Hört man Ursula von der Leyen zu und blendet aus, wofür sie in den vergangenen Jahren gestanden ist, klingt es nach großer Fürsorge: „Soziale Medien sind kein Spielzeug”, warnte die EU-Kommissionspräsidentin am Montag in Brüssel. Anlass war die Übergabe eines Expertenberichts zum Kinderschutz im Netz. Sie nutzte die Bühne, um ihre Pläne für ein EU-weites Social-Media-Mindestalter zu skizzieren. Doch wer sich an Chat Control, an die digitale Brieftasche und an den Umgang der Kommission mit abweichenden Stimmen erinnert, hört bei denselben Sätzen etwas anderes heraus. Auf X wird immer wieder der Vergleich mit George Orwell 19xy gezogen, denn was als Schutz der Jüngsten verkauft wird, treibt Datenschützern und Bürgerrechtlern quer durch Europa die Sorgenfalten ins Gesicht.

„Nicht ob Kinder auf Social Media zugreifen – sondern ob Social Media auf unsere Kinder zugreift"

Den Bericht erstellt hat ein von der Kommission eingesetztes Sondergremium unter dem Vorsitz der französischen INSERM-Direktorin Maria Melchior und des Ulmer Kinder- und Jugendpsychiaters Jörg Fegert. Dessen zentrale Empfehlung: eine Zugangsbeschränkung zu sozialen Netzwerken für Kinder unter 13 Jahren. „Auf Grundlage der vorliegenden Daten empfehlen wir eine EU-weite Harmonisierung einer Altersbeschränkung für den Zugang zu Social Media+ unter 13 Jahren”, erklärte Fegert laut „Euronews”.

Von der Leyen gliederte ihren Auftritt in drei Punkte. Erstens die Sorgfaltspflicht der Plattformen, verankert im Digital Services Act (DSA): „Die Plattformen haben eine Fürsorgepflicht gegenüber ihren Nutzern, insbesondere gegenüber den schutzbedürftigsten unter ihnen.” Zweitens altersgerechte Beschränkungen – und hier fiel der Satz, den ihre Kritiker seither auseinandernehmen: „Hier geht es nicht darum, ob Kinder auf soziale Medien zugreifen können. Es geht darum, ob und wann soziale Medien auf unsere Kinder zugreifen können.”

Als Werkzeug der Durchsetzung pries sie die EU-eigene Alterskontroll-App an: „einfach zu bedienen, datenschutzwahrend und Open Source”, sie lege „die Macht zurück in die Hände der Eltern”.

Drittens plädierte von der Leyen für ein gesetzlich festgelegtes „Social-Media-Startdatum” – und griff zu jenen Alltagsvergleichen, die den Ausschnitt ihrer Rede in sozialen Netzwerken viral gehen ließen: „Genauso wie wir unseren Kindern nicht die Autoschlüssel geben, bevor sie den Führerschein haben, oder ihnen erlauben, Alkohol zu kaufen, bevor sie es dürfen, müssen wir das Alter festlegen, ab dem Kinder legal auf soziale Medien zugreifen können.” Sie räumte selbst ein, das werde „nicht narrensicher” sein – Wandel brauche eben Zeit, so wie es Zeit gebraucht habe, das Alkohol am Steuer zu verbieten oder den Sicherheitsgurt durchzusetzen.

Lädt...

Von der Leyens Vergleiche – und was Kritiker daran zerreißen

Genau an diesen Vergleichen entzündet sich der Widerspruch. Hinter der elterlichen Rhetorik steckt eine technische Infrastruktur, die weit über Kinder hinausreicht. Denn eine Altersprüfung trifft am Ende jeden Nutzer, nicht nur Minderjährige. Und die Kritik kommt nicht bloß aus Aktivistenkreisen, sondern von Sicherheitsforschern und Bürgerrechtsorganisationen.

Am schwersten wiegt der Befund, dass die von der Leyen als „fertig” und „datenschutzwahrend” gepriesene App genau das nicht hält. Wie das Fachportal „TechPolicy.Press” berichtet, hackte der Sicherheitsberater Paul Moore die Anwendung in einem Video binnen zwei Minuten; per VPN lässt sich der Standort ohnehin verschleiern. Dibran Mulder, Technikchef der Caesar Groep, legte in einer Strukturanalyse nach: Pass-Prüfung und Gesichtsabgleich laufen komplett auf dem Gerät des Nutzers, die ausstellende Behörde akzeptiere das Ergebnis einfach. Ein „Trust-Boundary”-Problem, das die App laut Mulder „trivial umgehbar” macht.

Lesen Sie auch

Gehackt Und Unerwuenscht Kaum Ein Eu Land Will Bruessels Alterscheck App

Auch die Datenschutz-Erzählung bekommt Risse. Das deutsche Portal „netzpolitik.org” hält fest, dass die App entgegen der Darstellung technisch noch nicht fertig ist und nicht auf „jedem” Gerät läuft. Und während von der Leyen sie „komplett anonym” nennt, stehe in den App-Spezifikationen etwas anderes: Es würden „Domain-spezifische Kennungen oder Pseudonyme” verwendet.

Bürgerrechtlerin Eva Simon von der Civil Liberties Union for Europe verweist auf einen Widerspruch im System selbst: Die EU wolle Big Tech an die Kandare nehmen – und baue zugleich Systeme, die von genau diesen Konzernen abhängen. Über die Betriebssysteme werde etwa Google zum unverzichtbaren Türsteher, so Simon gegenüber „TechPolicy.Press”. Ihr Kernvorwurf: „Das Kernproblem ist nicht, wie alt ein Kind ist, sondern wie Social Media funktioniert” – gemeint sind Algorithmen, Profiling und ein auf maximale Verweildauer getrimmtes Geschäftsmodell.

Und schließlich das Überwachungs-Paradox, auf das das Bloomsbury Intelligence and Security Institute (BISI) hinweist: Datenschutzwahrende Systeme könnten trotzdem intrusiv werden, wenn Nutzer ständig Attribute nachweisen müssten. So drohe ausgerechnet die zum Schutz der Privatsphäre eingeführte Maßnahme, Verifikations-Checkpoints über das gesamte Netz auszubreiten und Anonymität unpraktikabel zu machen. Der Übergang zur geplanten EU-Digitalbrieftasche (EUDI-Wallet) ist da fließend – Digital-Rights-Organisationen warnen bereits vor „over-asking”, also übermäßigen oder gar illegalen Datenabfragen.

„Ein Stiefel, der für immer auf ein Gesicht tritt": Der Insider, der Orwell zitiert

Am schärfsten fällt die Kritik von Paul Walsh aus. Der Ire kommt aus der Branche selbst: CEO des Sicherheitsunternehmens MetaCert, Mitglied jenes AOL-Teams, das 1996 den Instant Messenger AIM auf den Weg brachte, Co-Erfinder von Content-Labels wie dem einstigen „Twitter Verified” – und nach eigenen Angaben Berater mehrerer Regierungen in Fragen von Kinderschutz und Ausbeutung. MetaCert klassifizierte einst die weltgrößte Datenbank pornografischer Websites.

In einem viel geteilten Posting geht Walsh von der Leyens Rede Satz für Satz auf den Grund. Ihre Kernthese über den Zugriff auf „unsere Kinder” sei ein PR-Slogan „direkt aus 1984″, schreibt er. Es gehe in Wahrheit nicht um Kinder, sondern um Überwachung. Die Behauptung, man gebe „die Macht zurück in die Hände der Eltern”, drehe die Realität um: Der Staat entziehe mündigen Eltern ihre Autorität, die sehr wohl wüssten, wie man Jugendschutz-Einstellungen bedient.

Lädt...

Auch den Vergleich mit dem Führerschein lässt Walsh nicht gelten. Nicht der Staat entscheide, wann ein Jugendlicher reif für den Autoschlüssel sei, sondern die Eltern. Jeden Erwachsenen und jedes Kind an einen „biometrischen Checkpoint” zu zwingen, nur um eine App zu nutzen, sei nicht mit dem Führerschein vergleichbar. Es sei eher, als beschlagnahme der Staat allen die Schlüssel und zwinge jeden Fahrer, einen privaten Konzern um Erlaubnis zu bitten. Und wer eine Fahrprüfung bestanden habe, müsse sich schließlich auch nicht per App ständig neu für fahrtauglich erklären.

Sein technischer Einwand deckt sich mit dem der Sicherheitsforscher. „Datenschutzwahrende” Alterskontrolle sei ein Widerspruch in sich, weil sich ein Alter nicht ohne Identität verifizieren lasse. In einem Fachbeitrag warnt Walsh zudem grundsätzlich, viele der vorgeschlagenen Lösungen unterstellten, das Internet sei ein geschlossenes System, das sich über ein paar Kontrollpunkte steuern lasse. Das sei es nicht. Es gebe zig Millionen Porno-Seiten, ständig kämen neue hinzu, viele außerhalb der Reichweite jener Behörden, die sie regulieren wollten.

Sein bittersten Fazit spart sich Walsh für den Schluss auf – und überlässt es George Orwell. Das von der Leyens „nicht narrensicher” sei in Wahrheit das eigentliche Eingeständnis: Die Politik wisse, dass ein Social-Media-Bann Jugendliche nicht schütze. Wenn dennoch eine „kugelsichere” Lösung versprochen werde, könne das nur eines bedeuten – die Beschränkung von VPNs für alle, die ihre Identität nicht preisgeben. Wohin das führe? Walsh zitiert „1984″: „Wenn du ein Bild der Zukunft willst, stell dir einen Stiefel vor, der auf ein menschliches Gesicht tritt – für immer.”

Kritik nicht nur an der Idee, sondern an der Umsetzung

Nicht jede Kritik zielt dabei auf ein grundsätzliches Aus für Alterskontrollen. Manche Stimmen richten sich allein gegen die konkrete EU-Umsetzung. Ein technischer Fachblog fasst das Grunddilemma nüchtern zusammen: Entweder erfahre die Website, wer man ist, oder der Identitäts-Anbieter erfahre, wo man surft. Beides sei problematisch.

Rückenwind für ihr Vorhaben holt sich von der Leyen unterdessen aus einer am selben Tag veröffentlichten Eurobarometer-Umfrage. Demnach befürworten fast zwei von drei Europäern (63 Prozent) EU-Regeln, die den Social-Media-Zugang von Kindern je nach Alter beschränken. Der Vorschlag der Kommission wird nach dem Sommer erwartet. Dann beginnt das eigentliche Ringen – zwischen Kinderschutz und der Frage, ob am Ende jeder Erwachsene seinen Ausweis vorzeigen muss, um online zu lesen und zu schreiben.