Mensch am Computer

Unzulässige Inhalte

Unzulässige Angebote dürfen in Rundfunk und Telemedien grundsätzlich nicht verbreitet werden. Allerdings gibt es eine Ausnahme.

Altersverifikationssysteme

Einige unzulässige Inhalte dürfen in Telemedien dann verbreitet werden, wenn durch geschlossene Benutzergruppen sichergestellt ist, dass Kinder und Jugendliche nicht auf sie zugreifen können. Das Schutzniveau bei diesen sogenannten „relativ unzulässigen Inhalten“ liegt also deutlich höher als bei entwicklungsbeeinträchtigenden Inhalten. Geschlossene Benutzergruppen können Anbieter durch den Einsatz von Altersverifikationssystemen herstellen.

Pornografische, bestimmte indizierte und offensichtlich schwer jugendgefährdende Inhalte dürfen im Internet nur dann verbreitet werden, wenn der Anbieter durch geschlossene Benutzergruppen gewährleistet, dass nur Erwachsene Zugriff darauf haben. Zur Sicherstellung geschlossener Benutzergruppen werden so genannte Altersverifikationssysteme (AV-Systeme) bzw. Altersprüfsysteme eingesetzt.

Die Anforderungen an solche AV-Systeme sind wesentlich höher als die Anforderungen an technische Mittel für entwicklungsbeeinträchtigende Angebote: Sie müssen gewährleisten, dass eine Volljährigkeitsprüfung über eine persönliche Identifizierung erfolgt und beim einzelnen Nutzungsvorgang nur identifizierte und altersgeprüfte Personen Zugang erhalten.

Eckpunkte

Frau hantiert mit Laptop und Smartphone

Gemäß den Eckpunkten der KJM ist Altersverifikation für geschlossene Benutzergruppen durch zwei miteinander verbundene Schritte sicherzustellen:

  1. durch eine zumindest einmalige Identifizierung (Volljährigkeitsprüfung), die grundsätzlich über persönlichen oder vorgelagerten Kontakt erfolgen muss. Voraussetzung für eine verlässliche Volljährigkeitsprüfung ist dabei die persönliche Identifizierung von natürlichen Personen inklusive Überprüfung ihres Alters. Die persönliche Identifizierung ist notwendig, damit Fälschungs- und Umgehungsrisiken möglichst vermieden werden.
  2. durch Authen­tifizierung beim einzelnen Nutzungsvorgang. Die Authentifizierung dient der Sicherstellung, dass nur die jeweils identifizierte und altersgeprüfte Person Zugang zu geschlossenen Benutzergruppen erhält, und soll die Weitergabe von Zugangsberechtigungen an unautorisierte Dritte erschweren.

Details dazu entnehmen Sie bitte den Kriterien zur Bewertung von Konzepten für Altersverifikationssysteme (AVS-Raster).

Verfahren der Positivbewertung

Der JMStV enthält kein Anerkennungsverfahren für geschlossene Benutzergruppen oder AV-Systeme. Daher hat die KJM ein Verfahren der Positivbewertung entwickelt und bewertet auf Anfrage von Unternehmen oder Anbietern entsprechende Konzepte. Dies dient der Verbesserung des Jugendschutzes im Internet und ist gleichzeitig ein Service für die Anbieter für mehr Rechts- und Planungssicherheit.

Die Hauptverantwortung für die JMStV-konforme Gestaltung eines Internetangebots liegt aber beim Inhalteanbieter. Er muss sicherstellen, dass pornografische und bestimmte andere jugendgefährdende Inhalte in seinem Angebot nur für Erwachsene zugänglich sind (geschlossene Benutzergruppen). Er kann sich dabei technischer Jugendschutz-Konzepte bedienen, die die KJM bereits positiv bewertet hat. Positivbewertungen können von der KJM im Rahmen von Pressemitteilungen veröffentlicht werden.

Bewertung durch die KJM

Die KJM bewertet sowohl Konzepte für Gesamtlösungen als auch für Teillösungen (Module) für geschlossene Benutzergruppen.

Die KJM bewertet ausschließlich Konzepte. Für die aufsichtsrechtliche Beurteilung ist die Umsetzung der geschlossenen Benutzergruppen in der Praxis entscheidend.

Das AVS-Raster der KJM spezifiziert die Anforderungen der KJM. Es dient dazu, die Entscheidungsprozesse der KJM bei der Bewertung transparent zu machen und Standards zu definieren.

Datenbank Altersverifikationssysteme

  • AU10TIX Age Verification

    September 2023 Altersverifikationssysteme (Modul) / unzulässige Inhalte

    Bei „AU10TIX Age Verification“ der AU10TIX Ltd. handelt es sich um ein Modul für eine geschlossene Benutzergruppe auf der Ebene der Identifizierung.

    In dem webbasierten Onboarding-Portal hat der Nutzer die Möglichkeit, die Identifizierung über die AU10TIX Web App oder einer mobilen SDK auf seinem mobilen Endgerät durchzuführen. „AU10TIX Age Verification“ steuert dabei die zu identifizierende Person durch die Aufnahme der Bilder. Zunächst hat der Nutzer die Vorder- und Rückseite des zu prüfenden Ausweisdokuments in die Kamera zu halten.  Im Anschluss liest „AU10TIX Age Verification“ automatisiert sämtliche Daten des Ausweisdokuments aus und überprüft anhand diverser Sicherheitsmerkmale, dass es sich um ein echtes Ausweisdokument handelt. Sodann erfolgt eine automatische Durchführung spezieller Sicherheits-Checks, um Betrugsversuche zu verhindern. Dabei wird u.a. geprüft, ob physische oder digitale Manipulationen an dem Ausweisdokument bzw. der Bilder vorgenommen wurden. Sodann hat die Person Live-Aufnahmen ihres Gesichts zu erstellen. Im Anschluss erfolgt eine „Lebenderkennung“, durch die sichergestellt wird, dass es sich tatsächlich um eine Live-Aufnahme handelt und nicht bloß um ein Foto. Abschließend erfolgt automatisiert der biometrische Abgleich des Fotos auf dem Ausweisdokument mit der Live-Aufnahme des Gesichts der zu identifizierenden Person. Zusätzlich wird das Alter des Nutzers anhand der Live-Aufnahme geschätzt und mit dem anhand des Geburtsdatums errechneten Alter abgeglichen.

    Die KJM kam nach Prüfung des Konzepts zu dem Ergebnis, dass das Konzept AU10TIX Age Verification“ der AU10TIX Ltd.  bei entsprechender Umsetzung die gesetzlichen Anforderungen des § 4 Abs. 2 S. 2 JMStV im Hinblick auf die Identifizierung erfüllt, sofern der Inhalteanbieter mit zusätzlichen Mitteln sicherstellt, dass nur bei als volljährig identifizierten Nutzern nach Zustellung von Zugangsdaten ein Zugang zu Inhalten nach § 4 Abs. 2 S. 2 JMStV freigeschaltet wird und er zusätzliche Sicherungspflichten implementiert.

    (Entscheidung der KJM vom September 2023)

  • AUTHADA GmbH: „AUTHADA QR“ und „AUTHADA ID“

    Dezember 2017 Altersverifikationssysteme (Gesamtkonzept) / unzulässige Inhalte

    Bei dem System „AUTHADA QR“ und „AUTHADA ID“ handelt es sich um ein vollständiges Konzept für ein AVS. Die AUTHADA GmbH bietet zwei unterschiedliche Möglichkeiten der Identifizierung und Authentifizierung an:

    Die AUTHADA QR-Browser-App-Lösung („AUTHADA QR“) kombiniert die Verwendung einer App und eines klassischen Webbrowsers. Befindet sich ein Endkunde auf einer Website, deren Anbieter das AVS verwendet, öffnet sich in dem Browser ein Formular und ein QR-Code, der vom User mittels der AUTHADA-App einzuscannen ist. Alternativ öffnet der Kunde die App des jeweiligen Inhalteanbieters, in welche die AUTHADA-Software integriert ist, und scannt den QR-Code im Browser. Dem Kunden wird sodann das vom Bundesverwaltungsamt ausgestellte AUTHADA CV-Berechtigungszertifikat angezeigt. Außerdem werden ihm die Daten angezeigt, die nach Eingabe seiner eID-PIN aus der eID-Karte ausgelesen und per NFC verschlüsselt an den Produktanbieter übermittelt werden. Abschließend wird dem Kunden in der App eine TAN angezeigt, die er in das Browserfenster eingeben muss.

    Bei dem Konzept „AUTHADA ID“ hingegen erfolgt der Prozess ausschließlich über die App, die vom jeweiligen Inhalteanbieter zur Verfügung gestellt wird und in die das System der AUTHADA GmbH integriert ist. Wählt der Kunde in der App das Identifizierungsverfahren der AUTHADA GmbH, wird ihm das vom Bundesverwaltungsamt ausgestellte AUTHADA CV-Berechtigungszertifikat angezeigt und wie auch in der Lösung „AUTHADA QR“ die Daten aus der eID-Karte ausgelesen und an den Produktanbieter übermittelt.

    Die KJM kam nach Prüfung des Konzepts zu dem Ergebnis, dass es sich bei entsprechender Umsetzung als vollständiges AVS-Konzept im Sinne der KJM-Kriterien zur Sicherstellung einer geschlossenen Benutzergruppe eignet. Der Inhalte-Anbieter hat in eigener Verantwortung zusätzliche Sicherungspflichten (wie z. B. Backdoorschutz, Time-Out nach bestimmter Idle-Time, zeitliche Begrenzung einer Sitzung) zu implementieren.

    (Entscheidung der KJM vom Dezember 2017)

  • Bernhard Menth Interkommunikation: „18ok“

    Dezember 2005 Altersverifikationssysteme (Gesamtkonzept) / unzulässige Inhalte

    Die zumindest einmalige Identifizierung des Nutzers erfolgt durch das Post-Ident-Verfahren. Zur Authentifizierung des identifizierten Nutzers bei jedem Nutzungsvorgang wird als technische Maßnahme eine Hardwarekomponente in Form eines persönlichen USB-Sticks verwendet, zu dem ein individueller Zugangs-PIN ausgegeben wird. Um die Weitergabe der Zugangsdaten zusätzlich zu erschweren, kommt in der Sphäre des Benutzers noch ein Kostenrisiko dazu.

    (Entscheidung der KJM vom Dezember 2005)

  • Blockchain Helix AG: „Helix id“

    Mai 2021 Altersverifikationssysteme (Gesamtkonzept) / unzulässige Inhalte

    Bei dem System „helix id“ der Blockchain Helix AG handelt es sich um ein vollständiges Konzept für ein AVS. Beim diesem Konzept erfolgt die Identifizierung mittels einer Software durch einen Vergleich der biometrischen Daten des Ausweisdokuments und einem Lichtbild des zu Identifizierenden sowie einer automatischen Erfassung der Daten des Ausweisdokuments in Verbindung mit einer Videoidentifizierung. Daneben besteht auch die Möglichkeit, eine Identifizierung mittels eines Abgleichs der eID-Funktion des Personalweises durchzuführen. 

    (Entscheidung der KJM vom Mai 2021) 

  • Checkin.com Group AB: „Checkin.com“

    Juni 2021 Altersverifikationssysteme (Gesamtkonzept) / unzulässige Inhalte

    Bei dem System „checkin.com“ der checkin.com Group AB handelt es sich um ein vollständiges Konzept für ein AVS. Das vorgelegte Konzept erfüllt sowohl auf der Ebene der Identifizierung als auch auf der Ebene der Authentifizierung die Anforderungen der KJM.

    Das System „checkin.com“ ist ein Identifizierungskonzept, in dessen Rahmen wird auf eine bereits erfolgte„face-to-face“-Kontrolle durch eine Kombination aus Open Banking und Schufa-Abfrage zurückgegriffen wird. Die Authentifizierung bei jedem Nutzungsvorgang erfolgt mittels des im Rahmen des Registrierungsprozesses gewählten Logins und Passworts. 

    (Entscheidung der KJM vom Juni 2021)

  • Checkin.com ID Scan der Checkin.com Group

    Juli 2022 Altersverifikationssysteme (Gesamtkonzept) / unzulässige Inhalte

    Bei dem System „Checkin.com ID Scan“ der Checkin.com Group handelt es sich um ein Identifizierungskonzept, welches eine Identifizierung mittels einer Software durch einen Vergleich der biometrischen Daten des Ausweisdokuments und einem Lichtbild des zu Identifizierenden ermöglicht.

    Nach erfolgter Registrierung erfolgt der Identifizierung des Nutzers in zwei Schritten. Zunächst werden die Gültigkeit des Ausweisdokuments und die Ausweisdaten überprüft. Anschließend wird die Identität des Endnutzers mittels OCR-Technologie, einschließlich einer „Lebenderkennung“ und biometrischer Gesichtsvergleiche, überprüft.

    Die Authentifizierung bei jedem Nutzungsvorgang erfolgt mittels des im Rahmen des Registrierungsprozesses gewählten Logins und Passworts.

    Die KJM kam zu dem Ergebnis, dass das Konzept „Checkin.com ID Scan“ bei entsprechender Umsetzung als vollständiges Konzept einer geschlossenen Benutzergruppe gem. § 4 Abs. 2 S. 2 JMStV geeignet ist.

    (KJM-Entscheidung Juli 2022)

  • CheckTech Service GmbH: „CheckTech Service“

    März 2017 Altersverifikationssysteme (Modul) / unzulässige Inhalte

    Bei dem System "CheckTech Service" handelt es sich um ein Modul (Teillösung) auf der Stufe der Identifizierung, das eine "face-to-face-Kontrolle" per Webcam ermöglicht. Zunächst wird die zu prüfende Person durch geschulte Mitarbeiter der CheckTech Service GmbH im Videobild in Augenschein genommen.  Danach wird der Nutzer aufgefordert, das jeweils zur Prüfung vorgesehene Dokument, den Personalausweis oder Reisepass, in die Kamera zu halten, damit der Prüfer feststellen kann, ob es für den jeweiligen Prüfvorgang zugelassen ist. Im nächsten Schritt wird überprüft, ob die vor der Kamera sitzende Person mit dem Ausweisdokument übereinstimmt. Nach Abschluss des bisherigen Prüfverfahrens erfolgt die eigentliche Prüfung der Daten, bei der die Prüfer die Personendaten erfassen und kontrollieren und anhand des Geburtsdatums vom System automatisch die Volljährigkeit des Nutzers bestätigt wird. Im Anschluss daran wird dem Nutzer systemseitig eine individuelle Freischaltungs-TAN auf seine Mobilfunknummer zugeschickt, die er im System eingeben muss.

    Die KJM kam nach Prüfung des Konzepts zu dem Ergebnis, dass es sich bei entsprechender Umsetzung als Teillösung auf der Stufe der Identifizierung im Sinne der KJM-Kriterien zur Sicherstellung einer geschlossenen Benutzergruppe eignet. Das Modul alleine reicht jedoch nicht aus, um eine geschlossene Benutzergruppe zu gewährleisten, es muss im Rahmen eines Gesamtkonzepts zur Anwendung kommen.

    (Entscheidung der KJM vom März 2017)

  • Colbette II Ltd.: „AVS AgeID“

    Juni 2016 Altersverifikationssysteme (Gesamtkonzept) / unzulässige Inhalte

    Bei dem System „AVS AgeID“ handelt es sich um ein vollständiges Konzept für ein AVS, das verschiedene Möglichkeiten der Identifizierung und der Authentifizierung bietet. Die Identifizierung kann der Nutzer entweder direkt über eine Registrierung auf der Website des Systems vornehmen oder durch eine Registrierung auf einer Internetplattform seiner Wahl, die Inhalte im Rahmen einer geschlossenen Benutzergruppe enthält, und auf der das System AgeID.com zum Einsatz kommt. Nach Erstellung des Nutzerkontos auf einer solchen Internetplattform wird der Nutzer aufgefordert, zur Website von AgeID.com zu wechseln, um sich dort zu identifizieren. Auf der Webseite muss er dann ebenfalls einen Nutzeraccount für das System AgeID.com erstellen, indem er seine persönlichen Daten eingibt. Die dort erstellten Zugangsdaten können dann im Rahmen eines Universal-Logins genutzt werden, indem das Nutzerkonto der Internetplattform mit dem Nutzerkonto von AgeID.com verknüpft wird. Nach erfolgter Registrierung hat der Nutzer die Auswahl zwischen zwei Identifizierungsoptionen, die beide bereits von der KJM als Teillösungen für ein AVS positiv bewertet wurden.

    Die Authentifizierung erfolgt entweder mittels einer App, mittels einer SMS, die an ein zuvor bestimmtes Mobiltelefon geschickt wird, oder über den Internetbrowser des Nutzers, der mit AgeID.com verbunden ist. Im Rahmen der zuletzt genannten Möglichkeit wird der Computer bzw. Internetbrowser des Nutzers mittels eines komplexen Authentifizierungssystems mit dem Nutzerkonto auf AgeID.com verbunden. Ein Login ist im Anschluss daran nur mit dem jeweiligen Endgerät und dem jeweiligen Internetbrowser möglich. Hat der Nutzer diese Möglichkeit gewählt, muss er zwar jedes Mal die Login-Daten von AgeID.com eingeben, die Authentifizierung erfolgt jedoch automatisch. Darüber hinaus besteht die Möglichkeit, die Authentifizierung per E-Mail via Pin-Code vorzunehmen. Sollte der Nutzer von verschiedenen Internetplattformen, die das System AgeID.com nutzen, wechseln, kann er unter Einsatz seiner Daten für den AgeID.com-Universal-Login direkt auf die Inhalte der jeweiligen Internetplattformen zugreifen. Solange der Seitenwechsel im Rahmen des gewährten Zeitfensters durchgeführt wird, ist keine erneute Authentifizierung nötig. Ist der Nutzer für einen Zeitraum von mindestens 15 Minuten inaktiv oder schließt der Nutzer die jeweilige Browser-Session, so ist eine erneute Authentifizierung des Nutzers gemäß der beschriebenen Methoden nötig.

    (Entscheidung der KJM vom Juni 2016)

  • Compay GmbH: „Compay“

    April 2021 Altersverifikationssysteme (Modul) / unzulässige Inhalte

    Bei dem System „Compay“ handelt es sich um ein Identifizierungskonzept, welches eine Identifizierung mittels einer bereits erfolgten „face-to-face“-Kontrolle bietet. Die Identifizierung wird bei „Compay“ über das von der KJM im September 2005 bereits positiv bewertete Modul „SCHUFA IdentitätsCheck Jugendschutz“ (mit Q-Bit) vorgenommen. Dabei werden persönliche Daten mit der Schufa abgeglichen. Anschließend an die Verifikation über den Schufa IdentitätsCheck, veranlasst Compay eine Abbuchung mit einem Code zur Verifikation auf der angefragten Homepage. Dabei wird eine Abbuchung auf dem zu verifizierenden Konto speziell zur Überprüfung veranlasst. Bei dieser Abbuchung wird ein Code mitgesendet. Dieser Code dient dann zur Verifikation auf der beantragten Homepage.

    Die KJM kam nach Prüfung des Konzepts zu dem Ergebnis, dass „Compay“ in der vorgelegten Version und bei entsprechender Umsetzung somit als als Teillösung auf Stufe der Identifizierung im Sinne der KJM-Kriterien zur Sicherstellung einer geschlossenen Benutzergruppe für Erwachsene gemäß Jugendmedienschutz-Staatsvertrag (JMStV) geeignet ist.

    Inhalteanbieter, die dieses Modul nutzen, müssen durch weitere Maßnahmen sicherstellen, dass die Weitergabe der Zugangsberechtigung an unautorisierte Dritte erschwert wird.

    (Entscheidung der KJM vom April 2021)

  • Coolspot AG: „X-Check“

    Oktober 2005 Altersverifikationssysteme (Gesamtkonzept) / unzulässige Inhalte

    In einer Variante erfolgt die Identifizierung des Kunden entweder mittels des Post-Ident-Verfahrens oder mittels des positiv bewerteten Moduls „Identitäts-Check mit Q-Bit“ der Schufa. Das Schufa-Modul gewährleistet dabei eine verlässliche Identifizierung von Erwachsenen, indem auf bereits erfolgte Face-to-Face-Kontrollen von Kreditinstituten zurückgegriffen wird. Die Zugangsdaten für die geschlossene Benutzergruppe werden nur den zuvor als volljährig identifizierten Nutzern persönlich zugestellt. Für die Authentifizierung benötigt der Kunde neben einer eigenen Software eine Hardware-Komponente (USB-Stick) sowie eine PIN-Nummer: Bei jedem Durchschreiten des X-Check-Tores muss sich der Nutzer mit dem persönlichen Passwort und seinem personalisierten „Personal ID Chip“ authentifizieren.

    In einer weiteren Variante bei Coolspot wird für die Altersprüfung das positiv bewertete Modul „fun Smart Pay AVS“ der fun communications GmbH genutzt. „Fun SmartPay AVS“ greift auf eine bereits erfolgte Identifizierung bei der Eröffnung eines Bankkontos zurück und nutzt für die Authentifizierung das Jugendschutzmerkmal der Geldkarte der deutschen Kreditwirtschaft. Dazu benötigt der Nutzer einen Chipkartenleser an seinem Computer. Bei jedem Durchschreiten des X-Check-Tores wird das Jugendschutzmerkmal der ZKA-Chipkarte überprüft.

    (Entscheidung der KJM vom September 2003 in der Fassung der Entscheidung vom Oktober 2005)