Jugendschutz: Schufa-Tochter darf mit Blick in Onlinekonten Alter verifizieren

Die Kommission für Jugendmedienschutz hat eine zur Schufa gehörenden Lösung als System zur Alterskontrolle anerkannt. Kritiker wittern enorme Angriffsflächen.

Lesezeit: 5 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 158 Beiträge

(Bild: Rinrada_Tan/Shutterstock.com)

Von
  • Stefan Krempl

Die Palette der staatlich freigegebenen Systeme zur Altersverifikation (AVS) ist um ein besonders umstrittenes Angebot reicher geworden. Die Kommission für Jugendmedienschutz (KJM), ein Organ der Landesmedienanstalten, hat jüngst die Lösung GiroIdent Jugendschutz der Schufa-Tochter finAPI als Zugangskonzept für geschlossene Benutzergruppen in Telemedien positiv bewertet. Damit können Name, Anschrift und Geburtsdatum durch einen einmaligen Login des Nutzers in sein Online-Banking und einen Abgleich mit dem Datenbestand bei der Auskunftei online geprüft werden.

Zur Alterskontrolle auf Webseiten, die Dienste nur für Erwachsene anbieten, wird der Kunde beim Einsatz von GiroIdent Jugendschutz auf eine gesicherte Webseite des Fintech-Unternehmens weitergeleitet. "Dort loggt er sich in sein Online-Banking ein und finAPI gleicht den Namen des Kunden mit dem Namen des Kontoinhabers ab", erläutert die Firma, die der britische Open-Banking-Anbieter Yapily übernehmen will. Stimmen die Daten überein, erfolge eine Abfrage des älteren, von der KJM bereits 2005 freigegebenen AVS Q-Bit der Schufa.

Bei Q-Bit macht sich die Auskunftei zunutze, dass rund Dreiviertel der 62 Millionen bei ihr gespeicherten Bundesbürger bei der Eröffnung eines Kontos ihren Ausweis schon vorgelegt haben. Die von der KJM geforderte Face-to-Face-Überprüfung des Alters haben so schon die angeschlossenen Bank- und Kreditinstitute vorgenommen. Dieses AVS erforderte zunächst aber noch eine Zusatzsoftware, um Abfragen bei der Schufa-Datenbank zu erlauben.

Mit GiroIdent Jugendschutz soll die Bestätigung der Identität des Kunden und der schon durchgeführten Ausweiskontrolle vereinfacht werden. "Der Prozess dauert nur wenige Sekunden", wirbt finAPI für den Ansatz. Eine Bestellung oder die Freischaltung der gewünschten Inhalte könne so "schnell und zugleich rechtssicher" im Einklang mit dem Jugendschutzgesetz (JuSchG) des Bundes sowie dem JugendmedienschutzStaatsvertrag der Länder (JMStV) erfolgen.

GiroIdent Jugendschutz ist als sogenannte White-Label-Lösung verfügbar. Das Design lässt sich so dem des jeweiligen Shops beziehungsweise Anbieters individuell anpassen. Peter Hiekmann, Verkaufsleiter bei der Schufa-Tochter, weist zudem auf weitere Nutzungsmöglichkeiten hin: Die Altersprüfung lasse sich bequem mit Zahlungslösungen von finAPI wie der Bezahlung per Online-Überweisung oder einer Echtzeitüberweisung in einem Prozess kombinieren.

Datenschützer monieren seit Langem, dass sich die Schufa immer weitere Datenquellen erschließe. Die Programmiererin Bianca Kastl warnt angesichts der Freigabe der neuen finAPI-Lösung nun vor enormen Angriffsflächen: "Mehr Attack Surface und Metadaten ging nicht, oder?", fragt sie besorgt auf Twitter. Andere Nutzer geben zu bedenken, dass man Zugangsdaten für Banken eigentlich nicht weitergeben dürfe. Möglicherweise würden hier aber die OAuth-Protokolle für eine standardisierte Schnittstelle mit dynamischen Zugriffsmöglichkeiten genutzt.

GiroIdent gibt es auch in anderen Varianten, bei denen sich ein Kunde oder Geschäftspartner über die finAPI-Bankschnittstelle in sein Online-Banking einloggt und einen Blick auf sein Konto gewährt. In Echtzeit erfolgt dabei der Abgleich des angegebenen Namens mit dem Vornamen und Namen des Kontoinhabers sowie in der Plusvariante mit Geburtsdatum, Anschrift und Verstorbenendaten. Das Ergebnis soll eine sichere Verifikation der Namensangaben sein sowie eine Betrugsprävention.

Das Ganze erinnert an das Projekt Check Now der finAPI, das voriges Jahr für Schlagzeilen sorgte. Damit sollte es Kunden möglich sein, auch bei einer ansonsten schlechten Bonität Laufzeitverträge zu bekommen, etwa einen Handyvertrag. Als Basis sollte das Girokonto und ein mithilfe der Kontodaten errechneter Score-Wert herhalten. Datenschützer protestierten, weil es die Option einer zusätzlichen Datennutzung gab. Die Schufa sprach von einem reinen Test, der in dieser Form nicht weitergeführt werde.

Insgesamt hat die KJM mittlerweile 95 Konzepte beziehungsweise Module für AVS gutgeheißen. Solche Systeme würden damit "zum neuen Standard", freut sich der KJM-Vorsitzende Marc Jan Eumann. Seit dieser Woche gehören dazu erstmals drei AVS, die ohne Ausweispapiere allein mit biometrischer Altersbestimmung mithilfe von maschinellem Lernen arbeiten. Dabei handelt es sich um die Lösungen Facial Age Estimation von KYC AVC, Age Verification von Ondato sowie Yoti der gleichnamigen Firma.

Diese Techniken seien durch die Spielart von Künstlicher Intelligenz (KI) darauf trainiert worden, anhand biometrischer Merkmale wie Gesichtsdaten und Fingerabdrücken das Alter einer Person einzuschätzen, führt die KJM aus. Um zu berücksichtigen, "dass manche Jugendliche älter aussehen, als sie sind", habe man einen Puffer von fünf Jahren festgelegt. Personen müssten maschinell also mindestens als 23 erkannt werden, "um Zugang zu den ab 18 Jahren bewerteten Inhalten zu bekommen". Durch systemseitige Kontrollfunktionen sei es zudem nicht möglich, "die Altersüberprüfung mit Standbildern" auszutricksen.

Hintergrund ist, dass nach dem JMStV bestimmte jugendgefährdende Inhalte in Telemedien nur dann verbreitet werden dürfen, wenn der Anbieter durch geschlossene Benutzergruppen sicherstellt, dass nur Erwachsene Zugriff darauf haben. Entwicklungsbeeinträchtigender Content kann ferner rechtskonform nur dann dargeboten werden, wenn der Dienstleister etwa durch ein technisches Mittel dafür Sorge trägt, dass Kinder und Jugendliche der betroffenen Altersstufe ihn üblicherweise nicht wahrnehmen.

(bme)