Kurz & knapp:
Über die Details des Jugend- und Datenschutzes bei Meta findet gerade ein Katz-und-Maus-Spiel zwischen dem Tech-Konzern und der EU-Kommission statt. In der Funktion als Marktaufsichtsbehörde rügte Brüssel Facebook und Instagram jüngst, dass sie ihr selbst festgelegtes Mindestalter von 13 Jahren nicht richtig prüfen. Dadurch sei die Risikoanalyse nach dem DSA fehlerhaft: Die Risiken für Personen unter 13 Jahren, die sich unter Angabe eines falschen Geburtsdatums anmelden, seien nicht hinreichend berücksichtigt. Brüssel verweist auf Studien nach denen“ 10 bis 12 % der Kinder unter 13 Jahren Instagram und/oder Facebook nutzen“.
Meta reagierte darauf mit Maßnahmen, die das Gegenteil einer datensparsamen Lösung sind: KI-Analyse, Auswertung des Nutzungsverhaltens, Ausweis-Check. Denn als Nebenprodukt der Altersschätzung fallen Analysedaten über das Nutzungsverhalten an, die den Plattformen für personalisierte Werbung willkommen sind – immerhin sind die Jugendlichen von heute die Konsument:innen von morgen. Ein „hohes Maß an Privatsphäre“, wie es Artikel 28 DSA vorsieht, sieht anders aus. Es ist deshalb eher unwahrscheinlich, dass Brüssel KI-Analysen zum tatsächlichen Alter als angemessene Maßnahme akzeptieren wird. Der nächste Schritt der EU-Kommission könnte nun darin bestehen, ihre selbst konzipierte Altersverifikations-App (auch: Mini-Wallet) als milderes Mittel ins Spiel zu bringen. Doch auch an diesem Weg gibt es mit Blick auf Datenschutz und IT-Sicherheit Bedenken.
In 5 Minuten up to date
1× pro Woche die Top-Themen der letzten sieben Tage und die spannendsten Fundstücke als Newsletter.
Die Meta-Plattformen und der DSA
Der Meta-Konzern von Mark Zuckerberg betreibt mit Facebook, Instagram und WhatsApp drei der reichweitenstärksten Online-Dienste der Welt. Sie alle fallen als „sehr große Online-Plattformen“ (engl. very large online platforms, kurz: VLOP) unter die strengen Vorschriften der europäischen Plattform-Regulierung des Digital Services Act (DSA): Sie verpflichten Meta dazu, die Risiken für Nutzer:innen auf ihren Diensten zu analysieren und durch geeignete Maßnahme zu reduzieren. Der DSA gilt für alle digitalen Dienste, die auf dem EU-Markt angeboten werden. Insbesondere verpflichtet das EU-Gesetz in Artikel 28 VLOP dazu, „geeignete und verhältnismäßige Maßnahmen ergreifen, um für ein hohes Maß an Privatsphäre, Sicherheit und Schutz von Minderjährigen innerhalb ihres Dienstes zu sorgen“.
Instagram und Facebook als klassische „sehr große“ Online-Plattformen
Bei Instagram und Facebook handelt es sich um Plattformen, auf denen Nutzer:innen die Inhalte anderer Accounts anschauen und mit diesen interagieren können. Die Angebote finanzieren sich in erster Linie durch die Einnahmen von Werbekunden, die ihre Inhalte gezielt an die Nutzer:innen der Plattformen ausspielen. Da Instagram und Facebook jeweils mehr als 45 Millionen Nutzer in der EU haben, handelt es sich um Archetypen einer „sehr großen Online-Plattform“ nach dem DSA: Der Plattformbetreiber schafft die technische Infrastruktur, um Nutzer und Werbekunden zusammenzubringen.
WhatsApp aufgrund seiner „Kanäle“ auch VLOP
WhatsApp hingegen ist in erster Linie als Messenger bekannt. Die meisten Menschen nutzen den Meta-Dienst zur Kommunikation mit anderen Personen. Diese Kernfunktion der direkten (sog. Interpersonellen) Kommunikation zwischen Menschen erfüllt die Voraussetzungen für eine Online-Plattform im Sinne des DSA nicht. Denn es fehlt an der typischen Dreiecksbeziehung zwischen Nutzer, Plattform und Inhalteanbietern.
Dennoch hat die EU-Kommission WhatsApp im Januar als „sehr große Online-Plattform“ eingestuft – jedenfalls teilweise. Der Grund dafür sind die „Kanäle“. Über sie können Personen oder Unternehmen einen Kommunikationskanal anbieten, den andere abonnieren. Wer einen Kanal betreibt, taucht bei seinen Abonnenten neben den „Status“-Meldungen der WhatsApp-Kontakte auf. Wer einen Kanal betreibt, kann über ihn Bilder, Videos und Texte an seine Follower ausspielen. Antworten können diese im Kanal nicht, aber sie können auf anderem Wege in Kontakt treten. In einem Kanal ist es aber bspw. möglich, mit Emojis zu antworten oder Abstimmungen unter den Followern durchzuführen. Letztlich entsteht durch den Kontakt zwischen Kanal-Betreibern und den einzelnen Nutzern über den Dienst „WhatsApp“ eine Dreiecksbeziehung, die typisch für eine Online-Plattform ist.
Konkret heißt das: Was zunächst als „SMS 2.0“ gestartet ist, wandelt sich so auch zu einem attraktiven Tool für Werbetreibende. WhatsApp ist nicht nur Messenger, sondern zunehmend auch Vertriebskanal. Das passt in das Geschäftsmodell von Meta: 98% seiner Gewinne macht der Konzern von Mark Zuckerberg durch sein Werbegeschäft. Andere Messenger wie Signal oder Threema unterliegen den Pflichten des DSA nicht. Sie dürften für Kinder und Jugendliche der bessere Ort sein, um mit Eltern, Freunden und in Gruppen digital zu kommunizieren.
Digitale Grundrechte brauchen eine starke Stimme – deine Unterstützung macht sie hörbar.
Als gemeinnützige Organisation finanzieren wir uns durch Spenden. Hilf uns, Machtmissbrauch einzudämmen und digitale Souveränität zu stärken.
Was die EU-Kommission gerade prüft
EU-Kommission: Risikoanalyse und Umsetzung der Altersgrenze sind fehlerhaft
Ende April hat die EU-Kommission vorläufig festgestellt, dass der Meta-Konzern mit den Diensten Facebook und Instagram gegen den DSA verstößt. Denn sie hielten Minderjährige unter 13 Jahren nicht ausreichend vom Zugang fern. Obwohl die Plattformen laut eigenen Regeln erst ab 13 Jahren genutzt werden dürfen, seien die Alterskontrollen nach Einschätzung der Kommission zu schwach: Kinder könnten beim Registrieren einfach ein falsches Geburtsdatum angeben, ohne dass Meta dies wirksam überprüfe oder entsprechende Konten konsequent entferne. Bemängelt wird auch das Formular, mit dem Nutzer:innen an Meta melden können, dass andere Personen auf der Plattform unter 13 Jahren alt sind. Es sei zu kompliziert und verschachtelt. Komme es dennoch zu einer Meldung, gehe der Konzern diesen oftmals nicht richtig nach.
Mit Blick auf den DSA hat Meta die Risiken für Kinder als womöglich als zu gering eingeschätzt. Die Firma hat aus Sicht der EU-Kommission nicht ausreichend geprüft, dass auch Kinder unter 13 Jahren Instagram und Facebook nutzen und dort Inhalte sehen können, die für ihr Alter nicht geeignet sind. Das unterstreichen aktuelle Studien: 10-12 % der unter 13-Jährigen in der EU nutzt diese Plattformen nach Angaben er EU-Kommission aktuell. Brüssel fordert Meta nun auf, seine Risikoprüfung zu präzisieren. Die Plattformen sollen insbesondere ihre Bemühungen erhöhen, um unter 13-Jährige „am Zugang zu hindern, deren Konten ausfindig zu machen und diese zu löschen“. Gleichzeitig wirbt Meta gerade offensiv für den sog. „Teen Modus“, in dem bestimmte Funktionen deaktiviert sind und Eltern steuernd eingreifen können: So sei es dort nicht möglich, von unbekannten Personen Nachrichten zu erhalten, und Kinder erhielten Hinweise, wenn sie schon zu lange „doomscrollen“.
EU-Kommission empfiehlt eigene Altersverifikations-App
Dass die EU-Kommission nun grünes Licht dafür gibt, dass Meta den Jugendschutz mit KI-Analysen und Ausweis-Checks selbst in die Hand nimmt, ist eher unwahrscheinlich. Denn Brüssel hat einen eigenen „Ansatz zur Altersüberprüfung“: Im Zentrum steht nach eigenen Angaben die „Entwicklung benutzerfreundlicher, datenschutzfreundlicher Lösungen“. Herzstück soll eine Altersverifikations-App (auch: Mini-Wallet) sein, in der Nutzer:innen nachweisen können, dass sie über 13, 18 oder 65 sind, ohne dabei „ihr genaues Alter, ihre Identität oder andere personenbezogene Daten preiszugeben“. Sie werden allerdings nur Personen mit einem passenden Endgerät nutzen können. Alternativen für Menschen ohne Smartphone fehlen derzeit. Wer die EU-App fordert, nimmt in der Konsequenz billigend in Kauf, dass ohnehin benachteiligte Personen weniger inklusiv am digitalen Leben teilnehmen können. Auch für Personen, die ein alternatives Android- oder ein freies Betriebssystem nutzen, die nicht an Google oder Apple gebunden sind, könnten leer ausgehen.
Doch Kritiker:innen haben weitere Zweifel. Sie befürchten, dass die Altersverifikations-App nicht halten kann, was Kommissionsspitze verspricht. Zum einen scheint die IT-Sicherheit noch in den Kinderschuhen zu stecken: Ein Experte brauchte beim Launch nur wenige Stunden, um einen falschen Altersnachweis zu generieren. Zum anderen müsste zweifelsfrei sichergestellt sein, dass die Daten zum Altersnachweis nicht mit anderen Informationen kombinierbar sind – sei es auf Seiten der Plattformbetreiber, noch bei der Altersverifikations-App.
Zivilgesellschaftliche Organisationen fordern, dass die Voraussetzungen „zero-knowledge proof, unlinkability, unobservability“ bei der Verifikations-App robust und überprüfbar verankert sein müssen: Es muss also sichergestellt sein,
dass als Information nur die Altersspanne ankommt (und sonst nichts, was eine Re-Identifizierung ermöglicht),
dass die einzelnen Altersnachweise nicht miteinander verkettet werden können, wodurch Bewegungs- und Zugriffsprofile entstehen könnte, die das individuelle Surfverfahren rastern
und dass auch die App-Anbieter keinen Überblick darüber erhalten, können wo sich eine Nutzerin im Einzelnen als Ü18 ausgewiesen hat.
In einem offenen Brief haben renommierte Wissenschaftler:innen aus den Bereichen IT-Sicherheit und Datenschutz im Januar gefordert, mit der Implementierung solcher Technologien zu warten, bis sie für den praktischen Einsatz wirklich geeignet sind. Bislang sei dies noch nicht der Fall, so die Wissenschaftler, und raten zu politischer Zurückhaltung.
In 5 Minuten up to date
1× pro Woche die Top-Themen der letzten sieben Tage und die spannendsten Fundstücke als Newsletter.
Die Reaktion von Meta: KI-Erkennung, Ausweis-Checks und umfassender Datenauswertung
Meta will laut Tagesschau mit einer europaweiten Alterskontrolle per Künstlicher Intelligenz reagieren. Das Unternehmen will künftig anhand einer intensiven Datenanalyse prüfen lassen, ob Nutzerinnen und Nutzer unter 13 Jahre alt sind. Dafür soll eine KI nicht nur Profilangaben, sondern auch Fotos, Videos und Kommentare auswerten. Man kann sich das vermutlich so vorstellen: Wer langsam tippt, vor allem „Snow Patrol“-Videos schaut, Kinderlieder hört und eine Torte mit der Zahl „11“ darauf postet, ist wohl noch nicht 13 Jahre alt. Wer fälschlich als minderjährig erkannt wird, soll sich wehren und das Alter per Ausweis nachweisen können.
Weitflächige Auswertung des Nutzerverhaltens als Problem für die Privatsphäre
Problematisch ist das vor allem, weil Meta damit auf ein reales Schutzproblem reagiert, aber zugleich sehr weit in persönliche Daten hineinschaut: Die KI soll aus Bildern und Inhalten auf das Alter schließen. Das ist nicht nur fehleranfällig. Sondern solche Technologien sammeln auch enorm viele Informationen über das Nutzerverhalten: Jeder Klick, jeder Swipe, jeder Kommentar landet dann im algorithmischen Maschinenraum von Meta. Dort wird nicht nur das Alter geschätzt, sondern es werden auch die Interessen, Gewohnheiten und die persönlichen Eigenheiten der (minderjährigen) Nutzer ausgemessen.
Wenn die EU-Kommission stattdessen ihre Altersverifikation-App durchsetzen will, ist das mit Blick auf den Grundsatz der Datensparksamkeit nachvollziehbar. Sie will die Altersverifikation lieber in einer offenen, staatlich überprüfbaren und regelmäßig auditierten App sehen als in der vollständigen Verantwortung der Plattformen selbst. Sie wählt damit einen anderen regulatorischen Ansatz als etwa Australien oder das Vereinte Königreich. Dort setzen Online-Plattformen auf biometrische Erkennung von Gesicht und der Hand, um das Alter zu schätzen. Auf eine App zur Altersverifikation setzt derzeit etwa auch Frankreich.
Auch EU-App ist keine Allzweck-Lösung
Doch auch der Weg über eine App zum Altersabgleich passt nicht auf alle Online-Plattformen. Wäre eine generelle Abfrage des Alters auch für Dienste wie WhatsApp mit seiner Kanal-Funktion angemessen? Denn dort lauern – jedenfalls derzeit – weitaus geringere Risiken für junge Menschen, die den Kanal eines Influencers oder Unternehmens folgen. Jedenfalls im Vergleich zu videobasierten Apps wie Instagram oder TikTok mit ihren suchtgefährdenden Designmustern. Der US-Bundesstaat wählt wiederum einen anderen Weg: Ein neues Gesetz verpflichtet dazu, dass Geburtsdatum oder Altersspanne auf dem Endgerät hinterlegt und von dort an App-Stores oder Apps ausgespielt wird. Doch welche Auswirkungen hat das auf Personen, die kein Smartphone nutzen oder lieber ein offene Linux-Betriebssystem nutzen?
Virtual Private Networks als Umgehungsstrategie – und Regelungsgegenstand?
Eine Übersicht des wissenschaftlichen Dienstes des EU-Parlaments adressiert nun ein weiteres Problem, das sich bei Altersnachweisen im Internet stellt: Im Vereinigten Königreich ist derzeit ein Run auf VPN-Dienste zu verzeichnen. Denn mit den Virtual Private Networks lässt sich der Internetverkehr einer Person auf Server mit IP-Adressen anderer Länder umleiten – und eine Altersbeschränkung auf der Insel effektiv umgehen.
Die Jurist:innen des EU-Parlaments werfen deshalb die Frage auf, ob als Reaktion auf die Umgehungsmöglichkeit künftig auch die VPN-Dienste selbst verpflichtet werden sollten, das Alter ihrer Nutzenden zu prüfen. Doch auch hier entsteht ein Zielkonflikt: Menschen nutzen VPN-Dienste gerade zum Schutz ihrer Privatsphäre im Netz – sei es um anonym als Journalist:in zu recherchieren, um als Whistleblower Dokumente zu übersenden oder eben auch um altersbeschränkte Inhalte aufrufen zu können. Zum jetzigen Zeitpunkt ist unklar, ob eine Pflicht an VPN-Anbieter, das Alter der Nutzenden zu prüfen, überhaupt zielführend und effektiv ist. Die Details und Nebenwirkungen sind, soweit ersichtlich, nicht ausbuchstabiert. Die Auswirkungen auf die vertrauliche Nutzung des Internets wären hingegen sehr weitgehend. Die EU würde damit auch ein Vorbild schaffen, das autoritäre Regime aufgreifen könnten, um oppositionellen und zivilgesellschaftlichen Akteuren den letzten freien Zugang zum Internet zu nehmen.
Auf der Suche nach dem ausgewogenen Verhältnis zwischen Daten- und Jugendschutz
Das Thema Kinder- und Jugendschutz im Netz bleibt ein Dauerbrenner auf der politischen Agenda. Die nachteiligen Auswirkungen von Apps wie Instagram, TikTok oder Shein auf die psychische Gesundheit und die soziale Interaktion rücken immer stärker in das öffentliche Bewusstsein vor – und bringen die Politik in Zugzwang. Doch viele der Vorschläge, die den Diskurs bestimmen, sind nicht zu Ende gedacht: sei es ein Social-Media-Ban für junge Menschen in Kombination mit einer Pflicht an VPN-Anbieter, das Alter zu verifizieren, um Umgehungsstrategien auszuhebeln. Sei es die Altersverifikations-App der EU, bei der sich noch nicht sicher sagen lässt, ob sie wirklich so datenschutzkonform und sicher ist, wie die Kommission behauptet. Undurchdachte Maßnahmen könnten dazu führen, dass die technische Infrastruktur für Alterskontrolle in eine Klarnamenpflicht im Netz umschlägt – mit enormen Auswirkungen auf geschützte und Freiheitsräume im Netz, auf die eine lebendige und kritische Gesellschaft angewiesen ist.
Überhaupt: Der Ruf nach neuen Regeln und Gesetzen übersieht, dass es schon heute Vorschriften gibt, die vor suchtfördernden Designs, strafbaren Inhalten oder umfassenden Persönlichkeitsprofilen schützen. Es ist die Durchsetzung, an der es derzeit hakt – und dafür braucht es mehr als markige Worte und aktionistische Vorschläge. Es braucht starke Aufsichtsbehörden und klare Kante gegen Online-Plattformen, die sich der rechtsstaatlichen und demokratischen Kontrolle entziehen wollen.
Digitale Grundrechte brauchen eine starke Stimme – deine Unterstützung macht sie hörbar.
Als gemeinnützige Organisation finanzieren wir uns durch Spenden. Hilf uns, Machtmissbrauch einzudämmen und digitale Souveränität zu stärken.