Reddit-Altersverifikation in der EU: Datenschutzrisiken durch US-Anbieter

Reddit Männchen, aus dem unteren Ende wachsen jede Menge Tentakel, an deren Enden Smilies

Ab dem 24. Juni 2026 beschränkt Reddit den Zugriff auf bestimmte Inhalte und Communities in der Europäischen Union, sofern Nutzerinnen und Nutzer nicht zweifelsfrei als volljährig identifiziert sind. Wer betroffen ist, soll sein Alter über das Apple-Konto, ein Google-Konto oder den US-amerikanischen Dienstleister Persona Identities, Inc. nachweisen. Reddit stellt die Maßnahme als Umsetzung des Digital Services Act und als Schutz Minderjähriger dar. Aus Sicht des Datenschutzes verdient die konkrete technische Umsetzung jedoch eine genauere Betrachtung.

Die Ankündigung von Reddit

In der Mitteilung an die Nutzer und in der zugehörigen Hilfeseite beschreibt Reddit drei Verfahren zur Altersbestätigung. Zum einen kann die im Apple- oder Google-Konto hinterlegte Altersangabe abgefragt werden. Reddit erhält in diesem Fall nach eigener Darstellung nur die Information, ob ein Nutzer über oder unter einer Altersgrenze liegt, nicht das tatsächliche Geburtsdatum. Zum anderen verweist Reddit auf seinen Partner Persona, an den Nutzer zur Vorlage eines amtlichen Ausweisdokuments oder eines biometrischen Gesichtsselfies weitergeleitet werden. Reddit erklärt, die Bilder selbst nicht zu sehen oder zu speichern, und führt aus, dass Persona die Daten nach drei Tagen lösche. Konten von Minderjährigen werden zusätzlich auf die restriktivsten Privatsphäre-Einstellungen umgestellt, teilweise ohne Möglichkeit zur Anpassung.

Apple-Konto und Persona als Verifikationswege

Wer ausschließlich Apple- oder Google-Konten zur Altersbestätigung nutzt, bewegt sich innerhalb einer Plattform, an die er ohnehin gebunden ist (zumidest, falls man dort Altersangaben hinterlegt hat). Die Datenübertragung lässt sich technisch auf eine reine Altersangabe begrenzen. Diese Variante ist allerdings nicht für jeden zugänglich, etwa bei Nutzung über den Browser, bei nicht verifizierten App-Store-Konten oder in den Fällen, in denen Reddit die Apple-Variante nicht anbietet. Damit bleibt für eine relevante Zahl von Nutzern in der EU faktisch nur Persona als Verfahren übrig.

Persona als KYC-Anbieter

Persona ist kein auf Jugendschutz spezialisierter Anbieter, sondern eine US-amerikanische Plattform für Identitätsprüfung, die ihr Geschäft im regulierten Finanz- und Compliance-Umfeld macht. Das Produktportfolio umfasst Know-Your-Customer- und Anti-Money-Laundering-Lösungen (KYC steht für “Know Your Customer”, auf Deutsch wörtlich “Kenne deinen Kunden”. Es ist die im Bankenwesen und in regulierten Branchen gesetzlich vorgeschriebene Pflicht, die Identität von Kunden festzustellen und zu überprüfen, bevor man Geschäftsbeziehungen aufnimmt. Man nimmt also eine Infrastruktur, die für hochregulierte Finanzgeschäfte gedacht ist, und stülpt sie über eine Frage, die mit einem Bit Information beantwortet wäre), biometrische Echtheitsprüfungen, Dokumentenanalyse und Abgleiche gegen Sanktions- und PEP-Listen (PEP steht für “Politically Exposed Persons”, auf Deutsch “politisch exponierte Personen”. Das sind Personen, die ein öffentliches Amt bekleiden oder bekleidet haben, plus deren Familienmitglieder und enge Geschäftspartner.). Altersverifikation ist in dieser Architektur ein einzelnes Modul innerhalb eines deutlich umfassenderen Prüfsystems.

Aus dieser Konstellation ergibt sich ein strukturelles Problem. Was als binäre Information dargestellt wird, also die Antwort auf die Frage “über 18 oder nicht”, wird über eine Infrastruktur abgewickelt, die für tiefgreifende Identitätsanalysen konzipiert ist. Welche Module bei einer konkreten Verifikation tatsächlich aktiv sind, lässt sich von außen nicht überprüfen. Erschwerend kommt im Zuge der Diskussionen um “Digitale Souveränität” und eine faschistoide US-Regierung hinzu, dass die Daten in die USA fließen – und da will man Identitätsdaten nun wirklich nicht mehr haben.

Die Recherche von Celeste Jessin

Am 16. Februar 2026 veröffentlichten Celeste Jessin (vmfunc), MDL und Dziurwa unter dem Titel “The Watchers” eine umfangreiche Untersuchung der Persona-Plattform. Anlass war ein Fehler in Personas Vite-Build-Konfiguration. Über öffentlich erreichbare Source Maps wurden 53 Megabyte TypeScript-Quellcode aus 2.456 Dateien zugänglich, ohne dass ein Angriff erforderlich gewesen wäre. Der betroffene Endpunkt lag auf einer FedRAMP-autorisierten US-Regierungsinfrastruktur.

Die Auswertung dieses Codes ergab eine Plattform mit 269 unterschiedlichen Verifikationsprüfungen. Dokumentiert sind unter anderem Module für die direkte Übermittlung von Suspicious Activity Reports an FinCEN und an das kanadische Pendant FINTRAC, 13 verschiedene Trackinglisten (darunter Gesichtsbiometrie, Browser- und Gerätefingerprints, Geolokation und Ausweisnummern), eine Anbindung an Chainalysis zur Krypto-Adressbewertung sowie ein Watchlist-System gegen Listen politisch exponierter Personen. Das Team fand außerdem eine seit November 2023 aktive Subdomain openai-watchlistdb.withpersona.com, also rund 18 Monate vor der öffentlichen Ankündigung einer Identitätsprüfung durch OpenAI im Sommer 2025. Die Speicherfristen für biometrische Daten waren im Code mit bis zu 1.095 Tagen, also drei Jahren, hinterlegt.

Persona-CEO Rick Song hat in einer Korrespondenz mit Celeste Jessin und in öffentlichen Stellungnahmen Teile der Schlussfolgerungen bestritten. Persona erklärte, dass keine im Auftrag von OpenAI verarbeiteten Daten an FinCEN oder FINTRAC übermittelt würden, dass der Codename “ONYX” eine Anspielung auf Pokémon sei und dass Projektnamen wie “SHADOW” und “LEGION” aus anderen Kontexten stammten (Anti-CSAM-Arbeit beziehungsweise ein kanadisches AML-Programm) und nicht mit der kommerziellen Verifikation in Verbindung stünden. Zur Frage, ob Nutzer über den vollen Umfang der 269 Prüfungen informiert werden, gab Persona keine direkte Antwort. Auch zu Verschlüsselung, behördlichem Zugriff und experimentellen ML-Modellen blieben mehrere Fragen offen.

Discord hat die Zusammenarbeit mit Persona nach der Veröffentlichung beendet. Reddit verwendet Persona weiterhin und führt das Verfahren nun trotz aller Probleme und Bedenken in der EU ein.

Für die Bewertung aus europäischer Datenschutzsicht ist nicht entscheidend, ob jede einzelne Behauptung der Forscher in jeder konkreten Implementation greift. Entscheidend ist, dass die zugrundeliegende Plattform diese Funktionen architektonisch bereitstellt. Welche Module bei der konkreten Reddit-Verifikation aktiv sind, lässt sich von außen nicht prüfen und die Datenflüsse verlassen in jedem Fall den europäischen Rechtsraum.

Berichte aus dem britischen Markt, der zuvor als Testumgebung diente, beschreiben zudem Verfahrenselemente wie NFC-Chip-Scans des Reisepasses, Live-Selfies und Verhaltensbiometrie, etwa Tippgeschwindigkeit oder Zögern beim Ausfüllen.

Übertragung biometrischer Daten an einen US-Konzern

Aus europäischer Datenschutzperspektive sind drei Punkte besonders problematisch.

Erstens werden biometrische Daten erhoben, also nach Art. 9 DSGVO besondere Kategorien personenbezogener Daten mit verschärftem Schutzniveau. Selfies und Ausweisbilder fallen unzweifelhaft in diesen Bereich. Eine Verarbeitung ist nur unter sehr engen Voraussetzungen zulässig, regelmäßig auf Basis ausdrücklicher Einwilligung. Diese Einwilligung wird hier jedoch unter dem Druck erteilt, ansonsten den Zugriff auf weite Teile einer seit Jahren genutzten Plattform zu verlieren. Die Freiwilligkeit einer solchen Einwilligung ist mindestens diskussionswürdig.

Zweitens wandern die Daten an einen US-Konzern. Auch wenn das aktuelle EU-US Data Privacy Framework Übermittlungen formal abdeckt, bleibt das strukturelle Risiko bestehen, dass US-Behörden unter FISA 702 oder dem CLOUD Act auf gespeicherte Daten zugreifen können. Die Schrems-II-Argumentation des EuGH gilt weiterhin in der Sache, auch wenn der Rechtsrahmen aktuell ein anderer ist.

Drittens liegt eine Zweckverschiebung nahe. Der angegebene Zweck ist die Altersfeststellung, die technische Architektur erlaubt deutlich mehr. Selbst eine vertraglich zugesicherte Beschränkung der Auswertung ändert nichts daran, dass die Daten an einer Stelle anfallen, die für umfassendere Prüfungen ausgelegt ist und in einem anderen Rechtsraum operiert.

Datensparsamkeit nach DSGVO und DSA

Art. 5 Abs. 1 lit. c DSGVO verlangt Datensparsamkeit. Erhoben werden darf nur, was für den angegebenen Zweck erforderlich ist. Für eine reine Altersprüfung ist die Übermittlung eines vollständigen Ausweisbildes oder eines biometrischen Selfies an einen externen Anbieter nicht zwingend erforderlich. Es existieren Verfahren, die mit weniger Daten auskommen.

Der Digital Services Act selbst stützt diese Argumentation. Art. 28 Abs. 3 DSA stellt ausdrücklich klar, dass Plattformen allein zur Bestimmung der Minderjährigkeit eines Nutzers nicht verpflichtet sind, zusätzliche personenbezogene Daten zu verarbeiten. Die Schutzpflicht für Minderjährige aus Art. 28 DSA und die Pflicht zur Datensparsamkeit aus der DSGVO sind nicht gegeneinander auszuspielen, sondern gemeinsam einzuhalten. Eine Umsetzung, die zur Erfüllung einer Schutzpflicht systematisch mehr Daten erhebt als nötig, erfüllt diese Anforderung nicht.

Persönliche Einschätzung zur Vereinbarkeit mit Art. 28 Abs. 3 DSA

An dieser Stelle eine persönliche Einschätzung, ausdrücklich keine Rechtsberatung. Ich bin kein Anwalt.

Meiner Meinung nach lässt sich die aktuelle Umsetzung der Reddit-Altersverifikation über Persona nur schwer mit Art. 28 Abs. 3 DSA in Einklang bringen. Die Norm stellt klar, dass Plattformen allein zur Bestimmung der Minderjährigkeit eines Nutzers nicht verpflichtet sind, zusätzliche personenbezogene Daten zu verarbeiten. Reddit erhebt über Persona genau das: ein vollständiges Ausweisbild oder ein biometrisches Selfie, ergänzt um Geräte- und Verhaltensdaten, übermittelt an einen US-Anbieter, dessen Plattform architektonisch deutlich weiter reicht, als die reine Altersfeststellung erfordern würde. Datensparsame Verfahren wie eine reine Ja/Nein-Bestätigung über das Apple- oder Google-Konto oder eine künftige Bestätigung über die EUDI Wallet sind technisch verfügbar oder absehbar. Wer einen Verifikationspfad anbietet, der ungleich mehr Daten in Drittstaaten überträgt als notwendig, setzt nach meiner Lesart die Anforderung der Erforderlichkeit nicht um.

Ob das letztlich von Aufsichtsbehörden oder Gerichten so gesehen wird, steht auf einem anderen Blatt. Bewertungen dieser Art sind Aufgabe der zuständigen Datenschutzaufsichten und der EU-Kommission im Rahmen der DSA-Aufsicht. Solange diese Verfahren nicht abgeschlossen sind, bleibt meine Einschätzung eine Einschätzung.

Position des Europäischen Datenschutzausschusses

Der Europäische Datenschutzausschuss hat im Februar 2025 ein Statement on Age Assurance veröffentlicht und im September 2025 die Guidelines 3/2025 zum Zusammenspiel von DSA und DSGVO zur öffentlichen Konsultation gestellt. Beide Dokumente betonen, dass Altersverifikation risikobasiert, verhältnismäßig und nach den Grundsätzen von Privacy by Design und Privacy by Default zu gestalten ist. Übermittelt werden soll nur die Information über das Erreichen einer Altersschwelle, nicht das Geburtsdatum, nicht das Ausweisbild, nicht das biometrische Profil. Wer biometrische Verfahren einsetzt, muss eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchführen und die besondere Schutzbedürftigkeit der Daten begründen.

Verfügbare Alternativen

Die EU arbeitet seit längerem an einer technisch sauberen Lösung. Die EU-Kommission stellt eine quelloffene Mini-Wallet-App als Übergangslösung bereit, die nur das Erreichen eines Mindestalters als kryptographisches Attribut bestätigt, ohne Geburtsdatum, ohne Klarname, ohne biometrische Daten. Ab voraussichtlich 2026 soll die Funktion in die EU Digital Identity Wallet (EUDI Wallet) der Mitgliedstaaten überführt werden. Die zugehörigen Spezifikationen, Verifier-Schnittstellen und Referenzimplementierungen sind öffentlich (alle möglichen Probleme mit der EUDI-Wallet wurden allerdings beispielsweise seitens des CCC bereits dokumentiert).

Privacy-erhaltende Verfahren wie Zero-Knowledge-Proofs, Selective Disclosure und attributbasierte Bestätigungen auf Basis nationaler eID-Lösungen existieren technisch. Sie werden von Persona nach öffentlich verfügbaren Berichten bislang nicht unterstützt. Eine Reddit-Verifikation über die EUDI Wallet wäre aus europäischer Datenschutzperspektive eine deutlich sauberere Lösung als die derzeitige Umsetzung über einen US-Compliance-Anbieter.

Empfehlung für EU-Nutzer

Wer die Reddit-Altersverifikation aktuell durchläuft, sollte sich der Tragweite bewusst sein. Die Wahl zwischen Apple- oder Google-Konto einerseits und Persona andererseits ist keine gleichwertige Wahl. Die Verifikation über Persona erfordert die Übermittlung biometrischer und dokumentenbasierter Daten an einen US-Konzern, dessen Hauptgeschäft im KYC-Umfeld liegt. Wer die Apple- oder Google-Variante nutzen kann, gibt strukturell weniger preis, bleibt aber innerhalb einer ohnehin bestehenden Plattformbindung, hier liegen die Daten aber möglicherweise eh in den USA.

Die mittelfristig sauberste Lösung liegt nicht bei Reddit, sondern bei den europäischen Wallet-Lösungen. Bis diese flächendeckend verfügbar sind, bleibt der Schritt zur Verifikation eine Abwägung zwischen Plattformzugang und Datenpreisgabe. Eine generelle Empfehlung gibt es hier nicht, tendenziell sollte man bei dem Spielchen, dass Reddit Persona Daten zuschustert aber nicht mitmachen. Eine generelle Beobachtung gibt es allerdings schon: Datenschutz, der über die Übermittlung biometrischer Daten an einen außereuropäischen Compliance-Anbieter realisiert wird, ist im Ergebnis das Gegenteil dessen, was Datenschutz nach europäischem Verständnis bedeutet.

Quellen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen