EU-Altersverifikation: Datenschutzkonforme Altersprüfung im Rahmen des Digital Services Act

Die Kommission hat eine Lösung für eine EU-Altersverifikation vorgestellt, die einen Nachweis des Alters ohne persönliche Daten ermöglicht.
Kategorien:
, ,
Bild von Aristotelis Zervos

Aristotelis Zervos

Aristotelis Zervos, Editorial Director bei 2B Advice, vereint juristische und journalistische Expertise in Datenschutz, IT-Compliance und KI-Regulierung.

Die Europäische Kommission hat eine Lösung für eine EU-Altersverifikation vorgestellt. Sie soll es Nutzer ermöglichen, ihr Alter (z. B. ≥ 18 Jahre) nachzuweisen, ohne persönliche Daten preiszugeben. Dieses System ist Teil der Umsetzung des Digital Services Act (DSA), insbesondere Art. 28 Dieser verpflichtet Online-Plattformen, wirksame Schutzmaßnahmen für Minderjährige zu ergreifen. Gleichzeitig sollen mit der Lösung Privatsphäre, Sicherheit und Diskretion berücksichtigt werden.

Pilotierung und Zeitplan der EU-Altersverifikation

Am 14. Juli 2025 hat die Europäische Kommission neben den endgültigen Leitlinien nach Art. 28 Abs. 1 DSA auch die erste Version einer White‑Label‑„Age Verification“-Blaupause veröffentlicht und damit eine EU‑weite Pilotphase gestartet. Zunächst beteiligen sich fünf Mitgliedstaaten: Dänemark, Griechenland, Spanien, Frankreich und Italien. Ziel des Piloten ist es, die technische Referenzimplementierung unter realen Bedingungen zu erproben, nationale Identitätsquellen einzubinden und Integrationspfade für Plattformen zu standardisieren.

Gegenstand und Aufbau des Piloten. Getestet werden:

  1. die Wallet‑basierte Nutzer‑App („Mini‑Wallet“) für den Nachweis eines Mindestalters,
  2. Issuer‑Dienste zur Ausstellung eines Alters‑Attestations (z. B. auf Basis amtlicher eID, Ausweisdaten mit eID‑Funktion, Bank‑KYC oder anderen anerkannten Attribut‑Quellen), sowie
  3. Verifier‑Schnittstellen für Online‑Dienste. Die Quelltexte und Spezifikationen stehen Open Source Für die Erprobung stellt die Kommission Test‑Issuer/‑Verifier zur Verfügung.


Zeitliche Meilensteine (Planungsstand):

  • Q3–Q4/2025: Nationales Onboarding der Pilotstaaten, erste produktionsnahe Tests mit freiwilligen Plattformen; Feedback‑Zyklus in die technische Spezifikation („AV Profile“).
  • Q1–Q2/2026: Erweiterung auf weitere Mitgliedstaaten; Härtung der Referenzimplementierung, Interoperabilitäts‑ und Sicherheitstests; Vorbereitung von Leitfäden für Plattform‑Integrationen.
  • Ab 2026: Optionale Integration mit der EU Digital Identity Wallet (EUDI‑Wallet), sobald national verfügbar; sukzessive Adoption durch Plattformen in risikobehafteten Bereichen.

Regulatorischer Rahmen der EU-Altersverifikation

Die Leitlinien der Kommission sind nicht rechtlich bindend, dienen aber als Bewertungsmaßstab für die Aufsicht nach Art. 28 Abs. 1 DSA. Verstöße gegen den DSA können mit Geldbußen von bis zu 6 % des weltweiten Jahresumsatzes geahndet werden. Die Leitlinien adressieren alle Plattformen, die Minderjährigen den Zugang erlauben, nicht nur VLOPs.

Nächste Schritte für Unternehmen. Plattformen können sich frühzeitig an die Pilot‑Integrationen andocken und ihre Risikobewertungen sowie Transparenzinformationen (Art. 28 i. V. m. Art. 14 DSA) darauf ausrichten.

Lese-Tipp: EU Digital Identity Wallet (EUDI-Wallet) – DSGVO-Compliance und technische Umsetzung

Technologische und datenschutzrechtliche Aspekte

Privacy by Design

Die Leitlinien setzen auf technisch robuste und diskriminierungsfreie Altersverifikationsmethoden und verankern das Prinzip „Safety und Privacy by Design“ in der Systementwicklung. Entsprechend soll nur der Nachweis des Mindestalters übermittelt werden, ganz ohne sonstigen Identitätsdaten.

Technische Funktionsweise

Die App fungiert als digitale Altersbescheinigung. Nutzer wählen ein Altersnachweisverfahren, z. B. staatliche e‑ID, Personalausweis (mit eID‑Funktion), Banknachweis, ggf. biometrische Altersschätzung oder Altersnachweis Dritter wie Banken oder Notaren. Nach erfolgtem Alternsnachweis  erhalten sie ein von der App ausgestelltes Alterszertifikat, das Plattformen lediglich das Mindestalter bestätigt.

Offene Quellen & Interoperabilität

Die Blaupause ist Open Source verfügbar, mit freigegebenem Quellcode, technischer Dokumentation, Profildefinition („AV Profile“) und Integrationsempfehlungen.

Empfehlungen für Unternehmen

  1. Risikoanalyse: Ermitteln Sie, inwieweit die eigene Plattform minderjährige Nutzer:innen involviert. Prüfen Sie bestehende Schutzmaßnahmen und dokumentieren Sie mögliche Lücken.
  2. Integration planen: Beobachten Sie die Pilotphase und bereiten Sie die Anbindung Ihrer Plattform zur App-Proof-Verifikation vor.
  3. Datenschutzbeauftragten früh einbinden: Stellen Sie sicher, dass datenschutzrechtliche Anforderungen (DSGVO, „Data Minimisation“) und technische Gestaltung („Privacy by Design“) bereits in der Entwicklung verankert sind.
  4. Alternative Verfahren bereitstellen: Sorgen Sie für Fallback-Optionen für Nutzer ohne digitale Identität.
  5. Monitoring regulatorischer Entwicklung: Halten Sie sich über Entwicklungen der EUDI-Wallet und nationale Umsetzungen informiert.
  6. Transparente Kommunikation: Informieren Sie Nutzer darüber, welche Daten verarbeitet werden und welche Rechte sie haben.


Ergänzende DPIA-Checkliste (Art. 35 DSGVO)

  • Zweckbestimmung: Dokumentieren Sie klar den Zweck des Altersnachweises.
  • Datenminimierung: Prüfen Sie, ob nur das notwendige Altersattribut übermittelt wird.
  • Rollenklärung: Definieren Sie Verantwortliche und Auftragsverarbeiter zwischen Plattform, Issuer und Verifier.
  • Technische Maßnahmen: Bewerten Sie Verschlüsselung, ZKP und Offline-Verifikation.
  • Betroffenenrechte: Stellen Sie sicher, dass Auskunfts-, Lösch- und Widerspruchsrechte gewahrt werden.
  • Folgenabschätzung: Bewerten Sie Risiken für Grundrechte und erarbeiten Sie Abhilfemaßnahmen.


Hinweis: Für eine praxisgerechte und revisionssichere Umsetzung Ihrer Datenschutz-Folgenabschätzung empfehlen wir den Einsatz unserer Ailance DSFA-Softwarelösung. Diese unterstützt Sie bei der strukturierten Durchführung, Dokumentation und Auditierung Ihrer DSFA-Prozesse.

Vertrags- und Rollenlogik

  • Plattform–Issuer: Klären, ob ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) erforderlich ist.
  • Issuer–Verifier: Prüfen, ob Datenübermittlungen an Dritte stattfinden und welche Rechtsgrundlage gilt.


Transparenzpunkte (Art. 13/14 DSGVO)

  • Informationspflichten: Klare Datenschutzhinweise mit Zweck, Datenarten, Rechtsgrundlage und Empfängern.
  • Kontaktstellen: Benennung des Datenschutzbeauftragten und Beschwerdewege.
  • Speicherdauer: Festlegung und Kommunikation der Speicherdauer des Alterszertifikats.

Fazit

Die geplante EU-Altersverifikation stellt einen innovativ-datenschutzfokussierten Ansatz zur Durchsetzung des Jugendschutzes im Internet dar. Über Pilotprojekte und Leitlinien wird der Weg geebnet, bis 2026 eine flächendeckende Umsetzung möglich ist. Dennoch bestehen rechtliche, technische und gesellschaftliche Herausforderungen, die eine sorgfältige Vorbereitung und datenschutzrechtliche Begleitung erfordern.

Link-Tipp: EU Age Verification Solution

Aristotelis Zervos ist Editorial Director bei 2B Advice, Jurist und Journalist mit profundem Know-how in Datenschutz, DSGVO, IT-Compliance und KI-Governance. Er veröffentlicht regelmäßig fundierte Artikel zu KI-Regulierung, DSGVO-Compliance und Risikomanagement. Mehr über ihn erfahren Sie auf seiner Autorenprofil-Seite.

Kontakt aufnehmen
Tags:
,
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge