EUDI-Wallet: Der Ausweis fürs Internet kommt

Altersverifikation im Netz klingt nach vernünftigem Kinderschutz - bis man genauer hinschaut, wer die Gesetze schreibt, wem sie nützen, und warum ein Linux-Betriebssystem aus Kalifornien verbannt werden könnte, weil es keine Konten hat. Rund um den Globus entsteht gerade eine Infrastruktur, die heute das Alter prüft und morgen jeden Internet-Zugang hinter einem staatlichen Ausweis verstecken kann.

Der politische Sprint: SPD, CDU und die EUDI-Wallet

Mitte Februar 2026 veröffentlichte die SPD-Bundestagsfraktion ihr Impulspapier Sichere Soziale Medien. Das Modell ist dreistufig: Für Kinder unter 14 Jahren ein vollständiges Social-Media-Verbot, für 14- bis 16-Jährige eine verpflichtende „Jugendversion" ohne endloses Scrollen, Autoplay und algorithmische Empfehlungen, und für alle ab 16 Jahren sollen Algorithmen per Default abgeschaltet sein. Das klingt zunächst sympathisch.

Dann kommt der Haken: Die Verifikation soll laut SPD über die EUDI-Wallet erfolgen -die europäische digitale Brieftasche, in der künftig Personalausweis, Führerschein und weitere Identitätsdokumente gespeichert werden sollen. Nicht nur für Kinder, sondern laut SPD-Papier auch für alle Erwachsenen ab 16 Jahren wäre eine anonymisierte Altersgruppenverifikation per EUDI-Wallet Pflichtvoraussetzung für die Social-Media-Nutzung. Die Standardeinstellung lautet also: gesperrt, bis der Nachweis erbracht wurde.

Die CDU zog auf ihrem Parteitag Ende Februar nach und beschloss eine gesetzliche Altersgrenze von 14 Jahren für Social-Media-Plattformen. Friedrich Merz unterstützte das öffentlich, Vizekanzler Lars Klingbeil betonte die Analogie zum Alkoholverbot für Jugendliche, und Bundesjustizministerin Stefanie Hubig verteidigte das Impulspapier gegen Kritik. Innerhalb der Koalition herrscht damit ein ungewöhnlicher Konsens. Bundesfamilienministerin Karin Prien (CDU) hat eine Expertenkommission eingesetzt, die bis zum Sommer 2026 Empfehlungen erarbeiten soll - aber sowohl sie selbst als auch der Kanzler und weitere Kabinettsmitglieder haben sich längst positioniert, bevor die Kommission überhaupt berichten konnte.

Korrelation ist keine Kausalität - die Wissenschaft ist da eindeutig

Bundesfamilienministerin Prien erklärte vor dem Bundestag, es sei „wissenschaftlicher Konsens", dass übermäßige Bildschirmzeit bei Kindern „zum Teil dramatische negative Auswirkungen" auf die neurologische Entwicklung habe. Netzpolitik.org hat die Rede Punkt für Punkt analysiert und kommt zu einem klaren Schluss: Dieser Konsens existiert in der Wissenschaft nicht in der behaupteten Form.

Was die Metastudien tatsächlich zeigen - etwa eine Analyse in der Fachzeitschrift JAMA Psychiatry von 2022, die 87 Studien mit rund 160.000 Probanden auswertete –, ist eine Korrelation: Kinder mit hohem Bildschirmkonsum zeigen häufiger Verhaltensprobleme wie Angst oder ADHS. Eine Kausalität - also ob der Bildschirm die Ursache ist oder ob ängstliche Kinder sich häufiger mit dem Bildschirm ablenken - lässt sich daraus nicht ableiten. Das ist ein fundamentaler wissenschaftlicher Unterschied.

Das stärkste Gegenargument lautet: Beim Vorsorgeprinzip warte man auch bei Medikamenten nicht auf perfekte Kausalbeweise. Das ist nicht dumm. Aber hier liegt ein entscheidender Unterschied: Wenn ein Medikament vom Markt genommen wird, entsteht keine Überwachungsinfrastruktur, die nachher für völlig andere Zwecke benutzt werden kann.

Metas Lobbying-Maschine: 26 Millionen Dollar und eine Fake-Graswurzelbewegung

Um zu verstehen, warum über 20 Länder nahezu identische Gesetze zum selben Zeitpunkt vorschlagen, lohnt ein Blick in die USA. Apple führte 2021 App Tracking Transparency ein - ein simpler Dialog, ob eine App den Nutzer plattformübergreifend tracken darf. Meta verlor dadurch nach eigenen Angaben allein 2022 rund 10 Milliarden Dollar an Werbeeinnahmen.

Die Antwort von Meta war Lobbying in historischer Größenordnung. Laut einer detaillierten OSINT-Recherche, die öffentliche Registrierungsunterlagen, IRS-Steuerdaten, Senate-LD-2-Filings und Wahlkampffinanzierungsunterlagen aus mehreren Bundesstaaten auswertet, gab Meta 2025 Rekordausgaben von über 26,3 Millionen Dollar für Lobbying auf US-Bundesebene aus - mehr als Lockheed Martin, mehr als Boeing, mehr als Apple und Microsoft zusammen.

Der prominenteste Gesetzentwurf, den Meta in rund 20 US-Bundesstaaten vorangetrieben hat, nennt sich App Store Accountability Act (ASAA). Er besagt: Nicht die Social-Media-Plattform soll das Alter der Nutzer prüfen, sondern der App-Store selbst. Apple und Google übernehmen die Verifikation beim Account-Setup und liefern dann ein Alters-Signal an alle Apps weiter. Das klingt praktisch - bis man die eingebaute Safe-Harbor-Klausel betrachtet: App-Entwickler, die sich in gutem Glauben auf dieses Signal verlassen, sind rechtlich nicht haftbar. Metas wissentliche Kenntnis über das Alter eigener User wird damit juristisch neutralisiert. Das gesamte Haftungsrisiko wandert zu Apple und Google.

Astroturfing auf Kindergarten-Niveau: Die Digital Childhood Alliance

Meta finanziert dabei nicht nur offene Lobbykampagnen. Verdeckt wurde eine Organisation namens Digital Childhood Alliance (DCA) aufgebaut. Die DCA tritt auf wie eine besorgte Bürgerinitiative für Kindersicherheit - mit professioneller Website, Statistiken, Testimonials und einem Netzwerk von über 100 angeblichen Partnerorganisationen. In der Realität: Die Domain wurde registriert, und keine 24 Stunden später war die fertige Website live. 77 Tage nach der Domain-Registrierung wurde das erste Gesetz unterzeichnet, das auf den Talking Points der DCA basierte. Schaut man heute auf die Webseite, so ist diese verschwunden. Man findet nurnoch Überreste in Google-Suchergebnissen.

Bloomberg berichtete, dass Meta die DCA mitfinanziert. Bemerkenswert: Die DCA greift in ihrer öffentlichen Kommunikation ausschließlich Apple und Google an. Meta wird nie erwähnt. Das nennt man Astroturfing - eine fingierte Graswurzelbewegung, finanziert von dem Konzern, der am meisten davon profitiert.

Google antwortete öffentlich und erklärte, dass diese Gesetze darauf abzielten, Verantwortung von den Plattformen auf die App-Stores zu verlagern, und dass Altersinformationen an Millionen von Entwicklern verteilt würden - auch an solche, die sie eigentlich nicht brauchen, mit allen Missbrauchsrisiken.

Australien: Das globale Testlabor - und was die Ergebnisse zeigen

Australien hat am 10. Dezember 2025 das weltweit erste vollständige Social-Media-Verbot für unter 16-Jährige in Kraft gesetzt. Facebook, Instagram, TikTok, Snapchat, Reddit, X, YouTube, Threads, Twitch und Kick - alles gesperrt. Plattformen, die keine angemessenen Alterskontrollen einführen, drohen Strafen von bis zu 49,5 Millionen australischen Dollar.

Drei Monate später sieht die Realität nüchterner aus. Laut einem Bericht des Analyseunternehmens Qustodio, veröffentlicht von Reuters, nutzen nach wie vor rund 20 Prozent der australischen Teenager TikTok und Snapchat aktiv. Am Tag des Inkrafttretens meldete der VPN-Anbieter Windscribe allein einen Anstieg der Neuinstallationen in Australien um 400 Prozent. Google Trends zeigte, dass australische Suchanfragen nach VPNs in der Vorwoche auf dem höchsten Stand seit zehn Jahren lagen.

Zwei 15-jährige Teenager haben mit Unterstützung des Digital Freedom Project eine Klage vor dem australischen High Court eingereicht. Sie argumentieren, das pauschale Verbot verletze ihre verfassungsmäßig implizierte Freiheit der politischen Kommunikation. Reddit klagte separat zwei Tage nach Inkrafttreten.

Die logische Konsequenz von VPN-Nutzung als Umgehungsstrategie: In Deutschland hat die SPD bereits angedeutet, man müsste VPNs einschränken oder regulieren, wenn Jugendliche das Verbot damit umgehen. VPNs einzuschränken ist ungefähr das, was China, Russland und Nordkorea machen - und sie sind gleichzeitig essenzielle Infrastruktur für Homeoffice, Unternehmensnetze und sichere Remote-Zugänge.

Discord, Persona und der Datenschutz-Alptraum

Discord kündigte Anfang Februar 2026 an, ab März eine verpflichtende Altersverifikation einzuführen - mit Gesichtsscans oder Ausweis-Uploads über den Drittanbieter Persona. Die Reaktion der Community war massiv: Nitro-Kündigungen, Account-Löschungen, und TeamSpeak meldete, dass deren US-Hosting-Kapazitäten an die Grenzen stießen, so viele Nutzer wechselten.

Sicherheitsforscher stellten fest, dass Persona weit über reine Altersschätzung hinausging: Abgleiche mit Regierungswatchlists, 269 verschiedene Verifikationschecks, Speicherung biometrischer Scans, IP-Adressen und Gerätefingerabdrücke für bis zu drei Jahre. Das alles, nachdem im Oktober 2025 bei einem Dienstleister von Discord rund 70.000 Ausweisdokumente, Selfies und IP-Adressen von Nutzern offengelegt worden waren, die über das alte Supportticket-System zur Altersverifikation eingereicht worden waren. Persona ist übrigens finanziert vom Founders Fund - dem Investor von Peter Thiel, Mitgründer von Palantir Technologies.

Am 25. Februar 2026 verkündete Discord-CTO Stanislav Vishnevskiy in einem Blogpost, dass der globale Rollout auf die zweite Hälfte 2026 verschoben wird und Persona als Partner nicht mehr eingesetzt wird. Discord habe „missed the mark" und hätte von Anfang an mehr Transparenz über Vorgehen und Absichten liefern sollen. Die Community-Gegenwehr hat damit - zumindest vorerst - funktioniert.

California AB 1043: Das Gesetz, das Linux illegal machen könnte

Damit kommen wir zum technischen Kernpunkt, der in der öffentlichen Debatte fast vollständig untergeht. Kalifornien hat mit dem Digital Age Assurance Act (AB 1043), unterzeichnet von Gouverneur Newsom im Oktober 2025 und in Kraft ab dem 1. Januar 2027, eine Regelung verabschiedet, die das Internet fundamental verändern könnte.

Das Gesetz besagt: Jeder Anbieter eines Betriebssystems muss beim Account-Setup das Alter des Nutzers erfassen und dieses über eine Echtzeit-API an alle installierten Apps weiterleiten. Nutzer werden dabei in vier Altersgruppen kategorisiert:

Für Apple, Google und Microsoft: kein Problem. Die haben geschlossene Account-Systeme mit Nutzerregistrierung und die Ingenieurkapazität, eine solche API in einem Sprint zu bauen. Für eine Linux-Distribution hingegen ist das schlicht unvorstellbar.

Open Source und die Compliance-Katastrophe

Arch Linux, Debian, Gentoo, Fedora - diese Distributionen werden von Freiwilligen in ihrer Freizeit entwickelt. Es gibt keinen zentralen Server, keine Nutzerregistrierung, kein Account-System, keine Monetarisierung und keinen Rechtsbeistand. Das ist die Idee hinter Open Source. Die sollen jetzt eine rechtssichere, datenschutzkonforme Infrastruktur aufbauen, die beim Setup das Alter erfasst und per Echtzeit-API an alle Apps ausliefert?

Canonical hat bestätigt, das Gesetz intern mit Rechtsberatern zu prüfen, aber noch keine konkreten Pläne. Jef Spaleta, Projektleiter von Fedora, schlug in der Fedora-Community-Diskussion vor, es könne so einfach sein wie eine neue Datei in /etc/, die das Alter speichert.

Das zeigt, wie absurd die Grundprämisse ist: Das Gesetz erlaubt selbstdeklarierte Altersangaben ohne Verifikationspflicht. Jeder Linux-Nutzer wird beim ersten Mal 1970-01-01 eingeben - das Unix-Epoch-Datum. Willkommen im Club der 55-Jährigen.

Die Strafen sind dennoch ernst zu nehmen: bis zu 2.500 Dollar pro betrofftem minderjährigen Nutzer für fahrlässige Verstöße, bis zu 7.500 Dollar pro Fall bei vorsätzlichen Verstößen, vollstreckbar durch den California Attorney General.

MidnightBSD, ein FreeBSD-abgeleitetes Open-Source-Betriebssystem, hat die pragmatischste Antwort gewählt: Die Lizenz wurde geändert, um Nutzern aus Kalifornien die Desktop-Nutzung ab dem 1. Januar 2027 zu verbieten. Inzwischen umfasst die Sperrliste auch Brasilien (seit dem 17. März 2026) und perspektivisch Colorado, Illinois und New York, sofern die dort vorliegenden Gesetzentwürfe verabschiedet werden.

Das ist gleichzeitig eine juristische Kuriosität, denn wie Shujisado.org analysiert: Die Open Source Definition der OSI schließt in Klausel 5 und 6 jede Diskriminierung nach Personen oder geografischen Gruppen aus. Ein Projekt, das Einwohner Kaliforniens ausschließt, erfüllt damit formal nicht mehr die Kriterien für Open-Source-Software.

Andere Community-Vorschläge aus der Ubuntu- und Fedora-Diskussion zeigen das Dilemma in seiner vollen Breite:

• /etc/age-declaration-Textdatei - Kann von jedem Nutzer mit sudo in zwei Sekunden editiert werden.
• D-Bus-Service org.freedesktop.AgeVerification1 - Vorgeschlagen von Ubuntu-Entwickler Aaron Rainbolt: ein optionales Interface, das Distributionen nach eigenem Ermessen implementieren können. Canonical hat dazu noch keine Entscheidung getroffen.
• Geoblocking für kalifornische IPs - Einfach keinen Bock auf das Gesetz, aber keine inhaltliche Lösung.

Nichts davon löst das eigentliche Problem. Aber alles davon zeigt, dass Gesetzgeber keine Ahnung haben, wie dezentrale Technologie funktioniert.

Die EUDI-Wallet: Vom Kinderschutz zur Pflicht-Legitimation

Parallel dazu baut die EU ihre eigene Infrastruktur. Die überarbeitete eIDAS-2.0-Verordnung verpflichtet alle EU-Mitgliedstaaten, ihren Bürgern bis Ende 2026 eine zertifizierte digitale Brieftasche zur Verfügung zu stellen. Die EU-Kommission hat einen „Age Verification Blueprint" entwickelt, der aktuell in Frankreich, Griechenland, Italien, Spanien und Dänemark pilotiert wird.

Die technologische Grundlage klingt zunächst vielversprechend: Zero-Knowledge-Proofs sollen es ermöglichen, ausschließlich zu bestätigen, ob jemand über 18 ist, ohne Name oder Geburtsdatum preiszugeben. Das ist kryptographisch elegant und aus Datenschutzsicht tatsächlich besser als ein Ausweis-Upload. Das Problem ist aber nicht die Kryptografie - das Problem ist die Infrastruktur.

Sobald eine staatlich ausgegebene digitale Brieftasche das verpflichtende Instrument für alltägliche Internetnutzung wird, entsteht eine Architektur, die technisch alles kann. Das System ist auf alle denkbaren Attribute erweiterbar: Altersgruppe, Wohnort, Beruf, politische Zugehörigkeit - was auch immer der Gesetzgeber künftig für relevant hält. Der CCC warnt bereits, dass eine zentrale Freigabeinstanz für Internetnutzung der dezentralen Architektur des Netzes widerspricht und im schlimmsten Fall staatliche Internet-Shutdowns technisch ermöglicht.

Der Schritt von einer freiwilligen Wallet hin zu einem Internet, das nur noch gegen Vorlage einer staatlichen Legitimation betreten werden kann, ist dabei kleiner als gedacht. Heute für Kinder, morgen für Pornografie (wie bereits in UK), übermorgen für das gesamte Internet. Die Infrastruktur, die gerade aufgebaut wird, ist nicht für Kinderschutz gebaut - sie ist erweiterbar. Und wenn sie einmal steht, wird sie auch erweitert werden.

Das einzige historische Experiment in diese Richtung, das echte Daten liefert, ist das Südkoreanische: Von 2007 bis 2012 galt im südkoreanischen Internet eine Klarnamenpflicht. Das Ergebnis war, dass die Zahl der Beleidigungen kaum zurückging, die Identitätsdatenbanken aber gehackt wurden und Millionen echter Namen und Adressen im Netz lagen. Südkorea beendete das Experiment.

Was wirklich helfen würde: Der DSA liegt bereits auf dem Tisch

Wenn man nach dem tatsächlichen Problem sucht, das laut Studien und Experten nachweislich schadet, landet man immer wieder am selben Punkt: Infinite Scroll, Autoplay und algorithmisch personalisierte Feeds, die auf maximales Engagement optimiert sind und dadurch suchtfördernd wirken. Diese Mechanismen werden in US-Gerichtsverfahren zunehmend als suchtbildend auch für Kinder angegriffen. New York arbeitet gerade an konkreten Regeln, wie Plattformen diese Mechaniken bei Minderjährigen begrenzen müssen.

Das Absurde: Das entsprechende Gesetz existiert bereits. Der Digital Services Act (DSA) ist seit 2024 in Kraft. Er greift genau auf das Problem zu - nicht den Zugang, sondern den Algorithmus. Er verpflichtet sehr große Online-Plattformen, nicht-profilbasierte Empfehlungen anzubieten. Aber er wird nicht durchgesetzt. Warum? Weil Algorithmen das Geschäftsmodell sind. Meta wird niemals freiwillig den Algorithmus reformieren, der das Unternehmen profitabel macht. Stattdessen investiert Meta lieber einen dreistelligen Millionenbetrag in Lobbying für eine Alterskontrolle an der Eingangstür, die Meta selbst nicht betrifft.

Die Politik bekommt ihren Symbolsieg. Meta behält sein Geschäftsmodell. Apple und Google übernehmen die Haftung. Und alle bekommen eine neue Identitätsstruktur, die erstmal nur das Alter prüft.

Wer dabei wirklich auf der Strecke bleibt

Zwei konkrete Gruppen werden von dieser Debatte fast vollständig ignoriert. Erstens: Menschen mit Einschränkungen. Digitale Räume sind für viele autistische Menschen, für Menschen mit Mobilitätseinschränkungen oder sozialen Angststörungen keine nette Ergänzung zum analogen Leben - sie sind oft der einzige Ort, an dem soziale Interaktion ohne vollständige Erschöpfung funktioniert. Australische Behindertenverbände wie Advocacy for Inclusion warnen bereits, dass pauschale Social-Media-Verbote Jugendliche mit Einschränkungen isolieren. Für LGBTQ+-Jugendliche in konservativen Umfeldern sind Online-Communities manchmal der einzige sichere Raum - der fällt dann weg.

Zweitens: Junge Menschen, die das Netz als Bildungsraum nutzen. Programmieren lernen über YouTube-Tutorials, Cybersecurity über Plattformen wie Hack The Box, kreatives Schreiben über Online-Communities - das wären unter den geplanten Verboten alles verbotene Zonen für unter 14-Jährige.

Und dann ist da noch eine Studie von Grinberg und Tucker von der Princeton University, die zeigt: Erwachsene über 65 teilen fast siebenmal so viele Fake-News-Artikel wie die jüngste Altersgruppe. Die werden nicht reguliert.

Fazit

Altersverifikation als Kinderschutz-Maßnahme ist in der Praxis ein gescheitertes Experiment, ein Lobbying-Erfolg für Meta und der erste Baustein einer Infrastruktur, die weit über Kinderschutz hinausreichen kann. Der Digital Services Act liegt bereits als wirksames Werkzeug auf dem Tisch, wird aber nicht durchgesetzt, weil er die Algorithmen selbst treffen würde - das eigentliche Problem. Der CCC und Digitalcourage arbeiten an Stellungnahmen zur EUDI-Wallet und zur Altersverifikation, und der Widerstand - wie bei Discord gezeigt - kann funktionieren, wenn er sichtbar ist.