Im April 2026 erklärt die Präsidentin der EU-Kommission die europäische Altersverifikations-App vor Kameras für „technisch fertig”. Wenige Stunden später haben Sicherheitsforscher die App geknackt. Auf Telepolis und heise stehen die Mitschriften des Hacks; der Code ist Open Source, der Angriff dauerte unter zwei Minuten. Das Wissenschaftler-Moratorium von 400 Forscher:innen aus dem März wurde von der Kommission ignoriert. Das politische Spektrum reicht von der taz („Kapitulation”) bis zu Nius („Horrorplan”); die Patrioten und ECR im Europaparlament — also die rechtsextremen Fraktionen — sind die einzigen, die geschlossen dagegen stimmen. Grüne, S&D und Liberale sind, wie Thomas Lohninger es im Logbuch:Netzpolitik formuliert, „in Sinnfindung”.
Trotzdem läuft der Roll-out.
Wenn ein politisches Vorhaben gleichzeitig technisch versagt, wissenschaftlich gewarnt und politisch breit abgelehnt wird — und es trotzdem kommt —, dann ist das ein Befund, der erklärungsbedürftig ist. Ich glaube, der Befund hat mit der Form der Kritik zu tun. Die Kritik an der EU-Altersverifikation ist auf einer Achse stark und auf der zweiten zu leise.
Dieser Text macht beide Achsen explizit und nennt das Resultat: einen doppelten Kategoriefehler.
Was die Kommission da eigentlich baut
Die EU-Altersverifikations-App ist kein Solo-Projekt. Sie ist die erste produktive Anwendung einer Infrastruktur, die unter dem Namen EUDI-Wallet (European Digital Identity) seit Juni 2021 in Vorbereitung ist. Die rechtliche Linie, die Lohninger im LNP552 nüchtern rekonstruiert: Der Digital Services Act schreibt für Hochrisiko-Anwendungen — vor allem Pornografie — eine Altersprüfung vor. Eigentlich sollte die EUDI-Wallet das leisten. Die Wallet wird nicht rechtzeitig fertig. Also baut die Kommission eine Mini-Wallet als Workaround. Vier Millionen Euro aus dem EU-Budget gehen an T-Systems und eine Thales-Tochter; das Ergebnis ist Open Source.
Hochinteressant wird der Vorgang dadurch, dass die App im Lauf des Jahres 2026 aus ihrem ursprünglichen Use-Case — Pornografie-Schranke — in einen zweiten gezogen wird: Social-Media-Mindestalter. Den Push gibt der australische Vorstoß (16 Jahre für Social Media), den Macron mit von der Leyen, Merz und Meloni für Europa adaptieren will. Aus „Schutz vor pornografischen Inhalten” wird „Schutz vor Social Media”.
Lohninger fasst den rechtlichen Status zusammen:
„Es gibt keine Rechtsgrundlage für diese Software. Das ist einfach etwas, das die Kommission so anbietet, aber das hat keinerlei Verbindlichkeit.”
Eine Software ohne Rechtsgrundlage, die ein politisches Versprechen einlöst, das so noch gar nicht beschlossen ist. Und das Versprechen wandert während der Umsetzung den Use-Case-Pfad weiter ins Allgemeine. Daraus ergeben sich zwei sehr unterschiedliche Probleme.
Erste Achse: Was sie heute baut, ist morgen Massenüberwachung
Patrick Breyer hat die App den „Jugendschutz-Trojaner zum Gewöhnen an staatliche Kontrolle” genannt. Das ist keine Polemik, das ist eine technische Beschreibung. Der Trojaner-Charakter liegt nicht im Funktionsumfang heute, sondern in der Pfadabhängigkeit der gebauten Infrastruktur.
Drei Bausteine fügen sich im April 2026 zusammen:
Erstens die App selbst. „Technisch fertig” laut vdL, in unter zwei Minuten geknackt laut Sicherheitsforscher. Die Diskrepanz zwischen offizieller Verlautbarung und technischer Realität ist nicht peinlich — sie ist politisch. Die Verlautbarung war wichtiger als die Funktion.
Zweitens der politische Druck. Macron mobilisiert von der Leyen, Merz und Meloni für eine EU-weit verpflichtende Altersverifikation via Ausweisdokument. Sebastian Meineck zitiert auf netzpolitik.org das Pandemie-Framing: „Soziale Medien wie eine Bedrohung, vor der Kinder geschützt werden müssen.” Das Pandemie-Argument ist diskursiv besonders effektiv, weil es kritische Rückfragen unter Zynismus-Verdacht stellt.
Drittens die biometrische Erfassung im Realbetrieb. Frankfurt am Main setzt seit Juli 2025 Echtzeit-Gesichtserkennung im Bahnhofsviertel ein, inklusive 16 Bordellen und Beratungsstellen. Bilanz nach Monaten: 19 taugliche Kameras, ein einziger Treffer, ein laufendes GFF-Verfahren am VG Frankfurt. Pilotprojekt, sagt die Polizei. Trojaner-Vorlauf, sagt die Pfadabhängigkeits-Lesart.
Einzeln betrachtet wirkt jeder dieser Bausteine begrenzt. Eine App schützt Kinder vor Pornografie. Politischer Druck setzt Standards. Frankfurt ist ein Pilotprojekt. Zusammen entsteht aber: eine Pflicht zur Identifizierung im Netz (Mindestalter prüfbar = Identität feststellbar), biometrische Profile auf Plattformen und im öffentlichen Raum, und politische Durchsetzungsmacht der Kommission gegen einhellige Expertenkritik.
Sebastian Meineck formuliert die Schwelle so präzise wie scharf: Vom Kontroll- zum Massenüberwachungsapparat sei es „kein allzu großer Schritt mehr”. Genau das ist die Definition von Pfadabhängigkeit — die Infrastruktur ist gebaut, die Hürde zur Umnutzung sinkt. Ein technisches Update (Pseudonyme → Klarnamen) und ein juristisches (neue Rechtsgrundlage), und der Apparat wechselt die Funktion. Beide Updates sind aus heutiger Sicht „nur” Verwaltungsakte.
Das ist die erste Achse: Auch wenn die App genau das täte, was sie verspricht — sie wäre gefährlich, weil ihre Infrastruktur mit kleinem juristischen Update polizeilich nutzbar wird. Diese Achse stützen Lohningers Befunde zur EUDI-Wallet (Single Point of Failure, Remote-Killswitch, Verified Credentials beweisbar gegenüber Dritten), die Trojaner-These von Breyer und der laufende Frankfurter Realbetrieb. Sie ist gut belegt, sie wird oft zitiert.
Sie reicht nicht.
Zweite Achse: Selbst wenn die Infrastruktur „nur” tut, was sie soll, tut sie nichts Nützliches
Die zweite Achse argumentiert eine Etage tiefer. Sie fragt nicht: Was passiert, wenn die App umgewidmet wird? Sondern: Was passiert, wenn sie genau das Versprochene leistet?
Antwort: dann sortiert sie 13-Jährige aus und lässt 14-Jährige in dasselbe schadhafte Produkt herein. Das ist keine Schadensbegrenzung, das ist eine Schein-Lösung mit kosmetischem Charakter.
Drei Schritte:
Erstens: Erwachsene werden ebenso geschädigt. Die Mental-Health-Effekte algorithmisch optimierter Plattformen, parasoziale Bindung, politische Polarisierung, gezielte Verstärkung extremer Inhalte durch Recommendation-Systeme — diese Effekte sind nicht alters-spezifisch. Sie sind universell. Wenn der Schaden universell ist, kann eine Altersgrenze grundsätzlich nicht der Hebel sein, mit dem man ihn begrenzt. Sie sortiert Betroffene, ohne den Mechanismus anzufassen.
Linus Neumann sagt es im LNP552 ohne Umschweife:
„Warum eigentlich nur für Jugendliche, warum nicht einfach ganz verbieten den Quatsch. […] Social Media zu verbieten, nicht Social Media als solches, aber vor allem diese Geschäftsmodelle, die von Facebook, Instagram und anderen betrieben werden, die darauf basieren, dass Menschen nach diesen Plattformen süchtig werden und in ihrem Verhalten durch diese Plattformen beeinflusst werden, weil das der Daseinszweck dieser Plattformen ist.”
Das Schadenszentrum ist das Geschäftsmodell, nicht das Medium und nicht das Alter der Nutzer:innen.
Zweitens: das Jugendschutz-Framing als rhetorische Verengung. Macron und Co. nutzen „Schutz von Kindern” wie Pandemie-Argumente: als rhetorische Vorrichtung, die Gegenrede in Verteidigungsposition zwingt. Wer „aber” sagt, hat schon verloren. Markus Reuter zeigt im netzpolitik-Wochenrückblick KW18 die diskursive Asymmetrie: Während frühere Eingriffe vergleichbarer Tiefe — Notstandsgesetze, Volkszählung, Großer Lauschangriff — öffentliche Debatten ausgelöst haben, ist diese Implementation von Schweigen begleitet. Das Schweigen ist Teil der Verengung. Es macht sichtbar, wie effektiv der Kinderschutz-Frame ist, wie wenig Reibungs-Oberfläche er bietet.
Drittens: Zugang ≠ Schadensquelle. Selbst eine technisch perfekte Altersverifikation würde am Schadens-Mechanismus nichts ändern. Der Schaden sitzt in der Plattform. Wer den Zugang reguliert statt der Plattform, behandelt das Symptom und ignoriert die Ursache.
Lohninger liefert dafür ein Bild, das die ganze Argumentation auf einmal trägt:
„Bei Fahrradfahren ist es ja auch so, das ist gefährlich. Insbesondere ist es gefährlich für Kinder. […] Wir haben halt gerade weil wir diese Risken sehen, dann Maßnahmen getroffen. Nicht nur mit Verkehrsordnung, also Regeln für alle, aber dann auch — Fahrradführerschein, Helme, Reflektoren. […] Was ich glaube, dass man jetzt hier irgendwie durch diese Maßnahmen versucht zu erreichen: Wir verbieten den Kindern das Fahrradfahren, um sie vor dieser einen Gefahr zu schützen, obwohl sie dadurch viel schlechter vorbereitet sind auf den Straßenverkehr generell und wir die Sorgfaltspflicht im gesamten System dadurch mehr schleifen lassen.”
Die Fahrrad-Analogie ist deshalb so produktiv, weil sie zwei Dinge auf einmal leistet. Sie zeigt, dass Vorsicht nicht Verbot heißen muss — Verkehrsordnung, Helme, Reflektoren sind Maßnahmen im System, nicht Maßnahmen gegen den Zugang zum System. Und sie zeigt, dass eine Zugangs-Regelung am Ende die Sorgfaltspflicht im gesamten System schleifen lässt, weil sie das Problem rhetorisch erledigt, ohne es technisch oder regulatorisch zu lösen.
Das ist die zweite Achse: Selbst wenn die App nicht zur Massenüberwachung führte, wäre sie wirkungslos, weil sie auf das falsche Ziel zielt.
Warum beide Achsen zusammengehören
Die wichtigste Beobachtung ist die folgende: Wer nur eine der beiden Achsen vertritt, lässt der Gegenseite eine Ausweich-Linie offen.
Wer nur den Trojaner-Pfad hält, kriegt zur Antwort: „Aber wir bauen das ja jetzt sicherer. Pseudonyme bleiben Pseudonyme. Pfadabhängigkeit ist Spekulation.”
Wer nur den Kategorienfehler-Pfad hält, kriegt zur Antwort: „Aber Kinder müssen doch geschützt werden. Wenn das Werkzeug funktioniert, ist es doch nützlich.”
Beide Antworten sind in ihrem Rahmen halbwegs konsistent. Erst beide Achsen zusammen zerschneiden die Möglichkeit, in eine der beiden Verteidigungslinien auszuweichen. Das Mittel ist gefährlich (auch wenn das Ziel richtig wäre), und das Ziel ist falsch (auch wenn das Mittel funktionieren würde). Doppelter Kategoriefehler.
Das ist nicht zwei separate Kritiken nebeneinander. Das ist eine zusammengehörige Kritik in zwei Richtungen, die einander stützen. Wenn das Ziel richtig wäre, müsste man die Mittel-Risiken in Kauf nehmen. Wenn das Mittel sauber wäre, könnte man immer noch über das Ziel streiten. Beide Bedingungen für Akzeptanz versagen — und sie versagen aus strukturellen Gründen, nicht weil die Implementierung schlampig ist.
Die strukturelle Schicht: Wallet als General Purpose
Es lohnt sich, eine Etage tiefer zu schauen — zur Infrastruktur, deren erste produktive Anwendung die App ist.
Die EUDI-Wallet ist kein digitales Pendant zum Personalausweis. Sie ist eine General-Purpose-Attest-Plattform: jede staatliche oder private Stelle kann beliebige Attribute hinterlegen, jede dieser Eigenschaften ist gegenüber jeder beliebigen Verifier-Stelle kryptografisch belegbar. Lohninger im LNP552:
„Du kannst beliebige Attribute drin haben, die können von beliebigen staatlichen Stellen kommen, wie zum Beispiel einen Führerschein oder vielleicht auch einen Behindertenausweis, aber eben auch aus der Privatwirtschaft. Customer-Loyalty-Programms, sowas wie Payback.”
Online und offline, via Bluetooth Low Energy und QR-Code. Damit wird jeder physische Kontaktpunkt — Bahnsteig, Stadion-Eingang, Bordell, Fitness-Studio, Kneipe — potentiell zum Identifikations-Punkt. Lohninger bringt es auf einen Satz: „Du schaffst die technische Möglichkeit einer neuen Regulierung von Zugängen, online und offline.”
Genau das ist der Grund, warum die Pfadabhängigkeits-These nicht „alarmistisch” ist, sondern strukturell. Wenn die zugrundeliegende Plattform General Purpose ist, ist es nur eine Frage der Zeit und der politischen Konjunktur, welche Use-Cases sie tragen wird. Heute Pornografie, morgen Social Media, übermorgen Demonstrations-Teilnahme oder Kneipen-Einlass. Die Infrastruktur entscheidet das nicht. Sie erlaubt es nur — und macht jeden Schritt politisch billiger als den vorherigen.
Lohninger hat dazu eine zweite, deprimierende Beobachtung: In der EU-Gesetzgebung sei es
„relativ schwierig, dass ein Gesetz vorgeschlagen wird […] Aber sobald ein Gesetz mal vorgeschlagen ist, ist es fast unmöglich, dass es nicht kommt.”
Nur zwei EU-Gesetze sind in der Geschichte tatsächlich gestoppt worden: Software-Patente und (mit Verzögerung, nicht endgültiger Verhinderung) Chat-Kontrolle. Daraus folgt für Lobbying gegen die EUDI-Wallet: Es geht um Zeit gewinnen und Schaden minimieren, nicht ums Stoppen. Die strukturelle Logik schiebt die Wallet durch, gegen Widerstand, gegen Audits, gegen Wissenschaftler-Moratorien.
Und noch eine Pointe sollte man kennen, weil sie die ganze Debatte in ein anderes Licht setzt. Die EU hat mit dem Digital Services Act eigentlich bereits den Hebel, gegen die Plattform-Geschäftsmodelle vorzugehen. Strafen in Milliardenhöhe wären möglich. Lohninger:
„Eigentlich geht es uns ja darum, das Geschäftsmodell zu verbieten. Das wäre die Lösung für alle. Und wir haben sogar Gesetze dafür, nämlich den Digital Services Act. Der würde uns ganz viele Hebel in die Hand geben und so wirklich Milliarden Strafen könnten da am Fließband rausgegeben werden. […] Diese ganze Altersverifikationsdebatte ist nur eine Ablenkung davon, dass wir keine saubere Rechtsdurchsetzung gegen Big Tech haben.”
Warum nutzt die Kommission ihre Hebel nicht? Lohningers Antwort ist nüchtern: Weil derselbe Apparat, der die DSA-Strafen aussprechen müsste, parallel mit Donald Trump über Stahl- und Aluminium-Zölle verhandelt. Big Tech ist Verhandlungsmasse. Mehr DSA-Strafen heißen höhere Zölle. Also lieber Altersverifikation: sichtbare Aktivität, die niemandem in Washington wehtut.
Das ist die unangenehmste Pointe der Debatte: Der eigentliche Hebel liegt im Schrank. Die Kommission baut stattdessen einen neuen Apparat — und der Apparat baut auf einer Wallet auf, die niemand brauchte, bevor man sie zur Pflicht machte.
Was jetzt zu tun bleibt
Aus dem doppelten Kategoriefehler folgen drei Linien.
Erstens: das Geschäftsmodell regulieren. Werbe- und tracking-basierte Aufmerksamkeits-Ökonomie ist der Schadens-Kern. Strukturelles Verbot personalisierter Werbung wäre der Hebel — nicht für Minderjährige, sondern für alle. Algorithmen-Audits, chronologischer Default-Feed, Forschungs-Zugangs-Pflichten. Die DSA-Artikel 27ff. existieren. Sie werden nicht durchgesetzt. Der Aufwand muss dorthin, nicht in eine neue Identifikations-Schicht.
Zweitens: die Infrastruktur sichtbar machen. Wenn Stoppen kaum gelingt, wird rechtzeitig sehen, was passiert, zur entscheidenden zivilgesellschaftlichen Operation. epicenter.works baut mit whoidentifies.me ein europäisches Transparenz-Tool, das die nationalen eIDAS-Use-Case-Registries aller 27 EU-Staaten zu einer Echtzeit-Sicht zusammenfügt — Open Source, Open Data, mit Alerts. Das ist eine eigene Klasse von Verteidigung neben Schutz-Tools (Tor, Signal) und Klage-Pfaden (GFF, BVerfG): Beobachtung als Operation. Notwendig, nicht hinreichend — aber ohne sie reagiert niemand auf den nächsten Use-Case rechtzeitig.
Drittens: Mai 2026 wird wichtig. In den Durchführungsrechtsakten zu eIDAS sind aktuell fünf Punkte umkämpft. Der heikelste: Die Kommission versucht, ein biometrisches Passbild ins Minimum Data Set der Wallet zu schmuggeln — jene Stammdaten, die jede Wallet zwingend an jede anfragende Stelle übertragen können muss. Begründet wird das mit Interoperabilität gegenüber Australien, Japan und Kanada. Lohninger:
„Das gehört einfach rausgestrichen. Das ist ein Wahnsinn.”
Wenn das durchgeht, ist der Trojaner-Argumentation ein neuer Beleg gegeben, der über das hinausgeht, was die App heute kann.
Wem das Schweigen nützt
Lohninger hat im LNP552 einen Satz gesagt, an dem man die ganze Debatte messen kann:
„Das wird wieder nur den Rechten helfen. Die einzigen Parteien, die wirklich geschlossen dagegen waren, waren die rechtsextremen Patrioten und ECR.”
Wenn die einzigen, die dagegen halten, die Rechtsextremen sind, dann verschiebt sich das Vertrauensgefälle weiter nach rechts — bei jedem misslungenen Roll-out, bei jeder peinlichen App, die in Minuten geknackt wird, bei jeder Kontrolle, die niemand wollte, aber alle gleichzeitig spüren.
Eine ernsthafte Kritik der EU-Altersverifikation darf das nicht zulassen. Sie muss beide Achsen halten. Sie muss sagen: Das Mittel ist gefährlich, weil es zu Massenüberwachung umrüstbar ist. Und sie muss im selben Atemzug sagen: Das Ziel ist falsch, weil es das Geschäftsmodell unangetastet lässt.
Doppelter Kategoriefehler heißt am Ende: Wir reden weiter über das Symptom. Das Geschäftsmodell der Plattformen bleibt unberührt. Die Infrastruktur, die wir uns dabei zulegen, wird uns überleben.
Quellen
Primärquelle
- Logbuch:Netzpolitik Folge 552: „Walkampf” mit Tim Pritlove, Linus Neumann und Thomas Lohninger (epicenter.works), aufgenommen 18.04.2026, veröffentlicht 20.04.2026. logbuch-netzpolitik.de/lnp552-walkampf
Belegstellen Altersverifikation
- Sebastian Meineck: „Macron will Alterskontrollen für alle durchboxen”. netzpolitik.org, April 2026.
- Markus Reuter: Wochenrückblick KW18 — Überwachungspaket-Stille. netzpolitik.org, April 2026.
- Philipp Fess: „Gehackt in zwei Minuten — die EU-Altersverifizierung”. Telepolis, April 2026.
- Stefan Krempl: „EU-App zur Altersprüfung geknackt”. heise online, April 2026.
Belegstellen Biometrie
- Martin Schwarzbeck: „Polizei-Gesichtserkennung im Frankfurter Bahnhofsviertel”. netzpolitik.org, 2026.
Tool
- whoidentifies.me — epicenter.works: Demo unter demo.whoidentifies.me
Hintergrund
- Patrick Breyer zur EU-Alterskontroll-App: „Jugendschutz-Trojaner zum Gewöhnen an staatliche Kontrolle”. patrick-breyer.de
- Wissenschaftler-Moratorium gegen die EU-Altersverifikation, März 2026 (400+ Forscher:innen).