Das Problem liegt bei den Plattformen
Die zweite Schwachstelle liegt nicht bei der Ausgabe, sondern beim Dienst selbst. Die Spezifikation erlaubt zwei Wege. Entweder wird bei jedem Zugriff neu geprüft, oder ein Dienst speichert ein aus dem Nachweis abgeleitetes Ergebnis im Konto der Nutzenden, abgesichert etwa über Webauthn und unter Pseudonym.
Genau hier kippt der Blickwinkel. Die EU verhindert, dass der Aussteller sieht, wo ein Nachweis genutzt wird. Sie verhindert aber nicht automatisch, dass Plattformen aus der Altersfreigabe einen dauerhaften Kontostatus machen.
Im Gespräch mit Golem ordnet Bennet Dietrich von Sproof, einem Anbieter für digitale Identitäts- und Verifikationslösungen, diese Lücke als Kernproblem ein: Ein weit verbreiteter Irrtum bestehe darin, Zero-Knowledge-Proofs als vollständige Lösung für die Datenspeicherung auf der Empfängerseite zu verstehen.
Tatsächlich kann ein datensparsam übermittelter Nachweis sehr wirksam verhindern, dass Name oder Geburtsdatum offengelegt werden. Er verhindert aber nicht automatisch, dass eine Plattform das Ergebnis der Prüfung, also etwa ein kryptografisch bestätigtes "über 18", als dauerhaftes Merkmal im Nutzerkonto speichert.
Sobald eine Altersfreigabe in ein eingeloggtes Konto zurückgeschrieben wird, verschiebt sich das Problem von der Identitätsübermittlung zur Kontokorrelation. Die Plattform muss den Klarnamen dann nicht kennen, um aus einem verifizierten Status, bestehendem Nutzungsverhalten und weiteren Signalen ein verwertbares Profil zu machen. Der Schutz der Nachweis-Seite ist damit real, endet aber nicht automatisch auf der Verwerter-Seite.
Dort liegt die regulatorische Lücke: Die Spezifikation enthält Datenschutzlogik für die Übertragung, verhindert aber nicht technisch, dass Plattformen aus einer einmaligen Altersprüfung einen dauerhaften Account-Status machen. Datenschutzaufsichten wie der EDPB und der ICO warnen vor dieser Zweckausweitung und vor einer Weiterverwendung solcher Daten für Profiling oder andere unvereinbare Zwecke.
Wer kontrolliert, wie die Plattformen die Daten behandeln?
Das kann praktisch sein. Es schafft aber neue Datenbestände, neue Missbrauchsmöglichkeiten und neue Fragen zur Löschung. Hinzu kommt ein Governance-Punkt, der leicht übersehen wird: Zwar sieht die Architektur vor, dass sich auch anfragende Dienste registrieren müssen, doch die strengen Zertifizierungspflichten und die zentrale Überwachung konzentrieren sich primär auf die Aussteller.
Während die Nachweis-Seite also unter Hochsicherheitsaufsicht steht, bleibt die Kontrolle darüber, wie Tausende Plattformen diese Daten im Alltag handhaben, die eigentliche Achillesferse der Regulierung. Vertrauen wird auf der Nachweis-Seite stark organisiert, auf der Verwerter-Seite deutlich lockerer. Dort beginnt der Übergang vom Datenschutzdesign zur Aufsichtsfrage.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.