Cybersecurity Datenschutz Technik und Gesellschaft

Der Goldstandard und seine Leerstellen — Die EU-Altersverifikations-App als Strukturproblem

Apr. 20, 2026

Die EU-Kommission präsentierte ihre App zur anonymen Altersverifikation als Durchbruch für den Jugendschutz im Netz. Wenige Stunden nach dem Launch hatte sie ein Security-Experte geknackt. Das eigentliche Problem liegt tiefer: nicht in der Implementierung, sondern in der Architektur des politischen Projekts selbst.

Als Kommissionspräsidentin Ursula von der Leyen die neue EU-App zur Altersverifikation vorstellte, sprach sie von den „höchsten Datenschutzstandards” und einem System, das Jugendschutz und Anonymität gleichermaßen gewährleiste. Der Security-Consultant Paul Moore benötigte weniger als zwei Minuten, um diese Versprechen zu dekonstruieren. PIN-Codes unzureichend gesichert, der Schutz gegen automatisierte Passwort-Angriffe durch das einfache Zurücksetzen einer Konfigurationsdatei außer Kraft zu setzen, biometrische Authentifizierung mit einem Klick deaktivierbar — die Liste der Schwachstellen liest sich wie ein Lehrbeispiel dafür, was entsteht, wenn politischer Zeitdruck architektonische Sorgfalt verdrängt.

Die naheliegende Reaktion ist Empörung über schlechte Implementierung. Sie greift jedoch zu kurz. Denn die technischen Mängel sind nicht die eigentliche analytische Herausforderung — sie sind Symptome einer tiefer liegenden strukturellen Inkohärenz.

Die PR-Schere im Kern des Projekts

Was den Fall politisch besonders aufschlussreich macht, ist ein Detail, das in der Berichterstattung unterging: Das offizielle Werbevideo der Kommission zeigt einen biometrischen Abgleich zwischen Gesichtsscan und Ausweisdokument — exakt das Verfahren, das von der Leyen im Kontext der Plattformregulierung stets als inakzeptabel abgelehnt hatte. Die Kommission bewirbt im Marketing also genau das, was sie regulatorisch verbieten will. Das ist keine kommunikative Ungeschicklichkeit. Es ist ein Widerspruch, der im Kern der politischen Konzeption angelegt ist: Jugendschutz als Ziel erfordert Identifikation, Privatsphäre als Versprechen schließt sie aus. Beides gleichzeitig zu versprechen, ohne die Spannung aufzulösen, ist die klassische Struktur einer PR-Schere.

Das strukturelle Token-Problem

Jenseits der Implementierungsmängel benennt der Kryptologe Olivier Blazy ein Problem, das sich durch kein Update beheben lässt: Wer einmal als volljährig verifiziert ist, kann sein Token — und damit den Zugang — faktisch an Minderjährige weitergeben. Das ist keine Sicherheitslücke im technischen Sinne, sondern eine systemische Schwäche des Pseudonymisierungsansatzes selbst. Jedes token-basierte System, das Anonymität garantieren soll, steht vor exakt diesem Trade-off: Entweder ist das Token personengebunden und damit nicht anonym, oder es ist übertragbar und damit als Jugendschutzinstrument strukturell untauglich.

Anja Lehmann vom Hasso-Plattner-Institut fügt eine weitere Dimension hinzu: Pseudonyme erlauben Website-Betreibern, Nutzeraktivitäten über längere Zeiträume zu verknüpfen. Echte Unverknüpfbarkeit — die Voraussetzung für das, was die Kommission als Anonymität bewirbt — ist unter dem gewählten Ansatz nicht erreichbar. Das Versprechen ist nicht nur nicht eingelöst, es ist unter den gesetzten Prämissen nicht einlösbar.

Warum parallel zur EUDI?

Die vielleicht folgenreichste Frage stellt sich nicht zur App selbst, sondern zu ihrer institutionellen Einbettung: Warum baut die EU eine parallele Altersverifikationsinfrastruktur auf, während mit der EUDI Wallet bereits ein umfassendes digitales Identitätsprojekt im Roll-out ist? Mehrere Experten — darunter Lehmann selbst — halten eine separate App für wenig sinnvoll, da sie in zentralen Sicherheitskriterien von etablierten Standards abweicht. Thomas Lohninger von Epicenter.works zieht die Schlussfolgerung: Die Kommission solle sich auf die Durchsetzung bestehender Online-Gesetze konzentrieren, anstatt neue Infrastruktur zu schaffen.

Das Muster ist bekannt. Politischer Handlungsdruck — in diesem Fall durch die öffentliche Debatte über Social Media und Minderjährige — erzeugt eine neue Initiative, anstatt bestehende Strukturen zu nutzen, zu stärken oder tatsächlich durchzusetzen. Das Ergebnis ist institutionelle Fragmentierung: eine App, die zur EUDI inkohärent ist, die Vertrauen in künftige Projekte unterminiert und die, wie Tibor Jager von der Universität Wuppertal lakonisch anmerkt, durch einfache VPN-Nutzung ohnehin trivial zu umgehen ist.

Legitimation durch Vollzug

Der eigentliche Mechanismus hinter diesem Muster ist nicht technische Inkompetenz, sondern politische Rationalität. Jugendschutz ist ein Legitimationsthema mit hoher öffentlicher Resonanz und geringem Widerstandspotential. Eine App, die sichtbar handelt, erfüllt diese Funktion unabhängig von ihrer tatsächlichen Wirksamkeit. Dass acht Staatschefs den Vorstoß prinzipiell unterstützen, bestätigt die politische Logik: Es geht um Signaling, nicht um Enforcement.

Das ist keine Besonderheit dieses Projekts. Es ist das Grundproblem europäischer Digitalregulierung immer dann, wenn politische Sichtbarkeit und technische Kohärenz auseinanderfallen. Die Frage, die sich für die Weiterentwicklung der EUDI Wallet stellt, ist daher nicht, ob diese App geflickt werden kann. Die Frage ist, ob die institutionellen Bedingungen, unter denen sie entstanden ist, bei der nächsten Initiative dieselben sein werden.

Ralf Keuper 

Quellen:

  1. heise onlineEU-App zur Altersprüfung: Experten knacken „Sorglos-Paket” in Minuten (Stefan Krempl)https://www.heise.de/news/EU-App-zur-Altersverifikation-Sorglos-Paket-mit-Sicherheitsluecken-11262838.html
  2. heise onlineEU-Ausweis-App für Minderjährige: EU-Kommission macht Ernst beim Jugendschutz(Ankündigungsartikel, im Hauptartikel verlinkt) https://www.heise.de/news/EU-Ausweis-App-fuer-Minderjaehrige-EU-Kommission-macht-Ernst-beim-Jugendschutz-11259317.html
  3. X / Paul Moore (@Paul_Reviews) — Analyse-Thread mit Demonstration des Exploitshttps://x.com/Paul_Reviews/status/2044723123287666921
  4. Politico EUOnline age checks are coming to Europe (Baptiste Robert-Bestätigung der Funde)https://www.politico.eu/article/online-age-checks-are-coming-europe-children-social-media
  5. YouTube / EU-Kommission — Offizielles Werbevideo zur App (mit biometrischem Abgleich)https://www.youtube.com/watch?v=ULFTrTznG7Y

Ähnliche Beiträge:

  1. Corona Apps in der Diskussion
  2. Fatale Weichenstellung durch Registermodernisierungsgesetz (RegMoG)
  3. EU-Chatkontrolle: Geplante Totalüberwachung der Internetkommunikation unverhältnismäßig und verfassungswidrig
  4. ePA – Sackgasse oder Treiber der digitalen Transformation?

Ähnliche Beiträge

Cybersecurity Digitale Identitäten für KI-Agenten Identitätsmanagement

Wer darf, wann? – Der „Confused Deputy” als Symptom fehlender institutioneller Situierung

Apr. 1, 2026 Ralf Keuper
Biometrie Datenaustausch Datenschutz

Biometrie als Verhandlungsmasse: Das US-EU-Abkommen und die Grenzen transatlantischer Governance

März 31, 2026 Ralf Keuper
Biometrie Datenschutz Technik und Gesellschaft

Wenn der Staat seinen Tresor öffnet: Biometrische Passdaten für Fluggesellschaften

März 26, 2026 Ralf Keuper