Technik

Datenschutzorientierte Altersverifikation mit OpenEUDI aufbauen

Wie Sie mit dem OpenEUDI SDK ein Altersverifikationssystem aufbauen, das keinerlei personenbezogene Daten sammelt. Ein boolesches Ergebnis, kein Geburtsdatum.

eIDAS Pro Team
10. März 2026
7 Min. Lesezeit

Das Problem klassischer Altersverifikation

Die meisten heutigen Systeme zur Altersverifikation sammeln personenbezogene Daten:

  • Eingabe des Geburtsdatums: Nutzer geben ihr Geburtsdatum ein. Es gibt keine Verifizierung. Lügen ist einfach.
  • Dokumentenupload: Nutzer fotografieren ihren Ausweis. Damit erhalten Sie ein Dokumentenbild mit Name, Adresse, Foto und Dokumentennummer, also deutlich mehr Daten als nötig, um die Frage "Ist diese Person über 18?" zu beantworten.
  • Altersschätzung durch Dritte: Eine KI schätzt das Alter anhand eines Selfies. Das bedeutet biometrische Datenverarbeitung mit erheblichen DSGVO-Folgen.

Alle diese Ansätze erfassen mehr Daten als erforderlich, um eine einfache Ja/Nein-Frage zu beantworten.

Die datenschutzorientierte Alternative

Mit einer Verifikation über das EUDI Wallet funktioniert die Altersprüfung anders:

Sie fragen: "Ist diese Person 18 Jahre oder älter?"
Das Wallet antwortet: "Ja." (oder "Nein.")

Mehr nicht. Kein Geburtsdatum. Kein Name. Kein Dokument. Kein Selfie. Keine biometrischen Daten. Nur ein kryptografisch signiertes Bool von einem staatlich vertrauenswürdigen Aussteller.

Umsetzung mit OpenEUDI

Schritt 1: installieren und konfigurieren

import { createVerifier } from '@openeudi/core';

const verifier = createVerifier({
  mode: 'demo', // Auf 'production' wechseln, wenn EUDI Wallets live gehen
});

Schritt 2: Sitzung für die Altersverifikation erstellen

const session = await verifier.createSession({
  attributes: ['age_over_18'],
  // Mehr braucht es nicht. Wir fordern weder Namen noch Geburtsdatum noch andere Attribute an.
});

Die zentrale Erkenntnis: age_over_18 ist ein abgeleitetes Attribut. Das Wallet prüft das Geburtsdatum intern und gibt nur das boolesche Ergebnis zurück. Das Geburtsdatum verlässt das Gerät nie.

Schritt 3: das Ergebnis verarbeiten

session.onVerified((result) => {
  if (result.ageOver18) {
    // Zugriff auf altersbeschränkten Inhalt oder Produkte erlauben
    allowPurchase();
  } else {
    // Zugriff blockieren
    showAgeRestrictionMessage();
  }
});

Schritt 4: was Sie speichern (fast nichts)

// Audit-Log ohne personenbezogene Daten
await db.verificationLogs.create({
  sessionId: result.sessionId,
  verificationType: 'age_over_18',
  result: result.ageOver18, // true/false - keine personenbezogenen Daten
  verifiedAt: result.verifiedAt,
  // Kein Name. Kein Geburtsdatum. Keine Dokumentennummer. Keine PII.
});

WooCommerce-Integration

Für WordPress-/WooCommerce-Shops mit altersbeschränkten Produkten:

// Das OpenEUDI WooCommerce-Plugin übernimmt dies automatisch.
// Im WordPress-Admin:
// 1. OpenEUDI Age Verification Plugin installieren
// 2. Zu WooCommerce -> Settings -> Age Verification gehen
// 3. Auswählen, welche Produktkategorien eine Verifikation erfordern
// 4. Verifikationsschwelle festlegen (18+, 21+)
// 5. Fertig.

Das Plugin fügt vor dem Checkout einen Verifikationsschritt für markierte Produkte hinzu. Der Kunde scannt einen QR-Code, bestätigt im Wallet und die Bestellung läuft weiter. Es werden keine personenbezogenen Daten durch das Plugin gesammelt oder gespeichert.

DSGVO-Analyse

Datenminimierung (Artikel 5 Abs. 1 lit. c)

Klassische Altersverifikation erfasst:

  • Vollständigen Namen, Geburtsdatum, Dokumentennummer, Dokumentenbilder, Selfie

OpenEUDI-Altersverifikation erfasst:

  • Einen Bool-Wert: true oder false

Die DSGVO verlangt, dass personenbezogene Daten "dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt" sind. Ein Bool ist das absolute Minimum, das zur Altersprüfung benötigt wird.

Speicherbegrenzung (Artikel 5 Abs. 1 lit. e)

Bei klassischer Verifikation müssen Sie:

  • Aufbewahrungsfristen für Ausweisdokumente definieren
  • Sichere Löschprozesse implementieren
  • Auskunfts- und Löschersuchen bearbeiten

Mit OpenEUDI:

  • ist das Verifikationsergebnis (true/false) nach den meisten Auslegungen kein personenbezogenes Datum
  • ist die Session-ID ein zufälliger Bezeichner ohne Bezug zur Person
  • ist keine PII-Richtlinie zur Aufbewahrung notwendig, weil keine PII erhoben wird

Datenschutz-Folgenabschätzung

Eine DSFA ist für OpenEUDI-Altersverifikation möglicherweise nicht erforderlich, weil:

  • keine systematische Überwachung von Personen erfolgt
  • keine besonderen Kategorien personenbezogener Daten verarbeitet werden
  • keine groß angelegte Verarbeitung personenbezogener Daten stattfindet
  • die verarbeiteten Daten (ein Bool) nur ein minimales Risiko für Betroffene darstellen

Vergleichen Sie das mit klassischer, KYC-basierter Altersverifikation, bei der eine DSFA wegen Dokumentenbildern und biometrischen Daten fast immer erforderlich ist.

Verfügbare Altersattribute

Das EUDI Wallet unterstützt mehrere altersbezogene Attribute:

AttributRückgabeEinsatzfall
age_over_18BooleschAlkohol, Tabak, Adult Content
age_over_21BooleschGlücksspiel (in manchen Rechtsräumen)
age_over_16BooleschEinige digitale Dienste, leichtere Einschränkungen
age_over_14BooleschAltersgrenzen in sozialen Netzwerken

eIDAS Pro unterstützt nicht die Anforderung roher personenbezogener Daten wie birth_date, family_name oder nationality. Unsere datenschutzorientierte Architektur stellt sicher, dass Sie nur boolesche Ergebnisse erhalten, nie die zugrunde liegenden personenbezogenen Daten. Länderspezifische Compliance wird über Ihre Merchant-Whitelist-/Blacklist-Konfiguration gesteuert, nicht durch zusätzliche Datenanforderungen an Nutzer.

Länderspezifische Überlegungen

Altersgrenzen unterscheiden sich je nach Land und Produkt:

LandAlkoholTabakGlücksspiel
Die meisten EU-Staaten18+18+18+
Deutschland16+ (Bier/Wein), 18+ (Spirituosen)18+18+
Belgien16+ (Bier/Wein), 18+ (Spirituosen)18+21+
Österreich16+ (Bier/Wein), 18+ (Spirituosen)18+18+

Das OpenEUDI SDK enthält ein maschinenlesbares Compliance-Mapping (JSON) für alle 27 Mitgliedstaaten. Damit können Sie abhängig von Land und Produktkategorie das passende Attribut anfordern.

Das OpenEUDI SDK ist MIT-lizenziert und kostenlos. Für produktive Altersverifikation mit verwalteten WRPAC-Zertifikaten sehen Sie sich die Managed Plans von eIDAS Pro an.

Verwandte Artikel

Altersverifizierung in WooCommerce mit eIDAS implementieren

Umfassender Leitfaden zur Integration einer eIDAS-basierten Altersverifizierung in Ihren WooCommerce-Shop. Erfahren Sie, wie Sie rechtssichere und reibungsarme Verifizierung für Alkohol, Tabak und andere altersbeschränkte Produkte umsetzen.

11 Min. Lesezeit

DSGVO-Compliance leicht gemacht: Wie eIDAS die Datenerhebung minimiert

Erfahren Sie, wie eIDAS-basierte Identitätsprüfung durch Datenminimierung, Datenschutz durch Technikgestaltung und Nutzerkontrolle eine belastbare DSGVO-Compliance ermöglicht. Senken Sie Ihr Datenrisiko bei gleichzeitig höherer Sicherheit.

11 Min. Lesezeit

Tags

AltersverifikationDatenschutzTutorialSDKDSGVOOpenEUDIZero Knowledge

Diesen Artikel teilen

Helfen Sie anderen, mehr über eIDAS-Verifizierung zu erfahren

Verwandte Artikel

Technik

OpenEUDI SDK Quickstart: Ihre erste Verifizierung in 5 Minuten

Eine Schritt-für-Schritt-Anleitung, um das OpenEUDI SDK zu installieren, eine Verifizierungssitzung zu erstellen und das Ergebnis zu verarbeiten - alles in weniger als 5 Minuten im DEMO-Modus.

6 Min. Lesezeit
Technik

OpenEUDI vorgestellt: ein Open-Source-SDK für EU-Digitalidentitätsverifizierung

Wir veröffentlichen die zentrale Protokollbibliothek als Open Source, die eIDAS Pro antreibt. OpenEUDI ist ein kostenloses TypeScript-SDK unter MIT-Lizenz für die Integration von EUDI-Wallet-Verifikation in jede Webanwendung.

8 Min. Lesezeit
Technik

OpenID4VP verstehen: das Protokoll hinter den EU Digital Identity Wallets

Ein technischer Deep Dive in OpenID4VP, das Protokoll, mit dem EUDI Wallets verifizierte Attribute an Unternehmen übermitteln. Wie es funktioniert, warum es wichtig ist und wie OpenEUDI es implementiert.

12 Min. Lesezeit