispielsweise beim Einrichten eines Geräts das Alter ihres Kindes hinterlegen. Die Information könnte anschließend mit App-Stores oder Diensten kommuniziert werden. Allerdings stellt sich auch dort die Frage, wie diese Altersangabe überprüft wird oder ob sie auf einer Selbstauskunft, etwa von den Eltern, basiert. Die EU-Kommission setzt derzeit allerdings erkennbar auf die EUDI-Wallet beziehungsweise auf eine eigenständige Altersverifikationslösung, die in die EUDI-Wallet integriert werden könnte.
Dann würde aber erneut viel Verantwortung bei den Eltern liegen.
Genau. Das ist problematisch. Viele Eltern fühlen sich bereits heute mit der Vielzahl digitaler Angebote überfordert. Hinzu kommt, dass Plattformen ihre Einstellungen regelmäßig ändern. Selbst Erwachsene verlieren dabei schnell den Überblick. Wenn Eltern sämtliche Plattformen und Spiele ständig kontrollieren müssten, wäre das kaum leistbar. Besonders Familien mit weniger Zeit oder Ressourcen könnten dadurch benachteiligt werden.
Aktuell wird eine auf Open Source basierende Altersverifikationslösung entwickelt und getestet, die von der EUDI-Wallet losgelöst funktioniert. Wie schätzen Sie das ein?
Wenn tatsächlich ausschließlich ein datensparsamer Nachweis wie „über 18“ über einen Zero-Knowledge-Proof übertragen wird und keine weiteren personenbezogenen Daten fließen, wäre das aus Datenschutzsicht grundsätzlich positiv. Entscheidend ist aber, dass diese Beschränkung technisch verbindlich umgesetzt wird und Plattformen nicht zusätzliche Daten anfordern können.
Was halten Sie davon, das Alter über Nutzungsverhalten oder KI-Schätzungen zu bestimmen?
Das halte ich für problematisch. Zum einen sind solche Verfahren unzuverlässig, weil Interessen nichts Eindeutiges über das Alter aussagen. Zum anderen wäre eine Analyse des Surfverhaltens oder biometrischer Merkmale äußerst invasiv. Außerdem müssten Nutzer darauf vertrauen, dass Daten tatsächlich gelöscht werden und nicht doch weiterverarbeitet werden.
In Australien zeigt sich zum Beispiel, dass bisherige technische Umsetzungen leicht umgangen werden können. Es gibt inzwischen zahlreiche Möglichkeiten, Altersprüfungen mit KI-Werkzeugen, Browser-Erweiterungen oder über volljährige Personen zu umgehen. Deshalb bleibt der wirksamste Ansatz, Plattformen selbst sicherer zu gestalten, statt ausschließlich auf Zugangskontrollen zu setzen.
Welche langfristigen Risiken sehen Sie bei einer verpflichtenden digitalen Altersverifikation?
Selbst wenn ein System zunächst datensparsam aufgebaut wird, entsteht damit eine Infrastruktur, die später verändert werden kann. Datenschutzmechanismen lassen sich nachträglich abschwächen. Ist eine solche Infrastruktur einmal etabliert, wird es deutlich einfacher, weitergehende Identifizierungs- oder Überwachungsfunktionen einzuführen.
Wenn eine Altersverifikation kommt, wie sollte sie dann umgesetzt sein?
Altersverifikation kann nur dann einen Mehrwert bieten, wenn sie datensparsam, pseudonym und verpflichtend auf das notwendige Minimum beschränkt ist. Sie darf nicht dazu führen, dass neue Identifizierungs- oder Trackingmöglichkeiten entstehen. Entscheidend ist außerdem, dass sie nicht als Ersatz für notwendige Verbesserungen bei Sicherheit und Plattformdesign verstanden wird.
Welche Rolle spielt dabei die EUDI-Wallet?
In der Wallet werden besonders sensible Identitätsdaten gespeichert. Deshalb muss ausgeschlossen sein, dass Plattformen mehr Informationen erhalten als unbedingt erforderlich. Gerade wenn künftig auch Jugendliche die Wallet nutzen sollen, ist das besonders wichtig. Es darf nicht passieren, dass sich dadurch neue Geschäftsmodelle entwickeln, um noch mehr personenbezogene Daten zu sammeln.
Die Wallet soll freiwillig bleiben. Deshalb muss es ohnehin alternative Verfahren geben. Welche das konkret sein sollen und welche Datenschutzstandards dort gelten, ist bislang aber nicht ausreichend geklärt.
Welchen Nutzen sehen Sie insgesamt in der europäischen digitalen Brieftasche?
Genau das ist für mich derzeit eine zentrale, offene Frage. Welches Problem löst die Wallet eigentlich für Verbraucherinnen und Verbraucher? Ein möglicher Vorteil ist zwar, dass sie europaweit interoperabel sein und Identitätsnachweise grenzüberschreitend erleichtern soll. Einen überzeugenden Mehrwert für den Alltag der Nutzerinnen und Nutzer sehe ich bislang aber nicht. Aus Verbrauchersicht wären beispielsweise echte pseudonyme Nutzungen digitaler Dienste interessant. Diese Möglichkeiten sind in der aktuellen Ausgestaltung noch nicht vorgesehen.
Wer profitiert aus Ihrer Sicht am stärksten von der Wallet?
Wenn man die Frage umdreht und nicht aus Sicht der Nutzerinnen und Nutzer, sondern aus Sicht der Unternehmen stellt, wird die Antwort einfacher. Für Unternehmen eröffnen sich neue Möglichkeiten, Menschen eindeutig zu identifizieren. Deshalb dürften vor allem Diensteanbieter von der Infrastruktur profitieren. Für Verbraucherinnen und Verbraucher ist der Mehrwert bislang deutlich weniger klar erkennbar.
Die Debatte konzentriert sich derzeit stark auf Kinder und Jugendliche. Müsste der Blick nicht grundsätzlich weiter gefasst werden? Viele Menschen – unabhängig vom Alter – verfügen über unterschiedliche digitale Kompetenzen oder sind mit den Mechanismen moderner Plattformen wenig vertraut.
Ja. Bei Betrugsmaschen, Identitätsdiebstahl oder Scams gibt es Betroffene in allen Altersgruppen. Es handelt sich nicht um ein Problem ausschließlich von Kindern und Jugendlichen. Wer digitale Dienste sicher nutzen kann, hängt nicht allein vom Alter ab. Deshalb sollte der Schutz grundsätzlich allen Nutzerinnen und Nutzern zugutekommen, die besonderen Risiken ausgesetzt sind.
(mack)