
UK Online Safety Act Altersverifizierung: Was sich am 25. Juli 2025 änderte
Die Altersprüfungen des UK Online Safety Act erklärt: Was sich am 25. Juli 2025 änderte (und warum die VPN-Suchen explodierten)
Am 25. Juli 2025 wurde das Vereinigte Königreich leise zur größten westlichen Demokratie, die vorschreibt, dass nicht jugendfreie und schädliche Online-Inhalte hinter einer echten Altersschranke liegen müssen. An jenem Morgen mussten Seiten mit pornografischen und bestimmten anderen Inhalten beginnen, jeden abzuweisen, der nicht nachweisen konnte, über 18 zu sein – nicht mit einem selbst angekreuzten Kästchen, sondern durch Gesichtsalters-Schätzung, das Hochladen eines Lichtbildausweises, Kreditkartenprüfungen oder Open-Banking-Verifizierung. Innerhalb weniger Stunden schnellten VPN-Suchanfragen und App-Downloads so stark in die Höhe, dass die Reaktion selbst zur Nachricht wurde.
Dieser Artikel erklärt, was sich tatsächlich geändert hat, wen das Gesetz ins Visier nimmt, warum die öffentliche Reaktion so dramatisch ausfiel und – ganz entscheidend – welche rechtliche Feinheit die meisten viralen Beiträge falsch verstanden haben. Die Nutzung eines VPN ist im Vereinigten Königreich nicht illegal, und einzelne Nutzer sind nicht diejenigen, auf die die Durchsetzungsmaschinerie zielt. Doch das Bild ist komplizierter als „Es ist ein Verbot“ oder „Nimm einfach ein VPN“, und die Politik ist weiter in Bewegung. Dies ist eine allgemein verständliche, anbieterneutrale Darstellung eines Ereignisses von echtem öffentlichem Interesse.
Was der Online Safety Act tatsächlich verlangt
Der Online Safety Act 2023 ist ein umfassendes britisches Gesetz zur Regulierung von Online-Inhalten. Der Teil, der Mitte 2025 Schlagzeilen machte, ist die Anforderung einer „highly effective age assurance“ (HEAA, hochwirksamen Altersfeststellung) bei Diensten, die Pornografie und andere als kinderschädlich eingestufte Inhalte veröffentlichen oder hosten. Durchgesetzt werden die Pflichten von Ofcom, der britischen Kommunikationsaufsicht, die ihre Umsetzungsleitlinien veröffentlichte und den 25. Juli 2025 als Frist für die Einhaltung der Altersprüfungen bei solchen Inhalten festlegte.
„Hochwirksam“ ist dabei der entscheidende Begriff. Ein Pop-up mit der Frage „Bist du 18?“ genügt dem Gesetz nicht mehr. Die Leitlinien von Ofcom verweisen auf Methoden, die aus ihrer Sicht Erwachsene zuverlässig von Kindern unterscheiden können, darunter:
Gesichtsalters-Schätzung – ein Selfie oder kurzes Video, das von einer Software ausgewertet wird, die schätzt, ob du über 18 bist.
Hochladen eines Lichtbildausweises – die Übermittlung eines Reisepasses, Führerscheins oder eines vergleichbaren Dokuments.
Kreditkartenprüfungen – der Nachweis, dass man eine Karte besitzt, die nur an Erwachsene ausgegeben wird.
Open-Banking- oder Mobilfunknetz-Prüfungen – die Altersbestätigung über eine Bank oder einen Anbieter, dem das Alter bereits vorliegt.
Digitale Identitäts- oder Alters-Token-Dienste – wiederverwendbare Nachweise von Dritten, die „über 18“ bescheinigen, ohne die Originaldokumente erneut weiterzugeben.
Das Gesetz ist technologieneutral in Bezug auf die konkrete Methode eines Dienstes, verlangt aber, dass diese genau, robust, zuverlässig und fair ist. Selbstauskunft und einfache Altersfelder auf der Bezahlseite reichen ausdrücklich nicht aus.
Wen die Pflicht trifft – und wer sie durchsetzt
Dies ist der am häufigsten missverstandene Punkt, deshalb sei es unmissverständlich gesagt: Die rechtliche Pflicht trifft Plattformen und Dienste, nicht einzelne Nutzer. Wenn eine Website eigene pornografische Inhalte veröffentlicht oder eine Plattform nutzergenerierte nicht jugendfreie oder anderweitig schädliche Inhalte zulässt und aus dem Vereinigten Königreich erreichbar ist, ist sie dafür verantwortlich, eine regelkonforme Altersfeststellung einzurichten. Auch Suchmaschinen und große soziale Plattformen tragen damit verbundene Kinderschutzpflichten.
Ofcom ist die durchsetzende Instanz. Die Behörde bestraft oder verfolgt nicht die Person, die versucht, eine Seite anzusehen; sie geht gegen den Dienst vor, der seine Pflichten verletzt. Ihre Befugnisse sind erheblich. Bei Verstößen kann Ofcom Geldbußen von bis zu 18 Millionen £ oder 10 % des weltweiten qualifizierenden Umsatzes eines Unternehmens verhängen, je nachdem, welcher Betrag höher ist. In schwerwiegenden Fällen kann sie geschäftsstörende Maßnahmen anstreben – darunter Gerichtsbeschlüsse, die Zahlungsdienstleister oder Internetzugangsanbieter verpflichten, ihre Dienste für eine nicht regelkonforme Seite einzustellen oder diese zu sperren. In den schwerwiegendsten Szenarien können leitende Manager strafrechtlich belangt werden, wenn sie Auskunftsersuchen von Ofcom nicht nachkommen.
Das Gesetz reguliert Plattformen, nicht die Öffentlichkeit. Die Geldbußen und Sperrbefugnisse von Ofcom richten sich gegen Dienste, die ihre Pflichten verletzen – nicht gegen die einzelne Person auf der anderen Seite des Bildschirms.
Die Reaktion: Suchspitzen, Anmeldewellen, Top-10-Apps
Die öffentliche Reaktion war unmittelbar und messbar. In den Stunden und Tagen nach dem 25. Juli meldeten Monitoring-Dienste und zahlreiche Nachrichtenmedien einen enormen Anstieg des britischen Interesses an VPNs – ein Wert von rund 2.450 % Anstieg bei VPN-bezogenen Suchanfragen im Vereinigten Königreich wurde vielfach aus Web-Traffic-Trackern zitiert. Das war keineswegs subtil; es war eine der stärksten Nachfrageverschiebungen an einem einzigen Tag, die der Verbraucher-VPN-Markt in einem westlichen Land je erlebt hat.
VPN-Anbieter meldeten entsprechende Anmeldewellen. Proton VPN verwies öffentlich auf einen drastischen Anstieg der Registrierungen im Vereinigten Königreich – mit stündlichen Anmelderaten um ein Vielfaches über dem üblichen Niveau – und führte dies unmittelbar auf die Einführung der Altersprüfungen zurück. NordVPN und andere berichteten von ähnlichen Spitzen beim britischen Interesse. Mehrere VPN-Apps kletterten in die Top 10 der kostenlosen Charts des britischen App Store – eine Position, die sie sonst selten einnehmen –, als gewöhnliche Nutzer, die noch nie ein VPN verwendet hatten, zum ersten Mal eines herunterluden.
Es lohnt sich festzuhalten, was diese Daten zeigen und was nicht. Sie belegen einen Anstieg von Interesse und Installationen, getrieben von Menschen, die einen Weg um die Reibung der Ausweisprüfungen herum suchten. Sie sind kein Beleg dafür, was diese Nutzer letztlich taten, und auch keine Empfehlung für irgendein Produkt. Der Anstieg ist eine Tatsache über öffentliches Verhalten; er ist kein Ratschlag.
Die Verwirrung um die Rechtslage, direkt angegangen
Eine Welle viraler Beiträge suggerierte – teils bewusst, teils aus Unkenntnis –, das Vereinigte Königreich habe „VPNs verboten“ oder die Nutzung eines VPN zum Erreichen gesperrter Inhalte zur Straftat gemacht. Das ist falsch, und der Unterschied ist wichtig.
Die Nutzung eines VPN ist im Vereinigten Königreich legal. VPNs sind gängige, legitime Datenschutz- und Sicherheitswerkzeuge, die Unternehmen und Privatpersonen täglich nutzen. Es gibt im Online Safety Act keine Bestimmung, die eine Einzelperson dafür kriminalisiert, ein VPN einzuschalten, und keine Bestimmung, die es zu einer Straftat macht, wenn eine Person Inhalte ansieht, die eine britische Altersschranke andernfalls blockiert hätte. Der einzelne Nutzer ist schlicht nicht das Ziel dieses Regelwerks.
Was Ofcom sehr wohl untersagt, liegt auf der Plattformseite. Regulierte Dienste dürfen die Nutzung von VPNs (oder anderen Umgehungswerkzeugen) nicht als Weg fördern oder bewerben, um ihre Altersfeststellungspflichten zu umgehen. Mit anderen Worten: Eine Porno-Seite darf auf die Regeln nicht legal mit einem Banner reagieren, das lautet „Verifizierung nicht möglich? Nimm einfach ein VPN.“ Die Grenze, die das Gesetz zieht, verläuft zwischen der privaten Entscheidung einer Einzelperson (nicht kriminalisiert) und einer Plattform, die Nutzer aktiv dazu anleitet, die Schutzmechanismen zu unterlaufen, die sie gesetzlich aufrechterhalten muss (untersagt).
Die Durchsetzungswelle
Die Frist am 25. Juli war ein Startschuss, keine Ziellinie. Ofcom ging rasch zur aktiven Durchsetzung über. Die Behörde eröffnete Untersuchungen gegen Dienste, bei denen der Verdacht bestand, keine regelkonformen Altersprüfungen umgesetzt zu haben, und die Zahl der Fälle wuchs im späten 2025 und bis ins Jahr 2026 hinein. Bis Anfang 2026 hatte Ofcom mehr als 90 Untersuchungen nach den Kinderschutz- und Altersfeststellungsbestimmungen des Online Safety Act eröffnet und ihre ersten Geldbußen gegen nicht regelkonforme Dienste verhängt.
Die praktische Erkenntnis für Beobachter ist, dass dies als laufendes, fortdauerndes Regulierungsprogramm behandelt wird und nicht als einmaliges Abhaken einer Compliance-Checkliste. Ofcom hat signalisiert, dass die Behörde auch kleinere und nicht im Vereinigten Königreich ansässige Seiten ebenso verfolgen wird wie große Plattformen, und ihre Sperrbefugnisse verschaffen ihr selbst gegenüber Betreibern ohne britische Rechtspräsenz Hebelwirkung, weil sie über die Zahlungs- und Zugangsinfrastruktur eingreifen kann, die diese mit britischen Nutzern verbindet.
Das Folgerisiko: Könnten VPNs selbst reguliert werden?
Die folgenreichere Geschichte für alle, die die Politik der digitalen Rechte verfolgen, ist das, was nach der ursprünglichen Einführung kam – denn die Debatte hat begonnen, das VPN selbst zu umkreisen, nicht nur die Inhalte hinter der Schranke.
Zwei Entwicklungen stechen hervor. Erstens stimmte das House of Lords in einer parlamentarischen Debatte für eine Maßnahme, die darauf abzielt, die Bereitstellung von VPN-Diensten für unter 18-Jährige einzuschränken – ein Versuch, ein Schlupfloch zu schließen, das manche Abgeordnete als offensichtliche Umgehung der Altersprüfungen betrachteten. Eine Abstimmung im Oberhaus ist nicht dasselbe wie ein verabschiedetes Gesetz: Maßnahmen müssen erst den weiteren Gesetzgebungsprozess überstehen, und die praktische Durchsetzbarkeit einer Altersschranke für den VPN-Zugang ist zutiefst umstritten. Doch es signalisierte einen klaren Willen, das Werkzeug zu regulieren.
Zweitens brachte eine Konsultation im Jahr 2026 eine noch bemerkenswertere Idee ins Spiel: ob die Aktivierung eines VPN selbst eine Altersverifizierung auslösen sollte. Zu Ende gedacht würde das bedeuten, dass man seine Volljährigkeit nachweisen müsste, bevor man ein Datenschutzwerkzeug einschalten könnte – ein bedeutender konzeptioneller Wandel, denn es würde eine Allzweck-Sicherheitstechnologie an eine Schranke legen statt eine bestimmte Kategorie von Inhalten. Dies befindet sich noch im Konsultationsstadium und stößt auf erhebliche technische, datenschutzrechtliche und die Meinungsfreiheit betreffende Einwände. Es wird hier nicht als Prognose aufgeführt, sondern weil es die äußerste Grenze markiert, in deren Richtung sich diese politische Debatte bewegt.
Das Vereinigte Königreich als Vorlage, nicht als Ausreißer
Es wäre ein Fehler, den Schritt des Vereinigten Königreichs als nationale Eigenart zu lesen. Er ist die Speerspitze einer breiteren Welle von Altersverifizierungspflichten, und ähnliche Mechanismen tauchen in mehreren Rechtsordnungen auf:
Frankreich hat seine eigenen Altersverifizierungsanforderungen für Erwachsenenseiten vorangetrieben, gestützt von seiner Medienaufsicht, was Gerichtsstreitigkeiten auslöste und in einigen Fällen dazu führte, dass Seiten sich lieber zurückzogen, als sie einzuhalten.
Aylo, die Muttergesellschaft mehrerer der größten Erwachsenenplattformen, hat in einigen Märkten reagiert – etwa durch die Sperrung des Zugangs für Nutzer im Vereinigten Königreich und in bestimmten US-Bundesstaaten –, statt die vorgeschriebenen Prüfungen einzuführen, und verlagerte damit die Compliance-Last in einen sichtbaren Rückzug des Dienstes.
US-Bundesstaatsgesetze, die eine Altersverifizierung für Erwachseneninhalte verlangen, haben sich vervielfacht, mit einem Flickenteppich von Regelungen quer durch zahlreiche Bundesstaaten, und der Ansatz wurde 2025 auf verfassungsrechtlicher Ebene faktisch bestätigt – was die Verbreitung beschleunigte.
Der gemeinsame Nenner ist ein Wandel von der Selbstauskunft hin zur verifizierten Altersfeststellung, wobei die VPN-Nachfrage in jedem Markt in die Höhe schnellt, sobald die Prüfungen eintreffen. Die konkreten Regeln, Strafen und Durchsetzungsbehörden unterscheiden sich von Land zu Land, und die Details sind entscheidend, wenn du deine eigene Rechtsordnung verstehen willst. Für diese länderspezifischen rechtlichen Details siehe unseren eigenen Artikel zur VPN-Legalität nach Rechtsordnung, anstatt ein einzelnes nationales Beispiel als allgemeingültig zu behandeln.
Die ehrliche Datenschutz-Erkenntnis
Hier kommt der Teil, den das Marketing selten ausbuchstabiert, weil er die Verkaufsbotschaft verkompliziert. Ein VPN und eine Altersprüfung schützen vor unterschiedlichen Dingen, und wer sie verwechselt, kann am Ende schlechter dastehen.
Ein VPN leitet deinen Internetverkehr über einen Server anderswo um und verbirgt deine echte IP-Adresse vor den Seiten, die du besuchst, sowie vor deinem ISP oder Netzwerk. Das verändert tatsächlich, was dein Netzbetreiber sehen kann und welchen Standort eine Website aus deiner Verbindung ableitet. Was ein VPN nicht tut, ist, personenbezogene Daten zu schützen, die du einem Altersverifizierungs-Anbieter aushändigst. Wenn du einen Passscan hochlädst oder einem Verifizierungsanbieter einen Gesichtsscan übermittelst, bietet dir ein VPN exakt null Schutz für dieses Dokument, sobald es dein Gerät verlässt – der Anbieter erhält weiterhin deinen Ausweis oder deine biometrischen Daten, und dessen Aufbewahrung, Sicherheit und das Risiko einer Datenpanne sind nun deine Sorge.
Es gibt also zwei ehrliche Betrachtungsweisen. Wenn deine Sorge ist, dass dein ISP oder Netzwerk sehen kann, dass du eine bestimmte Kategorie von Seite besucht hast, adressiert ein VPN genau diese Sichtbarkeit. Wenn deine Sorge der Ausweis- oder Gesichtsscan selbst ist – wo er gespeichert wird, wie lange und ob er durchsickern könnte –, ist ein VPN irrelevant, und die einzigen echten Gegenmaßnahmen bestehen darin, Verifizierungsmethoden zu wählen, die Daten minimieren (zum Beispiel Alters-Token- oder Schätzverfahren, die kein Dokument aufbewahren), und auf die Datenschutzpraktiken des Anbieters zu achten.
Praktische Erkenntnisse
Das Gesetz zielt auf Plattformen, nicht auf dich. Ofcom geht gegen Dienste vor, die ihre Pflichten verletzen, mit Bußgeldern von bis zu 18 Mio. £ oder 10 % des weltweiten Umsatzes – nicht gegen einzelne Betrachter.
Die Nutzung eines VPN ist im Vereinigten Königreich legal. Die individuelle Nutzung zum Erreichen von Inhalten ist nicht kriminalisiert; untersagt ist, dass Plattformen VPNs als Weg zum Umgehen der Prüfungen bewerben.
Ein VPN verbirgt deine IP und deinen Datenverkehr, nicht deinen Ausweis. Es tut nichts, um einen Passscan oder Gesichtsscan zu schützen, den du einem Verifizierungsanbieter hochlädst.
Die Politik ist weiter in Bewegung. Eine Lords-Abstimmung zur Einschränkung der VPN-Bereitstellung für unter 18-Jährige und eine Konsultation 2026 zur Altersschranke bei der VPN-Aktivierung zeigen, dass die Debatte nun das Werkzeug selbst umkreist.
Das Vereinigte Königreich ist eine Vorlage, keine Ausnahme. Frankreich, US-Bundesstaaten und Rückzüge von Betreibern wie Aylo deuten auf ein sich ausbreitendes globales Muster hin – prüfe die Besonderheiten deiner eigenen Rechtsordnung, statt Annahmen zu treffen.
Häufig gestellte Fragen
Ist die Nutzung eines VPN im Vereinigten Königreich nach dem Online Safety Act illegal?
Nein. Die Nutzung eines VPN ist im Vereinigten Königreich legal, und der Online Safety Act kriminalisiert Einzelpersonen nicht dafür, dass sie eines verwenden, um Inhalte hinter einer Altersschranke zu erreichen. Das britische Altersverifizierungsgesetz legt Pflichten auf Plattformen und Dienste, die Ofcom durchsetzt – nicht auf die surfenden Menschen.
Was ist „highly effective age assurance“ nach dem britischen Altersverifizierungsgesetz?
Es ist der rechtliche Standard, den der Online Safety Act für Dienste vorschreibt, die Pornografie oder schädliche Inhalte hosten. Er bedeutet, dass Altersprüfungen genau und robust sein müssen und nicht ein einfaches selbst angekreuztes Kästchen. Anerkannte Methoden umfassen Gesichtsalters-Schätzung, das Hochladen eines Lichtbildausweises, Kreditkartenprüfungen und Open-Banking-Verifizierung. Die Frist für die Einhaltung dieser Prüfungen war der 25. Juli 2025.
Schützt ein Online-Safety-Act-VPN den Ausweis, den ich zur Altersverifizierung hochlade?
Nein. Ein VPN verbirgt deine IP-Adresse und deinen Datenverkehr vor deinem ISP oder Netzwerk, aber es tut nichts, um einen Passscan, eine Kreditkartenangabe oder einen Gesichtsscan zu schützen, sobald du ihn einem Verifizierungsanbieter übermittelst. Diese Daten erreichen weiterhin den Anbieter, sodass dessen Aufbewahrungs- und Datenpannenrisiko unabhängig davon gilt, ob du ein VPN nutzt.
Wer setzt das britische Altersverifizierungsgesetz durch und welche Strafen gibt es?
Ofcom, die britische Kommunikationsaufsicht, übernimmt die Durchsetzung der Altersfeststellung. Sie kann gegen nicht regelkonforme Dienste Bußgelder von bis zu 18 Millionen £ oder 10 % des weltweiten Umsatzes verhängen, je nachdem, welcher Betrag höher ist, und kann gerichtlich gestützte Maßnahmen anstreben, um Dienste zu stören oder zu sperren. Bis Anfang 2026 hatte Ofcom mehr als 90 Untersuchungen eröffnet und ihre ersten Bußgelder verhängt.
Warum schnellten die VPN-Suchen und Downloads im Vereinigten Königreich am 25. Juli 2025 in die Höhe?
Als die Altersprüfungen in Kraft traten, suchten viele Nutzer nach Wegen, das Hochladen von Ausweisen zu vermeiden, was einen gemeldeten Anstieg der britischen VPN-Suchen von rund 2.450 % und Anmeldewellen bei Anbietern wie Proton und Nord auslöste. Mehrere VPN-Apps erreichten die Top 10 der kostenlosen Charts des britischen App Store. Die Daten spiegeln einen Sprung bei Interesse und Installationen wider, keine Empfehlung für irgendein Produkt.
Könnte das Vereinigte Königreich VPNs verbieten oder Altersprüfungen für ihre Nutzung verlangen?
Derzeit nicht, aber die Debatte bewegt sich in diese Richtung. Das House of Lords stimmte für eine Einschränkung der VPN-Bereitstellung für unter 18-Jährige, und eine Konsultation im Jahr 2026 brachte die Frage ins Spiel, ob die Aktivierung eines VPN selbst eine Altersverifizierung erfordern sollte. Beides bleiben Vorschläge, die auf erhebliche technische und rechtliche Einwände stoßen, und sind kein verabschiedetes Gesetz.



