Ein parteiübergreifender Gesetzentwurf, der am 13. April 2026 im US-Repräsentantenhaus eingebracht wurde, würde Apple, Google und jeden anderen Betriebssystemanbieter verpflichten, das Geburtsdatum jedes Nutzers - ob Erwachsener oder Kind - als Voraussetzung für die Geräteeinrichtung zu erfassen. H.R. 8250, der Parents Decide Act, verlagert die Verantwortung für die Altersverifikation von einzelnen Apps auf die Betriebssystemebene und schafft damit das, was Datenschutzforscher als permanentes, gerätebasiertes Identitätsregister beschreiben, das Nutzer durch jede von ihnen installierte Anwendung verfolgen würde.
Was der Gesetzentwurf tatsächlich fordert
Eingebracht von Rep. Josh Gottheimer (D-NJ) und mitgesponsert von Rep. Elise Stefanik (R-NY), verpflichtet der Parents Decide Act jeden Anbieter eines Allzweck-Betriebssystems - das Smartphones, Tablets, Computer, Smart-TVs, Spielkonsolen, E-Reader und eingebettete Geräte umfasst - dazu, alle Nutzer zur Eingabe ihres Geburtsdatums zu verpflichten, bevor sie die Geräteeinrichtung abschließen können. Ist ein Nutzer unter 18 Jahre alt, muss ein Elternteil oder gesetzlicher Vormund eine zusätzliche Verifizierung vornehmen. Die Federal Trade Commission wäre verpflichtet, innerhalb von 180 Tagen nach Inkrafttreten Umsetzungsvorschriften zu erlassen und dem Kongress innerhalb von 18 Monaten über die Einhaltung zu berichten.
Rep. Gottheimer stellte den Gesetzentwurf als Wiederherstellung der elterlichen Kontrolle dar: "Eltern sollten entscheiden, welche Apps ihre Kinder herunterladen können, welche Inhalte sie sehen und wie sie online interagieren - nicht Algorithmen oder Technologieunternehmen." Das Gesetz schafft zudem einen Safe Harbor für OS-Anbieter, die in gutem Glauben kooperieren, und tritt ein Jahr nach der Unterzeichnung in Kraft.
Das Datenschutzproblem: Jede App erhält Ihr Geburtsdatum
Das umstrittenste Element der Gesetzgebung ist nicht der Mechanismus der elterlichen Kontrolle, sondern die obligatorische Programmierschnittstelle, die der Gesetzentwurf schaffen würde. Gemäß H.R. 8250 wären Betriebssysteme verpflichtet, die gesammelten Altersdaten über eine API bereitzustellen, auf die jede auf dem Gerät installierte Anwendung zugreifen kann. Datenschutzforscher weisen darauf hin, dass dies bedeutet: jede Website, jedes Spiel, jedes Hilfsprogramm und jedes Werbenetzwerk könnte das Geburtsdatum des Nutzers beim Betriebssystem abfragen.
Die US Internet Privacy Society beschreibt dies als effektives Zwingen jedes Geräts, das Geburtsdatum seines Besitzers an jede Anwendung zu übertragen, die danach fragt - ohne Opt-out-Möglichkeit für Erwachsene. Die Sorge ist nicht hypothetisch: Forschungen haben gezeigt, dass drei Informationsteile - Geburtsdatum, Postleitzahl und Geschlecht - ausreichen, um 87 Prozent der Amerikaner eindeutig zu identifizieren. Einmal über eine obligatorische API auf Betriebssystemebene offengelegt, wird das Geburtsdatum zum dauerhaften geräteübergreifenden Tracking-Identifier, der es Datenhändlern ermöglicht, es mit Namen, Adressen, Verhaltensprofilen und Kaufhistorien im gesamten Werbeökosystem zu korrelieren.
Geltungsbereich: Jeder Nutzer, jedes Gerät, keine Ausnahmen
Anders als frühere Altersverifikationsvorschläge, die auf bestimmte Plattformen oder Inhaltskategorien abzielten, gilt H.R. 8250 universell. Die Geburtsdatum-Anforderung gilt für alle Nutzer, nicht nur für Minderjährige. Ein Erwachsener, der einen neuen Laptop, ein Smartphone oder einen Smart-TV kauft, wäre verpflichtet, sein Geburtsdatum anzugeben, bevor er die Einrichtung abschließen kann. Der Anwendungsbereich des Gesetzentwurfs für "Allzweck-Rechengeräte" ist breit genug, um nicht nur traditionelle Computer und Telefone, sondern auch Spielkonsolen, vernetzte Fernseher und eine breite Palette eingebetteter Unterhaltungselektronik zu erfassen.
Der Gesetzentwurf befindet sich derzeit in der ersten Phase des Gesetzgebungsprozesses und wurde an den Ausschuss für Energie und Handel des Repräsentantenhauses verwiesen, ohne dass bereits eine Anhörung angesetzt wäre. Um Gesetz zu werden, müsste er den Ausschuss passieren, im Repräsentantenhaus und im Senat abgestimmt und vom Präsidenten unterzeichnet werden - ein Weg mit erheblicher Ungewissheit. Aber die Richtung, die er signalisiert, ist klar: ein wachsendes Interesse des Kongresses an der Identitätsverifikation auf der Infrastrukturebene der Verbrauchertechnologie.
Was das für VPN-Nutzer bedeutet
Ein VPN leitet den Netzwerkverkehr durch einen verschlüsselten Tunnel und verschleiert IP-basierte Identifikatoren - aber es arbeitet auf der Netzwerkschicht. H.R. 8250 operiert auf der Geräteebene, vollständig unterhalb des Netzwerk-Stacks. Wenn es in Kraft träte, würde die Altersverifikationspflicht bei der Geräteeinrichtung greifen, bevor überhaupt Netzwerkverkehr erzeugt wird. Ihr VPN-Anbieter, Ihr DNS-Resolver und Ihre Browser-Erweiterung zur Fingerabdruck-Blockierung hätten keine Einsicht in die Altersübermittlung auf Betriebssystemebene - und keine Möglichkeit, diese zu verhindern.
Was dies von den meisten Überwachungsrahmen unterscheidet, gegen die VPNs konzipiert wurden, ist der Endpunkt: Die Datenerhebung findet auf dem Gerät selbst statt, im Moment der Konfiguration. Die daraus resultierende Bindung von Geburtsdatum und Gerät würde unabhängig davon bestehen bleiben, welches VPN, welchen Browser oder welches Netzwerk der Nutzer anschließend verwendet.
Verwandte Artikel auf vpnlab.io
Frühere Beiträge zur Altersverifikationsgesetzgebung und ihren Datenschutzfolgen:
- EU-Altersverifikations-App in 2 Minuten gehackt - Durow warnt vor Überwachungsrisiko - was passiert, wenn die obligatorische Altersverifikationsinfrastruktur selbst zur Angriffsfläche wird.
- Internet per Ausweis in Australien: Wie Google und Bing das Alter der Nutzer prüfen - wie OS-nahe Alterskontrollen in Australien bereits funktionieren.
- Nach den Alterskontrollen im UK für Erwachsenenwebsites schnellt die VPN-Nutzung in die Höhe - die dokumentierte Datenschutzreaktion, wenn Altersverifikation auf Endnutzer trifft.
