"Es ist nicht das erste Mal, dass die Kommission mit einer innovativen Lösung auf ein neues Problem reagiert. Wir alle erinnern uns an die COVID-Pandemie. Unsere Welt kam damals nahezu vollständig zum Stillstand. Doch als die Lockdowns endeten und Impfstoffe verfügbar waren, entwickelte die Kommission in Rekordzeit die COVID-App – in nur drei Monaten –, um eine sichere Rückkehr in den Alltag zu ermöglichen.
Mit einem Scan und unserem COVID-Zertifikat konnten wir wieder Konzerte besuchen, ins Flugzeug steigen und reisen und vieles mehr. 78 Länder auf vier Kontinenten nutzten diese App. Sie war also ein großer Erfolg.
Und nun übertragen wir diesen Erfolg auf die Altersverifikations-App. Sie folgt denselben Grundprinzipien, demselben Modell. Erstens ist sie benutzerfreundlich. Man lädt die App herunter, richtet sie mit Reisepass oder Personalausweis ein und kann anschließend beim Zugriff auf Online-Dienste sein Alter nachweisen."
Von der Leyen steht da vor der Kamera und sagt mit fester Stimme: „Unsere neue EU-Altersverifikations-App ist fully open source – jeder kann den Code prüfen.“
Technisch gesehen ist das nicht gelogen. Aber es ist wieder mal diese typische Brüsseler Halbwahrheit, die man erst mal auseinandernehmen muss.
Richtig ist: Die EU-Kommission stellt unter dem European Digital Identity Wallet-Projekt (EUDI Wallet) mehrere zentrale Komponenten der Age Verification Solution tatsächlich als Open Source auf GitHub zur Verfügung. Der Kern – also die App-Bausteine, die Protokolle und die Zero-Knowledge-Technik – ist öffentlich einsehbar. Mitgliedstaaten, Entwickler oder sogar Drittländer können das alles übernehmen und anpassen. Das ist der „Blueprint“, das Baukastensystem.
Aber hier kommt der entscheidende Haken, den sie gerne verschweigen:
Die fertige App, die ihr später auf euer Handy ladet, wird nicht von der EU zentral bereitgestellt. Die kommt von eurer nationalen Regierung oder ihren Dienstleistern. Die wird in die jeweilige nationale Digital-Wallet integriert. Und diese nationalen Versionen sind nicht automatisch 100 % open source, auch wenn sie auf den EU-Bausteinen aufbauen.
Einige Teile – vor allem die Backend-Infrastruktur, die Server, die Anbindung an die staatlichen Datenbanken und spezifische nationale Anpassungen – können komplett proprietär und undurchsichtig bleiben.
Und genau das ist das Gefährliche.
Ihr bekommt ein schönes, „privacy-freundliches“ Frontend mit Zero-Knowledge-Versprechen vorgesetzt – aber die eigentliche Macht, die Kontrolle, die Datenflüsse im Hintergrund, die bleiben im Dunkeln. Wer prüft wirklich, was da mit euren Ausweisen, euren Geräten und euren Bewegungsprofilen passiert, wenn die nationalen Behörden oder ihre privaten Partner das Backend betreiben?
Das ist kein offenes System. Das ist ein Baukasten, bei dem die wichtigen Schubladen verschlossen bleiben.
Genau so funktioniert die Agenda: Erst mit großen Worten Transparenz versprechen, dann über nationale Umsetzung die echte Kontrolle behalten.
Lasst euch nicht mit halben Wahrheiten abspeisen.
Was denkt ihr – wie lange dauert es, bis die ersten „nationalen Anpassungen“ plötzlich doch mehr tracken als nur das Alter?
Jetzt wird’s richtig dreist.
Ursula von der Leyen steht vor den Kameras und verkündet mit großer Geste:
„Unsere neue EU-Altersverifikations-App ist komplett anonym. Die Nutzer beweisen nur ihr Alter – ohne jede andere persönliche Information. Es ist völlig anonym, niemand kann euch tracken.“
Das klingt wunderbar. Fast zu schön, um wahr zu sein.
Und genau das ist es auch.
Technisch gesehen gibt es im EU-Blueprint tatsächlich Zero-Knowledge-Proofs. Das heißt: Mathematisch kann man beweisen „Ich bin über 18“, ohne Geburtsdatum, Namen oder sonst irgendwas preiszugeben. Das ist nicht gelogen.
Aber: Von der Leyen kann gar nicht wissen, ob das in der Praxis wirklich anonym bleibt.
Denn die fertige App, die ihr auf euer Handy ladet, kommt nicht aus Brüssel. Sie wird von eurer nationalen Regierung oder deren privaten Dienstleistern gebaut und in die nationale Digital-Wallet integriert.
Und genau dort entscheidet sich alles:
- Werden auf der Issuer-Seite Logs geführt?
- Sammelt die App zusätzliche Metadaten?
- Gibt es Verbindungen zu anderen staatlichen Systemen?
- Bleibt das Backend wirklich sauber oder werden IP-Adressen, Geräte-Fingerprints und Zeitstempel gespeichert?
- Wie „anonym“ ist es wirklich, wenn dieselbe Wallet später auch für andere Dinge genutzt wird?
Von der Leyen verkauft uns den idealen technischen Entwurf als fertige, wasserdichte Realität.
Sie verspricht etwas, das sie überhaupt nicht garantieren kann, weil die Kontrolle bei den nationalen Umsetzungen liegt.
Das ist keine Anonymität. Das ist eine schöne Verpackung mit einem großen Fragezeichen drin.
Und genau das ist die Masche: Erst mit großen Worten „höchste Datenschutzstandards der Welt“ posaunen – und dann über die Hintertür der nationalen Implementierung die echte Kontrolle und die echten Datenflüsse behalten.
Lasst euch nicht für dumm verkaufen.
Wenn jemand behauptet, ein staatliches Überwachungsinstrument sei „komplett anonym“, dann solltet ihr sofort misstrauisch werden. Besonders wenn dieselbe Person nicht mal kontrolliert, wie es wirklich umgesetzt wird.
Bleibt wachsam. Fragt nach. Und lasst euch nicht mit mathematischen Tricks und schönen Worten einlullen.
Was denkt ihr – wie lange dauert es, bis die ersten „Sicherheitsanpassungen“ die schöne Anonymität leise verschwinden lassen?