Altersüberprüfung im Vereinigten Königreich: Was das Gesetz verlangt, „hochwirksame“ Methoden und wie man sie mit minimaler Reibung implementiert

Key takeaways (TL;DR)
 

Der Online Safety Act 2023 verlangt zum Schutz Minderjähriger eine „hochwirksame“ Altersgarantie; Ofcom überwacht die Einhaltung.

Sanktionen bei Verstößen: bis zu 10 % des weltweiten Umsatzes oder £18 Mio. sowie mögliches Blocking im Vereinigten Königreich.

Eine reine Selbstauskunft „Ich bin 18+“ reicht nicht; erforderlich sind u. a. Alterschätzung mit Dokumentenstütze + Liveness sowie Identitäts-Integrationen mit binärer Rückmeldung.

Empfohlenes Muster: primäre, reibungsarme Methode (Alterschätzung) + dokumentärer Fallback in Zweifelsfällen; Privacy by Design und kontinuierliche Messung.

Die Altersüberprüfung im Vereinigten Königreich ist nicht mehr optional oder kosmetisch: Seit 2025 müssen Plattformen in UK Minderjährigen den Zugang zu schädlichen Inhalten verhindern und dies mit „hochwirksamen“ Methoden nachweisen – unter Aufsicht von Ofcom, der nationalen Regulierungsbehörde für Kommunikation.

Nicht-Einhaltung kann zu Geldbußen von bis zu 10 % des weltweiten Umsatzes und bis zu £18 Mio. führen – plus Service-Blocking und Reputationsschäden. Unternehmen, die in UK tätig sind, stehen daher zunehmend unter Beobachtung, wie sie personenbezogene Daten verarbeiten und wie reibungslos ihre Alterskontrollen funktionieren.

Dieser Beitrag hilft Ihren Produkt-, Rechts- und Compliance-Teams, das neue Regelwerk zu verstehen und die richtigen Entscheidungen zu treffen, um eine Altersüberprüfung mit geringer Reibung und hoher Akzeptanz auszuwählen und umzusetzen.

Was hat sich mit dem Online Safety Act geändert – und seit wann gilt was?

Der Online Safety Act 2023 verpflichtet Plattformen klar: Zugang Minderjähriger zu schädlichen Inhalten verhindern und dies belegen – mittels Maßnahmen, die den Zugang für Volljährige „hochwirksam“ absichern. Der Fahrplan ist gestaffelt: Für Part 5 (Dienste, die eigene Pornografie veröffentlichen) gilt die Pflicht seit dem 17. Januar 2025; für Part 3 (user-to-user und Suchmaschinen) musste die Child Access Assessment bis 16. April 2025 abgeschlossen sein. Seit dem 25. Juli 2025 — Age Verification Day — müssen alle Dienste, die Pornografie erlauben, robuste Alterskontrollen produktiv einsetzen. Am selben Tag begann Ofcom mit Prüfungen und ersten Untersuchungen.

Dieses Rahmenwerk stützt sich auf Kinderschutz-Codes und die Ofcom-Guidance (Januar–April 2025), die Erwartungen an Wirksamkeit, Verhältnismäßigkeit und Privatsphäre präzisieren. Die Selbstauskunft („Ja, ich bin 18“) entfällt; gefordert sind technische Evidenzen: Alterschätzung auf Basis von Biometrie & KI, Dokumentenprüfung mit 1:1-Gesichtsabgleich (Face Match) und Liveness, oder Identitäts-Integrationen, die ein Ja/Nein mit minimaler Datenübertragung zurückliefern – etwa Identity Wallets. Diese Verfahren sind zulässig, wenn sie zuverlässig, robust und kontinuierlich überwacht sind.

Bei Verstößen kann Ofcom Bußgelder bis 10 % des weltweiten Umsatzes oder £18 Mio. verhängen und den Blocking-Antrag für UK stellen. Der Regulator erwartet risikobasierte Entscheidungen, Dokumentation, Wirksamkeitsmetriken sowie eine Privacy-by-Design-Umsetzung, die die Verifizierung nicht zum Flaschenhals macht.

Wer muss das Alter prüfen? Der tatsächliche Geltungsbereich (weit mehr als „Adult Sites“)

Die Pflicht beschränkt sich nicht auf „Erwachsenenseiten“. Seit dem 25. Juli 2025 muss jeder Dienst, der Pornografie veröffentlicht oder zulässt — ob Eigeninhalte oder UGC — „hochwirksame“ Alterskontrollen einsetzen, um Minderjährige auszuschließen. Der Rahmen unterscheidet:

• Part 5 (pornography providers). Dienste, die eigene Pornografie veröffentlichen: Pflicht seit 17.01.2025.
• Part 3 (user-to-user & Suche). Soziale Netzwerke, Communities, Foren, Messenger und Suchmaschinen: Child Access Assessment bis 16.04.2025; bei Risiko einer Exposition gegenüber schädlichen Inhalten (inkl. Pornografie) verhältnismäßige Maßnahmen – u. a. Age Assurance.

Praktisch umfasst dies UGC-Plattformen mit 18+-Bereichen, Streaming-Dienste mit Community-Flächen, Suchmaschinen, die Nutzer:innen in UK pornografische Ergebnisse anzeigen, und sogar generative KI-Tools, die explizites Sexualmaterial im Dienst veröffentlichen. Wo ein vernünftigerweise vorhersehbares Expositionsrisiko besteht, erwartet Ofcom Systeme und Prozesse, die diese Exposition präventiv verhindern – Hinweise allein genügen nicht.

Über Pornografie hinaus verpflichten die Kinderschutz-Codes für Part 3 zur Risikosteuerung bei Selbstverletzung, Suizid, Essstörungen u. a. Schäden. Hier wird die Altersgarantie mit Design- und Moderationsmaßnahmen kombiniert (z. B. Begrenzung von DMs Unbekannter, Anpassung von Empfehlungen, Safe-Search standardmäßig aktiv, Elternkontrollen) – abhängig vom Risiko.

Methoden der Altersverifizierung: Auswahl nach Risiko, Privatsphäre und UX

Die offiziellen Leitlinien erkennen mehrere „hochwirksame“ Methoden an, die sich kombinieren lassen (Defense-in-Depth):

• Gesichts-Alterschätzung. KI & Biometrie prognostizieren die Altersrange ohne weitere Angaben oder Identifizierung der Person. Sehr geringe Reibung.
• Dokument + Biometrie. Volljährigkeit via Dokumentenprüfung und Biometrie (Face Match 1:1, Liveness). Mehr Reibung, sensitive Daten.
• Kreditkarte. Indiz für Zugang zu „Adults-Only“-Mitteln. Begrenzte Abdeckung.
• Digitale Identität (per Identity Wallet). Liefert nur Ja/Nein zur Volljährigkeit mit minimalem Datentransfer. Stark im Sinne von Privacy by Design.
• Telko- oder E-Mail-Signale. Als Ergänzung nützlich, allein nicht ausreichend.

Die Auswahl sollte Risikolevel, Inhaltskontext, Jurisdiktion, Privatsphäre, Nutzerakzeptanz und Gesamtkosten ausbalancieren.

Privatsphäre zuerst: konform sein, ohne sensible Daten zu speichern

Regulator und UK-Regierung betonen Verhältnismäßigkeit und Datenminimierung. Praktisch heißt das:

• Keine Speicherung von Biometrie oder Dokumenten, sofern nicht nötig.
• Minimale Aufbewahrung definieren – mit Verschlüsselung, Segmentierung und Zugriffssteuerung.
• DPIAs (Data Protection Impact Assessments), Verzeichnis der Verarbeitungstätigkeiten und Anbieteraudits durchführen.
• Transparente Nutzerkommunikation: Warum wird verifiziert, welche Daten werden verarbeitet und wie lange?

Ziel ist es, Compliance nachzuweisen und Vertrauen aufzubauen, ohne die Reibung zu erhöhen.

Auswirkungen & Debatte: Was der Markt erwarten kann

Nach Inkrafttreten rechnet die Regierung mit spürbaren Veränderungen in der Online-Interaktion Minderjähriger: Alterschecks auf mehr Flächen und angepasste Algorithmen, um schädliche Exposition zu reduzieren. Parallel ist ein Anstieg der VPN-Nutzung zur Umgehung von Kontrollen zu beobachten; der regulatorische Auftrag betont, dass Plattformen vorhersehbare Umgehungen verhindern und keine Abkürzungen fördern sollen. Die Debatte zwischen NGOs, die mehr Sicherheit begrüßen, und Privacy-/Meinungsfreiheits-Verteidiger:innen, die Verhältnismäßigkeit und Transparenz einfordern, hält an. Für Unternehmen ist die Schlussfolgerung eindeutig: praktikable, nachweisbare und datenschutzfreundliche Compliance.

Didits Alterschätzung: Verifizierung ohne Reibung – mit sicherem Fallback

Die Alterschätzung von Didit basiert auf Biometrie, schätzt das Alter mit sehr geringer Reibung und aktiviert bei Unsicherheit einen Fallback (Dokument + Biometrie), um die Sicherheit zu erhöhen.

Didits Ansatz priorisiert:

• Reibungsarme UX. Alterscheck in Sekunden, geringere Abbruchraten.
• Schnellere Akzeptanz. Weniger Schritte & Reibung → höhere Abschlussquote.
• Sicherer Fallback. Stärkere Prüfung in Graubereichen – Balance aus Privatsphäre & Risiko.
• Privacy by Design. Architektur zur Datenminimierung und binären Antworten, wo möglich.

Bei der Integration können Sie in wenigen Minuten starten – per Verifizierungslinks (No Code) oder APIs – für mehr Prozess-Flexibilität. Besonders geeignet für Plattformen, in denen Conversion geschäftskritisch ist und jede Reibung zählt.

Technische Details der Age-Estimation-Funktion finden Sie in unserer Technikdokumentation.

Fazit: Altersüberprüfung, die in UK die Spielregeln verändert

Der neue Rahmen verlangt messbare Ergebnisse: Minderjährige von schädlichen Inhalten fernhalten, ohne die Privatsphäre zu opfern oder die UX zu verschlechtern. Wirksam ist die Kombination aus reibungsarmer Primärmethode und hochverlässlichem Fallback, plus Observability und Evidenzen. Didits Alterschätzung folgt genau diesem Ansatz: Sie reduziert Reibung, beschleunigt die Akzeptanz und liefert dort stärkere Garantien, wo sie gebraucht werden – mit Privacy by Design ab der Architektur.