Wie Altersverifikation funktioniert – Technik, Recht, Datenschutz

Ob Pornoplattform, Gameshop oder Social-Media-App: Wer rechtssicher sicherstellen will, dass Kinder und Jugendliche bestimmte Inhalte „üblicherweise nicht wahrnehmen“, braucht belastbare Altersverifikation – nicht bloß ein Klick auf „Ich bin 18“. In Deutschland setzt die Kommission für Jugendmedienschutz (KJM) den Rahmen; in Frankreich und Großbritannien machen neue Vorgaben gerade Tempo. Doch welche Verfahren gelten als „wirksam“, welche Rolle spielt die eID – und wie lässt sich Jugendschutz mit Datenschutz versöhnen? Diese Analyse ordnet Technik, Recht und Praxis ein.

Der Rechtsrahmen: Deutschland, EU – und der Blick nach Frankreich/UK

In Deutschland ist die Leitnorm § 4 JMStV: Inhalte, die für Minderjährige unzulässig sind (z. B. Pornografie), dürfen in Telemedien nur Erwachsenen zugänglich gemacht werden – über eine „geschlossene Benutzergruppe“. Was als „wirksame“ Altersverifikation gilt, präzisiert die KJM mit ihrem AVS-Raster. Es verlangt (1) eine einmalige Identifizierung/Volljährigkeitsprüfung (regelmäßig mit persönlichem Kontakt oder gleichwertig) und (2) eine sichere laufende Authentifizierung (z. B. Zwei-Faktor), bevor der Zugang freigeschaltet wird. Ein „Schnupperzugang“ ist ausgeschlossen. 

Die KJM positiv bewertet auf Antrag konkrete Systeme (kein formales Anerkennungsverfahren, aber faktischer Standard). Zuletzt kamen weitere AVS dazu – vom Bank-basierten „AgeCertificate“ bis zu Lösungen mit persönlichem Kontakt oder biometrischer Altersabschätzung.

EU-weit verpflichtet der Digital Services Act (DSA) Plattformen zu „angemessenen und verhältnismäßigen Maßnahmen“ zum Schutz Minderjähriger; die EU-Kommission hat dazu 2025 Leitlinien veröffentlicht. Sie adressieren u. a. Alters-Assurance-Praktiken und den Datenschutzrahmen.

Frankreich: Die Regulierer ARCOM und CNIL haben 2024/25 einen technischen Referenzrahmen etabliert. Kernelemente sind hohe Zuverlässigkeit und starker Privatsphärenschutz (z. B. unabhängige Drittanbieter, Minimierung, Anonymisierung/Token-Modelle). Reine „Self-Declarations“ sind verboten; Übergangsregeln erlaubten befristet Kreditkarten-Checks mit 2FA.

UK: Unter dem Online Safety Act müssen Dienste mit Pornoinhalten „highly effective age assurance“ einsetzen; Ofcom konkretisiert (ab 17. Januar 2025 für „Part-5-Services“, breiter ab Juli 2025). Erste Effekte: deutliche Traffic-Rückgänge bei nicht konformen Anbietern – bei gleichzeitigen Debatten über VPN-Ausweichbewegungen und Datenschutz.

Die Technik-Bausteine: Von eID bis KI-Altersabschätzung

1) eID / Online-Ausweisfunktion (nPA/eID-Karte):Deutschlands Online-Ausweis ist unter eIDAS auf dem höchsten Vertrauensniveau notifiziert – die Altersangabe lässt sich selektiv (Attribut „über 18“) prüfen. In AVS-Konzepten liefert das eine robuste Erstidentifizierung, kombinierbar mit starker Authentifizierung für die Folgesitzungen.

2) Video-Ident & Vor-Ort-Check:

„Persönlicher Kontakt“ (etwa in Filiale/Post-Ident) und Video-Ident gelten als tragfähige Module der Erstidentifizierung. Die KJM hat Video-Ident (IDnow) als AVS-Modul positiv bewertet; verschiedene Gesamtsysteme kombinieren Identifizierung und Authentifizierung.

3) Biometrische Altersabschätzung (Face-Age Estimation):

Seit 2022 bewertet die KJM KI-basierte Altersabschätzung als wirksames Element – allerdings mit Sicherheitsmargen: um Fehlklassifikationen „älter aussehender“ Jugendlicher abzufangen, wird ein Puffer genutzt (z. B. „mindestens 23“ für 18+ Inhalte) und Liveness-Schutz gefordert.

4) Authentifizierung & Sitzungssteuerung:

Nach der Erstprüfung verlangt das AVS-Raster eine sichere Authentifizierung (typisch 2-Faktor) für jede Freischaltung; Zugang vor Abschluss der Prüfung ist unzulässig.

5) Kreditkarte allein?

In Deutschland gilt: Kreditkartenangabe reicht nicht – sie prüft nicht zuverlässig die Volljährigkeit der nutzenden Person; gefordert sind stärkere Verfahren nach AVS-Raster. (Frankreich erlaubte Karten-Checks mit 2FA nur übergangsweise.)

6) Vertrauensniveaus & Angriffsmodelle:

Für Ident-Verfahren verweist das BSI auf die TR-03147, die Verfahren hinsichtlich Vertrauensnivau und Manipulationssicherheit bewertet – hilfreich, um Bausteine in AVS-Konzepten einzuordnen.

Datenschutz: DSGVO-Pflichten, Biometrie und „Privacy by Design“

DSGVO-Basics: Altersverifikation verarbeitet personenbezogene Daten; bei biometrischen Daten (Art. 4 Nr. 14 DSGVO) können besondere Kategorien nach Art. 9 betroffen sein – mit erhöhten Anforderungen (Rechtsgrundlage, Zweckbindung, Datenminimierung, Löschkonzepte, ggf. Datenschutz-Folgenabschätzung).

Biometrie richtig einordnen: Nicht jede Altersabschätzung ist automatisch „biometrisch zur eindeutigen Identifizierung“ – das hängt von Implementierung und Zweck ab. Regulatoren mahnen dennoch zur Vorsicht: Minimierung, kein dauerhafter Face-Template-Abgleich, klare Zweckbindung nur zur Altersfeststellung. 

Frankreichs Datenschutz-Leitplanken: Der ARCOM-Referenzrahmen (mit CNIL-Votum) fordert starke Privatsphäre-Mechanismen: Unabhängige Drittanbieter, strenge Trennung zwischen Inhaltsanbieter und Alters-Prüfdienst, möglichst anonyme/„double-blind“ Token, keine Self-Declaration. Verstöße können zu Blockierungen führen. 

Deutschland – praktische Ableitungen: KJM-Kriterien implizieren Datensparsamkeit (nur Altersmerkmal, nicht unnötig Ausweisnummern speichern), sichere Authentifizierung, kein Vorab-Zugang und Robustheit gegen Manipulation (z. B. Liveness-Checks). Verantwortliche sollten diese Vorgaben mit DSGVO-Pflichten (Rechtsgrundlage, Informationspflichten, Speicherdauer, TOMs) verknüpfen.

Praxis-Check: Was heute als „wirksam“ gilt – und was (nicht) reicht

KJM-Positivbewertungen als Marktkompass: Die KJM veröffentlicht laufend neue Positivbewertungen – von Bank-gestützten Zertifikaten über Vor-Ort/Video-Ident bis hin zu KI-Altersabschätzung mit Sicherheitsmargen. Für Anbieter in Deutschland sind diese Entscheidungen faktisch die Best Practice.

UK-Erfahrungen zeigen Wirkung – und Nebenwirkungen:

Seit Sommer 2025 sank UK-Traffic großer Pornoseiten deutlich; gleichzeitig weichen Nutzer teils auf VPNs aus. Regulatorisch bleibt die Durchsetzung zentral (Geldbußen bis 10 % Umsatz). Datenschutzfragen – v. a. bei Face-Scans – bleiben politisch umkämpft.

Frankreich setzt auf Privacy-by-Design:

Die Kombination aus technischen Mindestanforderungen und datenschutzfreundlicher Architektur (Trennung von Prüfer und Inhalteanbieter, anonyme Tokens) gilt als Blaupause, die über Pornoseiten hinaus Schule machen könnte.

Fazit

Deutschland hat mit dem KJM-Raster einen funktionierenden Maßstab gesetzt: Zwei-stufige AVS mit starker Identifizierung und Authentifizierung, keine Alibi-Checks. EU-Leitlinien (DSA) und die strengen Linien aus Frankreich und Großbritannien verschieben den Standard europäisch in Richtung wirksamer und datenschutzfreundlicher Lösungen. Technisch ist die Bandbreite groß – vom eID-Attribut bis zur biometrischen Altersabschätzung –, doch am Ende zählt die nachweisbare Wirksamkeit und die minimale Datenspur. Wer beides zusammenbringt, betreibt nicht nur rechtssicheren Jugendschutz, sondern stärkt auch das Vertrauen der Nutzer:innen.