KJM-Freigabe für AVS

Nach den Kriterien im AVS-Raster der Kommission für Jugendmedienschutz (KJM) (welches wiederum auf den Vorgaben durch den Jugendmedienschutz-Staatsvertrag bzw. den Richtlinien der Landesmedienanstalten beruht) gliedert sich ein Altersverifikationssystem (AVS) in zwei Schritte oder Module. Im ersten Schritt soll eine Identitäts- und Volljährigkeitsprüfung anhand einer (mittelbaren) Gesichts- und Ausweiskontrolle – die sogenannte Identifizierung – stattfinden. Der zweite Schritt soll mit einer erneuten Authentifizierung des identifizierten Nutzers sicherstellen, dass auch wirklich nur derjenige, der die Identifizierung durchlaufen hat, Zugriff auf die in einer geschlossenen Benutzergruppe geschützten Inhalte bekommt. Ein Anbieter muss aber auch sicherstellen, dass eine Umgehung der geschlossenen Benutzergruppe nicht so einfach ist, z. B. indem Hintertüren (zum Beispiel andere Login-Möglichkeiten) geschlossen werden, Sitzungen zeitbegrenzt werden oder nach längerer Abwesenheit automatisch geschlossen werden.

Damit soll das Risiko einer Weitergabe von Zugangsberechtigungen an Minderjährige so weit wie möglich reduziert werden. Ganz unterbinden lässt sich eine Zugänglichmachung jedoch nie, da jeder Bundesbürger für die Einhaltung der Jugendschutzgesetze mitverantwortlich ist und manche aus Vorsatz oder Unwissen nach der Zugangserteilung ihrerseits Medien für Minderjährige verfügbar machen können – was jedoch nur ihnen selbst anzulasten wäre. In diesem Zusammenhang sei nochmals erwähnt, dass auch Eltern und Erziehungsberechtigte sich strafbar machen können, wenn sie fälschlicherweise das Elternprivileg überstrapazieren und zu sorglos mit jugendgefährdenden Inhalten für ihre Schützlinge aufwarten. Jugendschutz ist und bleibt vorrangig immer noch elterliche Erziehungsaufgabe – auch mit der Pflicht zu schauen, was die Kinder und Jugendlichen so treiben und mit ihnen darüber zu sprechen und sie medienpädagogisch zu erziehen.

 

Einmalprüfung oder mehrmaliger Zugang?

Bei der oben angesprochenen Erschwerung des Zugangs zu jugendgefährdenden Medien ist zwischen einer einmaligen Altersprüfung bei einem einmaligen Nutzungsvorgang (Einmalschlüssel, z. B. für einen Shop ohne Accountbindung) und einer verlässlichen Authentifizierung eines bereits identifizierten Nutzers für den wiederkehrenden Nutzungsvorgang (Generalschlüssel) zu unterscheiden.

Einmalschlüssel können nach einer Identifizierung über die eID-Funktion des neuen Personalausweises oder Gesichts- bzw. Ausweiskontrollen in einer Live-Webcam Session durch geschultes Personal vergeben werden. Ausweiskopien oder die Eingabe der Ausweisnummer reichen hier nicht aus, da nicht sichergestellt werden kann, dass auch wirklich der Besitzer des Ausweises ihn gerade nutzt. Der Zugang darf natürlich auch nur dieses eine Mal und nicht nochmals gewährt werden.

Mehrmaliger Zugang zu einem Angebot geschieht über die Erteilung eines Generalschlüssels. Bei der verlässlichen Altersprüfung für die Erteilung eines Generalschlüssels muss auch erstmal eine Angesichts-Kontrolle (z. B. PostIdent-Verfahren) erfolgen. Dies kann auch über vorgelagerte Prüfungen geschehen, was bedeutet, dass zum Beispiel Logindaten einer Bank oder behördlich ausgestellte Dokumente mit eID-Funktion genutzt werden, bei denen vor Ausgabe eine Identitätskontrolle (face-to-face) stattgefunden hat. Daher ist bei der Erteilung eines Generalschlüssels die Kontrolle mit der Live-Webcam-Session nur unter bestimmten Bedingungen möglich (Audio-Aufzeichnung, Screenshots mit Personalausweis, Übersendung einer TAN zur Bestätigung an angegebene Email/Mobilnummer). Für die Identifizierung zum Generalschlüssel müssen Geburtsdatum, vollständiger Name und aktuelle Wohnanschrift (laut Ausweis) vom Nutzer vorher übermittelt werden und bei der Identifizierung bestätigt werden. Alternativ kann nur das Geburtsdatum mit der gleichzeitigen Verknüpfung des Nutzerkontos mit eindeutigen Authentifizierungsmerkmalen (z. B. der Steam Mobile Authenticator) verknüpft werden. Nachträgliches Zusenden der Authentifizierungsmerkmale (Codes, Hardwareschlüssel/USB-Dongles) müssen über “Einschreiben eigenhändig” o. Ä. an den Identifizierten persönlich übergeben werden (persönliches Zugangspasswort und Hardwareschlüssel müssen wie bei EC-Karten getrennt verschickt werden).

Beim Einloggen in eine geschlossene Benutzergruppe ist jedes Mal ein Authentifizierung über den Generalschlüssel notwendig. Außerdem muss ein Zugriff auf Inhalte über ein persönliches Passwort gesichert werden. Es muss vom Anbieter verhindert – oder zumindest sehr erschwert – werden, dass derselbe Schlüssel von verschiedenen Personen (gleichzeitig) verwendet werden kann. Dazu können etwaige ausgegebene Unique-Identifier-Lösungen oder auch Risiken in der Sphäre des Nutzers durch die Datenweitergabe zum Einsatz kommen. Es müssen Daten sein, die bei Weitergabe erhebliche materielle oder immaterielle Nachteile erzeugen können (etwa Online-Banking Login-Daten). Ausschlaggebend für eine positive Bewertung des verwendeten Verfahrens durch die KJM ist hier die Maßgabe, dass dem Nutzer schwerer (materieller oder Image-)Schaden droht, wenn er jemanden anderes (sprich: Minderjährigen) das Einloggen mit seinen Daten ermöglicht.

Hardware- bzw. Unique-Identifier Lösungen:

  • biometrische Daten (Fingerabdruck, Iris-Scan)
  • aktive Hardwarekomponente (ID-Chip, SIM-Karte – auf jeden Fall muss direkt auf der Hardware die Schlüsseleingabe geprüft werden)
  • Passive Hardwarekomponente (kopierbare Daten z. B. auf DVD oder Speicherkarte müssen geeignet gegen Kopieren geschützt sein)
  • One-Time-Pin-Verfahren (Token-/TAN-Generator wie der Steam Mobile Authenticator, smsTAN)
  • Hardware-Schlüsselabfrage (Prozessor-ID – nur auf ein Endgerät beschränkt)

Risikolösungen:

  • Kosten-Risiko (Girokonto-Login-Daten falls genügend hohe Deckung vorhanden oder gültige Kreditkartendaten samt Prüfziffer)
  • Geheimnis-Risiko (digitaler Login zu Gesundheitsdaten)

 

Freigabe von AVS durch die KJM

Die KJM bestätigt nun einem Anbieter von jugendschutzrelevanten Inhalten und Waren, ob das eingesetzte technische Verfahren zur Altersprüfung im Internet und Versandhandel ausreicht, um die Vorgaben aus dem JMStV zu erfüllen. Sowohl Gesamtkonzepte für beide Module (s.o.) oder Teillösungen für Identifizierung bzw. Authentifizierung werden von der KJM geprüft und freigegeben. Ist ein Konzept bereits positiv bewertet worden, können auch andere Anbieter ohne weitere Prüfung dieses System nutzen, solange sie die Implementierung in ihr Shop-System ebenso gestalten (dies wird auch durch Jugendschutz.net sporadisch überprüft). Dabei können die Anbieter auch Teillösungen für die Module kombinieren.

Die Informationen unseres Jugendschutzguides wurden nach bestem Wissen und Gewissen zusammengetragen, ersetzen jedoch in keinem Fall die Beratung durch einen fachkundigen Anwalt für Straf-, Medien- und bzw. oder Jugendschutzrecht. Es wird keine Haftung für die Richtigkeit oder Aktualität der Inhalte übernommen.

Sollte es Fragen oder Verbesserungsvorschläge geben oder wider Erwarten doch inhaltliche Fehler geben, so freuen wir uns über jeden Hinweis per E-Mail.