Jugendschutz im Netz soll verhindern, dass Minderjährige ohne Weiteres auf Inhalte zugreifen können, die nur für Erwachsene bestimmt sind. Streamingdienste und Mediatheken setzen dafür Altersfreigaben ein, meist über Ausweisdaten oder vergleichbare Prüfverfahren. Eine Recherche zeigt jedoch: Die technische Hürde ist zumindest bei den Öffentlich-Rechtlichen deutlich niedriger, als viele Nutzer vermuten dürften. In Tests ließ sich die Altersfreigabe der ARD- sowie ZDF-Mediathek mit synthetisch erzeugten, formal gültigen MRZ-Daten aktivieren. Eine tatsächliche Prüfung, ob ein reales Ausweisdokument existiert, fand dabei nicht statt.
Altersprüfung basiert auf der MRZ von Ausweisen
In der ZDF-Mediathek erfolgt die Altersfreigabe über die sogenannte Machine Readable Zone von Ausweisdokumenten. In ihr sind unter anderem Geburtsdatum, Dokumentnummer und mehrere Prüfziffern codiert. Die Daten sind so aufgebaut, dass sie automatisiert ausgelesen und geprüft werden können.
Grundlage dafür ist der internationale Standard ICAO Doc 9303. Darin ist genau festgelegt, wie maschinenlesbare Reisedokumente aufgebaut sein müssen. Der Standard definiert unter anderem die Reihenfolge der Datenfelder, die erlaubten Zeichen sowie das Verfahren zur Berechnung der Prüfziffern.
Zu den im Standard definierten Dokumenttypen gehören unter anderem:
- TD1 — Personalausweise im Kartenformat
- TD2 — bestimmte Visa und amtliche Dokumente
- TD3 — Reisepässe
Diese klar definierte Struktur erleichtert automatisierte Prüfungen. Gleichzeitig bedeutet sie aber auch, dass Aufbau und Prüflogik öffentlich dokumentiert sind.
Prüfung läuft vollständig im Browser
Technisch läuft die Altersprüfung nach Angaben des ZDF vollständig im Browser des Nutzers ab. Das System nutzt JavaScript und überprüft lediglich einige grundlegende Kriterien innerhalb der eingegebenen MRZ-Zeichenfolge.
Im Kern werden drei Aspekte kontrolliert:
- das in der MRZ enthaltene Geburtsdatum
- die mathematischen Prüfziffern der Datenzeile
- die formale Struktur der Zeichenfolge
Sind diese Bedingungen erfüllt, aktiviert das System die Altersfreigabe für den jeweiligen Account.
Eine weitergehende Validierung findet nicht statt. Das System prüft also lediglich, ob die eingegebenen Daten formal korrekt aufgebaut sind. Ob das Dokument tatsächlich existiert oder zu einer realen Person gehört, wird nicht kontrolliert.
Keine Verbindung zu staatlichen Datenbanken
Das ZDF bestätigte ausdrücklich, dass es bei der Altersverifikation keine staatlichen Register oder externen Datenbanken abfragt. Stattdessen verarbeitet das System die eingegebenen MRZ-Informationen ausschließlich lokal im Browser. Nach Angaben des Senders erfolgt auch keine Speicherung dieser Daten auf Servern des ZDF. Hintergrund sei vor allem der Datenschutz. Weder Ausweisnummern noch vollständige MRZ-Datensätze sollen dauerhaft verarbeitet oder gespeichert werden. Technisch handelt es sich damit nicht um eine Identitätsprüfung im eigentlichen Sinne. Das Verfahren überprüft lediglich, ob eine eingegebene Zeichenfolge formal den Regeln eines Ausweisdokuments entspricht.
Formal korrekte MRZ-Daten lassen sich erzeugen
Genau an dieser Stelle liegt die entscheidende Schwäche des Systems. Da der ICAO-Standard öffentlich dokumentiert ist, lässt sich nachvollziehen, wie MRZ-Zeilen aufgebaut sind und wie die Prüfziffern berechnet werden. Damit ist es möglich, Zeichenfolgen zu erzeugen, die mathematisch korrekt sind, obwohl kein reales Ausweisdokument existiert.
In Tests ließ sich die Altersfreigabe der ZDF-Mediathek mit solchen synthetisch erzeugten MRZ-Daten aktivieren. Entscheidend war lediglich, dass Geburtsdatum, Struktur und Prüfziffern formal korrekt berechnet wurden. Das ZDF bestätigt diese grundsätzliche Möglichkeit. Um einfache Beispiele zu verhindern, nutzt der Sender nach eigenen Angaben eine Blockliste mit bekannten Test- oder Beispielausweisen, etwa mit Namen wie „Max Mustermann“. Gegen gezielt generierte synthetische Datensätze bietet diese Maßnahme allerdings keinen wirksamen Schutz.
ZDF verweist auf praktische Grenzen
Trotz dieser Einschränkungen sieht das ZDF sein Verfahren im Einklang mit den Anforderungen des Jugendmedienschutz-Staatsvertrags. Der Sender argumentiert außerdem mit einem praktischen Problem: Selbst deutlich strengere Identifizierungsverfahren könnten nicht verhindern, dass Minderjährige Ausweisdokumente anderer Personen verwenden.
Ein weiteres strukturelles Problem betrifft die technische Infrastruktur. Eine zentrale Datenbank, über die sich Ausweisdokumente weltweit zuverlässig überprüfen ließen, existiert nicht. Selbst gestohlene, aber formal gültige Dokumente wären daher auch mit aufwendigeren Verfahren schwer zu erkennen. Diese Argumentation erklärt, warum das ZDF bewusst auf eine einfache und datensparsame Lösung setzt. Sie ändert allerdings nichts daran, dass die aktuelle Umsetzung nur eine sehr niedrige technische Hürde darstellt.
Strengere Altersverifikation wäre technisch möglich
Grundsätzlich existieren bereits deutlich strengere Verfahren zur Altersverifikation. Dazu gehören etwa Identifizierungsprozesse über PostIdent, BankIdent oder die elektronische Ausweisfunktion des Personalausweises. Solche Lösungen würden eine tatsächliche Identitätsprüfung ermöglichen. Allerdings hätten sie auch klare Nachteile. Nach Einschätzung des ZDF würden sie zusätzlichen Aufwand für Nutzer verursachen, Kosten erhöhen, die Barrierefreiheit einschränken und mehr sensible Ausweisdaten verarbeiten. Der aktuelle Ansatz sei deshalb bewusst auf eine möglichst datensparsame Umsetzung ausgelegt.
Bundesregierung verweist auf Medienaufsicht
Auch das Bundesministerium für Familie, Senioren, Frauen und Jugend wurde um eine Stellungnahme zu den Ergebnissen der Recherche gebeten. Aus dem Haus heißt es, für die Bewertung konkreter Altersverifikationssysteme sei die Kommission für Jugendmedienschutz (KJM) zuständig. Sie arbeitet als Aufsichtsgremium der Landesmedienanstalten. Politisch setzt sich die Bundesregierung nach Angaben des Ministeriums grundsätzlich für verpflichtende Altersverifikationen im Netz ein. Gleichzeitig sollen Plattformen stärker zu sicheren Voreinstellungen für Kinder und Jugendliche verpflichtet werden. Entsprechende Vorhaben finden sich auch im aktuellen Koalitionsvertrag.
Darüber hinaus ist im Geschäftsbereich des Ministeriums die Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ) tätig. Sie prüft unter anderem, ob Plattformen ihre Inhalte mit klar sichtbaren Alterskennzeichnungen versehen. Parallel arbeitet derzeit eine unabhängige Expertenkommission unter dem Titel „Kinder- und Jugendschutz in der digitalen Welt“ an Vorschlägen für künftige Schutzmechanismen. Erste Ergebnisse werden nach aktuellem Stand im Sommer 2026 erwartet.
ARD äußert sich bislang nicht
Auch die ARD wurde mit den Ergebnissen der Recherche konfrontiert. Eine Stellungnahme zu den technischen Details der Altersverifikation in der ARD-Mediathek liegt bislang jedoch nicht vor. Die Pressestelle hatte zunächst eine Rückmeldung angekündigt. Eine Antwort ist bisher allerdings ausgeblieben.
wie machen es die hunderten anderen Webseiten mit ähnlichen Prüfungen?
Wer von „Ausweisprüfung“ spricht, vermittelt eine echte Altersverifikation. Wenn aber offenbar nur formal passende Daten im Browser geprüft werden, ist das eher eine oberflächliche Prüfung als wirksamer Jugendschutz.
„Technisch läuft die Altersprüfung nach Angaben des ZDF vollständig im Browser des Nutzers ab. Das System nutzt JavaScript […]“
Damit disqualifiziert sich das System respektive die Methode von selbst, denn alles, was im Browser passiert, kann vom Benutzer manipuliert werden.
Würde man die Ausweisdaten zur Auswertung an einen Server übertragen und der Website das Prüfungsergebnis zurückmelden, hätte man ggf. ein datenschutzrechtliches Problem und wäre technisch in Bezug auf Manipulationssicherheit auch nicht weiter, denn man könnte einfach gültige Daten einer anderen Person eingeben.
Die einzige und nach aktuellen Stand wirklich sichere Methode ist einen Service vorzuschalten, der eine entsprechend gesicherte Verbindung zwischen Client und Server aufbaut und die Daten E2E-verschlüsselt überträgt, prüft und eine entsprechende Rückmeldung sendet. Die zu übertragenden Daten müssen dazu in digitaler, manipulationssicherer Form vorliegen, bspw. über die Onlinefunktionalität des Personalausweises oder auch über eine eID. Auch da läuft man dann wieder in die datenschutzrechtliche Falle, sofern nicht zweifelsfrei sichergestellt ist, dass keinerlei personenbezogene Daten gespeichert und auch nicht weiter ausgewertet werden, als über das notwendige Minimum erforderlich ist.
Technisch ist das alles machbar und der Aufwand ist auch nicht so gross, wie das gerne propagiert wird. Man benötigt halt ein bisschen Infrastruktur und den Service. Ist beides kein Hexenwerk. Und wenn man richtig schlau ist, stellt man das gesamte Konstrukt jedermann quelloffen zur Verfügung, um das in den letzten 30 Jahren verloren gegangene Vertrauen der Konsumenten zumindest ein kleines bisschen zurückzugewinnen.
Mit der eID kann auch datenschutzfreundlich nur das (ungenaue! also z,B.? über 16 ja/nein) Alter abgefragt werden.
Und was genau abgefragt wird zeigt die Ausweisapp vorher an.