Die Europäische Datenschutzbehörde (EDPB) hat umfassende Richtlinien zur Implementierung von Altersverifizierungssystemen in digitalen Diensten veröffentlicht. Diese Richtlinien enthalten zehn grundlegende Prinzipien, die den Schutz von Kindern mit den Datenschutzanforderungen der DSGVO in Einklang bringen. Dies erfolgt vor dem Hintergrund eines globalen Trends zu strengeren Altersverifikationsanforderungen, wie jüngste Initiativen in den USA sowie ähnliche Regelungen in Australien und Großbritannien zeigen^[1]EDPB Issues New Guidelines for Digital Age Verification Systems Under GDPR.

Das Rahmenwerk betont, dass Altersverifikationsmechanismen die Grundrechte achten müssen, wobei das Wohl der Kinder im Vordergrund steht. Anbieter sind verpflichtet, einen risikobasierten Ansatz zu verfolgen und gegebenenfalls Datenschutz-Folgenabschätzungen (DPIAs) und Kinderrechts-Folgenabschätzungen (CRIAs) durchzuführen. Diese Anforderungen ergänzen aktuelle Entwicklungen in der EU, wo T-Systems und Scytáles eine Altersverifizierungslösung für das Programm zur digitalen Identität der EU entwickeln.

Laut den Richtlinien müssen Altersverifizierungssysteme unnötige Nachverfolgung und Profiling verhindern und die Grundsätze der Datenminimierung einhalten. Die EDPB empfiehlt die Implementierung tokenisierter Ansätze, bei denen Drittanbieter das Alter verifizieren und die Dienstanbieter nur binäre Altersbestätigungen erhalten. Dieser Ansatz entspricht aktuellen Branchentrends, wie dem Wechsel von Mastercard hin zu Tokenisierung für mehr Sicherheit und Datenschutz.

Die Richtlinien legen fest, dass Altersverifizierungssysteme allgemein zugänglich sein müssen und alternative Methoden zur Vermeidung von Diskriminierung anbieten sollten. Die Anbieter müssen klar über ihre Altersverifizierungsprozesse kommunizieren und sicherstellen, dass Informationen in kinderfreundlichen Formaten bereitgestellt werden.

Für automatisierte Systeme erfordert das Rahmenwerk die Implementierung von menschlichen Interventions- und Beschwerdemechanismen. Der Datenschutz muss von Anfang an und standardmäßig berücksichtigt werden, wobei der Einsatz von datenschutzfreundlichen Techniken empfohlen wird, die die Daten der Nutzer schützen und eine sichere lokale Verarbeitung ermöglichen. Dieser Ansatz entspricht den Prinzipien des Government Digital Service im Vereinigten Königreich für datenschutzorientierte digitale Identitätsverifizierung.

Die Sicherheitsanforderungen umfassen geeignete technische und organisatorische Maßnahmen zur Erkennung und Reaktion auf Sicherheitsvorfälle. Die EDPB betont, dass Anbieter potenzielle Sicherheitsvorfälle antizipieren und die Fähigkeit zur schnellen Wiederherstellung der Systemverfügbarkeit aufrechterhalten sollten.

Die EDPB stellt fest, dass die vorgeschlagenen Prinzipien darauf abzielen, den Schutz von Kindern und den Schutz personenbezogener Daten im Kontext der Altersverifizierung in Einklang zu bringen. Anbieter müssen sicherstellen, dass sie eine rechtliche Grundlage gemäß Artikel 6 DSGVO haben, um personenbezogene Daten im Rahmen der Altersverifizierung zu verarbeiten. Dies kann beispielsweise erforderlich sein, um einer gesetzlichen Verpflichtung nachzukommen, wobei darauf geachtet werden muss, dass die Altersverifizierung verhältnismäßig zum verfolgten legitimen Ziel ist.