Fail in Bezug auf die in der EU und in anderen Ländern auf dem Vormarsch befindliche Altersverifikation. Die Systeme sollen ja nur melden, dass jemand die erforderliche Altersschwelle überschritte hat, um Zugang zu bestimmten Internetangeboten zu haben. Der Nutzer soll darüber hinaus für den Anbieter der Altersverifikation "anonym" bleiben. Der Anbieter AgeGO ist nun wohl aufgefallen, dass er bei einer Anforderung einer Altersverifikation mächtig Daten empfängt.
Das Thema Altersverifikation
In immer mehr Ländern – auch in der EU – wird die Altersverifikation beim Zugang zu bestimmten Internetangeboten, die erst ab 18 Jahren freigegeben werden, vorangetrieben. Ich verweise an dieser Stelle auf den netzpolitik.org-Beitrag Online-Alterskontrollen: Nur für Erwachsene vom 17.03.2025. Die Altersverifikation in der EU wird kommen. Bei Porno-Plattformen ist die Altersverifikation in bestimmten Ländern gegenüber einzelnen Anbietern bereits gerichtlich durchgesetzt worden. Bei diesem Thema kommt es nun darauf an, dass die Plattformen zur Altersverifikation genau diese Dienstleistung erbringen und der Nutzer ansonsten anonym bleibt.
Wer ist AgeGO?
Einer der Dienstleister, der mit Altersverifikation in der EU punkten will, ist die 2019 gegründe AgeGO. Das Unternehmen wurdet hat seinen Sitz in Barcelona, Spanien, mit Niederlassungen in Dublin, Irland, und Porto, Portugal und ist Teil der EXOGROUP, einer Gruppe von Unternehmen, die eine Reihe von Dienstleistungen im Bereich des digitalen Geschäftslebens anbieten.
AgeGO wird mit einer eine Online-Lösung zur Altersüberprüfung, mit der Endnutzer ihr Alter sicher überprüfen und nachweisen können, dass sie mindestens 18 Jahre alt sind. Die Technologie werde von Websites genutzt, die das AgeGO Online-Widget zur Altersüberprüfung integrieren können.
Diese Lösung bietet Endnutzern laut Anbieter verschiedene Methoden zur Überprüfung ihres Alters. Die Altersüberprüfungsmethoden von AgeGO seien für Endnutzer kostenlos, sicher und respektieren die Privatsphäre der Endnutzer, indem sie deren Identität und Daten vollständig schützen, heißt es auf der Webseite des Anbieters.
Ich habe mal einen Tweet des Anbieters herausgegriffen, der verspricht, die Daten eines Individuums bei der Altersverifikation zu schützen. Aber Papier und Internetseiten haben viel Platz, um die blumigsten Versprechen niederzuschreiben.
Datenkrake und Blick in den Abgrund?
Offenbar haben bereits einige Pornoseiten das Widget von AgeGO zur Altersverifikation eingebaut. Über das Widget läuft die Kommunikation mit AgeGo, wenn jemand das Plattform-Angebot abrufen will und in die Abfrage zur Altersverifikation läuft. Normalerweise sollte es so sein, dass das Widget "hallo, ist Max Mustermann bereits 18 Jahre" an AgeGO anfragt und dann ein Token "Ja, er ist 18 Jahre" zur Verifikation an die Webseite zurück kommt. Diese schaltet den Nutzer für das Angebot frei.
Diese Woche bin ich auf obigen Tweet gestoßen, wo jemand schreibt, dass eines der Unternehmen, das von europäischen Regierungen mit der Altersüberprüfung im Rahmen ihrer "Online-Sicherheitsgesetze" beauftragt wurde, gerade dabei erwischt wurde, wie es private Daten von Menschen online weitergegeben hat. Und dies, trotz der Zusicherungen von Regierungen wie der französischen, die sagen: "Ihre Daten sind sicher, vertrauen Sie uns" – war aber zu erwarten.
Im Beitrag AgeGO Age Verification on Pornographic Platforms (PDF) lassen sich mehr Details nachlesen. Zum Schutz Minderjähriger im Internet schreibt der seit August 2023 geltende Digital Services Act (DSA) der EU vor, dass Online-Plattformen, die für Kinder zugänglich sind, Schutzmaßnahmen implementieren müssen, um die Risiken der Konfrontation mit schädlichen oder unangemessenen Inhalten zu mindern.
In Frankreich werden diese Bestimmungen durch das Gesetz SREN vom 1. Mai 2024 in verstärkter Form umgesetzt. Das Gesetz ermächtigt den nationalen Koordinator für digitale Dienste, Arcom, die Altersüberprüfungspflicht auf pornografischen Websites in Frankreich durchzusetzen.
Am 28. August 2025 implementierten sechs pornografische Plattformen vier verschiedene Altersüberprüfungssysteme. tnaflix.com, xvideos.com und xnxx.com setzen dabei auf die Lösung von AgeGO. Der AgeGO-Altersüberprüfungsprozess ist für alle drei Plattformen identisch. Beim Klicken auf die Seite erscheint ein Popup zur Altersüberprüfung:
Quelle: Screenshot aiforensics.org-Bericht
Dem Nutzer werden im Popup dann wohl drei Optionen zur Altersverifikation angeboten:
- Anmeldung mit ihrem AgeGO-Konto,
- eine Selfie-basierte "Gesichtsalter-Schätzung" (oder mit einer Ausweichoption, die einen amtlichen Ausweis erfordert) durchführen lassen,
- oder sich mit der Yoti-App, einem anderen Anbieter für Altersüberprüfungen, anmelden.
Die technischen Richtlinien von Arcom vom Oktober 2024 definieren eine "doppelte Anonymität" als eine Option, bei der der Anbieter der Altersüberprüfung nicht wissen muss, für welchen Dienst (d. h. welche pornografische Website) die Überprüfung durchgeführt wird.
aiforensics.org hat sich die Lösung genauer angesehen und in seinem Bericht dokumentiert. Die Beobachtungen von aiforensics.org zeigen, dass der Browser des Benutzers vor der Auswahl einer Verifizierungsoption und vor der Zustimmung zur Datenschutzerklärung von AgeGO bereits eine Anfrage an den Server von AgeGO sendet, in der Folgendes offengelegt wird:
- die aktuell besuchte Website (verschlüsselt als siteId: 75 für xvideos.com, 73 für
xnxx.com und 153 für tnaflix.com) und - das genaue Video, auf das der Benutzer zugreifen möchte (Feld „returnto", z. B.
*https:// www[.]xnxx[.]com/video-tdng7c8/perfect_step…). - Als Antwort darauf gibt AgeGO ein Cookie (x-ag-sid) aus, das diese Informationen verschlüsselt.
Dieses Cookie werde anschließend in alle weiteren Anfragen an AgeGO aufgenommen, heißt es im Bericht von aiforensics.org. In der Praxis erhält AgeGO aktuell also Informationen über die spezifische Plattform, die die Überprüfung anfordert,
und über die genauen Videos, die die Benutzer anzusehen versuchen, noch bevor sie sich für die Altersverifikation von AgeGO entschieden haben.
Das ist genau nicht die "doppelte Anonymität", die laut aiforensics.org eigentlich angestrebt werden muss, wenn die Versprechen der Regierungen auf "Anonymität" erfüllt werden sollen. Die Details lassen sich im verlinkten PDF-Dokument nachlesen. Die Episode zeigt erneut, wie solche "Überwachungen" kräftig in die Hose gehen, entweder aus Unfähigkeit, oder weil Firmen Daten sammeln.
