Bedeutet eine Altersverifikation, dass eine Website eine Kopie meines Reisepasses aufbewahrt?

Nicht immer, aber es hängt vom Anbieter ab. Einige Drittanbieter von Altersverifikationsdiensten speichern hochgeladene Identitätsdokumente zu Compliance-Zwecken. Sie sollten die Datenschutzrichtlinie sowohl der Plattform als auch eines genannten Verifikationspartners prüfen, bevor Sie Dokumente einreichen.

Kann ein VPN mich während der Altersverifikation schützen?

Ein VPN kann Ihre IP-Adresse verschleiern und die Erfassung von Metadaten auf Netzwerkebene während des Verifikationsprozesses verhindern, jedoch hindert es das Verifikationssystem selbst nicht daran, die von Ihnen übermittelten Identitätsdaten zu erfassen. Es reduziert eine Ebene der Exposition, aber nicht alle.

Was ist Gesichtsaltersschätzung und ist sie sicher?

Gesichtsaltersschätzung verwendet KI, um ein Foto oder einen Videofeed zu analysieren und das Alter einer Person zu schätzen. Sie vermeidet die Einreichung von Dokumenten, beinhaltet jedoch weiterhin die Verarbeitung biometrischer Daten. Ob diese Daten gespeichert, gelöscht oder für andere Zwecke verwendet werden, hängt vollständig von den Richtlinien des Anbieters und den geltenden Gesetzen ab.

Gibt es Altersverifikationsmethoden, die keine persönlichen Daten preisgeben?

Ja. Zero-Knowledge-Proof-Systeme und digitale Anmeldeinformationen mit selektiver Offenlegung können bestätigen, dass ein Nutzer ein bestimmtes Alter überschritten hat, ohne preiszugeben, wer er ist oder andere persönliche Angaben zu machen. Diese Methoden sind derzeit nur begrenzt im Einsatz, stellen jedoch den datenschutzfreundlichsten verfügbaren technischen Ansatz dar.

Was soll ich tun, wenn ein Datenschutzverstoß einen Altersverifikationsanbieter betrifft, den ich genutzt habe?

Prüfen Sie, ob der Anbieter gesetzlich verpflichtet ist, betroffene Nutzer gemäß dem anwendbaren Datenschutzrecht (wie der DSGVO oder US-amerikanischen Gesetzen auf Bundesstaatsebene) zu benachrichtigen. Wenn Ihr Personalausweis oder Reisepass offengelegt wurde, wenden Sie sich an die zuständige ausstellende Behörde, um einen potenziellen Missbrauch zu melden. Erwägen Sie, eine Beschwerde bei Ihrer nationalen Datenschutzbehörde einzureichen, wenn der Verstoß auf fahrlässigen Umgang mit Daten zurückzuführen ist.

Datenschutzrisiken digitaler Altersverifikation (Leitfaden 2026)

Was ist digitale Altersverifikation?

Digitale Altersverifikation (DAV) bezeichnet technische Systeme, die bestätigen, dass ein Nutzer eine Mindestaltersgrenze überschreitet, bevor ihm Zugang zu Online-Inhalten oder -Diensten gewährt wird. Ursprünglich auf Glücksspiel und Alkoholverkauf beschränkt, haben sich diese Anforderungen deutlich ausgeweitet. Bis 2026 verlangen Gesetze im Vereinigten Königreich, in Australien, den Vereinigten Staaten (auf Bundesstaatsebene), Deutschland und mehreren anderen Ländern Alterskontrollen für Plattformen mit Erwachseneninhalten, bestimmte soziale Netzwerke und Online-Gaming-Dienste.

Das übergeordnete rechtliche Ziel ist der Schutz von Kindern. Das Datenschutzproblem liegt in der Methode, mit der dieses Ziel erreicht wird.

Wie funktionieren diese Systeme in der Praxis?

Die meisten Altersverifikationssysteme lassen sich einer von mehreren Kategorien zuordnen:

Kreditkarten- oder Zahlungsdatenprüfung – Eine vorhandene Karte wird als Nachweis der Volljährigkeit verwendet. Diese Methode verknüpft das Surfverhalten mit finanziellen Identitäten.
Hochladen von Ausweisdokumenten – Nutzer übermitteln einen Scan ihres Reisepasses oder Führerscheins. Die Plattform oder ein externer Dienstleister prüft und speichert dieses Dokument.
Gesichtsbasierte Altersschätzung – Ein KI-System analysiert ein Selfie oder einen Live-Kamera-Feed, um zu schätzen, ob eine Person alt genug erscheint. Technisch gesehen ist kein Dokument erforderlich, jedoch werden biometrische Daten erfasst.
Verifikation durch Mobilfunkanbieter (MNO) – Der Mobilfunkanbieter eines Nutzers bestätigt dessen Alter anhand der bei der Kontoregistrierung hinterlegten Daten, die über ein API-Token an die Plattform übermittelt werden.
Digitale Identitäts-Wallets – Entstehende Systeme, bei denen ein staatlich ausgestellter digitaler Nachweis das Alter bestätigt, ohne weitere personenbezogene Informationen preiszugeben.

Jede Methode ist an einem anderen Punkt des Datenschutzspektrums angesiedelt. Das Hochladen von Ausweisdokumenten birgt das höchste Risiko. Gesichtsbasierte Schätzung beinhaltet biometrische Verarbeitung. MNO-Verifikation gibt Daten an kommerzielle Dritte weiter. Digitale Wallets bieten bei korrekter Implementierung den stärksten Datenschutz, werden aber nach wie vor uneinheitlich eingesetzt.

Wohin gehen die Daten?

Die entscheidende Frage ist nicht, ob Ihr Alter verifiziert wird, sondern wer die dazu verwendeten Daten verarbeitet. Die meisten Plattformen lagern die Altersverifikation an spezialisierte Drittanbieter aus. Wenn Sie ein Ausweisdokument hochladen oder ein Selfie übermitteln, gelangen diese Daten in der Regel zu einem separaten Unternehmen mit eigenen Datenaufbewahrungsrichtlinien, einer eigenen Datenpannenhistorie und eigenen kommerziellen Interessen.

Im Jahr 2025 meldeten zwei große Anbieter von Altersverifikationsdiensten Datenvorfälle, von denen Millionen von Nutzern betroffen waren. Die geleakten Datensätze enthielten Scans von Ausweisdokumenten, IP-Adressen und Browser-Metadaten. Dies verdeutlicht ein strukturelles Problem: Die Zentralisierung sensibler Identitätsdaten schafft hochwertige Angriffsziele für böswillige Akteure.

Darüber hinaus räumen einige Anbieter offen ein, Verifikationsdaten aus Compliance-Gründen aufzubewahren. Bei verschiedenen Diensten wurden Aufbewahrungsfristen von 30 Tagen bis zu mehreren Jahren beobachtet. Selbst wenn Plattformen behaupten, Ihren Ausweis nicht zu speichern, kann ihr externer Dienstleister dies unter eigenen Bedingungen tun.

Das Verknüpfungsproblem

Altersverifikation erzeugt das, was Forscher als Verknüpfungsrisiko bezeichnen. Wenn ein System Ihre Identität bestätigt, um Zugang zu einer bestimmten Website zu erhalten, wird ein Datensatz erstellt, der Ihre echte Identität mit diesem Seitenbesuch verknüpft. Wird dieser Datensatz später durch eine Vorladung angefordert, bei einem Datenleck kompromittiert oder kommerziell weitergegeben, werden die aufgerufenen Inhalte mit Ihrer Identität in Verbindung gebracht. Bei Diensten mit Erwachseneninhalten, Gesundheitsinformationen oder politischem Material kann diese Verknüpfung reale Konsequenzen haben.

Regulatorische Rahmenbedingungen und ihre Grenzen

Die Anforderungen zur Altersverifikation im Rahmen des britischen Online Safety Act werden von Ofcom durchgesetzt, das technische Standards veröffentlicht hat, die datenschutzfreundliche Ansätze empfehlen. Der Digital Services Act der EU schafft Verpflichtungen zur Altersverifikation für große Plattformen, wobei die Mitgliedstaaten die Durchsetzung unterschiedlich auslegen. Die Änderungen des australischen Online Safety Act verpflichten Plattformen, lassen die Wahl der Verifikationsmethode jedoch weitgehend offen.

Die Lücke in den meisten Regelwerken besteht darin, dass sie das Ergebnis vorschreiben (Alter verifizieren), ohne datenschutzkonforme Methoden zu fordern. Dies schafft Raum dafür, dass datenhungrige Implementierungen zum Marktstandard werden.

Praktische Schritte zur Reduzierung Ihrer Exposition

Nutzen Sie nach Möglichkeit Plattformen, die MNO-Verifikation oder auf digitalen Wallets basierende Prüfungen unterstützen, da diese Methoden das Alter bestätigen können, ohne vollständige Ausweisdokumente preiszugeben.
Lesen Sie die Datenschutzrichtlinie eines externen Verifikationsanbieters, bevor Sie Dokumente einreichen. Achten Sie insbesondere auf Aufbewahrungsfristen und darauf, ob Daten an Marketingpartner weitergegeben werden.
Ein VPN umgeht die Altersverifikation nicht, kann jedoch die Metadaten einschränken, die Dritten während des Verifikationsprozesses sichtbar sind, wie Ihre IP-Adresse und Ihren ungefähren geografischen Standort.
Sofern es die jeweiligen Regelungen erlauben, bieten einige Dienste postalische oder tokenbasierte Alternativen zur digitalen Ausweisübermittlung an.
Beobachten Sie, ob Länder, auf deren Inhalte Sie zugreifen, gegenseitige Datenaustauschvereinbarungen mit Ihrem Heimatstaat haben.

Der Weg nach vorn

Datenschutzfreundliche Altersverifikation mithilfe von Zero-Knowledge-Beweisen und Credentials mit selektiver Offenlegung ist im Jahr 2026 technisch umsetzbar und wird in mehreren EU-Mitgliedstaaten pilotiert. Diese Systeme können bestätigen, dass ein Nutzer eine Altersschwelle erfüllt, ohne zusätzliche Informationen preiszugeben. Eine breitere Einführung hängt von regulatorischen Vorgaben und kommerziellen Anreizen ab, von denen keines schnell genug vorangeschritten ist, um Nutzer kurzfristig zu schützen.

Datenschutzrisiken digitaler Altersverifikation (Leitfaden 2026)Einsteiger

// FAQ