Mensch am Computer

Unzulässige Inhalte

Unzulässige Angebote dürfen in Rundfunk und Telemedien grundsätzlich nicht verbreitet werden. Allerdings gibt es eine Ausnahme.

Altersverifikationssysteme

Einige unzulässige Inhalte dürfen in Telemedien dann verbreitet werden, wenn durch geschlossene Benutzergruppen sichergestellt ist, dass Kinder und Jugendliche nicht auf sie zugreifen können. Das Schutzniveau bei diesen sogenannten „relativ unzulässigen Inhalten“ liegt also deutlich höher als bei entwicklungsbeeinträchtigenden Inhalten. Geschlossene Benutzergruppen können Anbieter durch den Einsatz von Altersverifikationssystemen herstellen.

Pornografische, bestimmte indizierte und offensichtlich schwer jugendgefährdende Inhalte dürfen im Internet nur dann verbreitet werden, wenn der Anbieter durch geschlossene Benutzergruppen gewährleistet, dass nur Erwachsene Zugriff darauf haben. Zur Sicherstellung geschlossener Benutzergruppen werden so genannte Altersverifikationssysteme (AV-Systeme) bzw. Altersprüfsysteme eingesetzt.

Die Anforderungen an solche AV-Systeme sind wesentlich höher als die Anforderungen an technische Mittel für entwicklungsbeeinträchtigende Angebote: Sie müssen gewährleisten, dass eine Volljährigkeitsprüfung über eine persönliche Identifizierung erfolgt und beim einzelnen Nutzungsvorgang nur identifizierte und altersgeprüfte Personen Zugang erhalten.

Eckpunkte

Frau hantiert mit Laptop und Smartphone

Gemäß den Eckpunkten der KJM ist Altersverifikation für geschlossene Benutzergruppen durch zwei miteinander verbundene Schritte sicherzustellen:

  1. durch eine zumindest einmalige Identifizierung (Volljährigkeitsprüfung), die grundsätzlich über persönlichen oder vorgelagerten Kontakt erfolgen muss. Voraussetzung für eine verlässliche Volljährigkeitsprüfung ist dabei die persönliche Identifizierung von natürlichen Personen inklusive Überprüfung ihres Alters. Die persönliche Identifizierung ist notwendig, damit Fälschungs- und Umgehungsrisiken möglichst vermieden werden.
  2. durch Authen­tifizierung beim einzelnen Nutzungsvorgang. Die Authentifizierung dient der Sicherstellung, dass nur die jeweils identifizierte und altersgeprüfte Person Zugang zu geschlossenen Benutzergruppen erhält, und soll die Weitergabe von Zugangsberechtigungen an unautorisierte Dritte erschweren.

Details dazu entnehmen Sie bitte den Kriterien zur Bewertung von Konzepten für Altersverifikationssysteme (AVS-Raster).

Verfahren der Positivbewertung

Der JMStV enthält kein Anerkennungsverfahren für geschlossene Benutzergruppen oder AV-Systeme. Daher hat die KJM ein Verfahren der Positivbewertung entwickelt und bewertet auf Anfrage von Unternehmen oder Anbietern entsprechende Konzepte. Dies dient der Verbesserung des Jugendschutzes im Internet und ist gleichzeitig ein Service für die Anbieter für mehr Rechts- und Planungssicherheit.

Die Hauptverantwortung für die JMStV-konforme Gestaltung eines Internetangebots liegt aber beim Inhalteanbieter. Er muss sicherstellen, dass pornografische und bestimmte andere jugendgefährdende Inhalte in seinem Angebot nur für Erwachsene zugänglich sind (geschlossene Benutzergruppen). Er kann sich dabei technischer Jugendschutz-Konzepte bedienen, die die KJM bereits positiv bewertet hat. Positivbewertungen können von der KJM im Rahmen von Pressemitteilungen veröffentlicht werden.

Bewertung durch die KJM

Die KJM bewertet sowohl Konzepte für Gesamtlösungen als auch für Teillösungen (Module) für geschlossene Benutzergruppen.

Die KJM bewertet ausschließlich Konzepte. Für die aufsichtsrechtliche Beurteilung ist die Umsetzung der geschlossenen Benutzergruppen in der Praxis entscheidend.

Das AVS-Raster der KJM spezifiziert die Anforderungen der KJM. Es dient dazu, die Entscheidungsprozesse der KJM bei der Bewertung transparent zu machen und Standards zu definieren.

Datenbank Altersverifikationssysteme

  • Verifeye Online SIA: „Verifeye“

    Dezember 2020 Altersverifikationssysteme (Modul) / unzulässige Inhalte

    Bei dem System „Verifeye“ der Verifeye Online SIA handelt es sich um ein Konzept, welches eine Identifizierung mittels einer Software durch einen Vergleich der biometrischen Daten des Ausweisdokuments und einem Lichtbild des zu Identifizierenden sowie einer automatischen Erfassung der Daten des Ausweisdokuments in Verbindung mit einer Videoidentifizierung ermöglicht. Verlangt ein Inhalteanbieter, der „Verifeye“ einsetzt, eine Identifizierung des Endnutzers, wird dieser auf die Seite der Verifeye Online SIA weitergeleitet. Dort muss der Nutzer Bilder seines Ausweisdokumentes hochladen, anhand derer das System der Verifeye Online SIA automatisiert sämtliche Daten ausliest und anhand diverser Sicherheitsmerkmale überprüft, dass es sich um ein echtes Dokument handelt. Anschließend vergleicht „Verifeye“ das Bild des Nutzers auf dem Ausweis mit einem vom Nutzer im System hochgeladenen Foto seines Gesichts. Im Anschluss wird der Nutzer mit einem zufällig ausgewählten Mitarbeiter per Video-Chat verbunden. Der Mitarbeiter prüft die korrekte Durchführung aller Schritte – insbesondere, dass der Nutzer mit den angefertigten Bildern übereinstimmt – und stellt anhand einer sog. Lebenderkennung fest, ob der Nutzer eine echte Person ist. Nach dieser Überprüfung ist der Identifizierungsvorgang abgeschlossen und die Daten werden verschlüsselt an den Inhalteanbieter übermittelt.

    Die KJM kam nach Prüfung des Konzepts zu dem Ergebnis, dass das System „Verifeye“ der Verifeye Online SIA in der vorgelegten Version als Modul auf der Stufe der Identifizierung im Sinne der KJM-Kriterien zur Sicherstellung einer geschlossenen Benutzergruppe für Erwachsene gemäß Jugendmedienschutz-Staatsvertrag (JMStV) geeignet ist. Inhalteanbieter, die dieses Modul nutzen, müssen durch weitere Maßnahmen sicherstellen, dass im Rahmen der Authentifizierung nur die jeweils identifizierte und altersgeprüfte Person Zugang zur geschlossenen Benutzergruppe erhält und dass die Weitergabe der Zugangsberechtigung an unautorisierte Dritte erschwert wird.

    (Entscheidung der KJM vom Dezember 2020)

  • Veriff Inc.: „Veriff“

    Mai 2021 Altersverifikationssysteme (Gesamtkonzept) / unzulässige Inhalte

    Das System „Veriff“ der Veriff Inc ist ein vollständiges Konzept für ein AVS. Das vorgelegte Konzept erfüllt sowohl auf der Ebene der Identifizierung als auch auf der Ebene der Authentifizierung die Anforderungen der KJM.

    Bei dem System „Veriff“ handelt es sich um ein Identifizierungskonzept, welches eine Identifizierung mittels einer Software durch einen Vergleich der biometrischen Daten des Ausweisdokuments und einem Lichtbild des zu Identifizierenden sowie einer automatischen Erfassung der Daten des Ausweisdokuments in Verbindung mit einer Videoidentifizierung ermöglicht.

    Die Authentifizierung bei jedem Nutzungsvorgang erfolgt mittels biometrischer Daten, also der Gesichtserkennung des Nutzers, und Vergleich mit dem im Rahmen der Identifizierung gespeicherten Referenzdatensatzes des Gesichts des Nutzers (biometrische Authentifizierung).

    (Entscheidung der KJM vom Mai 2021)

  • verify-u GmbH: „verify-u selfID“

    April 2021 Altersverifikationssysteme (Modul) / unzulässige Inhalte

    Bei dem System „verify-u selfID“ handelt es sich um ein seit 2015 bestehendes und modernisiertes Identifizierungskonzept, welches eine Identifizierung mittels eines automatisierten Prozesses unter Abgleich biometrischer Daten ermöglicht. Das System kann in die eigenen Telemedien und Apps der jeweiligen Inhalteanbieter als eine Art Gateway eingebunden werden. Hat sich ein Kunde bei einem Inhalteanbieter registriert, hat er im nächsten Schritt die Identifizierung mit „verify-u selfID“ durchzuführen. Der Nutzer hat hierfür Bilder des zu prüfenden Ausweisdokumentes zu erstellen oder hochzuladen. Im Anschluss überprüft „verify-u selfID“ anhand diverser Sicherheitsmerkmale, dass es sich um ein echtes Ausweisdokument handelt. Im Anschluss hat der Nutzer zunächst ein Selfie zu erstellen, anhand dessen ein Abgleich der biometrischen Daten mit dem Bild des Ausweisdokuments vorgenommen wird. Sodann hat er ein Selfie-Video zu erstellen, bei dem er verschieden Mimiken (blinzeln, lächeln etc.) ausführen muss. Anhand des Selfie-Videos führt „verify-u selfID“ eine „Lebenderkennung“ durch. Nach Zustimmung des Nutzers zur Freigabe der Daten werden diese an den Inhalteanbieter übermittelt.

    Die KJM kam nach Prüfung des Konzepts zu dem Ergebnis, dass „verify-u selfID“ in der vorgelegten Version und bei entsprechender Umsetzung somit als Teillösung auf Stufe der Identifizierung im Sinne der KJM-Kriterien zur Sicherstellung einer geschlossenen Benutzergruppe für Erwachsene gemäß Jugendmedienschutz-Staatsvertrag (JMStV) geeignet ist.

    Inhalteanbieter, die dieses Modul nutzen, müssen durch weitere Maßnahmen sicherstellen, dass im Rahmen der Authentifizierung nur die jeweils identifizierte und altersgeprüfte Person Zugang zur geschlossenen Benutzergruppe erhält und dass die Weitergabe der Zugangsberechtigung an unautorisierte Dritte erschwert wird.

    (Entscheidung der KJM vom April 2021)

  • VerifyMyAge 18+

    Juli 2021 Altersverifikationssysteme (Gesamtkonzept) / unzulässige Inhalte

    Das System „VerifyMyAge 18+“ der KYC AVC UK Ltd. ist als vollständiges AVS-Konzept im Sinne der KJM Kriterien zur Sicherstellung einer geschlossenen Benutzergruppe für Erwachsene gemäß Jugendmedienschutz-Staatsvertrag (JMStV) geeignet.

    Bei dem System „VerifyMyAge 18+“ handelt es sich um ein Identifizierungskonzept, welches eine Identifizierung mittels eines automatisierten Prozesses unter Abgleich biometrischer Daten sowie mittels einer bereits erfolgten „face-to-face“-Kontrolle bietet.

    Der Telemedienanbieter übermittelt die Nutzerdaten per API an KYC AVC UK Ltd. Im Rahmen eines automatisierten Prozesses prüft das System dann, ob die Daten des Nutzers bereits in der KyC AVC UK Ltd.- Datenbank gespeichert sind oder ob der Nutzer eine Identifikations- oder Altersplausibilitätsprüfung über "VerifyMyAge 18+" durchgeführt hat. Ist das nicht der Fall, wird mittels Schufa Identcheck Premium ein Versuch durchgeführt, das Alter des Endnutzers über den übermittelten Namen, die Adresse und des Geburtsdatums zu überprüfen.

    Für die Identifizierung stehen dem Nutzer verschiedene Optionen zur Verfügung: Zum einen hat er die Möglichkeit, sich mittels automatischem Auslesen der Ausweisdaten und biometrischem Abgleich zu identifizieren (ID Scan with 3D Face Match & Liveness Detection). Zudem besteht für Kunden der Volksbanken Raiffeisenbanken und Sparkassen die Möglichkeit, sich mittels des bereits von der KJM positiv bewerteten Moduls „yes®“ zu identifizieren (Open Banking). Als weitere Möglichkeit steht den Kunden die Identifizierung mittels einer Kombination aus Open Banking und dem Schufa Identcheck Premium zur Verfügung (Schufa IdentCheck Premium).

    Mit dem im Juni 2022 von der KJM positiv bewilligten Modul „Credit Card“ kann zudem eine Identifizierung mittels einer bereits erfolgten „face-to-face“-Kontrolle erfolgen. 

    Ein Endnutzer, der sich mittels seiner Kreditkarte über das Modul Credit Card“ im Rahmen des Konzepts „VerifyMyAge 18+“ identifizieren möchte, hat zunächst den Namen und die Adresse des Karteninhabers, die Kartennummer, das Gültigkeitsdatum sowie den CVC (3-stelliger Sicherheitscode auf der Karte) einzutragen. Mithilfe eines Zahlungsabwicklers wird dann geprüft, ob alle vom Endnutzer eingegebenen Daten mit den Daten übereinstimmen, die seine Bank für ihn bereithält. Wenn eine der Überprüfungen fehlschlägt, wird der Endnutzer nicht verifiziert. Wenn alle Prüfungen erfolgreich sind, wird eine Prüfung der primären Kontonummer (PAN) durch den Zahlungsabwickler durchgeführt.

    Nach der Übersendung der PAN an die Zahlungsabwickler erfolgt eine Weiterleitung an die Bank des Endnutzers, die im Anschluss mitteilt, um welche Art der Karte es sich handelt. Handelt es sich bei der Karte um eine Debit- oder Prepaidkarte, so wird eine Identifizierung nicht durchgeführt und der Prozess abgebrochen. Gleiches gilt für den Fall, dass der Kartentyp nicht ermittelt werden konnte.

    Ergibt die Prüfung, dass es sich bei der Karte um eine „echte“ Kreditkarte handelt, ist sichergestellt, dass der Karteninhaber volljährig ist und der Kreditkartenvertrag unter Beachtung der Vorschriften des Geldwäschegesetzes (GwG) zustande gekommen ist.  Der Endnutzer wird dann auf die Webseite seiner Bank weitergeleitet, um sich mittels seiner Bankdaten und 2-Faktor-Authentifizierung anzumelden. War dies erfolgreich, ist der Endnutzer identifiziert.

    (Entscheidung der KJM vom Juli 2021)

  • VERIMI GmbH: „Altersverifikation @ VERIMI“

    Januar 2019 Altersverifikationssysteme (Gesamtkonzept) / unzulässige Inhalte

    Auf der europäischen Identitäts- und Vertrauensplattform VERIMI wird eine sogenannte Single-Sign-On-Lösung (VERIMI-Login) angeboten, über die verifizierte Identitäten für verschiedene Anwendungen im Internet zur Verfügung gestellt werden können. Ein Nutzer kann sich auf allen Online-Seiten, auf denen der VERIMI-Login implementiert ist, mit seinen VERIMI-Zugangsdaten einloggen und das Dienstleistungsangebot der Online-Seite („Anwendungspartner“) nutzen. Gleichzeitig kann er seine im VERIMI-Konto gespeicherten Daten an die Anwendungspartner nach Bedarf und je nach Transaktion übermitteln. Der Datentransfer zwischen VERIMI und den jeweiligen Anwendungspartnern erfolgt über eine technische Schnittstelle (API), nach dem Prinzip der Datensparsamkeit und jeweils nach Freigabe des Nutzers.

    Zur Nutzung des VERIMI-Logins ist zunächst eine Registrierung durch den Nutzer erforderlich. Im Rahmen der Registrierung muss der Nutzer persönliche Daten, wie z. B. Name und E-Mail-Adresse angeben. Optional kann er weitere Merkmale wie zum Beispiel Anschrift und Geburtsdatum hinterlegen. Anschließend hat der Nutzer die Möglichkeit, seine Identität zu verifizieren und seine Daten selbstständig zu verwalten. Zum weiteren Schutz des Logins dient die Zwei-Faktor Authentifizierung.

    Die KJM kam nach Prüfung des Konzepts zu dem Ergebnis, dass es sich bei entsprechender Umsetzung als vollständiges AVS-Konzept im Sinne der KJM-Kriterien zur Sicherstellung einer geschlossenen Benutzergruppe eignet. Die Positivbewertung als vollständiges Konzept einer geschlossenen Benutzergruppe umfasst auch die Positivbewertung als technisches Mittel. Die Anforderungen der KJM an ein technisches Mittel werden mehr als erfüllt.

    (Entscheidung der KJM vom Januar 2019)

  • Vodafone D2

    Juli 2005 Altersverifikationssysteme (Gesamtkonzept) / unzulässige Inhalte

    Das Konzept von Vodafone D2 sieht die Volljährigkeitsprüfung des Kunden durch den persönlichen Kontakt bei Vertragsabschluss in einem Vodafone D2-Shop bzw. einem angeschlossenen Partnergeschäft vor. Für die Authentifizierung bei jedem Nutzungsvorgang kommt eine individualisierte Adult-PIN unter Einbeziehung einer Hardware-Komponente (SIM-Karte) zum Einsatz. Auf ein darüber hinausgehendes Schutzniveau kann verzichtet werden, weil Vodafone das AVS nicht als Dienstleistung für Dritte anbietet.

    (Entscheidung der KJM vom Dezember 2003 in der Fassung der Entscheidung vom Juli 2005)

  • Vodafone D2: „Adultpark“

    Dezember 2009 Altersverifikationssysteme (Gesamtkonzept) / unzulässige Inhalte

    Das Konzept des „Adultpark“ baut auf einem im September 2003 von der KJM positiv bewerteten Altersverifikationskonzept der Arcor AG & Co. KG zur Sicherstellung einer geschlossenen Benutzergruppe für Video-on-Demand-Angebote im Internet auf. Mit der zum Dezember 2009 vollzogenen vollständigen Verschmelzung von Arcor auf Vodafone werden im Internet die Video-on-Demand-Angebote beider Unternehmen unter dem Dach von Vodafone zusammengeführt. Die bereits im Post-Ident-Verfahren als volljährig identifizierten Video-on-Demand-Kunden von Arcor können nun auch auf die Angebote im „Adultpark“ von Vodafone zugreifen, ohne sich nochmals persönlich identifizieren zu müssen. Eine Anmeldung zur geschlossenen Benutzergruppe des „Adultpark“ ist künftig aber auch für Erwachsene möglich, die weder Arcor-Kunde waren noch über einen Vodafone-Mobilfunkvertrag verfügen. Für diese Nutzer sieht das Konzept ebenfalls eine persönliche Identifizierung über Post-Ident vor. Für die Authentifizierung bei jedem Nutzungsvorgang des Web-Angebots muss der Nutzer jeweils Benutzername und Passwort sowie zusätzlich einen speziellen, individuellen „ab 18-PIN“ eingeben. Damit soll sichergestellt werden, dass nur identifizierte und altersgeprüfte Personen Zugriff auf die geschlossene Benutzergruppe des „Adultpark“ erhalten.

    (Entscheidung der KJM vom Dezember 2009)

  • Web Shield Limited: „KYC Shield“

    Dezember 2014 Altersverifikationssysteme (Modul) / unzulässige Inhalte

    Bei dem System „KYC Shield“ handelt es sich um ein Modul (Teillösung) auf der Stufe der Identifizierung. Das Modul alleine reicht jedoch nicht aus, um eine geschlossene Benutzergruppe sicherzustellen, es muss im Rahmen eines geeigneten Gesamtkonzepts zur Anwendung kommen.

    Der Identifizierungsvorgang, der bei „KYC Shield“ auf einer „face-to-face-Kontrolle“ per Webcam basiert, erfolgt in mehreren Schritten. Zunächst erfolgt die Identifizierung mittels der Eingabe der persönlichen Daten auf der Webseite des Inhalte-Anbieters, in die „KYC Shield“ eingebunden wird. Anschließend wird der Nutzer aufgefordert, ein Video seines Personalausweises zu übermitteln, in dem das Foto und das Hologramm klar erkennbar sein müssen. Abschließend findet zum Datenabgleich eine Live-Videokonferenz zwischen dem Nutzer und Web Shield statt, bei der die übermittelten Daten durch zwei geschulte Mitarbeiter geprüft werden.

    (Entscheidung der KJM vom Dezember 2014)

  • WebID Solutions GmbH: „WebID AVS“

    März 2020 Altersverifikationssysteme (Modul) / unzulässige Inhalte

    Möchte der Nutzer sich mit „WebID AVS“ der WebID Solutions GmbH für einen Kauf oder eine Dienstleistung identifizieren, werden die relevanten Daten mit Start des Identifizierungsprozesses an „WebID AVS“ übergeben und der Nutzer kann die Identifikation direkt aus der Anwendung des Auftraggebers starten. Mit „WebID AVS“ nimmt der Nutzer zunächst Fotos des Ausweisdokuments und seines Gesichts auf. Der vollautomatische Prozess vergleicht die übertragenen Benutzerdaten mit den Daten auf dem Ausweisdokument. Zusätzlich wird überprüft, ob es sich um ein gültiges Ausweisdokument handelt. Es erfolgt ein biometrischer Abgleich des Nutzerportraits mit dem Foto des Ausweisdokuments. Abschließend erfolgt die „Lebendkontrolle“, für die die zu identifizierende Person eine von der Software vorgegebene Bewegung ausführt. Anhand der Bewegung überprüft das System, ob es sich um eine reale Person handelt.

    Die KJM kam nach Prüfung des Konzepts zu dem Ergebnis, dass es in der vorgelegten Version und bei entsprechender Umsetzung als Modul auf der Stufe der Identifizierung im Sinne der KJM-Kriterien zur Sicherstellung einer geschlossenen Benutzergruppe für Erwachsene gemäß Jugendmedienschutz-Staatsvertrag (JMStV) geeignet ist.

    (Entscheidung der KJM vom März 2020)

  • WebID Solutions GmbH: „WebID DIMOCO MOBILE AVS“

    Dezember 2017 Altersverifikationssysteme (Gesamtkonzept) / unzulässige Inhalte

    Möchte ein Endkunde online Inhalte erwerben, die für Erwachsene gekennzeichnet sind, erfolgt die Identifizierung in zwei Schritten. Zunächst wird der Kunde aufgefordert, seine Handynummer mittels eines SMS-TAN-Verfahrens zu verifizieren. Der eigentliche Identifikationsprozess erfolgt anschließend unter Verwendung des Systems „WebID Identify & Age Check – Verfahren zur Identitätsprüfung und Altersverifikation“ der WebID Solutions GmbH. Dieses System hat die KJM bereits im April 2015 als eine Teillösung für eine geschlossene Benutzergruppe auf der Stufe der Identifizierung positiv bewertet. Nach erfolgreicher Identifizierung wird der Endkunde zurück auf die eigentliche Website geleitet und erhält eine TAN per SMS, um den Kauf mit der Handynummer abschließen zu können.

    Hat sich der Endkunde bereits registriert und identifiziert, kann er sich mittels des „WebID DIMOCO MOBILE AVS“ für wiederholte Nutzungsvorgänge authentifizieren. Dazu findet zunächst eine Überprüfung des Geburtsdatums des Kunden sowie – wieder mittels eines SMS-TAN-Verfahrens – seiner Handynummer statt. Stimmen Nummer und Geburtsdatum überein, erhält der Kunde erneut eine TAN per SMS, mit der er den Zahlungsvorgang abschließen kann.

    Die KJM kam nach Prüfung des Konzepts zu dem Ergebnis, dass es sich bei entsprechender Umsetzung als vollständiges AVS-Konzept im Sinne der KJM-Kriterien zur Sicherstellung einer geschlossenen Benutzergruppe eignet. Der Inhalte-Anbieter hat in eigener Verantwortung zusätzliche Sicherungspflichten (wie z. B. Backdoorschutz, Time-Out nach bestimmter Idle-Time, zeitliche Begrenzung einer Sitzung) zu implementieren.

    (Entscheidung der KJM vom Dezember 2017)