Publiziert: Zuletzt aktualisiert:

Altersverifikation

Altersverifikation: Alter belegen, ohne die Identität preiszugeben

Altersverifikation prüft, ob eine Person ein gefordertes Mindestalter erreicht, und der Anspruch dabei ist nicht nur, die Pflicht zu erfüllen, sondern sie mit so wenig Datensammlung wie möglich zu erfüllen.

Sobald ein Online-Dienst Inhalte oder Angebote nur ab einem bestimmten Alter zugänglich machen darf, steht er vor einer doppelten Anforderung. Er muss das Alter zuverlässig genug prüfen, um seiner Schutzpflicht nachzukommen. Und er darf dabei nicht mehr Personendaten erheben, als diese Prüfung zwingend braucht. Die beiden Ziele wirken gegenläufig, sind es aber nicht: Es gibt Verfahren, die ein Alter belegen, ohne die Identität preiszugeben. Diese Seite ordnet die rechtlichen Treiber ein, stellt die technischen Verfahren vom einfachsten bis zum datenschutzfreundlichsten gegenüber und zeigt, woran eine Umsetzung in der Praxis bricht.

Warum überhaupt: die rechtlichen Treiber

Altersverifikation ist selten Selbstzweck, sie folgt aus einer Pflicht. Vier Treiber kommen in der Schweizer und europäischen Praxis zusammen:

  • Jugendschutz. Kinder und Jugendliche sollen vor ungeeigneten Inhalten geschützt werden. In der Schweiz schafft das Bundesgesetz über den Jugendschutz in den Bereichen Film und Videospiele (JSFVG, SR 446.2) dafür die Grundlage. Es ist zusammen mit seiner Verordnung am 1. Januar 2025 teilweise in Kraft getreten und verlangt eine schweizweit einheitliche Alterskennzeichnung und Alterskontrolle für Filme und Videospiele, auch für Online-Plattformen. Die Branchen haben eine Übergangsfrist, um ihre Jugendschutzregelungen auszuarbeiten.
  • Plattform- und Marktregulierung. In der EU verpflichten der Digital Services Act und ergänzende Leitlinien Online-Plattformen, Minderjährige vor Risiken zu schützen, mit strengeren Pflichten für sehr grosse Plattformen (VLOP); je nach Risiko und Dienst können dafür verhältnismässige Massnahmen zur Altersfeststellung nötig werden. Wo ein KI-System zur Altersschätzung eingesetzt wird, kommt zusätzlich die Risikologik des EU AI Act ins Spiel.
  • Branchenspezifische Schwellen. Alkohol, Tabak, Glücksspiel oder nicht jugendfreie Inhalte haben je eigene Altersgrenzen, die aus Spezialgesetzen folgen.
  • Datenschutz als Gegengewicht. Jede Prüfung verarbeitet Personendaten und fällt damit unter das revidierte Datenschutzgesetz (revDSG) und, bei EU-Bezug, die DSGVO. Der Europäische Datenschutzausschuss (EDPB) hat dazu am 12. Februar 2025 eine eigene Stellungnahme zur Altersfeststellung (Statement 1/2025 on Age Assurance) verabschiedet. Sie hält fest, dass die Prüfung verhältnismässig und so wenig eingreifend wie möglich sein muss und keine weitergehende Profilbildung ermöglichen darf.

Der letzte Punkt ist der entscheidende Spannungsbogen dieser Seite. Die Pflicht zu prüfen und die Pflicht, Daten zu minimieren, gelten gleichzeitig. Die technische Wahl entscheidet, ob sie sich widersprechen oder zusammenpassen.

Die Verfahren im Vergleich

Die gängigen Verfahren lassen sich auf einer Skala anordnen, die mit der Eingriffstiefe in die Privatsphäre steigt. Wichtig ist die Trennung von zwei Begriffen: Altersfeststellung (age assurance) ist der Oberbegriff, Altersverifikation (age verification) der streng prüfende Teil davon, während die Altersschätzung (age estimation) nur einen Wahrscheinlichkeitswert liefert.

  • Selbstauskunft. Die Person bestätigt ihr Alter per Klick oder Geburtsdatum. Datensparsam, aber kaum belastbar, weil nichts die Angabe prüft. Taugt als Hinweis, nicht als Nachweis.
  • Altersschätzung. Ein Verfahren, oft KI-gestützt über ein Selfie oder über Nutzungsmuster, schätzt das wahrscheinliche Alter. Es liefert keine Gewissheit, kann aber datensparsam sein, wenn das Bild lokal verarbeitet und nicht gespeichert wird. Als KI-System unterliegt es je nach Ausprägung dem EU AI Act und wirft Fragen zu Genauigkeit und Verzerrung auf.
  • Dokumentenprüfung. Ausweis oder Pass werden geprüft, meist über einen Drittanbieter. Belastbar, aber datenintensiv, weil dabei weit mehr Information anfällt, als die reine Altersfrage braucht. Hier entsteht das grösste Datenschutzrisiko, wenn Ausweisdaten gespeichert werden.
  • Attributbasierter Nachweis. Eine vertrauenswürdige Stelle bestätigt einmalig ein einzelnes Merkmal, etwa "über 18", und stellt dafür einen wiederverwendbaren Nachweis aus. Der Dienst erfährt nur die Ja-Nein-Antwort, nicht das Geburtsdatum und nicht die Identität.

Der attributbasierte Nachweis ist der Hebel, mit dem sich Pflicht und Datensparsamkeit verbinden lassen. Genau hier setzen die datenschutzfreundlichen Architekturen an, die der nächste Abschnitt beschreibt.

Datenschutzfreundlich und doppelblind

Der Kern einer datenschutzfreundlichen Lösung ist die Trennung der Beteiligten, sodass niemand das volle Bild sieht. In einer doppelblinden Konstruktion erfährt der Dienst, der das Alter wissen muss, nicht die Identität der Person, und die ausstellende Stelle, die die Identität kennt, erfährt nicht, bei welchem Dienst der Nachweis vorgelegt wird. Geprüft wird allein die Aussage "über dem Schwellenwert", nicht das Geburtsdatum.

Technisch tragen das vor allem zwei Bausteine. Attributbasierte Berechtigungsnachweise transportieren nur das eine benötigte Merkmal. Zero-Knowledge-Verfahren können die Schwellenwertaussage belegen, ohne den zugrunde liegenden Wert offenzulegen. Die Europäische Kommission hat auf dieser Grundlage eine Blaupause für eine Altersverifikationslösung entwickelt und am 14. Juli 2025 veröffentlicht; die daraus entstandene App wurde am 15. April 2026 einsatzbereit gemeldet. Sie erlaubt nach Darstellung der Kommission den Nachweis, über einem Alter zu liegen, ohne weitere Personendaten zu teilen, ist als eigenständige Anwendung nutzbar und auf dieselben technischen Spezifikationen wie die künftige EU Digital Identity Wallet ausgelegt. Welche dieser Eigenschaften im Einzelfall tatsächlich vorliegen, hängt von der konkreten Konfiguration und der nationalen Umsetzung ab.

Diese Trennung verbindet die Altersfrage mit der breiteren digitalen Souveränität: Wer prüft, ohne die Identität einzusammeln, baut Datenschutz in die Technik ein, statt ihn nur zu versprechen.

Wie eine Prüfung abläuft

Die folgende Abfolge zeigt eine datenschutzfreundliche Prüfung. Entscheidend ist, dass die Identität bei der ausstellenden Stelle bleibt und der Dienst nur die Ja-Nein-Antwort erhält:

flowchart TD
    A["Dienst fordert<br/>Altersnachweis"] --> B["Person legt<br/>Attributnachweis vor"]
    B --> C{"Merkmal erfüllt?<br/>über Schwellenwert"}
    C -- "Ja" --> D["Zugang frei,<br/>kein Klartext-Geburtsdatum"]
    C -- "Nein" --> E["Zugang verweigert,<br/>kein Datensatz angelegt"]
    D --> F["Nachweis verworfen,<br/>keine Speicherung"]
    E --> F

Der wichtigste Schritt ist der letzte. Eine Prüfung, die den Nachweis nach Gebrauch nicht verwirft, sondern speichert, kehrt die Datensparsamkeit um und erzeugt genau das Risiko, das die ganze Konstruktion vermeiden soll.

Wo Altersverifikation bricht

  • Datensammlung statt Prüfung. Wer Ausweise vollständig speichert, statt nur die Altersaussage zu prüfen, schafft eine Datenhalde. Datenpannen bei Verifikationsdiensten haben gezeigt, dass diese Halde zum Ziel wird.
  • Scheinprüfung. Eine reine Klick-Bestätigung erfüllt die Form, nicht den Zweck. Sie hält niemanden ab und hat rechtlich wenig Gewicht.
  • Schätzung als Gewissheit verkauft. Eine Altersschätzung liefert eine Wahrscheinlichkeit, keine Garantie. Wird sie als sichere Verifikation behandelt, entstehen sowohl Fehlsperren Erwachsener als auch durchgelassene Minderjährige.
  • Ausschluss statt Zugang. Verfahren, die ein Smartphone, eine bestimmte App oder einen amtlichen Ausweis voraussetzen, sperren Personen aus, die das nicht haben. Eine tragfähige Lösung braucht einen zweiten Weg.

Eine Pflicht, mehrere Ebenen abgedeckt

Eine Lösung, die das Alter über einen attributbasierten, doppelblinden Nachweis prüft, deckt mehrere Pflichten mit einer einzigen Architektur ab, weil sie die Datensammlung verringert und die Altersprüfung dennoch ermöglicht. Genau diese Verbindung von regulatorischer Pflicht und nachweisbarer Datensparsamkeit ist für jede Organisation der eigentliche Gewinn: Die Kontrollpflicht lässt sich erfüllen, ohne eine Datenhalde aufzubauen. Für Schweizer Organisationen treffen dabei mehrere Ebenen zusammen, das JSFVG mit seiner Kontrollpflicht für Filme und Videospiele, das revDSG mit seiner Grenze für die erhobenen Daten und, bei EU-Bezug, die DSGVO; ein doppelblinder Nachweis stützt alle drei zugleich. Die breitere technische Sicht auf Nachweis und Kontrolle beschreibt die Seite Compliance.

Referenzen


Verwandte Themen

  • EU AI Act, die Risikologik für KI-gestützte Altersschätzung.
  • nFADP / revDSG, der Datenschutz, der die Datensammlung begrenzt.
  • Compliance, die technische Sicht auf Nachweis und Kontrolle.
  • Digitale Souveränität, der Kontrollkontext für Altersnachweise ohne zentrale Identitätssammlung.

KI fragen

Diese Links öffnen externe KI-Dienste, die Unterhaltung und deren Inhalt werden dabei an den jeweiligen Anbieter übertragen.