Der heimliche Datensammler: Wer wirklich hinter den Verifizierungen von LinkedIn, OpenAI & Co. steckt

Quellcode-Leak enthüllt: Was mit Ihren Ausweisdaten bei Reddit, Roblox und LinkedIn wirklich passiert

Wer sich heute im Netz bewegt, muss immer öfter beweisen, wer er ist. Ob für den begehrten Haken bei LinkedIn, den Zugang zu leistungsstarken KI-Modellen von OpenAI, die Altersprüfung auf Reddit oder den Chat bei Roblox – der Griff zum Reisepass und das obligatorische Video-Selfie werden zur neuen Normalität. Doch während Nutzerinnen und Nutzer glauben, ihre sensiblen biometrischen Daten direkt den jeweiligen Plattformen anzuvertrauen, agiert im Hintergrund eine unsichtbare Macht: das US-Startup „Persona“. Mit über 300 Millionen verifizierten Identitäten hat sich das von einflussreichen Investoren gestützte Unternehmen zur heimlichen Infrastruktur des digitalen Lebens entwickelt. Doch das scheinbar praktische System hat einen gewaltigen Haken: Ein brisanter Quellcode-Leak, fragwürdige Speicherfristen und enge Verbindungen zu US-Behörden werfen massive Datenschutzfragen auf. Was passiert wirklich mit unseren Gesichtern und Ausweisen? Und warum zog ausgerechnet Discord nach massiven Nutzerprotesten als einzige große Plattform die Reißleine? Eine Spurensuche in den verborgenen Serverstrukturen eines Datenriesen.

Das unsichtbare Rückgrat des Internets: Wie LinkedIn, Reddit, OpenAI, Roblox und andere Plattformen Persona nutzen — und was das für Ihre Daten bedeutet

Eine Firma, 148.000 Kunden, 300 Millionen Datensätze — und kaum jemand weiß davon

Wenn ein LinkedIn-Nutzer sein Profil verifiziert, glaubt er, mit LinkedIn zu sprechen. Wenn ein Reddit-Nutzer sein Alter bestätigt, vertraut er Reddit. Wenn ein Roblox-Spieler sein Gesicht in die Kamera hält, tut er das im Glauben, Roblox sei sein Gegenüber. In Wirklichkeit ist es in all diesen Fällen dasselbe Unternehmen: Persona Identities, Inc., ein 2018 gegründetes Startup aus San Francisco, das sich zur faktischen Identitätsinfrastruktur weiter Teile des Internets entwickelt hat. Im Jahr 2024 führte Persona über 300 Millionen Identitätsverifizierungen durch und verdoppelte dabei sowohl seinen Umsatz als auch seine Kundenzahl. Die Plattformen, die Personas Dienste nutzen, lesen sich wie ein Querschnitt durch das moderne digitale Leben — und doch ist der Name Persona den meisten Nutzerinnen und Nutzern vollkommen unbekannt.

Dieser Umstand ist kein Zufall. Das Geschäftsmodell von Persona setzt bewusst auf Unsichtbarkeit: Während die Plattformen das Nutzerverhältnis pflegen und das Vertrauen aufbauen, übernimmt Persona die eigentliche Prüfung im Hintergrund. Mit einer Bewertung von 2 Milliarden Dollar nach der Series-D-Runde im April 2025 und Investoren wie Founders Fund, Ribbit Capital und Index Ventures zählt das Unternehmen zu den bedeutendsten nicht-börsennotierten Identitätstechnologieunternehmen weltweit. Was für Nutzerinnen und Nutzer als praktischer Verifikationsprozess erscheint, ist in Wirklichkeit eine konzentrierte Datensammelinfrastruktur, die weit über das hinausgeht, was für einen simplen Identitätsabgleich notwendig wäre.

Passend dazu:

• Identitätsverifizierung | Dein Gesicht und deine Daten gehören nicht dir – Anthropic (Claude), LinkedIn und die neue Ökonomie der biometrischen Kontrolle

LinkedIn: 100 Millionen verifizierte Profile — und was dahintersteckt

LinkedIn war eine der ersten großen Plattformen, die Persona als Verifikationspartner einführte. Im Dezember 2025 überschritt die Plattform die Marke von 100 Millionen verifizierten Profilen weltweit — ein Meilenstein, der zeigt, wie tief Persona bereits in die Identitätsinfrastruktur des professionellen Internets eingebettet ist. LinkedIn wirbt mit klaren Versprechen: Verifizierte Mitglieder erhalten im Durchschnitt 60 Prozent mehr Profilaufrufe und 50 Prozent mehr Engagement. Verifizierte Unternehmensseiten berichten von 10,9-fach mehr Aufrufen und 7,7-fach mehr Followern. Das sind mächtige Anreize — und sie funktionieren.

Der eigentliche Verifikationsprozess verläuft über die LinkedIn-App. Nutzerinnen und Nutzer werden aufgefordert, ihr Gerät mit einem NFC-fähigen Reisepass zu verbinden, den Chip zu scannen und anschließend ein Live-Selfie aufzunehmen. Was LinkedIn dabei selbst erhält, ist überschaubar: den Namen, wie er im Ausweis steht, den Ausweistyp, das Ausstellerland, einen gehashten Identifikator sowie eine Bestätigung, dass die Verifikation erfolgreich war. Was Persona hingegen über den Prozess hinaus erfasst und verarbeitet, ist erheblich umfangreicher — und in LinkedIns eigener Dokumentation nur in einem kurzen Verweis auf Personas eigene Datenschutzrichtlinie geregelt. Die Subprozessoren, die für die LinkedIn-Verifikation über Persona zugelassen sind, umfassen AWS, Confluent, DBT, ElasticSearch, Google Cloud Platform, MongoDB, Sigma Computing und Snowflake. Eine Datenspeicherung auf europäischen Servern mit garantierter EU-Rechtskonformität ist dabei nicht vorgesehen.

Besonders bemerkenswert ist die Frage der Datenlöschung. Persona bestätigt in seiner LinkedIn-Dokumentation, dass Daten nach der Verifikation gelöscht werden — nennt aber keine konkrete Frist. Im Kontext anderer Partnerschaften, zum Beispiel mit Discord, wurde eine Speicherdauer von bis zu sieben Tagen eingeräumt, was öffentlich den Annahmen der Plattform widersprach. Und aus dem geleakten Quellcode der Persona-Regierungsinfrastruktur geht hervor, dass biometrische Gesichtslisten für bis zu drei Jahre — genauer gesagt 1.095 Tage — gespeichert werden können. Was für kommerzielle Kunden gilt und was für Regierungskunden, ist in der öffentlichen Kommunikation von Persona bewusst unklar gehalten.

Reddit: Altersverifikation als Einstieg in die biometrische Kontrolle

Reddit führte Persona im Zuge der Umsetzung des britischen Online Safety Act (OSA) ein, der Plattformen zur Altersverifizierung verpflichtete. Der britische Markt fungierte dabei als Testfeld: Nutzerinnen und Nutzer, die auf altersbeschränkte Inhalte zugreifen wollten, wurden zur Altersverifikation via Persona weitergeleitet. In Reddits spezifischer FAQ-Seite erklärt Persona, dass es als Datenverarbeiter unter Reddits Weisung handelt, nur Geburtsdatum und Bilddaten erhebt und alle Informationen innerhalb von drei Tagen löscht. Das klingt zunächst vernünftig.

Tatsächlich ist die Lage komplexer. Reddit-Nutzerinnen und -Nutzer, die ihre Identität verifizierten, berichten von einem Prozess, der über eine einfache Altersschätzung deutlich hinausgeht: NFC-Chip-Scans des Reisepasses, Live-Selfies und detaillierte Verhaltensbiometrie wurden erhoben — darunter, wie schnell jemand tippt, ob er zögert und ob er Informationen kopiert. Datenschutzaktivisten entdeckten dabei, dass der von Celeste identifizierte Persona-Quellcode auf einem FedRAMP-autorisierten Regierungsserver lief und Überprüfungen gegen FinCEN-Watchlists, Listen politisch exponierter Personen (PEP) und globale Sanktionslisten enthielt. Das alles läuft parallel zu den kommerziellen Verifikationsprozessen für Reddit, LinkedIn und andere Plattformen — auf derselben zugrunde liegenden Infrastruktur. Nach erheblichem Nutzerprotest in UK stellte Reddit die erzwungene Persona-Verifikation für neue Nutzer vorläufig ein, obwohl bereits verifizierte Nutzer im System verblieben.

OpenAI: Die älteste und undurchsichtigste Verbindung

Die Beziehung zwischen OpenAI und Persona ist besonders aufschlussreich — und zeitlich die früheste aller großen Plattformpartnerschaften. Sicherheitsforscher entdeckten über Zertifikatstransparenzlogs, dass ein dediziertes Watchlist-System unter der Domain openai-watchlistdb.withpersona.com bereits seit November 2023 aktiv war — also rund 18 Monate, bevor OpenAI im Sommer 2025 öffentlich eine Identitätsverifikationspflicht für den Zugang zu GPT-5 ankündigte. OpenAI hatte die Datenschutzerklärung im November 2024 still und leise um einen Satz erweitert, der auf Identitäts- und Altersverifikation durch Drittanbieter hinweist — ohne dabei Persona namentlich zu nennen.

Im September 2024 veröffentlichte Persona selbst eine Seite, auf der es erklärte, OpenAI nutze Persona, um monatlich Millionen von Nutzern zu überprüfen, wobei über 99 Prozent der Nutzer automatisch und im Hintergrund innerhalb von Sekunden überprüft würden. Das bedeutet: Nicht nur Nutzer, die aktiv eine Verifikation durchlaufen, sind betroffen — die Hintergrunddurchleuchtung läuft kontinuierlich. Für den Zugang zur OpenAI-API und zu Modellen wie GPT-5 müssen Entwicklerinnen und Entwickler ihren Personalausweis einreichen und drei Selfies aus verschiedenen Winkeln aufnehmen — links, rechts und frontal — um ein dreidimensionales Gesichtsprofil zu erstellen. Forrester Research bewertete diese Entscheidung als Reaktion auf regulatorischen Druck, geopolitische Risiken im Bereich Modellmissbrauch und die Notwendigkeit, zwischen legitimen Unternehmenskunden und staatlich gesponserten Akteuren zu unterscheiden. Die Konsequenz: Wer die modernsten KI-Werkzeuge nutzen will, muss sein Gesicht einer US-amerikanischen Verifikationsinfrastruktur überlassen.

Roblox: 151 Millionen tägliche Nutzer — und ein obligatorischer Gesichtsscan

Roblox ist, gemessen an der schieren Nutzerzahl, der bemerkenswerteste Persona-Klient. Im Januar 2026 führte Roblox eine verpflichtende Altersverifikation für alle Nutzerinnen und Nutzer ein, die die Chat-Funktion der Plattform nutzen möchten. Mit 151 Millionen täglichen aktiven Nutzern bedeutet das einen erzwungenen Biometrieprozess in einem bislang nicht dagewesenen Ausmaß — zumal ein erheblicher Teil der Nutzerbasis aus Kindern und Jugendlichen besteht. Die Mechanik ist simpel: Wer chatten will, muss entweder ein Video-Selfie aufnehmen, das von Persona algorithmisch ausgewertet wird, um das Alter zu schätzen, oder alternativ einen amtlichen Ausweis einreichen.

Roblox und Persona betonen, dass biometrische Daten und Bilder unmittelbar nach der Altersschätzung gelöscht werden. Unabhängige Überprüfungen dieser Zusicherung existieren jedoch nicht. Das eigentliche Problem liegt woanders: Personas Altersschätzungstechnologie ist aus technischer Sicht keine Altersverifikation — sie schätzt das Alter auf Basis von Gesichtsmerkmalen, ohne es anhand eines Dokuments zu belegen. Das bedeutet, dass Roblox-Nutzer einem Biometriescan unterzogen werden, der weder die Genauigkeit einer echten ID-Prüfung bietet noch die Sicherheiten einer dokumentengebundenen Verifikation. Gleichzeitig werden die biometrischen Daten an eine US-amerikanische Infrastruktur übertragen — was für EU-Nutzer, insbesondere Minderjährige, erhebliche DSGVO-Probleme aufwirft. Biometrische Daten Minderjähriger unterliegen nach Artikel 9 in Verbindung mit Artikel 8 DSGVO besonders strengen Anforderungen, die von Roblox in der bisherigen Implementierung nicht öffentlich nachgewiesen werden.

Unsere EU- und Deutschland-Expertise in Business Development, Vertrieb und Marketing - Bild: Xpert.Digital

Branchenschwerpunkte: B2B, Digitalisierung (von KI bis XR), Maschinenbau, Logistik, Erneuerbare Energien und Industrie

Mehr dazu hier:

• Xpert Wirtschaft Hub

Ein Themenhub mit Einblicken und Fachwissen:

• Wissensplattform rund um die globale wie regionale Wirtschaft, Innovation und branchenspezifische Trends
• Sammlung von Analysen, Impulsen und Hintergründen aus unseren Schwerpunktbereichen
• Ein Ort für Expertise und Informationen zu aktuellen Entwicklungen in Wirtschaft und Technologie
• Themenhub für Unternehmen, die sich zu Märkten, Digitalisierung und Brancheninnovationen informieren möchten

Discord: Der öffentlichste Rückzug und was er enthüllt

Discord ist das einzige große Unternehmen, das die Zusammenarbeit mit Persona öffentlich und unter expliziter Begründung beendet hat — ein seltener Moment der Transparenz in diesem Sektor. Im Januar 2026 führte Discord im Rahmen einer nicht öffentlich gemachten Pilotphase in Großbritannien Persona für Altersverifikationszwecke ein. Als die Partnerschaft publik wurde, brach massiver Nutzerprotest los. Der CTO von Discord, Stanislav Vishnevskiy, räumte ein, das Unternehmen habe die Kommunikation verfehlt. Die eigentliche Eskalation folgte, als Sicherheitsforscher nicht nur die Verbindung zu Peter Thiels Founders Fund aufdeckten, sondern auch eine archivierte Support-Seite fanden, die eine siebentägige Datenspeicherung durch Persona nannte — was früheren Aussagen des Unternehmens über nahezu sofortige Löschung direkt widersprach.

Discord formulierte daraufhin ein neues, klares Anforderungsprofil für alle künftigen Verifikationspartner: Biometrische Daten müssen vollständig auf dem Gerät des Nutzers verarbeitet werden und dürfen das Gerät nicht verlassen. Persona erfüllte diesen Standard ausdrücklich nicht — und wurde deshalb vom Vertrag ausgeschlossen. Diese Anforderung ist technisch und datenschutzrechtlich wegweisend: Sie definiert eine On-Device-Verarbeitung als Mindeststandard für biometrische Altersverifikation. Dass kein anderer der großen Persona-Kunden diesen Standard bisher öffentlich eingefordert hat, zeigt, wie weit die Branche von dieser Norm noch entfernt ist. Erschwerend kam hinzu, dass Discord parallel zu dem Persona-Vorgang mit einem separaten Datenschutzvorfall konfrontiert war: Bei einem anderen Altersverifikationsanbieter wurden amtliche Ausweisdokumente von rund 70.000 Nutzern kompromittiert — was das strukturelle Risiko der Auslagerung biometrischer Prüfungen an Drittanbieter eindrücklich illustrierte.

VRChat: Identitätsverifizierung in der virtuellen Realität

VRChat, die Plattform für soziale virtuelle Realität mit einer engagierten internationalen Nutzerbasis, führte ebenfalls Persona als Altersverifikationspartner ein. Im Zuge der wachsenden regulatorischen Anforderungen für Online-Plattformen — insbesondere im Vereinigten Königreich und in der EU — sah sich VRChat gezwungen, ein Altersverifizierungssystem zu implementieren. Das gewählte System: Persona. Die Reaktion der Community war heftig. Nutzerforen füllten sich mit detaillierten Analysen der Persona-Infrastruktur, Verweisen auf die Thiel-Founders-Fund-Verbindung und dem gemeinsamen Aufruf, die Implementierung zu überdenken.

VRChat betont in seiner offiziellen Kommunikation, dass es keine Bilder von Ausweisdokumenten oder Gesichtsscans erhält — nur einen Hashwert, der die Verifikation bestätigt. Persona erhalte zudem keine Informationen darüber, wer der Nutzer in VRChat sei. Das entspricht der Persona-eigenen Datenschutzarchitektur, ist aber aus Datenschutzsicht nur eine teilweise Antwort: Persona selbst besitzt alle biometrischen Rohdaten, unabhängig davon, was mit der Plattform geteilt wird. Europäische Nutzerinnen und Nutzer der VRChat-Community verweisen zu Recht darauf, dass die eID-Technologie — die eine Altersverifikation ohne Übertragung biometrischer Daten ermöglicht — als sichere Alternative existiert, von Persona jedoch explizit nicht unterstützt wird. Aus europäischer Datenschutzsicht ist diese Ablehnung schwer zu rechtfertigen.

Upwork: Wenn Identitätsverifikation zur Arbeitsvoraussetzung wird

Bei Upwork, der weltweit größten Freelancer-Plattform, hat die Persona-Verifikation einen besonders direkten wirtschaftlichen Charakter. Freelancerinnen und Freelancer werden verpflichtet, ihre Identität zu verifizieren — entweder proaktiv gegen die Zahlung von 35 Connects (der plattforminternen Währung) oder erzwungen bei Kreditvergabe, US-spezifischen Jobs oder nach einer Kontosuspension. Wer die Verifikation nicht innerhalb von sieben Tagen abschließt, riskiert eine Kontosperrung.

Das ist in mehrerlei Hinsicht bemerkenswert. Erstens verbindet Upwork die biometrische Verifikation direkt mit der wirtschaftlichen Teilhabe: Wer arbeiten und bezahlt werden will, muss sich verifizieren lassen — und das über eine US-amerikanische Drittinfrastruktur. Für Freelancerinnen und Freelancer in der EU bedeutet das die Übertragung ihrer biometrischen Daten in ein US-Rechtssystem, ohne das eine realistische Alternative existiert. Zweitens erlaubt Upwork routinemäßige Nachverifikationen: Nutzerinnen und Nutzer berichten, dass sie mehrfach zur Verifikation aufgefordert werden, auch wenn kein konkreter Anlass erkennbar ist. Drittens ist Upworks eigene Kommunikation über den Verarbeitungsumfang vage: Die Plattform beschreibt die Verifikation als Identitätsprüfung, ohne die genauen Datenflüsse an Persona oder deren Speicherpolitik zu spezifizieren.

Die verborgene Regierungsinfrastruktur: Was der Quellcode-Leak enthüllt

Das eigentlich Beunruhigende an der Persona-Infrastruktur ist nicht das, was das Unternehmen öffentlich kommuniziert — sondern das, was ein zufälliger Konfigurationsfehler sichtbar machte. Im Februar 2026 entdeckten Sicherheitsforscher, dass 53 Megabyte Quellcode von Personas Regierungsplattform öffentlich zugänglich waren, ohne dass ein Angriff oder unbefugter Zugriff nötig gewesen wäre. Das Vite-Build-System hatte Quellcode-Maps öffentlich zugänglich gelassen — ein handwerklicher Fehler, der die komplette interne Architektur offenlegte.

Was die Forscher darin fanden, überstieg die Erwartungen: 2.456 Quelldateien, die 269 verschiedene Verifikationschecks dokumentieren. Die Plattform, die unter dem Namen ONYX auf einer FedRAMP-autorisierten Regierungsinfrastruktur läuft, enthält vollständige Module für die direkte Übermittlung von Suspicious Activity Reports (SARs) an FinCEN, das Finanzermittlungsnetz des US-Finanzministeriums, sowie an das kanadische Pendant FINTRAC. Sie verfügt über Gesichtsbiometrie-Datenbanken, die mit Watchlists abgeglichen werden, über PEP-Gesichtserkennungsmodule (Politically Exposed Persons) und über 13 verschiedene Arten von Tracking-Listen, darunter Gesichter, Browser-Fingerabdrücke und Geolocations. Der Code zeigt explizit, dass biometrische Gesichtslisten für bis zu 1.095 Tage — also drei Jahre — gespeichert werden können. Gleichzeitig taucht in den Zertifikatstransparenzlogs eine neue Subdomain namens onyx.withpersona-gov.com auf, die zeitlich mit dem Fivecast-ONYX-Werkzeug in Verbindung gebracht wird — einem KI-gestützten Überwachungswerkzeug, das ICE für 4,2 Millionen Dollar entwickeln ließ und das Risikobewertungen über soziale Medien und das Darknet erstellt. Ob diese Namensübereinstimmung Zufall ist oder strukturelle Verbindung, ist nicht abschließend belegt. Was belegt ist: Die Regierungsinfrastruktur von Persona läuft auf derselben technischen Grundlage wie die kommerzielle Infrastruktur, die für LinkedIn, Reddit und OpenAI betrieben wird.

FedRAMP und die Doppelrolle von Persona

Ein Aspekt, der in der öffentlichen Diskussion kaum Beachtung findet, ist Personas FedRAMP-Zertifizierung. FedRAMP — das Federal Risk and Authorization Management Program — ist das US-amerikanische System zur Sicherheitszertifizierung von Cloud-Diensten für Bundesbehörden. Im Oktober 2025 erlangte Persona die FedRAMP Low Impact Authorized-Zertifizierung und ist auf dem Weg zur FedRAMP Moderate Ready-Zertifizierung. Das bedeutet: Persona ist jetzt ein akkreditierter Infrastrukturanbieter für US-Bundesbehörden. Die kommerzielle Plattform, die LinkedIn-Nutzerinnen und -Nutzer verifiziert, und die Regierungsplattform, die Bundesbehörden mit Identitätsprüfungen versorgt, liegen damit unter demselben Dach — technisch getrennt durch Deployments, aber rechtlich und organisatorisch unter derselben Unternehmensstruktur.

Für europäische Nutzerinnen und Nutzer ist dieser Umstand zentral, weil er die CLOUD-Act-Problematik auf eine neue Ebene hebt. Der CLOUD Act verpflichtet US-Unternehmen, auf Anfrage von US-Behörden Datenzugang zu gewähren — unabhängig vom Serverstandort. Ein Unternehmen, das gleichzeitig kommerzielle Biometriedaten von Millionen Nutzern in aller Welt verarbeitet und akkreditierter Infrastrukturanbieter für US-Bundesbehörden ist, stellt eine Kombination dar, bei der die Grenzen zwischen kommerziellem Dienst und staatlicher Infrastruktur strukturell fließend sind. Dieser Umstand ist kein Verdacht — er ist eine Beschreibung des Geschäftsmodells.

Was Nutzerinnen und Nutzer wissen und tun sollten

Das Wissen um die Persona-Infrastruktur verändert die Bewertung einer vermeintlich einfachen Entscheidung: Soll ich mein LinkedIn-Profil verifizieren? Die 60 Prozent mehr Profilaufrufe klingen verlockend. Aber die eigentliche Frage lautet: Was gebe ich dafür? Die Antwort ist vielschichtig.

Wer sich auf LinkedIn, Reddit, OpenAI oder Roblox über Persona verifiziert, übergibt biometrische Daten an ein US-amerikanisches Unternehmen, das FedRAMP-zertifizierter Regierungsinfrastrukturlieferant ist, das von Peter Thiels Founders Fund geführt wird, das denselben Gründungsvorsitzenden mit Palantir teilt und dessen geleakter Quellcode eine Überwachungsinfrastruktur zeigt, die weit über einfache Identitätsprüfung hinausgeht. Wer in der EU ansässig ist, hat nach DSGVO das Recht auf Auskunft, Löschung und Widerspruch. Datenlöschungsanfragen an Persona können direkt per DSAR (Data Subject Access Request) gestellt werden — mehrere Nutzer berichten allerdings, dass Persona auf solche Anfragen mit automatisierten und inhaltlich vagen Antworten reagiert.

Für Plattformen selbst liegt die Lektion in Discords Entscheidung: On-Device-Verarbeitung als Standard, nicht als Ausnahme. Altersverifikation muss nicht bedeuten, dass biometrische Rohdaten eine US-amerikanische Serverinfrastruktur passieren. Europäische eID-Systeme, nationale Identitäts-Wallets und dezentrale Verifikationsarchitekturen existieren als technische Alternativen. Dass sie nicht genutzt werden, ist eine politische und wirtschaftliche Entscheidung — keine technische Notwendigkeit.

Die strukturelle Frage: Wer baut das Internet der Identitäten?

Am Ende dieser Bestandsaufnahme stehen keine Antworten, sondern eine Frage, die zunehmend dringend wird: Wer soll die Identitätsinfrastruktur des Internets kontrollieren? Im Jahr 2026 ist die faktische Antwort: ein privates Unternehmen in San Francisco, finanziert von Peter Thiel, mit einer Doppelrolle als kommerzieller KYC-Anbieter und akkreditierter US-Regierungsinfrastruktur. LinkedIn hat in diesem System 100 Millionen Profile verifiziert. Reddit verifiziert Alterskohorten unter britischem und bald EU-weitem Druck. Roblox zieht 151 Millionen tägliche Nutzer durch einen obligatorischen Gesichtsscan. OpenAI verlangt biometrische Verifikation für den Zugang zu den leistungsstärksten KI-Modellen der Welt.

Diese Konzentration ist nicht unvermeidlich. Sie ist das Ergebnis von Marktentscheidungen, die unter schwacher regulatorischer Kontrolle und mit mangelnder öffentlicher Transparenz getroffen wurden. Der EU AI Act, die DSGVO und das EU-Digitalpaket bieten die rechtlichen Werkzeuge, um diese Konzentration zu regulieren und europäische Alternativen zu fördern. Was fehlt, ist der politische Wille zur Durchsetzung — und das Bewusstsein der Öffentlichkeit, dass die Frage, wer ihr Gesicht verwaltet, keine technische Nebensache ist, sondern eine Kernfrage demokratischer Selbstbestimmung im digitalen Zeitalter.