Das SPD-Impulspapier "Sichere Soziale Medien" versucht ja, #Altersverifikation als die technische Vorraussetzung für den sicheren Umgang mit Social Media Plattformen darzustellen.

Das SPD-Impulspapier "Sichere Soziale Medien" versucht ja, #Altersverifikation als die technische Vorraussetzung für den sicheren Umgang mit Social Media Plattformen darzustellen.

Gleichzeitig wird auch versucht, die Maßnahmen als datenschutzkonform zu framen. Es gibt hier aber einen Widerspruch, wenn wir uns mal anschauen, wie sowas im Rahmen eIDAS2 umgesetzt werden könnte.

Dazu mal kurz: Wie würde eine solche Umsetzung denn eigentlich aussehen? 🧵

Ich nehme Bezug auf dieses Paper (https://www.spdfraktion.de/system/files/documents/impulspapier-sichere-soziale-medien.pdf).

Wichtig zu wissen zur EUDI Wallet, die hier ja als zentrales Mittel zur Verifikation genutzt werden soll:
- Es gibt nicht eine Wallet, es gibt einen Markt von Wallets, weil eIDAS2 explizit den Markt schafft, mehrere Wallets haben zu können. Es gibt die staatliche deutsche Implementierung, aber auch wirtschaftliche Akteure in DE, aber auch in der gesamten EU werden welche anbieten. Datenschutzniveau individuell unterschiedlich.

- Das Konstrukt "Eltern verifizieren für ihre Kinder von 14 bis 16" bedeutet, dass Eltern sich ja auch als Eltern eines Kindes ausweisen müssten. Es wird also ein sozialer Graph notwendig: "Das ist mein Kind". Für Social Media Plattformen bedeutet das staatlich verifizierte Social Graphs, die möglicherweise dann weiter monetarisiert werden können.
Diese Beziehung nicht zu verifizieren, würde Social Media Plattformen eher wegen der Gefahr von Sanktionen selbst in Gefahr bringen.

In der "ab 16" Fassung haben wir dann mindestens die Ableitung staatlich verifizierter Metadaten (Alter über X) und je nach Ausgestaltung mehr staatlich verifizierte Daten. Social Media Plattformen werden hier alle Daten einfordern, die sie kriegen können, weil sie von sich das Risiko wegdrücken müssen, weil die Plattformen ja sonst haften würden.

Datensparsamkeit funktioniert hier also nicht.

In der "ab 16" Fassung haben wir dann mindestens die Ableitung staatlich verifizierter Metadaten (Alter über X) und je nach Ausgestaltung mehr staatlich verifizierte Daten. Social Media Plattformen werden hier alle Daten einfordern, die sie kriegen können, weil sie von sich das Risiko wegdrücken müssen, weil die Plattformen ja sonst haften würden.

Datensparsamkeit funktioniert hier also nicht.

@bkastl Ich gehe davon aus, dass der soziale Graph einfach weggelassen wird. Erwachsener mit Token XYZ kann Kind A, B und C freischalten.

@bkastl Und Bots. Weil freigeschaltete Account können keine Bots sein.

@publictorsten Im Nutzungsverhalten wird aber ein Großteil der Bevölkerung "brav" das mit den Erziehungsberechtigten machen. Also hast du zu einem größeren Prozentsatz einen wahrscheinlich verfizierten sozialen Graph. Es erhöht zumindest die Wahrscheinlichkeit, dass der Graph so ist.

Bei den Bots ist die Frage eher, wie viel Geld so eine Botarmee kosten darf. Im Prinzip wird dann jeder Identity Theft halt eine Chance, "echte" Bots onzuboarden.

Dazu hat eIDAS noch weitere die Privatsphäre und die Anonymität der betroffenen Personen aufbrechenden Eigenschaften:
- Ein Unique Identifier ist nicht ausgeschlossen und könnte hier beim Wechsel von verschiedenen EU-Varianten genutzt werden (dafür wurde er eingeführt eigentlich)
- Datenleaks sind wegen signierter Daten schädlicher als in anderen Lösungsansätzen.
etc.

Eine in diesen Aspekten halbgare Wallet auch noch staatlich gefördert durchzusetzen, ist schwierig.

@publictorsten Im Nutzungsverhalten wird aber ein Großteil der Bevölkerung "brav" das mit den Erziehungsberechtigten machen. Also hast du zu einem größeren Prozentsatz einen wahrscheinlich verfizierten sozialen Graph. Es erhöht zumindest die Wahrscheinlichkeit, dass der Graph so ist.

Bei den Bots ist die Frage eher, wie viel Geld so eine Botarmee kosten darf. Im Prinzip wird dann jeder Identity Theft halt eine Chance, "echte" Bots onzuboarden.

Ergänzend auch meine Einschätzung zu den Anmerkungen von @publictorsten

Auch wenn es einfacher umgesetzt wird, gibt es eine Adhärenz, dass das die Eltern machen. Und das Botproblem wird einfach nur teurer.

https://mastodon.social/@publictorsten/116085285283963859

@bkastl Oh, ich meinte nicht, dass die Datenempfänger brav die Augen verschließen. Ich bezweifle, dass die versprochene Sicherheit umsetzbar ist.

@publictorsten es geht doch nicht um Sicherheit, es geht um Sicherheitstheater ️

@bkastl Und es ist publikumswirksames Theater. Hattest Du noch keine Gespräche mit besorgten Eltern?

@bkastl Und es ist publikumswirksames Theater. Hattest Du noch keine Gespräche mit besorgten Eltern?

@publictorsten @bkastl Endlich komme ich mal wieder dazu, dieses Meme einzusetzen.

Das SPD-Impulspapier "Sichere Soziale Medien" versucht ja, #Altersverifikation als die technische Vorraussetzung für den sicheren Umgang mit Social Media Plattformen darzustellen.

Gleichzeitig wird auch versucht, die Maßnahmen als datenschutzkonform zu framen. Es gibt hier aber einen Widerspruch, wenn wir uns mal anschauen, wie sowas im Rahmen eIDAS2 umgesetzt werden könnte.

Dazu mal kurz: Wie würde eine solche Umsetzung denn eigentlich aussehen? 🧵

Dazu hat eIDAS noch weitere die Privatsphäre und die Anonymität der betroffenen Personen aufbrechenden Eigenschaften:
- Ein Unique Identifier ist nicht ausgeschlossen und könnte hier beim Wechsel von verschiedenen EU-Varianten genutzt werden (dafür wurde er eingeführt eigentlich)
- Datenleaks sind wegen signierter Daten schädlicher als in anderen Lösungsansätzen.
etc.

Eine in diesen Aspekten halbgare Wallet auch noch staatlich gefördert durchzusetzen, ist schwierig.

@publictorsten @bkastl Endlich komme ich mal wieder dazu, dieses Meme einzusetzen.

@bkastl zumindest laut eIDAS VO müsste die Wallet aber ein unlinkbares "ist über 16" können, und ein Service dürfte nur genau das Abfragen dürfen.

(andere Probleme wie Zugänglichkeit blieben)