Jugendschutz im Netz soll verhindern, dass Minderjährige ohne Weiteres auf Inhalte zugreifen können, die nur für Erwachsene bestimmt sind. Streamingdienste und Mediatheken setzen dafür Altersfreigaben ein, meist über Ausweisdaten oder vergleichbare Prüfverfahren. Eine Recherche zeigt jedoch: Die technische Hürde ist zumindest bei den Öffentlich-Rechtlichen deutlich niedriger, als viele Nutzer vermuten dürften. In Tests ließ sich die Altersfreigabe der ARD- sowie ZDF-Mediathek mit synthetisch erzeugten, formal gültigen MRZ-Daten aktivieren. Eine tatsächliche Prüfung, ob ein reales Ausweisdokument existiert, fand dabei nicht statt.
Altersprüfung basiert auf der MRZ von Ausweisen
In der ZDF-Mediathek erfolgt die Altersfreigabe über die sogenannte Machine Readable Zone von Ausweisdokumenten. In ihr sind unter anderem Geburtsdatum, Dokumentnummer und mehrere Prüfziffern codiert. Die Daten sind so aufgebaut, dass sie automatisiert ausgelesen und geprüft werden können.
Grundlage dafür ist der internationale Standard ICAO Doc 9303. Darin ist genau festgelegt, wie maschinenlesbare Reisedokumente aufgebaut sein müssen. Der Standard definiert unter anderem die Reihenfolge der Datenfelder, die erlaubten Zeichen sowie das Verfahren zur Berechnung der Prüfziffern.
Zu den im Standard definierten Dokumenttypen gehören unter anderem:
- TD1 — Personalausweise im Kartenformat
- TD2 — bestimmte Visa und amtliche Dokumente
- TD3 — Reisepässe
Diese klar definierte Struktur erleichtert automatisierte Prüfungen. Gleichzeitig bedeutet sie aber auch, dass Aufbau und Prüflogik öffentlich dokumentiert sind.
Prüfung läuft vollständig im Browser
Technisch läuft die Altersprüfung nach Angaben des ZDF vollständig im Browser des Nutzers ab. Das System nutzt JavaScript und überprüft lediglich einige grundlegende Kriterien innerhalb der eingegebenen MRZ-Zeichenfolge.
Im Kern werden drei Aspekte kontrolliert:
- das in der MRZ enthaltene Geburtsdatum
- die mathematischen Prüfziffern der Datenzeile
- die formale Struktur der Zeichenfolge
Sind diese Bedingungen erfüllt, aktiviert das System die Altersfreigabe für den jeweiligen Account.
Eine weitergehende Validierung findet nicht statt. Das System prüft also lediglich, ob die eingegebenen Daten formal korrekt aufgebaut sind. Ob das Dokument tatsächlich existiert oder zu einer realen Person gehört, wird nicht kontrolliert.
Keine Verbindung zu staatlichen Datenbanken
Das ZDF bestätigte ausdrücklich, dass es bei der Altersverifikation keine staatlichen Register oder externen Datenbanken abfragt. Stattdessen verarbeitet das System die eingegebenen MRZ-Informationen ausschließlich lokal im Browser. Nach Angaben des Senders erfolgt auch keine Speicherung dieser Daten auf Servern des ZDF. Hintergrund sei vor allem der Datenschutz. Weder Ausweisnummern noch vollständige MRZ-Datensätze sollen dauerhaft verarbeitet oder gespeichert werden. Technisch handelt es sich damit nicht um eine Identitätsprüfung im eigentlichen Sinne. Das Verfahren überprüft lediglich, ob eine eingegebene Zeichenfolge formal den Regeln eines Ausweisdokuments entspricht.
Formal korrekte MRZ-Daten lassen sich erzeugen
Genau an dieser Stelle liegt die entscheidende Schwäche des Systems. Da der ICAO-Standard öffentlich dokumentiert ist, lässt sich nachvollziehen, wie MRZ-Zeilen aufgebaut sind und wie die Prüfziffern berechnet werden. Damit ist es möglich, Zeichenfolgen zu erzeugen, die mathematisch korrekt sind, obwohl kein reales Ausweisdokument existiert.
In Tests ließ sich die Altersfreigabe der ZDF-Mediathek mit solchen synthetisch erzeugten MRZ-Daten aktivieren. Entscheidend war lediglich, dass Geburtsdatum, Struktur und Prüfziffern formal korrekt berechnet wurden. Das ZDF bestätigt diese grundsätzliche Möglichkeit. Um einfache Beispiele zu verhindern, nutzt der Sender nach eigenen Angaben eine Blockliste mit bekannten Test- oder Beispielausweisen, etwa mit Namen wie „Max Mustermann“. Gegen gezielt generierte synthetische Datensätze bietet diese Maßnahme allerdings keinen wirksamen Schutz.
ZDF verweist auf praktische Grenzen
Trotz dieser Einschränkungen sieht das ZDF sein Verfahren im Einklang mit den Anforderungen des Jugendmedienschutz-Staatsvertrags. Der Sender argumentiert außerdem mit einem praktischen Problem: Selbst deutlich strengere Identifizierungsverfahren könnten nicht verhindern, dass Minderjährige Ausweisdokumente anderer Personen verwenden.
Ein weiteres strukturelles Problem betrifft die technische Infrastruktur. Eine zentrale Datenbank, über die sich Ausweisdokumente weltweit zuverlässig überprüfen ließen, existiert nicht. Selbst gestohlene, aber formal gültige Dokumente wären daher auch mit aufwendigeren Verfahren schwer zu erkennen. Diese Argumentation erklärt, warum das ZDF bewusst auf eine einfache und datensparsame Lösung setzt. Sie ändert allerdings nichts daran, dass die aktuelle Umsetzung nur eine sehr niedrige technische Hürde darstellt.
Strengere Altersverifikation wäre technisch möglich
Grundsätzlich existieren bereits deutlich strengere Verfahren zur Altersverifikation. Dazu gehören etwa Identifizierungsprozesse über PostIdent, BankIdent oder die elektronische Ausweisfunktion des Personalausweises. Solche Lösungen würden eine tatsächliche Identitätsprüfung ermöglichen. Allerdings hätten sie auch klare Nachteile. Nach Einschätzung des ZDF würden sie zusätzlichen Aufwand für Nutzer verursachen, Kosten erhöhen, die Barrierefreiheit einschränken und mehr sensible Ausweisdaten verarbeiten. Der aktuelle Ansatz sei deshalb bewusst auf eine möglichst datensparsame Umsetzung ausgelegt.
Bundesregierung verweist auf Medienaufsicht
Auch das Bundesministerium für Familie, Senioren, Frauen und Jugend wurde um eine Stellungnahme zu den Ergebnissen der Recherche gebeten. Aus dem Haus heißt es, für die Bewertung konkreter Altersverifikationssysteme sei die Kommission für Jugendmedienschutz (KJM) zuständig. Sie arbeitet als Aufsichtsgremium der Landesmedienanstalten. Politisch setzt sich die Bundesregierung nach Angaben des Ministeriums grundsätzlich für verpflichtende Altersverifikationen im Netz ein. Gleichzeitig sollen Plattformen stärker zu sicheren Voreinstellungen für Kinder und Jugendliche verpflichtet werden. Entsprechende Vorhaben finden sich auch im aktuellen Koalitionsvertrag.
Darüber hinaus ist im Geschäftsbereich des Ministeriums die Bundeszentrale für Kinder- und Jugendmedienschutz (BzKJ) tätig. Sie prüft unter anderem, ob Plattformen ihre Inhalte mit klar sichtbaren Alterskennzeichnungen versehen. Parallel arbeitet derzeit eine unabhängige Expertenkommission unter dem Titel „Kinder- und Jugendschutz in der digitalen Welt“ an Vorschlägen für künftige Schutzmechanismen. Erste Ergebnisse werden nach aktuellem Stand im Sommer 2026 erwartet.
ARD äußert sich bislang nicht
Auch die ARD wurde mit den Ergebnissen der Recherche konfrontiert. Eine Stellungnahme zu den technischen Details der Altersverifikation in der ARD-Mediathek liegt bislang jedoch nicht vor. Die Pressestelle hatte zunächst eine Rückmeldung angekündigt. Eine Antwort ist bisher allerdings ausgeblieben.
wie machen es die hunderten anderen Webseiten mit ähnlichen Prüfungen?
Sind sie über 18?
[Ja] [Nein]
Wer von „Ausweisprüfung“ spricht, vermittelt eine echte Altersverifikation. Wenn aber offenbar nur formal passende Daten im Browser geprüft werden, ist das eher eine oberflächliche Prüfung als wirksamer Jugendschutz.
„Technisch läuft die Altersprüfung nach Angaben des ZDF vollständig im Browser des Nutzers ab. Das System nutzt JavaScript […]“
Damit disqualifiziert sich das System respektive die Methode von selbst, denn alles, was im Browser passiert, kann vom Benutzer manipuliert werden.
Würde man die Ausweisdaten zur Auswertung an einen Server übertragen und der Website das Prüfungsergebnis zurückmelden, hätte man ggf. ein datenschutzrechtliches Problem und wäre technisch in Bezug auf Manipulationssicherheit auch nicht weiter, denn man könnte einfach gültige Daten einer anderen Person eingeben.
Die einzige und nach aktuellen Stand wirklich sichere Methode ist einen Service vorzuschalten, der eine entsprechend gesicherte Verbindung zwischen Client und Server aufbaut und die Daten E2E-verschlüsselt überträgt, prüft und eine entsprechende Rückmeldung sendet. Die zu übertragenden Daten müssen dazu in digitaler, manipulationssicherer Form vorliegen, bspw. über die Onlinefunktionalität des Personalausweises oder auch über eine eID. Auch da läuft man dann wieder in die datenschutzrechtliche Falle, sofern nicht zweifelsfrei sichergestellt ist, dass keinerlei personenbezogene Daten gespeichert und auch nicht weiter ausgewertet werden, als über das notwendige Minimum erforderlich ist.
Technisch ist das alles machbar und der Aufwand ist auch nicht so gross, wie das gerne propagiert wird. Man benötigt halt ein bisschen Infrastruktur und den Service. Ist beides kein Hexenwerk. Und wenn man richtig schlau ist, stellt man das gesamte Konstrukt jedermann quelloffen zur Verfügung, um das in den letzten 30 Jahren verloren gegangene Vertrauen der Konsumenten zumindest ein kleines bisschen zurückzugewinnen.
Mit der eID kann auch datenschutzfreundlich nur das (ungenaue! also z,B.? über 16 ja/nein) Alter abgefragt werden.
Und was genau abgefragt wird zeigt die Ausweisapp vorher an.
Hurra! Wir haben eine Lösung. Jetzt muss der ÖRR das nur noch umsetzen. Gibt es da eigentliche eine öffentliche API zu der eID Funktion? Das wäre für die Implementierung der Prüfung enorm förderlich.
Man kann es auch so machen, wie es z.B. ein örtlicher Verkehrsverbund mit dem Deutschlandticket macht.
Das Deutschlandticket ist an die Person gebunden und nur zusammen mit einem gültigen Personalausweis gültig.
Da muß man Vorder- und Rückseite vor die Kamera halten und dann noch selbst in die Kamera schauen.
Das System prüft, ob das Bild auf dem Ausweis zu der Person gehört, die da in die Kamera geschaut hat.
Erst wenn das verifiziert wurde, wird der Kauf des Deutschlandtickets abgeschlossen.
Läuft etwas schief, wird der Kauf abgebrochen.
Da kann niemand das System mit einem fremden Ausweis austricksen und es braucht auch keine Datenbank mit Ausweisdaten und es funktioniert ohne PostIdent, BankIdent oder die elektronische Ausweisfunktion des Personalausweises
Hat hier jemand DeepFake gesagt?
Verifizierungen mittels Kamera kommen für mich grundsätzlich nicht mehr infrage. Ich hatte einmal eine Kontoeröffnung mittels Live-Kamera versucht, was ein unfassbarer Krampf und letztlich erfolglos war,
a) da entweder ich sie oder sie mich nicht verstehen konnte, obwohl die WLAN-Verbindung exzellent war. Folge: Abbruch von ihrer Seite und Suche nach dem kabelgebundenen Headset von meiner Seite,
b) da sie dann nichts erkennen konnte, obwohl es hell genug gewesen sein müsste, und ich zudem verschiedene Standorte ausprobierte, um Teilverschattung oder Blendung auszuschließen. Sie sagte auch nicht, warum sie nichts erkennen konnte. Folge: nach 10 Minuten entnervter Abbruch von mir und am nächsten Tag den Support angeschrieben und die vollständige Datenlöschung gefordert. Die Kontoeröffnung führte ich dann per PostIdent durch.
Eine andere Kontoeröffnung zuvor erfolgte auch per Kamera, aber da musste man nur Fotos vom Ausweis und ein Selfie machen, was funktionierte. Dennoch lehne ich auch das inzwischen ab, nachdem herauskam, dass solche Daten bei einem entsprechenden Dienstleister abhanden kamen. Für mich kommen nur noch PostIdent oder eID infrage. Mein Girokonto konnte ich online per eID eröffnen. Das ist echt eine praktische Methode, aber wohl auch die teuerste, weshalb sie kaum angeboten wird.
Ich finde Banken etc müssten gesetzlich dazu gezwungen werden auch eID anbieten zu müssen.
Der volle Ausweis beinhaltet aber Daten die niemand etwas angehen.
Dafür gibt es sogar extra „Kopierhüllen“, siehe https://shop.audatis.de/produkt/kopierhuelle-fuer-eine-datenschutzkonforme-kopie-des-personalausweises/
Daher würde ich sowas wie VideoIdent nicht nutzen.
Und wenn das Video aufgezeichnet wir kann man das u.U. nutzen (z.b: mit Deepfake) um unter deinem Namen wo anders Konten zu eröffnen.
Denn 🐹kann ich mir den ganzen Tag anschauen, auch meine Standleitung zu p*rn… oder you**** steht ohne Altersprüfung dauerhaft. Im „normalen“ Fernsehen wird auch keine prüfung gemacht, da wird es über die Uhrzeit geregelt. Was auch in der ZDF Mediatheke auch so läuft.
Jeder sollte ÖRR-Framing meiden.
Siehe KI-Fake-Videos, im gegen die USA zu hetzen.
Zu viel am Aluhut gelutscht?
Ein Geigel, jetzt zählt mir erstmal auf, was denn im ÖR als Ü18 überhaupt läuft, das kann man ja an einer Hand abzählen wenn überhaupt!? lol