Unzulässige Inhalte

Bei dem System „Compay“ handelt es sich um ein Identifizierungskonzept, welches eine Identifizierung mittels einer bereits erfolgten „face-to-face“-Kontrolle bietet. Die Identifizierung wird bei „Compay“ über das von der KJM im September 2005 bereits positiv bewertete Modul „SCHUFA IdentitätsCheck Jugendschutz“ (mit Q-Bit) vorgenommen. Dabei werden persönliche Daten mit der Schufa abgeglichen. Anschließend an die Verifikation über den Schufa IdentitätsCheck, veranlasst Compay eine Abbuchung mit einem Code zur Verifikation auf der angefragten Homepage. Dabei wird eine Abbuchung auf dem zu verifizierenden Konto speziell zur Überprüfung veranlasst. Bei dieser Abbuchung wird ein Code mitgesendet. Dieser Code dient dann zur Verifikation auf der beantragten Homepage.

Die KJM kam nach Prüfung des Konzepts zu dem Ergebnis, dass „Compay“ in der vorgelegten Version und bei entsprechender Umsetzung somit als als Teillösung auf Stufe der Identifizierung im Sinne der KJM-Kriterien zur Sicherstellung einer geschlossenen Benutzergruppe für Erwachsene gemäß Jugendmedienschutz-Staatsvertrag (JMStV) geeignet ist.

Inhalteanbieter, die dieses Modul nutzen, müssen durch weitere Maßnahmen sicherstellen, dass die Weitergabe der Zugangsberechtigung an unautorisierte Dritte erschwert wird.

(Entscheidung der KJM vom April 2021)

In einer Variante erfolgt die Identifizierung des Kunden entweder mittels des Post-Ident-Verfahrens oder mittels des positiv bewerteten Moduls „Identitäts-Check mit Q-Bit“ der Schufa. Das Schufa-Modul gewährleistet dabei eine verlässliche Identifizierung von Erwachsenen, indem auf bereits erfolgte Face-to-Face-Kontrollen von Kreditinstituten zurückgegriffen wird. Die Zugangsdaten für die geschlossene Benutzergruppe werden nur den zuvor als volljährig identifizierten Nutzern persönlich zugestellt. Für die Authentifizierung benötigt der Kunde neben einer eigenen Software eine Hardware-Komponente (USB-Stick) sowie eine PIN-Nummer: Bei jedem Durchschreiten des X-Check-Tores muss sich der Nutzer mit dem persönlichen Passwort und seinem personalisierten „Personal ID Chip“ authentifizieren.

In einer weiteren Variante bei Coolspot wird für die Altersprüfung das positiv bewertete Modul „fun Smart Pay AVS“ der fun communications GmbH genutzt. „Fun SmartPay AVS“ greift auf eine bereits erfolgte Identifizierung bei der Eröffnung eines Bankkontos zurück und nutzt für die Authentifizierung das Jugendschutzmerkmal der Geldkarte der deutschen Kreditwirtschaft. Dazu benötigt der Nutzer einen Chipkartenleser an seinem Computer. Bei jedem Durchschreiten des X-Check-Tores wird das Jugendschutzmerkmal der ZKA-Chipkarte überprüft.

(Entscheidung der KJM vom September 2003 in der Fassung der Entscheidung vom Oktober 2005)

Beim AVS-Konzept „[verify-U] III“ der Cybits AG handelt es sich um die Weiterentwicklung eines AVS, das schon 2006 von der KJM positiv bewertet wurde. Die ursprünglichen Identifizierungs- und Altersprüfvarianten über Postident und über den „Identitäts-Check mit Q-Bit“ der Schufa Holding AG in Verbindung mit der persönlichen Auslieferung von initialen Zugangsdaten (Autorisierungscode) per Einschreiben „eigenhändig“ bleiben erhalten.

Als neue Identifizierungsoption bietet „[verify-U] III“ an, beim Registrierungsprozess die Daten und das Alter des Nutzers über die eID-Funktion seines neuen Personalausweises (nPA) zu prüfen.

Zur Auslieferung des Autorisierungscodes sieht „[verify-U] III“ zusätzlich die Variante eines „Banklaufs“ vor: Mittels Gut- und Lastschrift wird ein zweiteiliger Autorisierungscode auf ein im Onlinebanking nutzbares Girokonto des Nutzers übermittelt. Um sicherzustellen, dass der Code über den Banklauf nur an die zuvor als volljährig identifizierte Person übermittelt wird, kommt neben Schufa-QBit im Vorfeld auch der Schufa-KontonummernCheck zum Einsatz: Die Schufa bestätigt damit, dass zu der angefragten Person auch die angegebene Kontoverbindung gehört.

Alternativ kann eine Aktivierung des Nutzeraccounts über eine Variante des giropay-Verfahrens erfolgen: Der Nutzer loggt sich mit seinen Nutzerdaten über Online-Banking in sein Girokonto ein und gibt mittels gültiger TAN eine Transaktion frei. Bei erfolgreicher Transaktion bestätigt giropay umgehend die Überweisung. Anschließend erhält der als volljährig bestätigte Nutzer einen zeitlich begrenzten Aktivierungslink und kann im Registrierungsprozess von „[verify-U] III“ fortfahren.

Durch ein Zusammenspiel und Ineinandergreifen mehrerer Kontrollroutinen wird hinreichend sichergestellt, dass eine Aktivierung des Nutzeraccounts nur durch diejenige Person erfolgen kann, die zuvor als volljährig identifiziert wurde. Der Nutzer muss sich vor jedem Zutritt zu einer geschlossenen Benutzergruppe mit seinen individuellen Zugangsdaten einloggen. Zudem ist eine Bindung des Nutzeraccounts an bestimmte im System registrierte Hardwarekomponenten erforderlich.

(Entscheidung der KJM vom Oktober 2012; vgl. hierzu auch die Entscheidung der KJM vom August 2006)

Mit diesem AV-System wird die Möglichkeit zur Einrichtung geschlossener Benutzergruppen an mehreren Endgeräten vorgesehen: gegenwärtig sowohl bei PCs als auch bei Mobilfunkgeräten und Settopboxen. Die Identifizierung erfolgt über den "Identitäts-Check mit Q-Bit" der Schufa Holding AG. Als alternative Identifizierungsvariante ist außerdem das Post-Ident-Verfahren vorgesehen. Um zu gewährleisten, dass der Zugang zur geschlossenen Benutzergruppe nur für die zuvor identifizierten Erwachsenen zugänglich ist, müssen sich diese zu Beginn jeder Nutzung authentifizieren. Hierfür muss jeder Nutzer seinen Zugang mit dem persönlich zugestellten Alters-PIN (Adult-PIN) auf der Verify-U-Internetseite aktivieren und sein Endgerät beim System anmelden. Zusätzlich ist im Fall der Weitergabe der Zugangsberechtigung ein Kostenrisiko gegeben.

(Entscheidung der KJM vom August 2006; vgl. auch die Entscheidung der KJM vom Oktober 2012)

Möchte ein Kunde bei der Nutzung eines Onlineshops aufgrund von Shop- oder Gesetzesvorgaben oder Geschäftsbedingungen sein Alter als volljährig verifizieren, steht ihm die Möglichkeit der Altersverifikation mittels seines Onlinebanking-Accounts bei der Deutschen Bank zur Verfügung. Wenn ein Onlineshop diese Verifikationsmöglichkeit anbietet, wird der Kunde während des Check-Out-Vorgangs auf eine Internetseite der Deutschen Bank weitergeleitet. Auf dieser Seite loggt er sich mit seinen Onlinebanking-Zugangsdaten ein, um dann per Klick seine Zustimmung zur Nutzung bestimmter personenbezogener Daten (hier: Bestätigung der Volljährigkeit) zu erteilen. Die Schnittstelle der Deutschen Bank (dbAPI) errechnet daraufhin das aktuelle Alter des Kunden anhand seines Geburtsdatums und erteilt dem Onlineshop die Auskunft, ob der Kund bereits volljährig ist oder nicht. Eine Auskunft über das tatsächliche Alter oder das Geburtsdatum des Kunden wird dem Onlineshop nicht mitgeteilt.

Die KJM kam nach Prüfung des Konzepts zu dem Ergebnis, dass es sich bei entsprechender Umsetzung als vollständiges AVS-Konzept im Sinne der KJM-Kriterien zur Sicherstellung einer geschlossenen Benutzergruppe eignet. Der Inhalte-Anbieter hat in eigener Verantwortung zusätzliche Sicherungspflichten (wie z. B. Freischaltung nur bei Rückmeldung „volljährig“, Backdoorschutz, Time-Out nach bestimmter Idle-Time, zeitliche Begrenzung einer Sitzung) zu implementieren.

(Entscheidung der KJM vom Januar 2019)

Bei dem System „POSTIDENT durch Videochat“ handelt es sich um ein Modul (Teillösung) für eine geschlossene Benutzergruppe auf der Stufe der Identifizierung. Das Modul alleine reicht jedoch nicht aus, um eine geschlossene Benutzergruppe sicherzustellen, es muss im Rahmen eines geeigneten Gesamtkonzepts zur Anwendung kommen.

Das Konzept beruht auf einem mehrstufigen Identifizierungsverfahren. Die Identifikation des Nutzers erfolgt dabei zunächst durch die Eingabe der Ausweisdaten im Identifizierungssystem. Im Anschluss daran wird die Identität des Nutzers in einer Videokonferenz mit geschulten Mitarbeitern der Deutschen Post AG verifiziert, bei der das Ausweisdokument und die Übereinstimmung der Daten geprüft werden. Schließlich wird dem Kunden eine TAN zugesandt, durch deren Eingabe die Identifizierung abgeschlossen wird. Nur wenn alle Schritte erfolgreich durchlaufen wurden und keine Widersprüche auftreten, erlangt der Nutzer Zugang zum gewünschten Angebot.

(Entscheidung der KJM vom Juni 2015)

„NetGate“ baut auf bereits von der KJM positiv bewerteten AVS-Konzepten der T-Online International AG auf und enthält zusätzliche Möglichkeiten der Identifizierung und Authentifizierung für einen künftigen Einsatz im gesamten Konzern der Deutschen Telekom AG. Auch für Kooperationspartner soll „NetGate“ als Altersverifikationsdienst eingesetzt werden. Die Identifizierung ist entweder mittels Post-Ident-Verfahren, persönlich im Telekom-Shop oder über entsprechend geschulte Vertriebspartner vorgesehen. Alternativ ist auch eine Identifizierung über das von der KJM positiv bewertete Modul „Identitäts-Check mit Q-Bit“ der Schufa oder über Personendaten möglich, die bei Abschluss eines T-Mobile-Vertrags erfasst wurden. In den letzten beiden Varianten wird auf eine bereits erfolgte Face-to-Face-Kontrolle zurückgegriffen – ergänzt durch eine Auslieferung der Zugangsdaten per eigenhändigem Einschreiben. Auch für die Authentifizierung gibt es verschiedene Varianten. Es kommen verschiedene Endgeräte zum Einsatz – PC, Set-Top-Box und Mobilfunkgerät – und damit verschiedene Verfahren mit Hardwarebindung. Zudem ist in jedem Fall die Eingabe einer speziellen, individuellen Erwachsenen-PIN erforderlich. Hinzu kommen Maßnahmen in der Sphäre des Benutzers, die das Risiko der Weitergabe der Zugangsdaten und deren unautorisierte Nutzung durch Dritte reduzieren: Finanzielle Risiken sowie weitere persönliche Risiken, wie die Übernahme der virtuellen Identität des autorisierten Nutzers, das Einsehen von Rechnungsdaten und ggf. Einzelverbindungsnachweisen sowie das Ändern von Telefon-, Access- und Mobilfunktarifen.

(Entscheidung der KJM vom Dezember 2008)

Bei „Digital Client Onboarding Suite“ handelt es sich um ein webbasiertes Onboarding-Portal. Inhalteanbieter können dieses in ihre Angebote mittels eines Software Development Kit (SDK) einbinden. 

Zum einen hat der Nutzer die Möglichkeit, sich ausschließlich durch die „Digital Client Onboarding Suite“ mittels künstlicher Intelligenz und biometrischem Abgleich zu identifizieren. „Digital Client Onboarding Suite“ steuert dabei die zu identifizierende Person durch die Aufnahme der Bilder. Zunächst hat der Nutzer die Vorder- und Rückseite des zu prüfenden Ausweisdokuments in die Kamera zu halten. Im Anschluss liest „Digital Client Onboarding Suite“ automatisiert sämtliche Daten des Ausweisdokuments aus und überprüft anhand diverser Sicherheitsmerkmale, dass es sich um ein echtes Ausweisdokument handelt. Es erfolgt eine automatische Durchführung spezieller Sicherheits-Checks, um Betrugsversuche zu verhindern. Dabei wird u.a. geprüft, ob physische oder digitale Manipulationen an dem Ausweisdokument bzw. der Bilder vorgenommen wurden. Sodann hat die Person Live-Aufnahmen ihres Gesichts zu erstellen. Im Anschluss erfolgt eine „Lebenderkennung“, durch die sichergestellt wird, dass es sich tatsächlich um eine Live-Aufnahme handelt und nicht bloß um ein Foto. Abschließend erfolgt automatisiert der biometrische Abgleich des Fotos auf dem Ausweisdokument mit der Live-Aufnahme des Gesichts der zu identifizierenden Person.

Zudem besteht die Möglichkeit, sich mittels des deutschen Personalausweises mit Online-Ausweisfunktion unter Verwendung einer NFC-Schnittstelle (Near Field Communication), über die die Daten des Ausweisdokuments ausgelesen werden können, zu identifizieren.

Die KJM kam zu dem Ergebnis, dass das Konzept „Digital Client Onboarding Suite“ der Global Digital Profile GmbH bei entsprechender Umsetzung die gesetzlichen Anforderungen des § 4 Abs. 2 S. 2 JMStV im Hinblick auf die Identifizierung erfüllt, sofern der Inhalteanbieter mit zusätzlichen Mitteln sicherstellt, dass nur bei als volljährig identifizierten Nutzern nach Zustellung von Zugangsdaten ein Zugang zu Inhalten nach § 4 Abs. 2 S. 2 JMStV freigeschaltet wird und er zusätzliche Sicherungspflichten implementiert.

(KJM Entscheidung Juli 2023)

Nutzer, die auf das Pay-per-View-Angebot zugreifen möchten, müssen zuerst ihre Volljährigkeit persönlich nachweisen, in dem sie sich über das Post-Ident-Verfahren identifizieren. Danach bekommen sie ihren individuellen Zugangsschlüssel, die „Erotik-PIN“, persönlich zugestellt. Um zu gewährleisten, dass die Filme in der geschlossenen Benutzergruppe nur für die identifizierten Erwachsenen zugänglich sind, müssen sich diese zu Beginn jeder Nutzung authentifizieren. Dafür muss die Erotik-PIN (Adult-Passwort) sowie die Nummer der personalisierten Smart-Card eingegeben werden. In Zugangsdaten und Smart-Card ist auch eine Bezahlfunktion integriert. Die Filmnutzung ist zeitlich begrenzt. Durch diese Kombination verschiedener Schutzmaßnahmen wird das Risiko der Weitergabe von Zugangsdaten und Smart-Card an unautorisierte Dritte reduziert.

(Entscheidung der KJM vom Juni 2006)

Bei dem System „Face Assure“ der Privately SA handelt es sich um Tool zur Altersschätzung mittels künstlicher Intelligenz. Inhalteanbieter können dieses Tool in ihren eigenen Telemedienangeboten implementieren, um so das Alter von Nutzern einschätzen zu können.

Die dahinterstehende Technik besteht aus einem neuronalen Netzwerk, welches mittels einer Vielzahl von Gesichtsbildern dazu trainiert wurde, das Alter anhand biometrischer Daten einzuschätzen.

Zur Alterseinschätzung hat der Nutzer in die Kamera des Telefons oder in die Webcam des Computers zu schauen. Das Bild wird auf dem Gerät des Benutzers verarbeitet, um sein Alter zu schätzen. Mittels des neuronalen Netzwerks wird das Alter anhand des Bildes innerhalb von 1,5 Sekunden geschätzt. Ein Download einer App oder die Einreichung von Ausweisdokumenten werden für die Alterseinschätzung nicht benötigt, die im Rahmen der Altersschätzung übermittelten biometrischen Daten verbleiben dann ausschließlich auf dem Endgerät der zu identifizierenden Person.

„Face Assure“ hält Vorkehrungen bereit, die Manipulation bei der Altersermittlung verhindert soll. Das Verfahren zur Ermittlung von Gesichtern erkennt, ob es sich bei der Live-Aufnahme um eine reale, lebendige Person handelt (Lebenserkennung) oder ob versucht wird, das System durch Nutzung einer Fotografie oder eines Videos von einer anderen, älteren Person zu tauschen. Bei Feststellung eines möglichen Manipluationsversuchs bricht die Altersermittlung ab.

Die KJM kam nach Prüfung des Konzepts zu dem Ergebnis, dass „Face Assure“ der Privately SA in der vorgelegten Version und bei entsprechender Umsetzung somit als Teillösung auf Stufe der Identifizierung im Sinne der KJM-Kriterien zur Sicherstellung einer geschlossenen Benutzergruppe für Erwachsene gemäß Jugendmedienschutz-Staatsvertrag (JMStV) geeignet ist.

(KJM-Entscheidung Oktober 2022)