Altersüberprüfungen auf Websites werden zum Hauptziel von Hackern und stellen ein erhebliches Datenschutz- und Sicherheitsrisiko für Benutzer dar. Die zur Altersüberprüfung verwendeten Methoden – einschließlich der KI-Analyse von Fotos, der Anforderung eines Lichtbildausweises (Führerschein, Reisepass) und der Überprüfung von Kreditkarten – erzeugen eine Fülle personenbezogener Daten, die zunehmend anfällig für Sicherheitsverletzungen sind. Die jüngsten Vorfälle unterstreichen die Schwere des Problems und werfen Fragen zur Wirksamkeit der geltenden Vorschriften und deren Durchsetzung auf.
Die steigende Flut von Verstößen
Im Oktober 2025 kam es bei Discord, einer beliebten Social-Media-Plattform, zu einem Hackerangriff, bei dem möglicherweise die Lichtbildausweise von 70.000 Nutzern offengelegt wurden. Der Verstoß erfolgte über einen Drittanbieter, was eine systemische Schwachstelle bei der Umsetzung der Altersüberprüfung verdeutlicht. Ebenso wurde im Juli 2025 die Tea-App, bei der Benutzer einen Lichtbildausweis und Selfies einreichen müssen, gehackt und dabei sensible Benutzerdaten preisgegeben. Diese Vorfälle zeigen, dass selbst Plattformen, die neue Gesetze wie den britischen Online Safety Act einhalten, nicht vor Verstößen gefeit sind.
Einhaltung gesetzlicher Vorschriften vs. Sicherheit in der Praxis
Der Drang nach einer strengeren Altersüberprüfung wird durch Gesetze wie den Online Safety Act des Vereinigten Königreichs, das Gesetz zum digitalen Weltraum in Frankreich und den Digital Services Act der EU vorangetrieben. Diese Gesetze halten selbst deklarierte Altersüberprüfungen für unzureichend und schreiben strengere Methoden vor, wie z. B. den Abgleich von Lichtbildausweisen oder die Überprüfung der Kreditkarte. Die Realität ist jedoch, dass viele Plattformen bei der Verarbeitung dieser Daten auf Drittanbieter angewiesen sind, was ein schwaches Glied in der Sicherheitskette darstellt. Die Behauptung von Discord, dass es Ausweisdokumente nicht dauerhaft speichert, wird durch die Tatsache untergraben, dass sein Drittanbieter gehackt wurde und Benutzerdaten trotzdem offengelegt wurden.
Die Folgen von Datenlecks
Der potenzielle Schaden durch durchgesickerte Selfies und Lichtbildausweise ist erheblich. Benutzer sind mit Identitätsdiebstahl, Betrug und immer raffinierteren Cyberkriminalität konfrontiert, die durch Deepfake-Technologie und generative KI ermöglicht wird. Die Verfügbarkeit solcher personenbezogener Daten erhöht das Risiko gezielter Angriffe und böswilliger Manipulationen. Darüber hinaus macht die Tatsache, dass Drittanbieter häufig außerhalb strenger Regulierungsgebiete (wie der EU oder des Vereinigten Königreichs) ansässig sind, die Durchsetzung von Datenlöschungs- und Sicherheitsstandards nahezu unmöglich.
Die Notwendigkeit einer strengeren Aufsicht
Trotz der Anleitung von Regulierungsbehörden wie dem britischen Information Commissioner’s Office und Ofcom beweisen die Verstöße gegen Tea und Discord, dass die aktuellen Maßnahmen bei der Verhinderung der Datenspeicherung oder der Durchsetzung der Löschung unwirksam sind. Das britische Ministerium für Wissenschaft, Innovation und Technologie hat versucht, diese Bedenken auszuräumen, indem es die DSGVO-Regeln bekräftigte, die eine Datenminimierung erfordern. Die Realität sieht jedoch so aus, dass Plattformen oft einen Anreiz haben, Daten für kommerzielle Zwecke aufzubewahren, selbst wenn dies gegen Datenschutzbestimmungen verstößt.
Der Weg nach vorne
Um die Privatsphäre der Nutzer zu schützen, sind eine strengere Aufsicht und Durchsetzung unerlässlich. Die Regulierungsbehörden müssen über bloße Leitlinien hinausgehen und verbindliche Anforderungen an Plattformen und Drittanbieter stellen. Dazu gehören verbindliche Richtlinien zur Datenlöschung, regelmäßige Sicherheitsüberprüfungen und schwere Strafen bei Nichteinhaltung. Der derzeitige Ansatz, der auf freiwilliger Selbstregulierung beruht, hat sich als unzureichend erwiesen. Ohne echte Durchsetzungsbefugnisse wird die Online-Altersüberprüfung weiterhin eine Goldgrube für Datenhacker sein
