Ich habe mir die technischen Details der neuen EU-Altersverifikation angesehen, und mein Urteil könnte nicht vernichtender ausfallen. Um es direkt auf den Punkt zu bringen: Wer auch immer als CTO, CIO oder Datenschutzbeauftragter bei der EU für diese Lösung der Altersverifikation verantwortlich ist, sollte sofort entlassen werden. Es ist mir völlig unbegreiflich, wie man mit einer solchen Selbstsicherheit ein Produkt präsentieren kann, das nicht einmal ansatzweise aktuellen technischen Sicherheitsstandards entspricht. Die simplen „Hacks“, die nur Minuten nach der Veröffentlichung publik wurden, sind kein Zufall – sie sind das Ergebnis einer Architektur, die jedes einzelne Prinzip der eigenen EU-DSGVO ignoriert.
Wo bleiben die Datenminimierung oder die Sicherheit als oberste Direktive? Fehlanzeige. Stattdessen sehen wir einen pureren Dilettantismus, der unter dem Deckmantel des Jugendschutzes auf Hunderte Millionen Bürger losgelassen werden soll. Wir reden hier nicht von einem kleinen Bug in einer Gaming-App. Wir reden von der Infrastruktur, die künftig darüber entscheiden soll, wer in Europa welche Inhalte konsumieren darf. Und diese Infrastruktur ist, gelinde gesagt, konzeptionell kaputt.
In diesem massiven Artikel werde ich dieses Kartenhaus Stein für den Stein abtragen. Wir schauen uns an, wie Paul Moore die App in 120 Sekunden lächerlich gemacht hat, warum der „Digital Omnibus“ die DSGVO von innen heraus auffrisst und wie eine echte, technisch saubere Lösung auf Basis von Passkeys und Zero-Knowledge Proofs (ZKP) aussehen müsste, die Anonymität wirklich ernst nimmt.
I. Der regulatorische Masterplan: Schutz als Vorwand für Kontrolle?
Die Europäische Union hat mit dem Gesetz über digitale Dienste (Digital Services Act, DSA) und der novellierten eIDAS-Verordnung (eIDAS 2.0) einen Rahmen geschaffen, der angeblich die Sicherheit im Netz erhöhen soll. Ein zentrales Element ist dabei die Altersverifikation. Ab 2026 sollen Online-Plattformen verpflichtet werden, den Zugriff auf „schädliche“ Inhalte wie Pornografie, Glücksspiel oder den Erwerb von Alkohol für Minderjährige radikal zu reglementieren.
Das Ende des „Ich bin 18“-Buttons
Bisher reichte oft eine einfache Selbstdeklaration. Die Kommission hat jedoch klargestellt, dass das sogenannte „Tick-Box“-Verfahren rechtlich nicht mehr ausreicht. Die neuen Leitlinien fordern „effektive, robuste und nicht-intrusive“ Methoden. Doch was die EU unter „nicht-intrusiv“ versteht, ist ein schlechter Witz. Am 15. April 2026 präsentierte Kommissionspräsidentin Ursula von der Leyen eine Referenz-App als „technisch bereit“ und „datenschutzfreundlich“.
Diese App fungiert als eine Art „Mini-Wallet“, eine Vorstufe zur umfassenden EUDI-Wallet (EU Digital Identity), die bis Ende 2026 für jeden Mitgliedstaat verpflichtend wird. Das Ziel klingt in der Theorie edel: Nutzer sollen beweisen können, dass sie über 18 sind, ohne ihren Namen oder ihr Geburtsdatum preiszugeben. Doch wie wir gleich sehen werden, ist der Weg dorthin gepflastert mit technischer Inkompetenz.
| Gesetz / Verordnung | Zielsetzung | Status der Altersprüfung |
| Digital Services Act (DSA) | Schutz Minderjähriger vor schädlichen Inhalten | Verbindliche Prüfung für VLOPs (Meta, Google etc.) |
| eIDAS 2.0 | Interoperable digitale Identität (EUDI Wallet) | Pflicht für MS bis Dez. 2026 |
| EU AV Blueprint | Technische Referenzspezifikation | Veröffentlicht April 2026 |
II. Die Anatomie des Versagens: Der Paul Moore Hack
Es dauerte keine zwei Stunden, nachdem die Kommission den Quellcode der App veröffentlicht hatte, bis der Sicherheitsberater Paul Moore demonstrierte, dass das gesamte Sicherheitskonzept ein schlechter Scherz ist. Wenn von der Leyen von „höchsten Datenschutzstandards“ spricht, während ein Profi das System mit einem einfachen Datei-Explorer aushebelt, dann ist das politischer Selbstmord auf Raten.
Die „Clown-Tier“-Designentscheidungen
Moore identifizierte Schwachstellen, die so basal sind, dass man sich fragen muss, ob die Entwickler jemals ein Buch über Mobile Security gelesen haben.
- Unsichere lokale Speicherung (PIN-Bypass): Die App speichert die PIN des Nutzers in einer einfachen XML-Datei im Verzeichnis
shared_prefs. Diese PIN ist nicht kryptografisch an den Datentresor (Vault) gebunden, in dem die Identitätsnachweise liegen. Moore löschte einfach die EinträgePinEncundPinIV. Nach einem Neustart akzeptierte die App die Erstellung einer neuen PIN und gewährte vollen Zugriff auf die Identität des ursprünglichen Nutzers. - Der Biometrie-Schalter: Ob eine biometrische Authentifizierung (Face ID/Fingerabdruck) nötig ist, wird über ein simples Flag gesteuert:
UseBiometricAuth. Moore änderte diesen Wert in der Konfigurationsdatei einfach von „true“ auf „false“. Ergebnis: Die App fragte gar nicht erst nach dem Gesichtsscan. Wer das Handy physisch in der Hand hält, ist der Chef – Jugendschutz adé. - Manipulation der Ratenbegrenzung: Um Brute-Force-Angriffe auf die PIN zu verhindern, gibt es einen Zähler. Dieser Zähler wurde jedoch als einfache Ganzzahl in derselben ungeschützten Datei gespeichert. Ein Angreifer kann ihn jederzeit manuell auf Null zurücksetzen und unendlich viele Kombinationen testen.
- Hardware-Sicherheitsanker ignoriert: Moderne Smartphones besitzen eine „Secure Enclave“ (Apple) oder ein „Trusted Execution Environment“ (Android). Das sind physikalisch isolierte Bereiche für kryptografische Schlüssel. Die EU-App nutzt diese jedoch nicht konsequent, sondern lässt sensible Sicherheits-Flags im regulären, editierbaren Dateisystem liegen. Das ist so, als würde man ein Hochsicherheitsschloss kaufen, den Schlüssel aber unter die Fußmatte legen.
III. Biometrie-Lecks: Wenn der Datenschutz zur Falle wird
Ein besonders brisanter Aspekt der App ist das Onboarding. Nutzer müssen ihren Reisepass via NFC scannen und ein Selfie aufnehmen, um die Echtheit ihrer Daten zu beweisen.
Unverschlüsselte Bilder im Cache
Die technische Analyse offenbarte ein Horrorszenario für Datenschützer:
- Die aus dem NFC-Chip extrahierten hochauflösenden Gesichtsbilder (DG2-Daten) werden als unverschlüsselte PNG-Dateien auf dem Gerät abgelegt.
- Diese Bilder werden nur gelöscht, wenn der Verifizierungsprozess erfolgreich abgeschlossen wurde. Stürzt die App ab oder bricht der Nutzer ab, verbleiben diese sensiblen Biometriedaten ungeschützt auf dem Smartphone.
- Selfies werden teilweise im externen Speicher abgelegt und laut Berichten überhaupt nicht gelöscht.
Gemäß Artikel 9 der DSGVO sind biometrische Daten besonders schutzwürdig. Dass eine offizielle EU-App solche Daten unverschlüsselt im Dateisystem „vergisst“, ist ein massiver Verstoß gegen die eigenen Gesetze. Paul Moore warnte Ursula von der Leyen direkt: Dieses Produkt wird der Katalysator für einen gigantischen Daten-Breach sein.
IV. Das legislative Schlupfloch: Der „Digital Omnibus“
Während die Technik versagt, bereitet die EU im Hintergrund eine gesetzliche Aufweichung vor, die noch viel gefährlicher ist. Das am 19. November 2025 vorgestellte „Digital Omnibus“-Paket wird von Organisationen wie noyb (Max Schrems) und EDRi als massiver Angriff auf die digitalen Grundrechte gewertet.
Die subjektive Identifizierbarkeit
Der Kern der Kritik liegt in einer geplanten Neudefinition von „personenbezogenen Daten“ in Artikel 4(1) der DSGVO. Bisher gilt ein objektiver Maßstab: Daten sind personenbezogen, wenn sie irgendjemand einer natürlichen Person zuordnen kann.
Der neue Vorschlag führt einen subjektiven Ansatz ein: Informationen sollen für eine bestimmte Firma dann nicht als personenbezogen gelten, wenn diese Firma die Person mit vernünftigerweise wahrscheinlichen Mitteln nicht identifizieren kann.
Die Gefahr für die Altersverifikation: Plattformen könnten künftig behaupten: „Wir erhalten von der EU-App nur einen kryptografischen Token. Wir wissen nicht, wer dahintersteckt, also ist das für uns kein personenbezogenes Datum.“ Dass Datenbroker im Hintergrund diese Token längst wieder mit Klarnamen verknüpft haben, würde dann keine Rolle mehr spielen. Dies entzieht den Bürgern ihre Rechte auf Auskunft, Löschung und Widerspruch.
KI-Training als „legitimes Interesse“
Zudem soll das Training von KI-Modellen als „legitimes Interesse“ (Art. 88c) eingestuft werden. Das bedeutet das Ende der Opt-In-Kultur. Firmen könnten Ihre Daten ohne explizite Einwilligung für ihre Algorithmen nutzen. Wir bewegen uns weg vom Schutz der Privatsphäre hin zu einem System, in dem der Mensch nur noch als Datenquelle für die europäische KI-Industrie dient.
V. Der dezentrale Ausweg: Anonymität durch Passkeys und ZKP
Es gibt eine Lösung für das Problem der Altersverifikation, die keine Überwachungsinfrastruktur benötigt. Die Technologie ist bereits in unseren Taschen vorhanden: Passkeys auf Basis von FIDO2/WebAuthn kombiniert mit Zero-Knowledge Proofs (ZKP).
Warum Passkeys die Basis sind
Ein Passkey ist ein kryptografisches Schlüsselpaar, das hardwaregebunden auf dem Gerät erzeugt wird. Der private Schlüssel $K_{priv}$ verlässt die „Secure Enclave“ niemals. Im Gegensatz zu Passwörtern sind Passkeys resistent gegen Phishing und Server-Breaches.
Die Magie der Zero-Knowledge Proofs (ZKP)
Der entscheidende Fehler der EU-App ist die Verknüpfung von Identität und Attestierung. Eine Website braucht nicht zu wissen, wer ich bin, sondern nur, was ich bin (über 18).
Ein anonymes System funktioniert in vier Phasen:
- Einmaliges Onboarding: Der Nutzer weist sein Alter gegenüber einer vertrauenswürdigen Stelle nach (z.B. staatliches Register). Diese stellt ein kryptografisch signiertes Attest aus, das lokal auf dem Handy gespeichert wird.
- Anonymer Passkey: Für jede Plattform wird ein einzigartiger, domain-spezifischer Passkey generiert. Dies verhindert, dass verschiedene Webseiten Nutzerprofile verknüpfen können.
- ZKP-Präsentation: Wenn eine Plattform das Alter anfordert, generiert das Handy einen mathematischen Beweis (ZKP). Die Aussage lautet: „Ich besitze ein gültiges Zertifikat für ‚Alter $\geq$ 18‘, ohne das Geburtsdatum zu verraten.“
- Double-Blind Prinzip: Weder der Staat noch die Plattform wissen alles. Der Staat weiß, wem er das Attest gab, aber nicht, wo es genutzt wird. Die Plattform weiß, dass der Nutzer über 18 ist, aber nicht, wer er ist.
Vergleich der Modelle
| Merkmal | EU-Referenz-App (Derzeit) | Passkey/ZKP-Modell (Vorschlag) |
| Datenspeicherung | Unverschlüsselte Bilder im Cache | Nur kryptografische Atteste in Hardware |
| Anonymität | Potenziell verknüpfbar durch Token | Vollständige Unverknüpfbarkeit (Unlinkability) |
| Sicherheit | Umgehbar in 2 Min (Dateieditor) | Hardwaregebunden (Secure Enclave) |
| Nutzererfahrung | Langwieriges Onboarding | Ein Klick (Biometrie-Freigabe) |
| DSGVO-Konformität | Fragwürdig (Biometrie-Retention) | Datenminimierung per Design |
VI. Das Scheitern hat Tradition: Von der ID Wallet zum Führerschein-Chaos
Man sollte meinen, die EU hätte aus den Fehlern der Vergangenheit gelernt. Doch weit gefehlt. Das Scheitern der deutschen „ID Wallet“ im Jahr 2021 war eine Vorwarnung. Auch damals wurde eine blockchain-basierte Lösung mit großer Fanfare (Andreas Scheuer, Dorothee Bär) gelauncht, nur um Tage später wegen Sicherheitsmängeln und mangelnder Skalierbarkeit aus den App-Stores entfernt zu werden.
Die Sicherheitsforscherin Lilith Wittmann sprach damals von einem „Kaiser ohne Kleider“. IT-Experten warnten Monate im Voraus, doch die Politik ignorierte die Realität zugunsten von PR-Terminen kurz vor der Wahl. Heute sehen wir dasselbe Muster auf europäischer Ebene: Man forciert einen Rollout, bevor die Wissenschaft konsolidiert ist und bevor die Sicherheitsarchitektur überhaupt den Namen verdient.
VII. Die Rolle von Big Tech und die Souveränitätslüge
Ein weiteres Problem ist die Abhängigkeit von Google und Apple. Die EUDI-Wallet und die Altersverifikations-App sind auf die Betriebssysteme und App-Stores dieser Giganten angewiesen. Wenn die EU-App Sicherheitsstandards fordert, die nur durch die Integration in die proprietären Hardware-Enklaven von Apple oder Google erreicht werden können, zementiert sie die Marktmacht dieser Unternehmen.
Gleichzeitig positionieren sich Konzerne wie Meta als Unterstützer von Initiativen wie OpenAge, um von den eigentlichen Problemen – ihren schädlichen Algorithmen und der Datenausbeutung – abzulenken. Eine Altersverifikation, die lediglich den Zugang regelt, aber das „Engagement-Mining“ der Plattformen unberührt lässt, bekämpft nur die Symptome, nicht die Ursache der Gefährdung von Minderjährigen.
Fazit: Zeit für digitale Notwehr
Die Altersverifikation in der EU befindet sich in einer Sackgasse aus technischer Inkompetenz und legislativer Übergriffigkeit. Das aktuelle Modell hebelt den Datenschutz aus, indem es einerseits unsichere Apps bereitstellt und andererseits durch den „Digital Omnibus“ rechtliche Schlupflöcher schafft, die die Zweckbindung personenbezogener Daten untergraben.
Wer als Verantwortlicher zulässt, dass biometrische Daten unverschlüsselt in Cache-Ordnern liegen, hat jede Glaubwürdigkeit verloren. Wir brauchen keine staatliche App, die unsere Ausweise scannt. Wir brauchen eine Altersverifikation, die nur ein Merkmal bestätigt, aber niemals eine Identität preisgibt.
Forderungen für einen echten Jugendschutz:
- Sofortiger Stopp der Referenz-App: Keine produktive Nutzung einer App, die lokale Sicherheitsflags in Textdateien speichert.
- Hardware-Zwang: Altersnachweise dürfen nur in zertifizierten Hardware-Sicherheitsmodulen (HSM/Secure Enclave) verarbeitet werden.
- ZKP-Standardisierung: Die EU muss offene kryptografische Standards für Zero-Knowledge Proofs forcieren, statt auf „Gaffa-Tape-Lösungen“ zu setzen.
- Stopp des Digital Omnibus: Die DSGVO darf nicht für die Interessen der KI-Lobby geopfert werden.
Nur durch eine radikale Abkehr vom jetzigen Modell der „staatlich kontrollierten Identitäts-App“ hin zu einer „nutzerzentrierten Attributs-Kryptografie“ kann der Schutz von Kindern im Netz realisiert werden, ohne das Recht auf Anonymität für uns alle zu opfern.