Digitale Türsteher: KJM erlaubt Alterskontrollen per Webcam


12. Januar 2015 Hinterlasse einen Kommentar
Pornografische, manche indizierte und schwer jugendgefährdende Inhalte: Sie alle müssen in Deutschland hinter digitalen Mauern verborgen bleiben. Anbieter von Inhalten nur für Erwachsene müssen mit einem Altersverifikationssystem (AVS) dafür sorgen, dass Kinder und Jugendliche geschützt bleiben. Bislang war der praktische Einsatz solcher Systeme aufgrund der hohen Anforderungen der Rechtsprechung und der Jugendschutzbehörden schwierig und für Nutzer wenig komfortabel. Das änderte sich erst in jüngerer Zeit, als AVS auf den Markt kamen, die in geschickter Weise bereits erfolgte Identifizierungsvorgänge (etwa für das Onlinebanking) verwerteten. Nun haben die Jugendschützer den konsequenten nächsten Schritt getan und akzeptieren – wie zuvor schon die Regulierungsbehörden für den Finanzsektor - seit Kurzem auch die Identifikation von Nutzern per Webcam.

Altersverifikationssysteme (AVS) haben bei Content-Anbietern einen schweren Stand. Viele Nutzer scheuen die aufwändige Registrierung und weichen auf ausländische Seiten aus oder brechen ihren Kauf ab. Anbieter von jugendgefährdenden (z.B. indizierten) Spielen und sonstigen Inhalten haben in Deutschland aber keine Wahl. Grundsätzlich sind solche Online-Angebote nämlich unzulässig. Ihre Seiten können sie nur betreiben, wenn gesichert ist, dass ausschließlich Erwachsene Zugriff haben.

Rechtssichere Lösungen für die “geschlossene Benutzergruppe”

Die Rechtsgrundlage dafür findet sich in § 4 Abs. 2 S. 2 JMStV. Danach dürfen jugendgefährdenden Telemedien nur für „geschlossene Benutzergruppen“ zugänglich sein. Wie eine solche „geschlossene Benutzergruppe“ aussehen soll, regelt der JMStV nicht. Hierzu hat zunächst nur die Rechtsprechung Kriterien entwickelt, die Anbieter grundsätzlich in eigener Verantwortung umzusetzen haben.

Der Zugriff auf „Inhalte für Erwachsene“ erfolgt in einem AVS in zwei Schritten. Zuerst müssen sich Nutzer für das Altersverifikationssystem registrieren und dabei ihr Alter nachweisen (Identifizierung). Im zweiten Schritt muss bei jeder Anmeldung sichergestellt sein, dass nur die registrierten Personen auch auf das Angebot zugreifen (Authentifizierung).

Anders als bei den Jugendschutzprogrammen gemäß § 11 JMStV sieht das Gesetz kein Verfahren zur offiziellen Anerkennung oder Freigabe von Altersverifikationssystemen vor. Um trotzdem eine gewisse Rechtssicherheit zu erreichen, bewertet die Kommission für Jugendmedienschutz (KJM) Altersverifikations-Konzepte anhand eines Kriterienkatalogs und spricht darauf gestützt “Positivbewertungen” aus. Im September 2014 hat sie diese Kriterien aktualisiert. Sie gestattet Anbietern nun, die vorgeschalteten Altersprüfungen auch per Webcam vorzunehmen. Zuvor war dies noch ausdrücklich als unzureichend bezeichnet worden.

Was Content-Anbieter machen können, um „Adult Content“ rechtssicher anzubieten, wollen wir im Folgenden darstellen. Die von der KJM positiv bewerteten Konzepte richten sich alle nach diesen Kriterien.

Erste Hürde: Die Altersprüfung

Die Altersprüfung ist der erste und wichtigste Schritt eines AVS. Bevor es losgeht, müssen Nutzer sich identifizieren und nachweisen, dass sie volljährig sind. Die KJM verlangt, dass die Identifizierung „durch einen persönlichen Kontakt“ erfolgen muss. Die gängigste Methode der „face-to-face“-Kontrolle ist daher das Postident-Verfahren, bei dem in einer Postfiliale der Ausweis vorgelegt wird.

Häufig einfacher und ebenfalls möglich ist es, auf eine bereits erfolgte „face‐to‐face“‐Kontrolle zurückzugreifen. So findet verpflichtend bei jeder Kontoeröffnung eine Identitätsprüfung statt. Viele AV-Systeme verzichten daher auf einen eigenen Ausweisabgleich und nutzen Onlinebanking, Schufa-Daten oder das Jugendschutzmerkmal der GeldKarten. Aber auch die Anmeldung für De-Mail oder die eID‐Funktion des neuen Personalausweises entspricht den Vorgaben der KJM für eine jugendschutzkonforme Identifizierung.

Nicht ausreichend (und im übrigen datenschutzrechtlich unzulässig) ist es, einfach eine Ausweiskopie oder die Perso-Kennziffer von Nutzern zu verlangen. Für eine rechtssichere Identifizierung muss zwingend überprüft werden, ob der Ausweis auch dem Nutzer gehört. Eine persönliche Identifizierung mit Abgleich der Ausweisdaten ist daher Pflicht.

Wichtig: Ohne abgeschlossene Identifizierung dürfen Nutzer nicht auf jugendgefährdende Inhalte zugreifen. Auch Demozugänge, Testversionen oder ähnliche Trials dürfen nicht frei verfügbar sein, wenn sie jugendgefährdende Elemente beinhalten.

Überprüfung nun auch per Webcam

Seit September 2014 ist es möglich, das Alter von Nutzern auch per Webcam zu überprüfen, eine „körperliche“ Anwesenheit ist für eine „face-to-face“-Kontrolle nicht mehr notwendig. Eine solche Videoüberprüfung war zuvor schon für Identifizierungen nach dem Geldwäschegesetz ermöglicht worden (s. BaFin-Rundschreiben 1/2014, Ziffer III). Daran kommt nun auch die KJM nicht mehr vorbei – es wäre auch sehr merkwürdig, wenn die für Zwecke der Bekämpfung von Geldwäsche und Terrorismusfinanzierung erforderliche Identifikationsstandard im Jugendschutzrecht nicht ausreichend sein sollte…

Die Voraussetzungen für eine Webcam-Überprüfung ergeben sich auch dem BaFin-Rundschreiben – erforderlich ist demnach unter Anderem eine dokumentierte Interaktion mit der zu identifizierenden Person, um das Risiko von Manipulationen zu verringern. So muss etwa der Ton des Gespräches aufgezeichnet werden. Der verwendete Ausweis muss über optische Sicherheitsmerkmale (Hologramme) verfügen. Diese müssen überprüft werden, indem der Nutzer den Ausweis vor der Webcam nach Anweisung horizontal bzw. vertikal kippt. Es muss außerdem überprüft werden, ob das Ausweisdokument unversehrt laminiert ist und kein aufgeklebtes Bild enthält.

Wenn die Überprüfung nicht möglich ist, z.B. wegen einer schlechten Ton- oder Bildqualität, darf die Identifizierung nicht fortgeführt werden. Auch bei anderen Unstimmigkeiten oder Unsicherheiten muss die Webcam-Identifizierung abgebrochen werden. Der Nutzer kann sich dann weiterhin über eine der anderen Methoden identifizieren.

Drei Verfahren zur Altersprüfung per Webcam hat die KJM bereits positiv bewertet.

For your eyes only: Das Aushändigen der Zugangsschlüssel

Erst wenn die Altersprüfung abgeschlossen ist, darf der Nutzer die notwendigen Zugangsschlüssel erhalten. Dabei muss sichergestellt sein, dass die Daten auch nur an ihn ausgegeben werden. Die Übergabe kann auf verschiedenen Wegen erfolgen:

  • ŸPersönliche Übergabe der Zugangsschlüssel bei der Anmeldung
  • Generierung von Freischaltcodes während des Anmeldeprozesses
  • Zustellung im Nachhinein (per Einschreiben o.ä.)

Wenn für die Identifizierung eine bereits erfolgte „face-to-face“-Kontrolle genutzt wurde, müssen die Zugangsschlüssel per Einschreiben eigenhändig oder einem ähnlichen Verfahren verschickt werden, um sicher zu gehen, dass nur der als volljährig identifizierte Nutzer auch die Zugangsdaten erhält.

Der Login: Zugangsdaten vor Weitergabe schützen

War die Identifizierung erfolgreich, kann sich der Nutzer mit seinen Zugangsdaten anmelden. Um Missbrauch zu verhindern, verlangt die KJM aber noch weitere Schutzmaßnahmen. So will sie verhindern, dass Zugangsdaten unerlaubt weitergegeben oder von mehreren Nutzern geteilt werden.

Der Weitergabeschutz kann dabei durch zwei Methoden erfolgen: Technische Lösungen oder die sogenannte Risiko-Lösung. Die technischen Lösungen basieren auf Unique-Identifier-Ansätzen (UID). Dazu zählen biometrische Authentifizierungsverfahren sowie Dongles-, Token- und mTan-Lösungen. Die Risikolösung funktioniert hingegen nach dem Prinzip, dass der Benutzer selbst ein großes Interesse daran hat, seine Zugangsdaten für sich zu behalten. Sei es, weil ihm sonst hohe Kosten entstehen könnten oder private Daten publik würden.

In allen Fällen gilt: Der Nutzer muss seine Zugangsdaten für sich behalten, eine Weitergabe der Zugangscodes würde das System der Altersprüfung unterlaufen.

Fazit

Mit einem AVS können Anbieter von jugendgefährdenden Inhalten auch in Deutschland rechtssicher ihren Content anbieten. Sie müssen dabei aber die Anforderungen des JMStV im Auge behalten und auf Entwicklungen der Rechtslage jederzeit reagieren.

Durch die grundsätzliche Anerkennung der Webcam-Identifizierung hat die KJM einen richtigem Schritt im Sinne der Benutzerfreundlichkeit und damit der praktischen Durchsetzung von Altersverifikationssystemen getan.

Bei der Gestaltung von Altersverifikationsprozessen liegt der Teufel allerdings im Detail. Die Anforderungen der BaFin lassen sich auf die jugendschutzrechtliche Lage nicht 1:1 übertragen, weil dort auch Besonderheiten des Finanzsektors eine Rolle spielen. Es ist daher eine sorgfältige Prüfung im Einzelfall erforderlich.

Wir danken unserem wissenschaftlichen Mitarbeiter Philipp Sümmermann für die Mitarbeit an diesem Beitrag.

Print Friendly

Felix Hilgert

Felix Hilgert

Associate at Osborne Clarke
Felix Hilgert ist bei Osborne Clarke als Rechtsanwalt im IT-Team tätig und berät Unternehmen vom Start-Up bis zum Marktführer im IT- und E-Commerce-Recht, zu Softwareverträgen und allen Aspekten des Interactive Entertainment.

Füge einen Kommentar hinzu: