Die Europäische Kommission hat am 29. April 2026 Vorabfeststellungen veröffentlicht, nach denen Meta gegen den Digital Services Act (DSA) verstößt, weil das Unternehmen Kindern unter 13 Jahren den Zugang zu Instagram und Facebook nicht verhindert. Die Untersuchung der Kommission ergab, dass Metas Altersverifikationssysteme trivial leicht zu umgehen sind: Jedes Kind kann ein Konto erstellen, indem es einfach ein falsches Geburtsdatum eingibt - ohne effektiven Bestätigungsmechanismus. Die Feststellungen markieren die erste bedeutende DSA-Durchsetzungsmaßnahme zum Kinderschutz auf einer großen sozialen Plattform - und der vorgeschlagene Lösungsweg hat erhebliche Auswirkungen auf die Privatsphäre aller Nutzer.
Was die Europäische Kommission festgestellt hat
Die Vorabfeststellungen der Kommission stellen fest, dass Meta die systemischen Risiken, die Instagram und Facebook für Minderjährige darstellen, nicht sorgfältig identifiziert, bewertet und gemindert hat. Schätzungsweise 10 bis 12 Prozent der Kinder unter 13 Jahren nutzen diese Plattformen, was Metas eigenen internen Bewertungen widerspricht. Die Kommission stellte außerdem fest, dass Meta "leicht verfügbare wissenschaftliche Erkenntnisse ignoriert" hat, wonach jüngere Kinder besonders anfällig für Schäden durch algorithmisch kuratierte soziale Feeds sind - einschließlich Suchtmechanismen, Exposition gegenüber schädlichen Inhalten und Kontaktrisiken durch Erwachsene.
Über das Problem des Altersumgehens hinaus bemängelte die Kommission, dass Metas Meldetool für minderjährige Konten "schwer zu bedienen" sei und bis zu sieben Klicks erfordere, um das Formular zu erreichen. Dies schafft eine praktische Hürde für Eltern, Schulen und andere Erwachsene - und die Kommission stellte fest, dass Meta auf solche Meldungen nicht angemessen reagiert, weshalb gemeldete Konten von Minderjährigen häufig aktiv bleiben. Die Vorabschlussfolgerung der Kommission lautet, dass Meta trotz der ausdrücklichen DSA-Anforderungen keine verhältnismäßigen oder wirksamen Schutzmaßnahmen eingesetzt hat.
Wie Kinder die Alterskontrolle umgehen
Der technische Kernbefund ist eindeutig: Metas Plattformen fragen bei der Kontoerstellung nach dem Geburtsdatum, überprüfen aber nicht, ob dieses korrekt ist. Ein Kind, das ein Geburtsdatum angibt, das 16 oder 18 Jahren entspricht, begegnet keiner weiteren Hürde. Es gibt weder eine Dokumentenprüfung noch einen Drittanbieter-Verifizierungsdienst noch einen Abgleich mit Identitätsdatenbanken. Die Altersschranke ist in der Praxis ein Textfeld, das durch die Eingabe beliebiger Zahlen umgangen werden kann.
Genau diese Lücke zwischen nominaler Politik und technischer Umsetzung ist der Gegenstand des DSA. Artikel 28 des DSA verpflichtet sehr große Online-Plattformen, verhältnismäßige Altersüberprüfungsmaßnahmen umzusetzen. Die Vorabposition der Kommission: Ein selbst angegebenes Geburtsdatum ohne Verifizierung erfüllt diesen Standard nicht für eine Plattform, die Kindersicherheit als systemisches Risiko identifiziert hat.
Konsequenzen: Bis zu 6% des weltweiten Umsatzes
Meta hat nun das Recht, auf die Vorabfeststellungen zu reagieren, bevor die Kommission eine endgültige Entscheidung trifft. Werden die Feststellungen bestätigt, kann die Kommission eine Geldbuße von bis zu 6 Prozent des weltweiten Jahresumsatzes von Meta verhängen. Basierend auf Metas Umsatz 2025 könnte dies eine potenzielle Strafe von rund 12 Milliarden Dollar bedeuten. Die Kommission kann auch periodische Zwangsgelder zur Sicherstellung der Einhaltung verhängen und bei wiederholten oder schwerwiegenden Verstößen vorübergehende Zugangsbeschränkungen anordnen.
Meta hat öffentlich Widerspruch gegen die Feststellungen eingelegt und erklärt, es werde Details zu weiteren Maßnahmen vorlegen. Das Unternehmen hatte zuvor bereits Änderungen implementiert - darunter Altersverifizierungshinweise in einigen Märkten und Tools zur elterlichen Aufsicht. Doch die Vorabbeurteilung der Kommission ergibt, dass diese Maßnahmen hinter den DSA-Anforderungen für die gesamte EU zurückbleiben.
Die Datenschutzfolge: Pflichtverifizierung fuer alle
Die politische Richtung, die aus dieser Durchsetzungsmaßnahme folgt, ist klar: Wenn selbst angegebene Geburtsdaten nach dem DSA nicht ausreichen, braucht Meta ein Altersüberprüfungssystem, das tatsächlich funktioniert. Die verfügbaren Optionen sind begrenzt. Wirksame Altersüberprüfung erfordert entweder eine Dokumentenprüfung (Pass, Personalausweis oder Führerschein), ein biometrisches Altersschätzungssystem oder die Integration eines Drittanbieter-Identitätsverifizierungsdienstes. Alle drei Ansätze erfordern die Erhebung sensibler persönlicher Daten - nicht nur von Kindern unter 13, sondern von jedem Nutzer, der nachweisen muss, dass er das Alterslimit erreicht hat.
Dies ist dasselbe strukturelle Problem, das beim britischen Altersverifizierungsregime für Websites mit Erwachseneninhalt, der australischen Altersverifizierungsgesetzgebung und dem US Parents Decide Act (H.R. 8250) identifiziert wurde: Um Minderjährige zu schützen, bauen Regulatoren eine Verifizierungsinfrastruktur auf, die Identitätsdaten von allen erfasst.
Was das fuer VPN-Nutzer bedeutet
Ein VPN maskiert Ihre IP-Adresse und verschlüsselt Ihren Netzwerkverkehr - und bleibt ein unverzichtbares Werkzeug zum Verbergen Ihres Standorts, zum Verschlüsseln von Daten in öffentlichen Netzwerken und zum Schutz Ihrer Aktivitäten vor dem ISP. Aber die Altersverifizierung funktioniert auf der Kontoebene - über dem Netzwerk. Wenn Meta verpflichtet wird, für EU-Nutzer eine dokumentenbasierte Altersverifizierung einzuführen, kann Ihr VPN dies nicht verhindern. Sobald Sie ein Identitätsdokument einreichen oder sich mit einem Drittanbieter-Verifizierungsdienst verbinden, existieren diese Daten unabhängig davon, welches Netzwerk oder welche IP-Adresse Sie verwenden.
Das weitergehende Problem für datenschutzbewusste Nutzer ist die Normalisierung der Identitätsverifizierung als Voraussetzung für den Zugang zu Online-Plattformen. Jede Durchsetzungsmaßnahme - EU DSA, britische Altersverifizierung, australische Gesetzgebung, US H.R. 8250 - erweitert den Bereich, in dem echte Identitäten offenbart werden müssen. VPNs bleiben wirksam gegen Überwachung auf Netzwerkebene, adressieren aber keine Identitätsanforderungen auf Kontoebene.
Verwandte Artikel auf vpnlab.io
Frühere Beiträge zur Altersverifizierungsgesetzgebung und ihren Datenschutzfolgen:
- Parents Decide Act: Jedes Telefon muss Ihr Geburtsdatum erfassen - H.R. 8250 - der US-Gesetzentwurf, der die Altersverifizierung auf OS-Ebene verschiebt.
- EU-Altersverifizierungs-App in 2 Minuten gehackt - Durov warnt - was passiert, wenn die Verifizierungsinfrastruktur selbst zur Angriffsfläche wird.
- Nach UK-Alterskontrollen schnellt VPN-Nutzung in die Höhe - die dokumentierte Datenschutzreaktion.
