Die fortlaufende Digitalisierung bringt nicht nur neue Technologien mit sich, sondern auch wachsende Herausforderungen im Bereich des Datenschutzes. Insbesondere die Verarbeitung sensibler biometrischer Daten und die Altersverifikation im Internet stehen im Fokus datenschutzrechtlicher Diskussionen. Aktuelle Pläne des Gaming-Anbieters Roblox werfen ein Schlaglicht auf diese Themen und bieten Unternehmen wertvolle Einblicke in die Anforderungen an datenschutzkonforme Prozesse.
Altersverifikation mit KI bei Roblox
Roblox, eine populäre Online-Plattform, hat angekündigt, bis Ende 2025 die Altersprüfung für alle Nutzer zu erweitern, die Zugriff auf Kommunikationsfunktionen haben. Das Unternehmen plant, eine Kombination aus KI-basierter Gesichtsschätzungstechnologie, ID-Altersverifikation und, bei Minderjährigen, der verifizierten elterlichen Zustimmung einzusetzen. Ziel ist es, das tatsächliche Alter der Nutzer präziser zu bestimmen, als es durch die bisherigen manuellen Angaben bei der Kontoerstellung möglich ist.
KI-Gesichtsscans als Schutzmaßnahme
Durch diese genauere Altersverifikation sollen neue Systeme eingeführt werden, die die Kommunikation zwischen Erwachsenen und Minderjährigen einschränken, es sei denn, diese kennen sich bereits im realen Leben. Roblox betrachtet diesen Schritt als Teil ihrer langfristigen Vision, eine Plattform für alle Altersgruppen zu sein, und erwartet, dass ihr Ansatz zu einer Best Practice für andere Online-Plattformen avanciert. Bereits jetzt überwacht Roblox proaktiv Textchats, verhindert den Austausch von Bildern zwischen Nutzern und hat Standardeinstellungen, die die Nutzung von privaten Chats oder Voice-Chats für unter 13-Jährige verhindern. Eltern haben zudem die Möglichkeit, diese Einstellungen anzupassen. Seit Januar 2025 wurden über 100 Sicherheitsinitiativen implementiert, darunter ein KI-System namens „Roblox Sentinel“, das dabei hilft, frühe Anzeichen von Kindeswohlgefährdung zu erkennen, sowie verbesserte Sprach- und Textfilter.
Datenschutzrisiken bei biometrischen Verfahren
Die Nutzung von Gesichtserkennungstechnologien birgt erhebliche Risiken. Biometrische Daten fallen unter die besonders sensiblen Kategorien des Art. 9 DSGVO. Behörden wie der BfDI und die internationale Berlin Group (IWGDPT) weisen darauf hin, dass diese Technologien Bewegungsprofile ermöglichen und sensible Informationen unbemerkt gesammelt werden können. Empfohlen werden daher klare Rechtsgrundlagen, Transparenzpflichten, umfassende Risikoanalysen sowie die Minimierung der Datenerhebung.
Ansätze für datenschutzkonforme Altersverifikation
Alternative Konzepte zeigen, dass Altersverifikation auch weniger invasiv erfolgen kann. Ein Beispiel ist das vom Fraunhofer SIT entwickelte Modell: Es prüft lediglich, ob ein Nutzer einer Altersgruppe angehört, ohne weitere personenbezogene Daten zu speichern oder ein dauerhaftes Konto zu verlangen. Solche Lösungen zeigen, dass Sicherheit und Datenschutz durchaus kombinierbar sind.
Handlungsempfehlungen für Unternehmen
Ob die von Roblox geplante Altersverifikation den Anforderungen der DSGVO und der KI-Verordnung entspricht, ist noch offen. Klar ist jedoch, dass Unternehmen, die selbst biometrische Daten verarbeiten oder Altersverifikationsverfahren einsetzen, ihre Lösungen sorgfältig auf Rechtskonformität prüfen müssen.
Zentrale Grundsätze wie Datenminimierung und Zweckbindung sind strikt einzuhalten – es dürfen nur die Daten erhoben werden, die für den jeweiligen Zweck zwingend erforderlich sind. Ebenso wichtig ist die Freiwilligkeit der Einwilligung. Wird Nutzern der Zugang zu weniger invasiven Verfahren unnötig erschwert, kann dies die Freiwilligkeit in Frage stellen. Vor dem Einsatz von Gesichtserkennungstechnologien sind daher eine umfassende Risiko- und Folgenabschätzung sowie ein klarer rechtlicher Rahmen unverzichtbar. Ergänzend sollten Unternehmen auf starke Sicherheitskonzepte und Transparenzpflichten setzen, um Risiken zu minimieren und das Vertrauen der Nutzer langfristig zu sichern.
Fazit
Der Fall Roblox und die breitere Diskussion um KI-Gesichtserkennung und Altersverifikation verdeutlichen, dass Unternehmen bei der Einführung und Nutzung solcher Technologien konsequenten Datenschutz gewährleisten müssen. Die Missachtung datenschutzrechtlicher Vorschriften aus Wettbewerbs- oder Wirtschaftsinteressen ist langfristig nicht zu empfehlen, da sie nicht nur den Aufbau eines loyalen Kundenstamms gefährdet, sondern auch hohe Bußgelder nach sich ziehen kann. Angesichts der zunehmenden Regulierung und der Sensibilität von Nutzerdaten ist es für Unternehmen ratsam, Datenschutzexperten hinzuzuziehen, um entsprechende Technologien datenschutzkonform zu implementieren und rechtliche Risiken zu minimieren.
Der „KI-Beauftragte“ –
Ihre Lösung für rechtssichere KI-Compliance
Wir bieten Unternehmen eine umfassende Lösung für die rechtlichen und regulatorischen Herausforderungen, die der Einsatz von KI mit sich bringt.
