Letzte Woche hat die Kommission für Jugendmedienschutz bekannt gegeben, dass sie drei KI-Anwendungen zur Altersverifikation positiv bewertet hat, die ganz ohne Ausweiskontrolle die Volljährigkeit eines Nutzers anhand biometrischer Merkmale feststellen. Auf Twitter regte sich dann teils Unverständnis – automatische Gesichtserkennung vor jedem Website-Besuch? Was sagen da eigentlich die Datenschützer? Zeit also für eine Einordnung dieser Meldung.
Worüber hat die KJM entschieden?
Es ging primär um die Frage, ob ein System, welches das Alter eines Nutzers allein aufgrund abstrakter biometrischer Merkmale mit Hilfe einer KI (maschinelles Lernen) feststellt (ohne Überprüfung von Identitätsdokumenten oder Abgleich mit einer Datenbank), im rechtlichen Sinne „sicherstellt“, dass Minderjährige erkannt und ihnen der Zugriff auf Inhalte verweigert wird.
Nur wenn dies nämlich mit großer Sicherheit funktioniert, kann das System als „Altersverifikationssystem“ im Sinne des § 4 Abs. 2 S. 2 JMStV eingesetzt werden, um einen legalen Online-Zugang zu jugendgefährdenden Inhalten, wie indizierten Filmen und Spielen oder pornografischen Angeboten zu ermöglichen.
Die KJM ist nun der Auffassung, dass die von ihr (und vorher teilweise auch schon von Einrichtungen der freiwilligen Selbstkontrolle) überprüften Systeme das können – jedenfalls grundsätzlich. Einen kleinen „Sicherheitszuschlag“ verlangt die KJM durchaus – das System muss das Alter des Nutzers auf mindestens 23 Jahre einschätzen um den Zugriff zu gewähren, damit auch „älter aussehende“ Minderjährige nicht zu leicht durchrutschen können.
Diese amtliche Positivbewertung ist zwar keine rechtliche Voraussetzung für den Einsatz der Systeme und auch für Gerichte nicht verbindlich. Es erhöht aber natürlich die Rechtssicherheit für Anbieter, wenn die Aufsichtsbehörde selbst diese Einschätzung veröffentlicht.
Künftig ein Blick in die Kamera vor jedem USK 18 Spiel?
Die biometrische Altersprüfung wäre (erst recht) auch als „technisches Mittel“ im Sinne von § 5 Abs. 3 S. 1 Nr. 1 JMStV geeignet, mit der Anbieter ihre Pflicht erfüllen können, entwicklungsbeeinträchtigende Inhalte (dazu gehören insbesondere alle Spiele und Filme mit USK- bzw. FSK-Altersfreigaben) so anzubieten, dass sie von (jüngeren) Jugendlichen üblicherweise nicht wahrgenommen werden – hier ist schon nach der Formulierung des Gesetzes keine ebenso hohe Sicherheit erforderlich wie bei den jugendgefährdenden Inhalten.
Zwar ist es aus jugendschutzrechtlicher Sicht nicht erforderlich, hier solche komplexen Tools einzusetzen. Der rechtlichen Pflicht könnte etwa auch mit einer Kennzeichnung für ein Jugendschutzprogramm Genüge getan werden.
Allerdings könnte eine biometrische Alterserkennung für Anbieter andere Vorteile bieten, etwa um zu klären, ob eine Person bereits alt genug ist, datenschutzrechtliche Einwilligungen zu erteilen oder Verträge abzuschließen.
… und weitere rechtliche Fragen
Das Konzept der biometrischen Alterserkennung lässt sich ohne Abgleich mit (sonstigen) personenbezogenen Daten realisieren und ist daher im Ansatz datensparsamer als andere Altersverifikationssysteme. Name und Anschrift tun nichts zur Sache, nicht einmal die biometrischen Merkmale eines Nutzers müssen gespeichert werden um ihn wieder zu erkennen – es erfolgt einfach bei jedem Besuch ein neuer Scan, und die Ergebnisse könnten dann auch sofort wieder gelöscht werden. Allerdings werden die ANbieter vermutlich zumindest manche Daten zum weiteren Training der KI verwenden wollen. Und der Prüfvorgang bleibt eine datenschutzrechtlich relevante Verarbeitung personenbezogener Daten. Insofern müssen diese Prüftools datenschutzrechtlich sauber aufgesetzt und Nutzer transparent informiert werden. Dieser Aspekt gehört allerdings nicht in die Zuständigkeit der KJM oder der freiwilligen Selbstkontrollen.
Weiter mag man sich fragen, ob die Software nicht eventuell zu Unrecht Nutzer ausschließt, die zwar über 18 Jahre alt sind, aber eben noch nicht 23 (oder jedenfalls aus biometrischer Sicht (noch) nicht so aussehen. Und auch bei sichtbaren Fehlbildungen oder Verletzungen im Gesicht mag die KI an ihre Grenzen stoßen. Hier kann dann aber eine Ausweiskontrolle als Rückfallebene eingebaut werden. Solange der Sicherheitspuffer Stand der Technik und zur Erfüllung der Anforderungen der KJM erforderlich ist, dürfte das auch einen sachlichen Grund (und damit insbesondere keinen AGG-Verstoß) darstellen.
Fazit
Eine verlässliche Altersbestimmung anhand biometrischer Merkmale ohne Abgleich mit einer Identitätsdatenbank hat sowohl daten- wie jugendschutzrechtlich gewaltige Vorteile gegenüber traditionelleren Systemen: Sie ist ohne Zeitverzögerung und Medienbruch (wie PostIdent) und hohe Personalkosten (wie Live-Webcam-Checks) einsetzbar und grundsätzlich datenschutzfreundlich. Die Erkennungsleistung wird perspektivisch sicher noch genauer werden. Als schnelle und leicht umzusetzende Lösung, die Anbietern zudem auch noch in anderen Bereichen (etwa im Vertragsrecht) Rechtssicherheit bietet, hat sie auch die Chance, den Sprung von der bloß guten Idee zu einer tatsächlich in der Praxis umfassend eingesetzten Technologie zu werden.
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.