Sebastian Speetzen

Seit ein paar Monaten bewegt sich die Sache schnell. Im November 2025 hat das Europäische Parlament mit 483 zu 92 Stimmen eine Resolution beschlossen, die ein europaweites Mindestalter von 16 Jahren für soziale Medien fordert. Ab 13 soll der Zugang mit Zustimmung der Eltern möglich sein, unter 13 gar nicht. Bemerkenswert ist, dass die Forderung nicht nur klassische Plattformen wie Instagram oder TikTok meint, sondern auch Videoplattformen und sogenannte KI-Companions, also die Chatbots, mit denen Jugendliche zunehmend reden. Am 29. April 2026 legte die Kommission nach und empfahl den Mitgliedstaaten, bis Ende 2026 eine funktionierende Altersverifikation auszurollen. Und am 12. Mai signalisierte Ursula von der Leyen, dass die Kommission ein EU-weites digitales Volljährigkeitsalter regeln will, mit einem möglichen Gesetzesvorschlag noch vor Ende des Sommers. Das Vorbild nennt sie offen: Australien, wo unter 16 Schluss ist.

Technisch soll das Ganze über eine eigene App laufen, die die Kommission als Übergangslösung versteht, bis die europäische digitale Identität, die EUDI Wallet, flächendeckend verfügbar ist. Das Versprechen klingt erst einmal gut. Die App arbeitet mit sogenannten Zero-Knowledge-Proofs, einem kryptografischen Verfahren, mit dem man beweisen kann, dass man über einer Altersgrenze liegt, ohne das genaue Geburtsdatum oder die Identität preiszugeben. Eine Plattform würde also nur erfahren, dass jemand alt genug ist, nicht wer dahintersteckt. Auf dem Papier ist das deutlich datensparsamer als ein Ausweis-Upload bei jeder einzelnen Seite. Die Frage, die in den offiziellen Pressemitteilungen gern untergeht, ist allerdings, ob die konkrete Umsetzung dieses Versprechen auch hält. Genau da wird es unangenehm.

Eine App, die in zwei Minuten fiel

Am 15. April 2026 stellten von der Leyen und ihre Vizepräsidentin Henna Virkkunen die App als technisch fertig vor und veröffentlichten den Quellcode als White-Label-Vorlage für die Mitgliedstaaten. Nur drei Tage später zerlegte der Sicherheitsforscher Paul Moore die zentralen Schutzmechanismen in unter zwei Minuten. Der PIN-Schutz ließ sich aushebeln, indem man verschlüsselte Einträge aus einer Konfigurationsdatei im Android-Speicher löschte. Der Zähler für Fehlversuche ließ sich auf null zurücksetzen, was beliebig viele PIN-Versuche erlaubt. Und die biometrische Prüfung ließ sich über einen simplen Schalter in den gespeicherten Daten komplett abschalten. Besonders heikel: Das Gesichtsbild, das per NFC vom Ausweis gelesen wird, landete unverschlüsselt als PNG auf der Festplatte, und Selfie-Aufnahmen im externen Speicher wurden nie gelöscht. Die Kommission hatte öffentlich betont, es würden keine personenbezogenen Daten gespeichert und der Vorgang sei vollständig anonym. Die Funde sagen das genaue Gegenteil.

Das ist kein einmaliger Ausrutscher, der sich mit einem schnellen Update wegpatchen lässt. Eine Sicherheitsanalyse des Quellcodes vom März 2026 deckte einen tieferen Konstruktionsfehler auf: Die ausstellende Komponente kann gar nicht überprüfen, ob die Passkontrolle wirklich auf dem Gerät des Nutzers stattgefunden hat. Diese Lücke sauber zu schließen würde wohl bedeuten, vollständige Passdaten inklusive Name und Dokumentnummer an einen Server zu schicken, womit das schöne Datenschutzversprechen weitgehend dahin wäre. Dazu kommt, dass die App auf Android Googles Play Integrity API voraussetzt und damit zwingend von Googles Infrastruktur abhängt, was alternative Android-Systeme und selbst installierte Apps aussperrt. Eine quelloffene App, die Googles Erlaubnis zum Funktionieren braucht, ist eine seltsame Vorstellung von digitaler Souveränität. Bürgerrechtsorganisationen wie EDRi und noyb hatten früh gewarnt, die Europaabgeordnete Markéta Gregorová sprach von einem Verfahren, das unter politischem Druck überhastet werde. Über 400 Forscher warnten in einem offenen Brief, dass zentralisierte Identitätssysteme zwangsläufig zu attraktiven Zielen für Angriffe und Überwachung werden.

Schützen ja, ein Identifizierungsregime nein

Hier prallen zwei Dinge aufeinander, die beide ihre Berechtigung haben. Der Wunsch, Kinder vor suchterzeugenden Mechaniken, Manipulation und ungeeigneten Inhalten zu schützen, ist absolut nachvollziehbar, und das Parlament fordert zu Recht auch ein Verbot von Dark Patterns und weniger Werbung, die sich gezielt an Kinder richtet. Das Problem ist die Methode. Eine Altersverifikation, die wirklich greift, betrifft strukturell alle, nicht bloß Minderjährige, denn um zu beweisen, dass ein 14-Jähriger draußen bleibt, muss das System bei jedem anderen ebenfalls nachsehen. Damit entsteht eine Infrastruktur, mit der sich Internetnutzung grundsätzlich an einen Identitätsnachweis koppeln lässt. Solche Infrastruktur ist selten reversibel. EDRi nennt das treffend mission creep: Ist die technische Fähigkeit einmal da, wächst der Anwendungsbereich fast von allein über den ursprünglichen Zweck hinaus. Dazu kommt die unbequeme Frage, ob das alles überhaupt funktioniert, denn ein VPN, das Konto eines älteren Geschwisters oder schlicht eine geknackte App führen die Hürde schnell ad absurdum, während der datenschutzrechtliche Flurschaden bleibt.

Aus meiner Sicht, und ich denke, das deckt sich mit dem, wofür Volt steht, lässt sich beides zusammenbringen, aber nicht in dieser Reihenfolge und nicht mit dieser Eile. Kinderschutz darf nicht heißen, dass wir ein flächendeckendes Ausweisregime fürs Netz errichten und hoffen, dass die Technik schon irgendwie dichthält. Sinnvoller ist es, bei der Verantwortung der Plattformen anzusetzen: Suchtmechaniken regulieren, manipulative Designs verbieten, Empfehlungsalgorithmen für Minderjährige entschärfen, all das wirkt, ohne dass jeder Bürger sich ausweisen muss. Wenn Altersverifikation tatsächlich kommt, dann nur mit echtem Datenschutz by design statt als Marketingversprechen, mit unabhängigen Sicherheitsprüfungen vor dem Start statt drei Tage danach, dezentral statt in einer zentralen Datenhalde, und freiwillig quelloffen ohne Zwangsbindung an einen US-Konzern. Eine Lösung, die in zwei Minuten fällt, schützt am Ende weder Kinder noch Grundrechte. Sie erzeugt nur das beruhigende Gefühl, etwas getan zu haben, und genau dieses Gefühl ist in der Digitalpolitik oft gefährlicher als das Problem, das man lösen wollte.

– Sebastian Speetzen