Nach dem großen “Erfolg” der Corona-Warn-App (2020-2023, Kosten ca. 200 Millionen €) hat EU-Kommissionspräsidentin Ursula von der Leyen gestern die EU-Mitgliedsstaaten zur Nutzung einer europäischen App zur Altersverifikation aufgefordert. Die App sei »technisch fertig«, sagte von der Leyen. Es brauche einen einheitlichen europäischen Ansatz, um Kinder in der »Onlinewelt« zu schützen. Die Anwendung soll es ermöglichen, das Alter von Nutzerinnen und Nutzern anonym zu prüfen. Wer vdL ein bisschen kennt, der weiß: Die Sache verdient eine kritische Betrachtung.
Das Prinzip klingt simpel: Wer die App herunterlädt, weist sich einmalig mit einem Ausweis oder Reisepass aus. Die App speichert davon lediglich das Geburtsdatum. Ruft der Nutzer dann eine Seite mit Altersbeschränkung auf, gibt die App das Signal „alt genug" – oder sperrt den Zugang. Kein Name, kein Profil, keine weiteren Daten. Technisch basiert das Ganze auf dem sogenannten Zero-Knowledge-Proof, einem kryptografischen Verfahren, das es ermöglicht, eine Information zu beweisen, ohne die zugrunde liegenden Daten preiszugeben. Österreich setzt dieses Verfahren bereits ein, das Prinzip ist solide.
Soweit der offizielle Rahmen. Die Realität ist komplizierter.
1. Die technische Halbwahrheit
Von der Leyen bezeichnete die App als „vollständig open source". Das ist technisch nicht ganz falsch – und trotzdem irreführend. Was die EU-Kommission auf GitHub veröffentlicht hat, ist ein Blueprint: der Kern, die Protokolle, die Bausteine der Zero-Knowledge-Technik. Entwickler, Mitgliedstaaten, Unternehmen können diesen Code einsehen, prüfen, anpassen.
Aber die fertige App, die Bürgerinnen und Bürger später auf ihr Handy laden werden, kommt nicht von der EU. Sie kommt von der jeweiligen nationalen Regierung oder deren Dienstleistern. Sie wird in nationale digitale Brieftaschen integriert. Und diese nationalen Implementierungen sind nicht automatisch open source. Backend-Infrastruktur, Datenbankanbindungen, staatliche Schnittstellen, nationale Anpassungen – all das kann proprietär und intransparent bleiben.
Das Ergebnis: ein datenschutzfreundliches Frontend mit Zero-Knowledge-Versprechen, dahinter nationale Backends, die niemand von außen prüfen kann. Wer kontrolliert, was mit den Ausweisdaten, den Geräteinformationen und den digitalen Bewegungsprofilen geschieht, wenn nationale Behörden oder private Dienstleister im Hintergrund operieren? Diese Frage bleibt offen.
Hinzu kommen weitere Widersprüche: Von der Leyen betonte ausdrücklich, man wolle nicht, dass Plattformen Gesichter scannen. Ein Erklärvideo der EU-Kommission zur selben App zeigt unterdessen Gesichtserkennung als Option. Die App-Spezifikationen erwähnen „domain-spezifische Kennungen oder Pseudonyme" – was bedeutet, dass Nutzer je nach Plattform identifizierbare Pseudonyme erhalten können. Vollständige Anonymität sieht anders aus.
2. Infrastruktur überdauert Absichten
Selbst, wenn man der EU-Kommission guten Willen unterstellt - der Autor tut es nicht - dann ändert das nichts an einer grundlegenden Tatsache der Technikgeschichte: Infrastruktur überdauert ihre Schöpfer. Systeme, die für legitime Zwecke unter moderaten Regierungen gebaut wurden, stehen der nächsten Regierung zur Verfügung – fertig, erprobt, normalisiert.
Der Patriot Act wurde nach dem 11. September für Terrorismusbekämpfung geschaffen und jahrzehntelang für weit andere Zwecke genutzt. Contact-Tracing-Apps der Corona-Zeit wurden in mehreren Ländern für Strafverfolgung eingesetzt (Singapur, “TraceTogether”-App) oder es entstand erheblicher politischer Druck dazu. Vorratsdatenspeicherung, ursprünglich als Ausnahme gedacht, wurde zur Normalität (in Frankreich, Belgien, Schweden). Von der Leyen selbst zog die Covid-App explizit als Vorbild heran. Das Muster ist bekannt: Krise schafft Ausnahmeinfrastruktur, Ausnahme wird Normalzustand.
Eine App, die Identität mit Internetzugang verknüpft, ist – unabhängig von den Absichten ihrer Erbauer – strukturell ein Werkzeug der Zugangskontrolle. Zero-Knowledge-Proof hin oder her: Sobald ein nationales Backend existiert, das Ausweisdaten mit Internetaktivität technisch verbinden *kann*, ist die Frage, ob es das *tut*, eine Frage des politischen Willens und rechtlicher Schranken. Beides ist veränderlich.
3. Was passiert in der nächsten Krise?
Ein neues Virus, ein Krieg, eine Anschlagswelle. Jede dieser Szenarien hat in der Geschichte dazu gedient, Ausnahmeregeln zu etablieren, die sich als dauerhaft erwiesen. In solchen Momenten ist die Versuchung groß, bestehende Infrastruktur für neue Zwecke zu nutzen – schnell, ohne großes Aufsehen, mit dem Argument der Sicherheit. Eine Altersverifikations-Infrastruktur, die Identität mit Internetzugang verknüpft, ließe sich in einer solchen Lage ohne großen technischen Aufwand erweitern: Zugang zu bestimmten Inhalten sperren, bestimmte Nutzer markieren, bestimmte Aktivitäten protokollieren. Der Schritt vom Kinderschutz zur Inhaltskontrolle wäre dann kein Systemwechsel mehr, sondern eine administrative Entscheidung.
4. Die Dystopie ist bereits real: Die Fälle Doğru und Baud
Man muss nicht spekulieren, ob europäische Institutionen bereit sind, Meinungsäußerungen mit existenzvernichtenden Mitteln zu unterdrücken. Die Bereitschaft dazu ist dokumentiert.
Im Mai 2025 wurde der Berliner Journalist Hüseyin Doğru, türkisch-kurdischstämmiger deutscher Staatsbürger, im Rahmen des 17. EU-Sanktionspakets gegen Russland auf eine Sanktionsliste gesetzt – wegen seiner Berichterstattung über Gaza und pro-palästinensische Proteste. Die Folgen: alle Bankkonten gesperrt, Reiseverbot, faktisches Berufsverbot. Als Beleg genügten der EU Screenshots seiner Social-Media-Aktivitäten, die sein eigener Anwalt als vollständig durch das Recht auf Meinungsfreiheit gedeckt bezeichnete. Eine vorherige Anhörung fand nicht statt. Inzwischen wurden auch die Konten seiner Ehefrau eingefroren – mit der Begründung, sie lebten zusammen und hätten gemeinsame Kinder. Sein Nachbar würde sich theoretisch strafbar machen, wenn er Doğru Brot brächte.
Im Dezember 2025 traf es Jacques Baud, ehemaliger Schweizer Oberst, NATO-Mitarbeiter, UN-Geheimdienstchef im Sudan: sanktioniert wegen angeblicher prorussischer Propaganda. Er lebte in Brüssel, konnte nicht mehr ausreisen, hatte keinen Zugang zu seinen Konten. Sein zentrales „Vergehen": Er hatte in Büchern und Interviews Positionen vertreten, die von der offiziellen westlichen Linie abwichen – darunter ein Zitat des früheren Selenskyj-Beraters Arestowytsch, das er als Quellenbeleg anführte. Die EU sah das als Verbreitung von Verschwörungstheorien. Eine Straftat wurde ihm nicht vorgeworfen. Gehört wurde er nicht.
Beide Fälle sind keine Ausreißer. Sie sind Präzedenzfälle. Sie zeigen, dass die EU bereits heute bereit ist, Meinungsäußerungen als Sicherheitsbedrohung zu klassifizieren und entsprechend zu handeln – ohne Anklage, ohne Gericht, ohne Verhältnismäßigkeit. Was heute Kontosperre ist, kann morgen Internetsperre sein. Wenn die technische Infrastruktur dafür vorhanden ist, ist es kein Systemwechsel mehr, sondern eine Formalie.
5. „Zensursula": Kontrolle für alle… - außer Uschi
Es wäre naiv, von der Leyens Geschichte dabei auszublenden. Der Spitzname „Zensursula" entstammt ihrer Zeit als Bundesfamilienministerin, als sie 2009 Netzsperren für Kinderpornografie durchsetzen wollte – Sperren, die Datenschützer und Netzexperten als wirkungslose Infrastruktur für zukünftige Zensur kritisierten. Das Gesetz scheiterte letztlich. Ihre Ambitionen in Richtung Chatkontrolle, die eine anlasslose Massenüberwachung privater Kommunikation ermöglichen sollte, wurden bislang vom Europaparlament und technischen Experten gebremst. Der Wille war vorhanden, die Mittel fehlten. Die Alterskontroll-App liefert neue. Im geradezu absurden Kontrast dazu steht die von Ursula von der Leyen an den Tag gelegte Intransparenz bei ihren SMS-Deals.
Fazit:
Die EU-Alterskontroll-App ist nicht das Ende der Freiheit, noch nicht. Aber sie ist ein Baustein in einer Infrastruktur, deren Tragweite weit über Altersverifikation hinausgeht. Zero-Knowledge-Proof schützt dort, wo er korrekt implementiert ist – aber er schützt nicht vor nationalen Backends, die niemand prüft. Er schützt nicht vor politischen Entscheidungen, die morgen anders aussehen als heute. Er schützt nicht vor Krisen, die Ausnahmen legitimieren. Und er schützt nicht vor Regierungen, die – wie die Fälle Doğru und Baud zeigen – bereits bewiesen haben, dass sie unliebsame Stimmen mit bürokratischen Mitteln zum Schweigen bringen.
Eine Authentifizierungsinfrastruktur fürs Internet, die Identität mit Zugang verknüpft, darf nur gebaut werden, wenn sie strukturell, technisch und juristisch so gesichert ist, dass kein zukünftiger Missbrauch möglich ist. Ist das überhaupt möglich? Die EU-App ist davon jedenfalls weit entfernt.
Transparenzhinweis: Der Beitrag wurde zwischen erster Kaffeetasse und Dusche mit KI erstellt. Dabei stammen alle inhaltlichen Vorgaben und einige Stil-Anpassungen von mir.
