jugendgefährdend – Online.Spiele.Recht

Die KJM und die KI: Künstliche Intelligenz und Biometrie im Jugendschutz

Felix Hilgert — Mon, 06 Jun 2022 06:52:00 +0000

Letzte Woche hat die Kommission für Jugendmedienschutz bekannt gegeben, dass sie drei KI-Anwendungen zur Altersverifikation positiv bewertet hat, die ganz ohne Ausweiskontrolle die Volljährigkeit eines Nutzers anhand biometrischer Merkmale feststellen. Auf Twitter regte sich dann teils Unverständnis – automatische Gesichtserkennung vor jedem Website-Besuch? Was sagen da eigentlich die Datenschützer? Zeit also für eine Einordnung dieser Meldung.

Worüber hat die KJM entschieden?

Es ging primär um die Frage, ob ein System, welches das Alter eines Nutzers allein aufgrund abstrakter biometrischer Merkmale mit Hilfe einer KI (maschinelles Lernen) feststellt (ohne Überprüfung von Identitätsdokumenten oder Abgleich mit einer Datenbank), im rechtlichen Sinne „sicherstellt“, dass Minderjährige erkannt und ihnen der Zugriff auf Inhalte verweigert wird.

Nur wenn dies nämlich mit großer Sicherheit funktioniert, kann das System als „Altersverifikationssystem“ im Sinne des § 4 Abs. 2 S. 2 JMStV eingesetzt werden, um einen legalen Online-Zugang zu jugendgefährdenden Inhalten, wie indizierten Filmen und Spielen oder pornografischen Angeboten zu ermöglichen.

Die KJM ist nun der Auffassung, dass die von ihr (und vorher teilweise auch schon von Einrichtungen der freiwilligen Selbstkontrolle) überprüften Systeme das können – jedenfalls grundsätzlich. Einen kleinen „Sicherheitszuschlag“ verlangt die KJM durchaus – das System muss das Alter des Nutzers auf mindestens 23 Jahre einschätzen um den Zugriff zu gewähren, damit auch „älter aussehende“ Minderjährige nicht zu leicht durchrutschen können.

Diese amtliche Positivbewertung ist zwar keine rechtliche Voraussetzung für den Einsatz der Systeme und auch für Gerichte nicht verbindlich. Es erhöht aber natürlich die Rechtssicherheit für Anbieter, wenn die Aufsichtsbehörde selbst diese Einschätzung veröffentlicht.

Künftig ein Blick in die Kamera vor jedem USK 18 Spiel?

Die biometrische Altersprüfung wäre (erst recht) auch als „technisches Mittel“ im Sinne von § 5 Abs. 3 S. 1 Nr. 1 JMStV geeignet, mit der Anbieter ihre Pflicht erfüllen können, entwicklungsbeeinträchtigende Inhalte (dazu gehören insbesondere alle Spiele und Filme mit USK- bzw. FSK-Altersfreigaben) so anzubieten, dass sie von (jüngeren) Jugendlichen üblicherweise nicht wahrgenommen werden – hier ist schon nach der Formulierung des Gesetzes keine ebenso hohe Sicherheit erforderlich wie bei den jugendgefährdenden Inhalten.

Zwar ist es aus jugendschutzrechtlicher Sicht nicht erforderlich, hier solche komplexen Tools einzusetzen. Der rechtlichen Pflicht könnte etwa auch mit einer Kennzeichnung für ein Jugendschutzprogramm Genüge getan werden.

Allerdings könnte eine biometrische Alterserkennung für Anbieter andere Vorteile bieten, etwa um zu klären, ob eine Person bereits alt genug ist, datenschutzrechtliche Einwilligungen zu erteilen oder Verträge abzuschließen.

… und weitere rechtliche Fragen

Das Konzept der biometrischen Alterserkennung lässt sich ohne Abgleich mit (sonstigen) personenbezogenen Daten realisieren und ist daher im Ansatz datensparsamer als andere Altersverifikationssysteme. Name und Anschrift tun nichts zur Sache, nicht einmal die biometrischen Merkmale eines Nutzers müssen gespeichert werden um ihn wieder zu erkennen – es erfolgt einfach bei jedem Besuch ein neuer Scan, und die Ergebnisse könnten dann auch sofort wieder gelöscht werden. Allerdings werden die ANbieter vermutlich zumindest manche Daten zum weiteren Training der KI verwenden wollen. Und der Prüfvorgang bleibt eine datenschutzrechtlich relevante Verarbeitung personenbezogener Daten. Insofern müssen diese Prüftools datenschutzrechtlich sauber aufgesetzt und Nutzer transparent informiert werden. Dieser Aspekt gehört allerdings nicht in die Zuständigkeit der KJM oder der freiwilligen Selbstkontrollen.

Weiter mag man sich fragen, ob die Software nicht eventuell zu Unrecht Nutzer ausschließt, die zwar über 18 Jahre alt sind, aber eben noch nicht 23 (oder jedenfalls aus biometrischer Sicht (noch) nicht so aussehen. Und auch bei sichtbaren Fehlbildungen oder Verletzungen im Gesicht mag die KI an ihre Grenzen stoßen. Hier kann dann aber eine Ausweiskontrolle als Rückfallebene eingebaut werden. Solange der Sicherheitspuffer Stand der Technik und zur Erfüllung der Anforderungen der KJM erforderlich ist, dürfte das auch einen sachlichen Grund (und damit insbesondere keinen AGG-Verstoß) darstellen.

Fazit

Eine verlässliche Altersbestimmung anhand biometrischer Merkmale ohne Abgleich mit einer Identitätsdatenbank hat sowohl daten- wie jugendschutzrechtlich gewaltige Vorteile gegenüber traditionelleren Systemen: Sie ist ohne Zeitverzögerung und Medienbruch (wie PostIdent) und hohe Personalkosten (wie Live-Webcam-Checks) einsetzbar und grundsätzlich datenschutzfreundlich. Die Erkennungsleistung wird perspektivisch sicher noch genauer werden. Als schnelle und leicht umzusetzende Lösung, die Anbietern zudem auch noch in anderen Bereichen (etwa im Vertragsrecht) Rechtssicherheit bietet, hat sie auch die Chance, den Sprung von der bloß guten Idee zu einer tatsächlich in der Praxis umfassend eingesetzten Technologie zu werden.

Digitale Türsteher: KJM erlaubt Alterskontrollen per Webcam

Felix Hilgert — Mon, 12 Jan 2015 08:22:56 +0000

Pornografische, manche indizierte und schwer jugendgefährdende Inhalte: Sie alle müssen in Deutschland hinter digitalen Mauern verborgen bleiben. Anbieter von Inhalten nur für Erwachsene müssen mit einem Altersverifikationssystem (AVS) dafür sorgen, dass Kinder und Jugendliche geschützt bleiben. Bislang war der praktische Einsatz solcher Systeme aufgrund der hohen Anforderungen der Rechtsprechung und der Jugendschutzbehörden schwierig und für Nutzer wenig komfortabel. Das änderte sich erst in jüngerer Zeit, als AVS auf den Markt kamen, die in geschickter Weise bereits erfolgte Identifizierungsvorgänge (etwa für das Onlinebanking) verwerteten. Nun haben die Jugendschützer den konsequenten nächsten Schritt getan und akzeptieren – wie zuvor schon die Regulierungsbehörden für den Finanzsektor – seit Kurzem auch die Identifikation von Nutzern per Webcam.

Altersverifikationssysteme (AVS) haben bei Content-Anbietern einen schweren Stand. Viele Nutzer scheuen die aufwändige Registrierung und weichen auf ausländische Seiten aus oder brechen ihren Kauf ab. Anbieter von jugendgefährdenden (z.B. indizierten) Spielen und sonstigen Inhalten haben in Deutschland aber keine Wahl. Grundsätzlich sind solche Online-Angebote nämlich unzulässig. Ihre Seiten können sie nur betreiben, wenn gesichert ist, dass ausschließlich Erwachsene Zugriff haben.

Rechtssichere Lösungen für die „geschlossene Benutzergruppe“

Die Rechtsgrundlage dafür findet sich in § 4 Abs. 2 S. 2 JMStV. Danach dürfen jugendgefährdenden Telemedien nur für „geschlossene Benutzergruppen“ zugänglich sein. Wie eine solche „geschlossene Benutzergruppe“ aussehen soll, regelt der JMStV nicht. Hierzu hat zunächst nur die Rechtsprechung Kriterien entwickelt, die Anbieter grundsätzlich in eigener Verantwortung umzusetzen haben.

Der Zugriff auf „Inhalte für Erwachsene“ erfolgt in einem AVS in zwei Schritten. Zuerst müssen sich Nutzer für das Altersverifikationssystem registrieren und dabei ihr Alter nachweisen (Identifizierung). Im zweiten Schritt muss bei jeder Anmeldung sichergestellt sein, dass nur die registrierten Personen auch auf das Angebot zugreifen (Authentifizierung).

Anders als bei den Jugendschutzprogrammen gemäß § 11 JMStV sieht das Gesetz kein Verfahren zur offiziellen Anerkennung oder Freigabe von Altersverifikationssystemen vor. Um trotzdem eine gewisse Rechtssicherheit zu erreichen, bewertet die Kommission für Jugendmedienschutz (KJM) Altersverifikations-Konzepte anhand eines Kriterienkatalogs und spricht darauf gestützt „Positivbewertungen“ aus. Im September 2014 hat sie diese Kriterien aktualisiert. Sie gestattet Anbietern nun, die vorgeschalteten Altersprüfungen auch per Webcam vorzunehmen. Zuvor war dies noch ausdrücklich als unzureichend bezeichnet worden.

Was Content-Anbieter machen können, um „Adult Content“ rechtssicher anzubieten, wollen wir im Folgenden darstellen. Die von der KJM positiv bewerteten Konzepte richten sich alle nach diesen Kriterien.

Erste Hürde: Die Altersprüfung

Die Altersprüfung ist der erste und wichtigste Schritt eines AVS. Bevor es losgeht, müssen Nutzer sich identifizieren und nachweisen, dass sie volljährig sind. Die KJM verlangt, dass die Identifizierung „durch einen persönlichen Kontakt“ erfolgen muss. Die gängigste Methode der „face-to-face“-Kontrolle ist daher das Postident-Verfahren, bei dem in einer Postfiliale der Ausweis vorgelegt wird.

Häufig einfacher und ebenfalls möglich ist es, auf eine bereits erfolgte „face‐to‐face“‐Kontrolle zurückzugreifen. So findet verpflichtend bei jeder Kontoeröffnung eine Identitätsprüfung statt. Viele AV-Systeme verzichten daher auf einen eigenen Ausweisabgleich und nutzen Onlinebanking, Schufa-Daten oder das Jugendschutzmerkmal der GeldKarten. Aber auch die Anmeldung für De-Mail oder die eID‐Funktion des neuen Personalausweises entspricht den Vorgaben der KJM für eine jugendschutzkonforme Identifizierung.

Nicht ausreichend (und im übrigen datenschutzrechtlich unzulässig) ist es, einfach eine Ausweiskopie oder die Perso-Kennziffer von Nutzern zu verlangen. Für eine rechtssichere Identifizierung muss zwingend überprüft werden, ob der Ausweis auch dem Nutzer gehört. Eine persönliche Identifizierung mit Abgleich der Ausweisdaten ist daher Pflicht.

Wichtig: Ohne abgeschlossene Identifizierung dürfen Nutzer nicht auf jugendgefährdende Inhalte zugreifen. Auch Demozugänge, Testversionen oder ähnliche Trials dürfen nicht frei verfügbar sein, wenn sie jugendgefährdende Elemente beinhalten.

Überprüfung nun auch per Webcam

Seit September 2014 ist es möglich, das Alter von Nutzern auch per Webcam zu überprüfen, eine „körperliche“ Anwesenheit ist für eine „face-to-face“-Kontrolle nicht mehr notwendig. Eine solche Videoüberprüfung war zuvor schon für Identifizierungen nach dem Geldwäschegesetz ermöglicht worden (s. BaFin-Rundschreiben 1/2014, Ziffer III). Daran kommt nun auch die KJM nicht mehr vorbei – es wäre auch sehr merkwürdig, wenn die für Zwecke der Bekämpfung von Geldwäsche und Terrorismusfinanzierung erforderliche Identifikationsstandard im Jugendschutzrecht nicht ausreichend sein sollte…

Die Voraussetzungen für eine Webcam-Überprüfung ergeben sich auch dem BaFin-Rundschreiben – erforderlich ist demnach unter Anderem eine dokumentierte Interaktion mit der zu identifizierenden Person, um das Risiko von Manipulationen zu verringern. So muss etwa der Ton des Gespräches aufgezeichnet werden. Der verwendete Ausweis muss über optische Sicherheitsmerkmale (Hologramme) verfügen. Diese müssen überprüft werden, indem der Nutzer den Ausweis vor der Webcam nach Anweisung horizontal bzw. vertikal kippt. Es muss außerdem überprüft werden, ob das Ausweisdokument unversehrt laminiert ist und kein aufgeklebtes Bild enthält.

Wenn die Überprüfung nicht möglich ist, z.B. wegen einer schlechten Ton- oder Bildqualität, darf die Identifizierung nicht fortgeführt werden. Auch bei anderen Unstimmigkeiten oder Unsicherheiten muss die Webcam-Identifizierung abgebrochen werden. Der Nutzer kann sich dann weiterhin über eine der anderen Methoden identifizieren.

Drei Verfahren zur Altersprüfung per Webcam hat die KJM bereits positiv bewertet.

For your eyes only: Das Aushändigen der Zugangsschlüssel

Erst wenn die Altersprüfung abgeschlossen ist, darf der Nutzer die notwendigen Zugangsschlüssel erhalten. Dabei muss sichergestellt sein, dass die Daten auch nur an ihn ausgegeben werden. Die Übergabe kann auf verschiedenen Wegen erfolgen:

Persönliche Übergabe der Zugangsschlüssel bei der Anmeldung
Generierung von Freischaltcodes während des Anmeldeprozesses
Zustellung im Nachhinein (per Einschreiben o.ä.)

Wenn für die Identifizierung eine bereits erfolgte „face-to-face“-Kontrolle genutzt wurde, müssen die Zugangsschlüssel per Einschreiben eigenhändig oder einem ähnlichen Verfahren verschickt werden, um sicher zu gehen, dass nur der als volljährig identifizierte Nutzer auch die Zugangsdaten erhält.

Der Login: Zugangsdaten vor Weitergabe schützen

War die Identifizierung erfolgreich, kann sich der Nutzer mit seinen Zugangsdaten anmelden. Um Missbrauch zu verhindern, verlangt die KJM aber noch weitere Schutzmaßnahmen. So will sie verhindern, dass Zugangsdaten unerlaubt weitergegeben oder von mehreren Nutzern geteilt werden.

Der Weitergabeschutz kann dabei durch zwei Methoden erfolgen: Technische Lösungen oder die sogenannte Risiko-Lösung. Die technischen Lösungen basieren auf Unique-Identifier-Ansätzen (UID). Dazu zählen biometrische Authentifizierungsverfahren sowie Dongles-, Token- und mTan-Lösungen. Die Risikolösung funktioniert hingegen nach dem Prinzip, dass der Benutzer selbst ein großes Interesse daran hat, seine Zugangsdaten für sich zu behalten. Sei es, weil ihm sonst hohe Kosten entstehen könnten oder private Daten publik würden.

In allen Fällen gilt: Der Nutzer muss seine Zugangsdaten für sich behalten, eine Weitergabe der Zugangscodes würde das System der Altersprüfung unterlaufen.

Fazit

Mit einem AVS können Anbieter von jugendgefährdenden Inhalten auch in Deutschland rechtssicher ihren Content anbieten. Sie müssen dabei aber die Anforderungen des JMStV im Auge behalten und auf Entwicklungen der Rechtslage jederzeit reagieren.

Durch die grundsätzliche Anerkennung der Webcam-Identifizierung hat die KJM einen richtigem Schritt im Sinne der Benutzerfreundlichkeit und damit der praktischen Durchsetzung von Altersverifikationssystemen getan.

Bei der Gestaltung von Altersverifikationsprozessen liegt der Teufel allerdings im Detail. Die Anforderungen der BaFin lassen sich auf die jugendschutzrechtliche Lage nicht 1:1 übertragen, weil dort auch Besonderheiten des Finanzsektors eine Rolle spielen. Es ist daher eine sorgfältige Prüfung im Einzelfall erforderlich.

Wir danken unserem wissenschaftlichen Mitarbeiter Philipp Sümmermann für die Mitarbeit an diesem Beitrag.

VG Köln: Anspruch auf Herausgabe von Kopien jugendgefährdender Medien

Felix Hilgert — Tue, 14 Oct 2014 14:55:52 +0000

Mit (nicht rechtskräftigen) Urteil vom 22. September 2014 (Az. 13 K 4674/13) hat das Verwaltungsgericht Köln die Bundesprüfstelle für jugendgefährdende Medien verpflichtet, einem Sammler pornographischer Filme aufgrund dessen Antrags nach dem Informationsfreiheitsgesetzes (IFG) eine Kopie eines indizierten Films herzustellen und zu übermitteln.

Auf den ersten Blick: Verwunderung

Auf den ersten Blick löst das Urteil Verwunderung aus und man stellt sich die Frage, ob das Gericht damit die Liste der jugendgefährdenden Medien zu genau der „Einkaufsliste“ gemacht hat, die sie nach dem Willen des Gesetzgebers nicht sein soll (Werbung mit dem Inhalt der Liste ist dann auch aus gutem Grund ausdrücklich verboten, § 15 Abs. 4 und 5 JuSchG).

Problematisch ist auch, dass auch indizierte Medien in aller Regel urheberrechtlich geschützt sind und die Bundesregierung (vertreten durch die Bundesprüfstelle) kaum jemals irgendwelche Vervielfältigungs- oder Verbreitungsrechte daran haben dürfte. § 6 S. 1 IFG steht einer Auskunftserteilung ausdrücklich entgegen, wenn dadurch geistiges Eigentum eines Dritten verletzt würde.

All das und mehr hatte die BPjM in dem Verfahren auch vortragen lassen. Das Gericht aber war nicht überzeugt. Weil der Film schon länger als zwei Jahre vergriffen ist, greife die Urheberrechtsschranke des § 53 Abs. 2 S. 1 Nr. 4 lit. b UrhG. Hiernach sind Kopien von Werken zum eigenen Gebrauch zulässig, wenn die Werke seit mindestens zwei Jahren vegriffen sind. Es kommt auch nicht darauf an, dass der Antragsteller den Film nicht selbst kopiert – ausdrücklich erlaubt das UrhG für diese Fälle auch ein Herstellenlassen durch Dritte.

Bundesverbreitungsstelle für jugendgefährdende Medien?

Hat damit das Gericht den Bock zum Gärtner gemacht – und die Jugendschutzbehörde zu einer Gratisquelle von Kriegsverherrlichung, Pornografie und „Killerspielen“?

Ganz so schlimm wird es wohl nicht kommen. Zunächst ist festzuhalten, dass Urheberrechte Dritter dem Anspruch auf Informationserteilung auch nach dieser Entscheidung des VG Köln entgegen gehalten werden können. Wenn nicht die Voraussetzungen einer Urheberrechtsschranke vorliegen, kann (und muss) die Herausgabe verweigert werden.

Filmkopien nur analog

In diesem Zusammenhang lohnt sich der Hinweis, dass die in dem Urteil bemühte Urheberrechtsschranke recht enge Voraussetzungen hat. Nicht nur muss das Werk seit mindestens zwei Jahren vergriffen sein – es darf auch nur eine analoge Kopie erfolgen. Mit anderen Worten: CDs oder DVDs mit indizierten Werken darf die Bundesprüfstelle nicht herausgeben (wenn es auch theoretisch denkbar wäre, einen indizierten Film von einer DVD auf eine VHS-Kassette zu überspielen).

Keine Herausgabe von Computerspielen

Man mag sich jetzt fragen, wie eine nur analog nutzbare Kopie eines Computerspiels aussehen mag. Für Computerspiele, die (auch) dem urheberrechtlichen Schutz von Computersoftware unterliegen, gelten die Schrankenbestimmungen des § 53 UrhG indes von vorne herein nicht. Diese darf die BPjM also ohnehin nicht aufgrund eines IFG-Antrags herausgeben.

Die etwas weitere Urheberrechtsschranke der „allgemeinen“ Privatkopie (§53 Abs. 1 UrhG), die auch für digital gespeicherte Inhalte (außer Software) gelten kann, hat das Gericht überhaupt nicht angesprochen. Hier sind Vervielfältigungen durch Dritte aber auch nur unter bestimmten zusätzlichen (im einzelnen auch umstrittenen) Voraussetzungen erlaubt – insbesondere muss dies, soweit nicht mit fotomechanischen Verfahren auf Papier vervielfältigt wird, unentgeltlich geschehen.

Erhebliche Verwaltungsgebühren

Ob bei einem Antrag nach dem IFG noch von Unentgeltlichkeit gesprochen werden kann, darf indes bezweifelt werden. Nach § 10 Abs. 1 IFG in Verbindung mit der IFGGebV fallen für die Herausgabe von Abschriften nämlich neben den tatsächlichen Kosten für Datenträger und Kopiervorgang auch Verwaltungsgebühren an.

Deren Höhe richtet sich nach dem Verwaltungsaufwand, der indes in solchen Fällen erheblich ist: Nicht nur muss die BPjM zunächst die urheberrechtliche Lage und die ggf. anwendbaren Schrankenbestimmungen prüfen. Sie muss zudem sicherstellen, dass das Material nicht in die Hände von Minderjährigen gelangen kann, wozu eine sichere Identifizierung des Antragstellers und ggf. ein besonders gesicherter Versand des Materials erforderlich sind. Schließlich muss bei Altindizierungen aus den Jahren vor 2003 (d.h. bevor die strafrechtliche Einschätzung der Prüfgegenstände mit der Einordnung in Listenteil A oder B eingeführt wurde) auch geprüft werden, ob das begehrte Medium unter Umständen strafbare Inhalte hat, was nach § 3 Nr. 2 IFG ebenfalls zur Versagung der Herausgabe führt.

Die einschlägige Gebührenverordnung sieht in solchen Fällen erheblichen Aufwands einen Gebührenrahmen von EUR 30,00 bis EUR 500,00 vor (Teil A, Nr. 2.2 der Anlage zur IFGGebV).

Fazit

Die Bundesprüfstelle hatte in dem Verfahren auch mit einer mißbräuchlichen Stellung von Anträgen nach dem Informationsfreiheitsgesetz und der Gefährdung der öffentlichen Sicherheit (§ 3 Nr. 2 IFG) argumentiert. In der Tat dürfte der Gesetzgeber diese Konstellation bei der Schaffung des IFG nicht bedacht haben. Auch hatte das VG Köln selbst sich in einer jüngeren Entscheidung auf § 3 Nr. 2 IFG gestützt, um einen Anspruch auf Auskunft über die Inhalte der nichtöffentlichen Teile der Liste der jugendgefährdenden Medien abzulehnen (Urteil vom 4. Juli 2013, Az. 13 K 7107/11). Es bleibt abzuwarten, ob und wie sich die nächste Instanz zu diesen Fragen positionieren wird.