(english translation, original article in german below)

Politicians worldwide are discussing a social media ban for young people. Yet hardly no one is talking about the dystopian surveillance infrastructure being set up to enforce it. With potential consequences for all of us.

Australia has already implemented it; Austria and France have decided on it; the UK is considering it; in Germany, the CDU and SPD are calling for it—only the Swiss Federal Council remains hesitant (though it wants to achieve something similar de facto with the restriction on streaming platforms):

We’re talking about a social media ban for young people in the name of child and youth protection.

Across the country, media outlets are discussing the pros and cons of this measure. The left-wing weekly WOZ, for example, has provided a political analysis of the issue in a well-written article. However, no one is talking about the important first step: how the age of young people is recorded and verified. The WOZ also notes that the example of Australia could be a success, as platforms face fines of up to 27 million francs “if they do not carry out age verification carefully enough.”

But what exactly does “carrying out age verification carefully” mean?

Countries with social media bans are shifting the responsibility for this to the platforms. And in doing so, they are driving the development of a potentially global surveillance structure. This is being driven by regulations in various countries—which could have repercussions for the entire world.

But how did this come about?

Mark Zuckerberg’s Meta Group was recently found guilty by two U.S. courts. In the state of New Mexico, the prosecution proved that Meta platforms were used for so-called grooming—that is, for adults to make contact with minors with the intent to abuse them. The investigators posed as children and were harassed by adults.

What is interesting here is what the Meta CEO presented as a solution in court: Zuckerberg argued that operating system providers are better equipped than social networks, for example, to implement age verification tools. In short: Zuckerberg simply outsources his age verification problem to Google, Apple, Microsoft, and Linux (there is no exception for open-source providers).

His plea was heard. Several U.S. states have passed age verification laws, as an analysis by tboteproject.com shows. California, where many tech companies are headquartered, is relevant in this case. There, a new law enforced on January 1, 2027, requires operating system providers to collect their users’ ages. The age information is to be permanently shared with all apps. They can decide how they will implement this.

What this means in practice can be seen in the UK. Apple has been requiring there for several weeks, when iPhone owners update their operating system, that they verify their identity either with an ID or their credit card. If they refuse, Apple will apply filters. So a user not agreeing will therefore be classified as a “minor.” The legal basis for this is the UK’s “Online Safety Act.” Apple has also rolled out the same mechanism in Singapore and South Korea.

Numerous U.S. states have passed similar bills. All regulations require either verification via the operating system or through the platforms, which in turn mostly rely on external companies. And these, in turn, require identification via ID, a copy of a passport, or estimate a user’s age based on “signals” using AI.

This is no coincidence. The company Meta, with 9 contracted firms and 12 lobbyists, carried out a nationwide campaign with an organization called the “Digital Childhood Alliance.”

Now one might argue that this only affects Britons and Americans. What does this have to do with us here in Europe?

A great deal. In Europe, proof of age for the upcoming government digital identity (the “Swiyu” e-ID wallet in Switzerland, the EUDI wallet in the EU) is to be resolved using a cryptographically secured indicator. This indicator only reveals whether a user is over 18 years old or not, without disclosing the exact date of birth, name, or other information.

Data sovereignty is intended to remain with the users, within a decentralized structure.

The Swiss Federal Office of Justice and numerous other authorities are working on this. Social media platforms such as TikTok or Instagram would have to register for the “trust infrastructure” for e-ID data queries and would only be allowed to request age, not any other data.

However: The solutions are not yet in place (and also have their own minor data protection issues). Furthermore: The apps and platforms will pragmatically opt for the easier option and retrieve their users’ age information from Google and Apple’s operating systems. This spares them the tedious registration process via a European trust infrastructure and certification by EU authorities.

Should this happen, it would be in stark contradiction to several EU laws and projects (and in some cases also those of Switzerland): for example, the “Digital Markets Act.” This act stipulates that the already powerful gatekeepers Google and Apple must open up to alternative marketplaces.

The American way is the opposite of the European approach, which aims to break up the market-dominating position of Google and Co., because identity verification is centralized. And the European General Data Protection Regulation, which seeks to limit data collection as much as possible, would be blatantly violated. Uploading passport data is the opposite of data minimization, as it floods platforms (and in the future likely blogs and e-commerce shops as well) with biometric and passport data.

Furthermore, it is a classic case of mission creep: The measure is expanding, and once established, this identity infrastructure cannot be dismantled; the end of anonymity on the internet is thus imminent.

It is precisely the nightmare scenario that proponents of government-issued e-IDs have warned against: With just a few clicks, Big Tech will gain all of a person’s government-verified data—rather than only the specific attributes required by law.

The LinkedIn network offers a preview of this: there, users who have verified their identity via a selfie and a copy of their passport have shared highly sensitive data with Persona Identities (a service provider funded by the libertarian-authoritarian tech billionaire Peter Thiel).

A technical investigation and an analysis of the privacy policies revealed: All this identity data from LinkedIn users is checked with multiple government databases of U.S. security agencies and used to train the AI models of Anthropic and OpenAI.

EU policymakers would be well advised to put stop this age-verification madness (and also to make European solution mandatory for Meta and others), to connect with civil society data protection organizations in the U.S., and to listen to the scientific community: On March 3, 2026, prominent European academics published an open letter warning of an impending global identity surveillance structure. They are calling for a moratorium until the benefits and risks of such age verification technologies have been sufficiently researched.

Denis Roio, identity expert and scientific director of the Plan B Foundation in Lugano, writes: “The price is very high and will be paid by everyone. More identity checks. More metadata. More logging. More intermediaries. More friction for people who lack the right device, the right documents, or the right digital skills.”

(translated by deepl.com, added by some personal editing)

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Warum das Social-Media-Verbot für Teenager zum Albtraum wird

Weltweit wird ein Social-Media-Verbot für Jugendliche diskutiert. Doch kaum jemand spricht über die dystopische Überwachungs­struktur, die dafür aufgezogen wird. Mit potenziellen Folgen für uns alle.

Australien hat es bereits umgesetzt; Österreich und Frankreich haben es beschlossen; Grossbritannien überlegt es sich, in Deutschland fordern es CDU und SPD – nur der Schweizer Bundesrat ist noch zurück­haltend (möchte aber mit der Restriktion für Streaming-Plattformen de facto etwas Ähnliches): Die Rede ist vom Social-Media-Verbot für Jugendliche im Namen des Kinder- und Jugend­schutzes.

Landauf und landab diskutieren Medien die Vor- und Nachteile dieser Massnahme. Die linke Wochen­zeitung WOZ etwa hat das Thema in einem lesens­werten Beitrag politisch eingeordnet. Kaum hinterfragt wird aber eine Voraus­setzung des Verbots: wie das Alter der Jugendlichen erfasst und überprüft wird. So hält auch die WOZ fest, dass das Beispiel Australien ein Erfolg sein könnte, denn den Platt­formen drohen bis zu 27 Millionen Franken Strafe, «wenn sie die Alters­prüfung nicht sorgfältig genug durchführen».

Aber was heisst genau «die Alters­prüfung sorgfältig umsetzen»?

Staaten mit Social-Media-Verboten lagern die Verantwortung diesbezüglich an die Platt­formen aus. Und forcieren damit den Aufbau einer potenziell globalen Überwachungs­struktur. Vorangetrieben wird dies von Regulierungen verschiedener Länder – die Auswirkungen auf die gesamte Welt haben könnten.

Doch wie kam es dazu?

Der Meta-Konzern von Mark Zuckerberg wurde kürzlich von zwei US-Gerichten verurteilt. Im Bundesstaat New Mexico belegte die Staats­anwaltschaft, dass die Meta-Plattformen für sogenanntes Grooming verwendet wurden, also zur Kontakt­aufnahme von Erwachsenen mit Minder­jährigen in der Absicht, sie zu missbrauchen. Die Straf­ermittlerinnen gaben sich als Kinder aus und wurden von Erwachsenen belästigt.

Interessant ist dabei, was der Meta-CEO vor Gericht als Lösung präsentierte: Zuckerberg argumentierte, dass Anbieter von Betriebs­systemen besser in der Lage seien als etwa soziale Netzwerke, Tools zur Alters­überprüfung zu implementieren. Kurz: Zuckerberg sourct sein Problem der Alters­verifikation einfach an Google, Apple, Microsoft und Linux (es gibt keine Ausnahme für Open-Source-Anbieter) out.

Er wurde erhört. Gleich mehrere US-Bundes­staaten haben Gesetze zur Alters­verifikation verabschiedet, wie eine Analyse von tboteproject.com zeigt. Vorreiterin ist Kalifornien, wo viele Tech-Konzerne beheimatet sind. Dort verlangt ein neues Gesetz, das am 1. Januar 2027 in Kraft tritt, dass Anbieter eines Betriebs­systems das Alter ihrer Nutzerinnen erfassen müssen. Die Alters­information soll permanent an alle Apps ausgespielt werden. Wie sie dies umsetzen, obliegt ihnen.

Was das konkret bedeutet, kann man in Gross­britannien beobachten. Apple fordert dort seit einigen Wochen beim Update des Betriebs­systems von iPhone-Besitzern, ihre Identität entweder mit einer ID oder ihrer Kredit­karte zu verifizieren. Verweigern sie dies, wird Apple Filter einsetzen. Sie werden demnach als «minderjährig» eingestuft. Gesetzes­grundlage dafür ist der britische «Online Safety Act». Denselben Mechanismus rollte Apple auch in Singapur und Südkorea aus.

Unzählige US-Bundesstaaten haben ähnliche Vorlagen verabschiedet. Alle Regulierungen verlangen entweder eine Prüfung via Betriebs­system oder durch die Platt­formen, die wiederum meist auf externe Firmen zurückgreifen. Und diese wiederum verlangen eine Identifikation via ID, Passkopie oder schätzen das Alter anhand von «Signalen» einer Userin durch KI ein.

Das alles kommt nicht von ungefähr. Das Unter­nehmen Meta führte mit 9 beauftragten Firmen und 12 Lobbyisten eine landesweite Kampagne mit einer Organisation namens «Digital Childhood Alliance» durch.

Nun könnte man argumentieren, dies betreffe nur Briten und Amerikanerinnen. Was geht uns das jetzt in Europa an?

Sehr viel. In Europa soll der Alters­nachweis nämlich für die kommende staatliche digitale Identität (E-ID-Wallet «Swiyu» in der Schweiz, EUDI-Wallet in der EU) mit einem krypto­grafisch gesicherten Hinweis gelöst werden. Dieser gibt nur bekannt, ob ein User über 18 Jahre alt ist oder nicht, ohne Preisgabe des genauen Geburts­datums, Namens und weiterer Informationen. Die Daten­hoheit soll bei den Nutzern verbleiben, mit einer dezentralen Struktur.

Daran arbeiten das Bundesamt für Justiz sowie zahlreiche weitere Behörden. Social-Media-Platt­formen wie Tiktok oder Instagram müssten sich für die «Vertrauens­infrastruktur» für E-ID-Daten­abfragen anmelden, dürften nur das Alter anfordern und keine weiteren Daten.

Doch: Die Lösungen sind noch nicht da (und haben auch noch ihre eigenen kleineren Datenschutz­tücken). Und: Die Apps und Platt­formen werden sich pragmatisch für den einfacheren Weg entscheiden und die Alters­angabe ihrer Nutzerinnen bei den Betriebs­systemen von Google und Apple abholen. Damit ersparen sie sich die langwierige Anmeldung über eine europäische Vertrauens­infrastruktur und die Zertifizierung durch EU-Behörden.

Sollte dies eintreffen, würde das in krassem Wider­spruch stehen zu mehreren Gesetzen und Projekten der EU (und teilweise auch der Schweiz): zum Beispiel zum «Digital Markets Act». Denn dieser sieht vor, dass die ohnehin mächtigen Gatekeeper Google und Apple sich öffnen müssen für alternative Marktplätze.

Mit den amerikanischen Gesetzen wird das Gegenteil des europäischen Wegs erreicht, der die markt­beherrschende Stellung von Google und Co. aufbrechen möchte, denn die Identitäts­prüfung wird zentralisiert. Und die Europäische Datenschutz-Grundverordnung, die das Daten­sammeln möglichst beschränken will, wird auf krasse Weise verletzt. Das Hochladen von Passdaten ist das Gegenteil von Daten­sparsamkeit, denn damit werden Platt­formen (sowie künftig wohl auch Blogs oder E-Commerce-Shops) mit biometrischen Daten und Pass­daten kreuz und quer beliefert.

Ausserdem ist es ein klassischer Fall von mission creep: Die Massnahme weitet sich aus, und einmal errichtet, kriegt man diese Identitäts­infrastruktur nicht weg, das Ende der Anonymität im Internet steht damit bevor.

Es ist genau das Horror­szenario, wovor die Befürworter der staatlichen E-ID gewarnt haben: Big Tech erhält mit wenigen Klicks alle staatlich verifizierten Daten einer Person – statt gezielt nur die Attribute, die rechtlich nötig sind.

Einen Vorgeschmack dazu bietet das Netzwerk Linkedin: Dort haben User, die ihre Identität mittels Selfie und Passkopie bestätigt haben, sensibelste Daten an Persona Identities weiter­gegeben (ein Dienstleister, finanziert vom libertär-autoritären Tech-Milliardär Peter Thiel). Eine technische Recherche und eine Analyse der Datenschutz­bestimmungen zeigten: All diese Identitäts­daten von Linkedin-Usern werden mit mehreren staatlichen Datenbanken von US-Sicherheits­behörden abgeglichen und die KI-Modelle von Anthropic und Open AI damit trainiert.

EU-Politikerinnen wären gut beraten, diesen Alters­verifikations­wahnsinn zu stoppen (und zwingend die europäische Lösung bei Meta und Co. als Option zu verlangen), sich mit zivil­gesellschaftlichen Datenschutz­organisationen in den USA zu vernetzen und auf die Wissenschaft zu hören: Am 3. März 2026 veröffentlichten namhafte europäische Akademiker einen offenen Brief, in dem sie vor einer kommenden globalen Identitäts­überwachungs­struktur warnen. Sie fordern ein Moratorium, bis Vorteile und Gefahren von solchen Alters­verifikations­technologien genügend erforscht sind.

Denis Roio, Identitäts­experte und wissenschaftlicher Direktor der Plan-B-Foundation in Lugano, schreibt dazu: «Der Preis ist sehr hoch und wird von allen bezahlt. Mehr Identitäts­prüfungen. Mehr Metadaten. Mehr Protokollierung. Mehr Zwischenhändler. Mehr Reibungs­verluste für Menschen, denen das richtige Gerät, die richtigen Papiere oder die richtigen digitalen Fähigkeiten fehlen.»

Original erschienen hier: https://www.republik.ch/2026/04/10/ctrl-warum-das-social-media-verbot-fuer-teenager-zum-albtraum-wird