Bei diesen Verfahren muss der Nutzer in der Regel entweder ein offizielles Dokument wie eine Kreditkarte vorlegen oder ein Selfie innerhalb einer App machen, um seine Identität durch einen automatischen Abgleich mit einem Ausweisdokument zu bestätigen. Im Fall von Online-Glücksspielen haben sich diese Identitätsprüfungsverfahren als erfolgreich erwiesen, wenn es darum geht, Minderjährigen den Zugang zu den Seiten zu verwehren. Kinder daran zu hindern, sich jugendgefährdende Inhalte anzusehen, erweist sich im Vergleich als etwas schwieriger. Das hat sich in den letzten Jahren anhand verschiedener Gerichtsverfahren immer wieder gezeigt. Doch wo liegt das Problem? 

Alterscheck ohne Offenlegung aller Daten

In der Gesellschaft besteht ein allgemeines Verständnis dafür, dass Nutzer generell bereit sind, einige ihrer persönlichen Daten preiszugeben, um auf Inhalte und Websites zu gelangen, die jugendgefährdende Inhalte aufweisen und deren Zugriff zurecht reguliert ist. Allerdings schreckt dieses komplette Preisgeben von Informationen Nutzer auch ab, die daraufhin den Registrierungsprozess abbrechen. Letzteres ist ein Grund, weshalb einige Onlineplattformen bisher immer noch keine KJM-bestätige Lösung zum Alterscheck einsetzen. 

Hier kann eine Identity Wallet helfen, in der die digitale und verifizierte Identität des Nutzers abgespeichert ist. Die Privatsphäre des Nutzers wird geschützt, indem die Wallet die selektive Offenlegung (engl. Selective Disclosure) einiger Identitätsattribute ermöglicht. Attribute oder Personenmerkmale sind zum Beispiel die „Volljährigkeit“ einer Person. So muss ein Nutzer, der auf eine Website mit jugendgefährdenden Inhalten zugreifen möchte, künftig nicht mehr sein genaues Geburtsdatum angeben, um zu beweisen, dass er über 18 Jahre alt ist. Stattdessen kann er das Attribut „Volljährigkeit“ aus seiner Identity Wallet teilen, denn diese Information wurde bereits anderweitig verifiziert.

Dieses Verfahren mithilfe einer Identity Wallet unterscheidet sich von einigen gängigen KYC-Verfahren, wie z. B. Kreditkarten- oder Datenbankprüfungen, bei denen die vollständige Identität des Nutzers offengelegt wird. Durch die selektive Offenlegung über eine Wallet wird die notwendige Altersprüfung durchgeführt und der JMStV eingehalten. Der Wallet-Ansatz normalisiert die einfache Altersüberprüfung im Internet, ohne die Nutzungsraten negativ zu beeinträchtigen. Dies ist ein klarer Vorteil für die Anbieter von Websites, die künftig auf diese Technologie setzen. Für die Nutzer ist nach kürzester Zeit erkenntlich, wie einfach und sicher dieser Prozess ist. 

Exkurs: Identity Wallet

Derzeit muss ein Nutzer bestimmte erforderliche Daten in das System eines Diensteanbieters (z.B. einer E-Commerce-Plattform, eines Mobilitätsanbieters oder eines Reiseanbieters) eingeben, um Zugang zu den Diensten zu erhalten. Dadurch erfolgt automatisch die Zustimmung, dass der gesamte Datensatz vom Diensteanbieter für die Erbringung des Dienstes verwendet werden darf. Dabei gibt es keine Beschränkung, ob die Attribute des Datensatzes für die Ausführung des Dienstes wirklich notwendig sind. Dies wird sich in Zukunft durch die Identity Wallet-Technologie ändern. Die Funktion „Selective Disclosure“ ermöglicht es einer Person, nur einen oder mehrere Teile eines Datensatzes frei- bzw. weiterzugeben.

An dieser Stelle greift normalerweise das Konzept des „Zero-Knowledge-Proofs“ (ZKP). Dabei handelt es sich um ein kryptographisches Sicherheitsprotokoll, das die Authentizität eines Attributs (z. B. Volljährigkeit) über eine Person beweist. Das Besondere: Die Authentizitätsprüfung kann durchgeführt werden, ohne den eigentlichen Wert der Daten (z. B. das Geburtsdatum) preisgeben zu müssen. 

Gegenwärtig sind die persönlichen Daten eines jeden Bürgers und einer jeden Bürgerin in privaten und öffentlichen Datenbanken gespeichert. Mit der Identity Wallet werden sie dezentralisiert und können individuell auf dem Smartphone verwaltet werden. Der Nutzer hat somit die volle Kontrolle über die eigenen Daten sowie deren Verarbeitung und kann bewusst über deren Weitergabe entscheiden. Die Gefahr, dass das digitale Leben und die entsprechenden Daten in falsche Hände geraten, sinkt dadurch. Im Falle eines Datenlecks in einem Unternehmen wären somit keine persönlichen Nutzerdaten mehr betroffen, da sie den Unternehmen nie vorgelegen haben.

Für die Stärkung der Datensouveränität der Bürgerinnen und Bürger arbeitet die Europäische Union gerade an der eIDAS 2.0-Verordnung (electronic Identification, Authentication and Trust Services). Mit ihr soll die digitale Identität auf dem Smartphone innerhalb einer Wallet gespeichert und für verschiedene Anwendungsfälle in der EU intuitiv einsetzbar sein. Dazu können unter anderem eine Bankkontoeröffnung, das Freischalten eines Mietwagens, die Aktivierung einer Prepaid-SIM Karte oder der Online-Check-in im Hotel gehören. Die Verordnung hat bereits einige wichtige Hürden im politischen Prozess genommen: Der Industrieausschuss des Europäischen Parlaments (Industry, Research and Energy Committee, ITRE) hatte der neuen Verordnung am 7. Dezember 2023 mit großer Mehrheit zugestimmt. Damit bestätigte der Ausschuss den Kompromiss, auf den sich EU-Kommission, Ministerrat und EU-Parlament zuvor im Rahmen ihrer sogenannten Trilogverhandlungen geeinigt hatten.

Die Herausforderung Social Media

Die Frage, wie das Alter eines Nutzers überprüft werden kann, beschränkt sich jedoch nicht nur auf Websites mit jugendgefährdenden Inhalten. Auch Social-Media-Seiten sind ein Minenfeld. Eine Studie der britischen Ofcom hat beispielsweise gezeigt, dass einer von drei Minderjährigen bei seinem Alter gelogen hat, um Zugang zu nicht jugendfreien Inhalten auf Social-Media-Websites und -Apps zu erhalten. Das deutet darauf hin, dass eine Altersüberprüfung auch für diese Websites eine sinnvolle Ergänzung wäre.

Einige große Technologieunternehmen befürchten jedoch, dass potenzielle Nutzer diese Websites nicht mehr nutzen, wenn sie erst ihr Alter verifizieren lassen müssen, um Inhalte ansehen, teilen oder erstellen zu können. Angesichts der Werbeeinnahmen, die auf dem Spiel stehen, sind die Anbieter solcher Seiten auf eine Einführung solcher Maßnahmen nicht sehr erpicht.

Einige Plattformen haben deshalb Tools eingeführt, um das Alter der User zu schätzen. Das Problem dieser Technologien liegt jedoch bereits im Namen. Sie „schätzen“ das Alter eines Nutzers nur, anstatt es zu prüfen. Zudem stellt der KI Bias, also fehlerhaft bzw. einseitig trainierte Daten innerhalb der KI, eine Hürde dar.