Daten-Chaos bei Yoti: Altersprüfung bei PlayStation und Meta in der Kritik

Die Altersverifikations-Software Yoti gibt sensible Nutzerdaten bei Sony, Meta und TikTok an intransparente Drittanbieter weiter. Anstatt lokaler KI-Prüfungen durchlaufen biometrische Daten ein undurchsichtiges Netzwerk, was die Kontrolle über persönliche Informationen erschwert. Diese Praxis gefährdet die Privatsphäre der Nutzer, da Löschungen oder Widerrufe aufgrund der fragmentierten Datenspeicherung bei verschiedenen Dienstleistern kaum möglich sind.

Sicherheitslücke bei der Altersprüfung

Der Dienstleister Yoti steht aktuell massiv in der Kritik. Ein aktueller Bericht zeigt, dass die Plattform zur Altersverifikation sensible Nutzerdaten an zahlreiche Drittanbieter weitergibt, ohne dass dies für die Anwender ersichtlich ist.

Betroffen sind unter anderem große Konzerne der Tech- und Gaming-Branche:

PlayStation (Sony Interactive Entertainment)
Meta (Facebook, Instagram)
TikTok

Wie Yoti die Daten verarbeitet

Das System suggeriert eine direkte Prüfung durch KI-Algorithmen, doch die Realität sieht anders aus. Die Software nutzt ein komplexes Netzwerk an “vierten Parteien”, um die Verifizierung durchzuführen.

Diese Praxis führt zu erheblichen Risiken für den Schutz privater Informationen:

Personenbezogene Daten verlassen den direkten Kontrollbereich der Hauptplattformen.
Die Weitergabe an intransparente Drittdienstleister erfolgt ohne explizite Sichtbarkeit.
Nutzer verlieren den Überblick, wer ihre biometrischen oder persönlichen Merkmale genau verarbeitet.

Konsequenzen für Gamer

Spieler, die sich auf Plattformen wie dem PlayStation Network verifizieren müssen, vertrauen ihre Identität einer Kette von Dienstleistern an. Diese Kette ist für den Endnutzer kaum nachvollziehbar oder kontrollierbar.

Die technischen Details des Berichts belegen folgende Problematik:

Die Speicherung der Daten erfolgt nicht lokal auf dem Gerät.
Die Fragmentierung der Datensätze bei verschiedenen Partnern erschwert die Löschung oder den Widerruf von Einwilligungen.

Fehlende Transparenz als Standard

Die untersuchten Unternehmen werben mit Sicherheit und Jugendschutz. Der Bericht entlarvt diese Kommunikation als irreführend, da die technische Umsetzung die Privatsphäre der Nutzer gefährdet.

Die Praxis der Datenweitergabe widerspricht dem Anspruch einer direkten Verifizierung massiv. Viele Nutzer sind sich nicht bewusst, dass ihr Gesichtsscan durch mehrere Firmen wandert, bevor eine Entscheidung über ihr Alter getroffen wird.

Sicherheitslücke bei der Altersprüfung

Die Firma Yoti steht aktuell massiv in der Kritik, da ein Bericht massive Intransparenz bei der Altersverifikation aufdeckt. Entgegen der Darstellung einer direkten KI-Prüfung fließen sensible Nutzerdaten an eine Kette von Drittanbietern ab.

Betroffen sind unter anderem:

PlayStation (Sony Interactive Entertainment)
Meta (Facebook, Instagram)
TikTok

Yoti wurde 2014 in London gegründet und verfolgt das Ziel einer digitalen Identitätsprüfung mittels Biometrie. Die Firma agiert nicht als reine Software-Schmiede, sondern als Identitäts-Broker, der als Schnittstelle zwischen Plattformen und staatlichen Datenbanken fungiert.

Wie Yoti die Daten verarbeitet

Das System suggeriert eine autarke KI-Analyse, doch die Architektur basiert auf einem Netzwerk sogenannter vierter Parteien. Diese Sub-Dienstleister übernehmen Teile der Bildverarbeitung oder Datenbankabgleiche, ohne dass der Endnutzer darüber informiert wird.

Diese Praxis birgt Risiken für die Datensouveränität:

Personenbezogene Daten verlassen den direkten Kontrollbereich der Hauptplattformen.
Die Weitergabe erfolgt ohne explizite Sichtbarkeit in den AGB oder Datenschutzhinweisen der Plattformen.
Nutzer verlieren die Kontrolle darüber, welche Firmen ihre biometrischen Merkmale speichern oder weiterverarbeiten.

Der technische Prozess nutzt eine Kombination aus Gesichtserkennung und Bildanalyse, um das Alter zu schätzen. Dabei werden die Rohdaten oft nicht nur auf den Servern von Yoti, sondern auch bei Cloud-Infrastruktur-Partnern verarbeitet, die nicht immer unter der strengen Aufsicht der europäischen DSGVO stehen.

Konsequenzen für Gamer

Spieler, die sich auf Plattformen wie dem PlayStation Network verifizieren, vertrauen ihre Identität einer komplexen Kette von Akteuren an. Diese Kette ist für den Anwender weder nachvollziehbar noch in ihrer Struktur kontrollierbar.

Die technischen Details des Berichts belegen folgende Problematik:

Die Speicherung findet nicht lokal auf der Konsole oder dem Smartphone statt.
Die Fragmentierung der Datensätze bei Partnerunternehmen erschwert die Löschung oder den Widerruf von Einwilligungen.

Der Einsatz solch externer Verifikationsdienste bei Sony ist eine Reaktion auf strengere gesetzliche Vorgaben zum Jugendschutz. Frühere Methoden, wie die Abfrage der Kreditkartendaten, erwiesen sich als weniger effektiv gegen die Umgehung durch Minderjährige. Dennoch verlagert das aktuelle Vorgehen die Verantwortung von den Plattformbetreibern hin zu Drittfirmen, die primär auf Skalierbarkeit und nicht auf Datensparsamkeit ausgerichtet sind.

Branchenkontext und Vergleichswerte

Die Branche für Altersverifikation in sozialen Netzwerken und Gaming-Plattformen wächst rapide, getrieben durch Gesetze wie den Digital Services Act der EU. Frühere Ansätze setzten meist auf manuelle Prüfung durch Kundensupport-Mitarbeiter oder die Überprüfung von Ausweisdokumenten durch geschultes Personal.

Vergleichbare Wettbewerber im Bereich der Identitätsprüfung sind:

IDnow (ein deutsches Unternehmen, das oft für Banken und staatliche Dienste arbeitet)
Onfido (fokussiert auf automatisierte Dokumentenprüfung)
Sumsub (ebenfalls im Bereich der automatisierten Verifizierung tätig)

Im Vergleich zu IDnow, das oft Videocalls oder den Abgleich mit staatlichen Datenbanken erzwingt, setzt Yoti auf die reine Gesichtsschätzung. Das Ziel der Branche ist die Reduktion von Abbruchquoten während des Onboarding-Prozesses. Laut internen Daten von Yoti entscheiden sich Plattformbetreiber für deren System, weil die Verifizierungsdauer unter 60 Sekunden liegt. Kritiker bemängeln jedoch, dass diese Geschwindigkeit mit der Anonymität der beteiligten Partner erkauft wird.

Fehlende Transparenz als Standard

Die untersuchten Unternehmen werben offensiv mit Sicherheit und dem Schutz von Minderjährigen. Der Bericht entlarvt diese Kommunikation als irreführend, da die technische Realität die Privatsphäre der Nutzer gefährdet.

Die Praxis der Datenweitergabe widerspricht dem Anspruch einer direkten Verifizierung. Viele Nutzer wissen nicht, dass ihr Gesichtsscan durch mehrere Firmen wandert, bevor eine Entscheidung über ihr Alter getroffen wird.

Die Fragmentierung der Datenverarbeitung führt dazu, dass ein Widerruf der Einwilligung faktisch ins Leere läuft. Sollte ein Nutzer die Löschung seiner Daten bei Meta oder Sony beantragen, müssen diese Firmen sicherstellen, dass auch ihre Sub-Dienstleister in der Yoti-Kette die entsprechenden Datensätze entfernen. Die aktuellen Protokolle der betroffenen Unternehmen zeigen, dass eine solche Löschkette bisher nicht vollständig automatisiert oder geprüft ist.