Die Aussage von Michael Ballweg über die neue Altersverifikations-App der EU trifft einen wunden Punkt in der aktuellen Digitalpolitik. Tatsächlich wirbt Ursula von der Leyen offensiv damit, dass die Lösung „fully open source“ sei – ein Begriff, der Vertrauen schaffen soll. Doch bei genauerem Hinsehen zeigt sich, dass diese Darstellung bestenfalls unvollständig ist.
Im Rahmen des European Digital Identity Wallet stellt die EU-Kommission zentrale Bausteine ihrer Altersverifikationslösung öffentlich zur Verfügung. Dazu gehören Protokolle, App-Komponenten und datenschutzfreundliche Verfahren wie Zero-Knowledge-Technologien. Dieser „Baukasten“ ist tatsächlich einsehbar und kann von Entwicklern überprüft werden.
Doch genau hier setzt die Kritik an: Die konkrete App, die Bürgerinnen und Bürger später nutzen werden, entsteht nicht auf EU-Ebene, sondern wird von den einzelnen Mitgliedstaaten entwickelt oder beauftragt. Und diese nationalen Implementierungen unterliegen nicht automatisch denselben Transparenzstandards.
Von der Leyen steht da vor der Kamera und sagt mit fester Stimme: „Unsere neue EU-Altersverifikations-App ist fully open source – jeder kann den Code prüfen.“
Technisch gesehen ist das nicht gelogen. Aber es ist wieder mal diese typische Brüsseler Halbwahrheit, die man erst mal…
— Michael Ballweg (@Michael_Ballweg) April 15, 2026
Das bedeutet: Während die sichtbaren Teile – etwa die Benutzeroberfläche oder einzelne kryptografische Verfahren – offen sein können, bleiben entscheidende Komponenten im Hintergrund potenziell intransparent. Dazu zählen insbesondere Serverstrukturen, Schnittstellen zu staatlichen Datenbanken und nationale Anpassungen. Diese können proprietär sein und entziehen sich damit öffentlicher Kontrolle.
Ballwegs Argument zielt genau auf diesen Widerspruch: Die EU kommuniziert Offenheit, liefert aber lediglich einen technischen Rahmen. Die tatsächliche Macht über Datenflüsse und Systemarchitektur liegt bei nationalen Behörden und ihren Partnern. Damit entsteht ein hybrides System – teilweise offen, teilweise geschlossen.
Kritiker sehen darin ein strukturelles Risiko. Denn auch wenn Zero-Knowledge-Technologien theoretisch Datenschutz garantieren, hängt ihre praktische Umsetzung von der Integrität des Gesamtsystems ab. Wenn Backend-Prozesse nicht überprüfbar sind, bleibt unklar, ob die Versprechen eingehalten werden.
Die zentrale Frage lautet daher nicht, ob Teile des Systems Open Source sind – sondern ob das Gesamtsystem transparent und überprüfbar ist. Genau daran bestehen derzeit berechtigte Zweifel.
Die Debatte um die EU-Altersverifikation zeigt exemplarisch, wie politische Kommunikation und technische Realität auseinanderklaffen können. Transparenz wird versprochen – Kontrolle bleibt fragmentiert.
Am Ende läuft die Debatte auf eine entscheidende Frage hinaus: Was entsteht hier langfristig wirklich?
Denn die Altersverifikation ist technisch nur der Einstieg. Ist die Infrastruktur einmal etabliert, lässt sie sich problemlos ausweiten. Aus einem reinen Altersnachweis kann schrittweise ein universeller Zugangsschlüssel werden – für soziale Netzwerke, Medien, Online-Dienste oder staatliche Angebote.
Damit verschiebt sich die Kontrolle. Wer die digitale Identität verwaltet, kontrolliert indirekt auch den Zugang zum digitalen Raum. Gleichzeitig wächst das Risiko, dass sich im Hintergrund – über Wallets, Geräte und Nutzungsmuster – detaillierte Profile bilden lassen, selbst wenn einzelne Komponenten datensparsam konzipiert sind.
Hinzu kommt ein strukturelles Problem: Systeme dieser Art werden nicht für den Moment gebaut, sondern für die Zukunft. Was heute als freiwillige Sicherheitsmaßnahme eingeführt wird, kann morgen zur Voraussetzung werden. Und während sich politische Rahmenbedingungen ändern können, bleibt die technische Infrastruktur bestehen.
Die eigentliche Frage ist daher nicht, was die App heute kann – sondern was sie morgen ermöglichen wird.