Abgesehen von ein oder zwei Ausnahmen ist die Rollenspielcommunity heutzutage in der Regel über Discord vernetzt. Entsprechend sorgte die kürzliche Ankündigung des Plattformbetreibers, im März 2026 weltweit ein System zur Überprüfung des Alters der Nutzenden in Betrieb zu nehmen, für gehörig Aufregung. Ich mach im Brotjob zufällig was mit IT und Datenschutz und so Zeug, darum habe ich mir die Sache mal genauer angeschaut.
Der Status quo: Discords Datenschutzbestimmungen
Fangen wir mit dem Stand der Dinge an. Jede Person, die ein Konto bei Discord hat, hat im Rahmen der Registrierung in eine Verarbeitung ihrer personenbezogenen Daten gemäß den Datenschutzbestimmungen der Plattform eingewilligt. Das passiert meist über eine Checkbox, die man ankreuzen muss. (Dass so ein langer, juristischer Text keine gute Form der Information darstellt, haben andere schlaue Leute bereits untersucht, deshalb werde ich mich an dieser Stelle damit zurück halten – sonst wird das hier noch zum Kritischen Techblog). Ich zitiere die Datenschutzregeln in ihrer englischen (Original)Fassung, denn diese ist die rechtlich verbindliche Version.
Die für uns interessanten Teile sind „The Information We Collect“, also welche personenbezogenen Daten Discord von uns erhebt und speichert (ist für die DSGVO alles dasselbe, nämlich „Verarbeitung“), und „How We Use Your Information“, also zu welchen Zwecken Discord diese verarbeitet. Los geht’s.
Natürlich werden die Account-Informationen wie Username, Avatar, Profilbeschreibung und so Zeug verarbeitet. Zahlungsdaten, falls man auf der Plattform Geld ausgibt, gehören dort auch mit dazu. Auch die Nachrichten und Medien, die man so im Chat hochlädt, muss der Anbieter verarbeiten, damit die Software überhaupt funktionieren kann. Sprach- und Videostreams von Kamera und geteilten Anwendungen werden zwar verarbeitet, aber nicht gespeichert („We generally do not store the contents of video or voice calls or channels.“) – mit Ausnahme eines kleinen Stream-Thumbnails von Screen Shares. Anschließend wird es aber interessant: Unter „Information from actions you take“ wird beschreiben, dass der Anbieter auch unsere Verhaltensdaten erfasst, beispielsweise mit welchen Bots wir auf welche Weise interagieren oder welche Moderationsentscheidungen eine Person vornimmt. Oder wofür man Geld ausgibt. Zusammenfasst geht es hier um Nutzungs- und Verhaltensdaten, die man oft als „Analytik-Daten“ kennt. Etwas weiter unten bei „Information we collect automatically“ wird dies noch ergänzt um weitere Verhaltensdaten, wie bspw. die Kanäle, die man besucht, welche Funktionalitäten der Software man nutzt und ob man auf verlinkte Artikel klickt. In den Bestimmungen stehen noch ein paar Sachen mehr, aber ich möchte mich auf das für diesen Artikel Relevante konzentrieren.
Die Art und der Umfang dieser von Nutzenden erhobenen Daten ist übrigens sehr üblich für Social Media-Plattformen. Deren Geschäftsmodell besteht nämlich (auch) darin, möglichst viel über die eigenen Nutzenden zu wissen und anhand dieses Wissens ihren Geschäftspartnern Werbeflächen – manchmal auch „gesponserte Inhalte“ genannt – maßgeschneidert auf die angedachte Zielgruppe zu verkaufen.
Der zweite interessante Teil für uns ist der Abschnitt „How We Use Your Information“. Genau wie die Transparenz über die Art der verarbeiteten Daten ist die Offenlegung der sogenannten „Verarbeitungszwecke“ auch eine Anforderung aus der DSGVO. Hier listet Discord insbesondere die eigenen Moderationsmaßnahmen auf: „[W]e use your information to monitor for and take action against users and content that violate our Terms of Service, Community Guidelines, and other policies. This includes responding to user reports, generating transcriptions of content as part of our investigation, detecting fraud and malware, and proactively scanning attachments and other content for illegal or harmful activity.“ Anscheinend werden also zwar Audioaufnahmen nicht gespeichert, aber transkribiert und dann weiterverarbeitet. Ob das nur im Anschluss an einen Report oder auch proaktiv passiert, geht aus dem Abschnitt leider nicht hervor. Zu den Moderationsmaßnahmen gehören ferner auch die Erstellung von „Systemen und Modellen“ um die Sicherheit (im Sinne der Aufenthaltsqualität) der Plattform zu erhöhen. Klingt ja erstmal ganz gut.
Dann folgen die Verarbeitungszwecke für „berechtigte geschäftliche Interessen“ (auch so ein DSGVO-Slang). Neben Moderation findet sich hier auch die Erhebung von Kennzahlen zur Steuerung des Unternehmens. Sowas kann von Nutzendenzahlen über Aktivitätszeiträume über den Tag verteilt bis hin zu „wie gut werden die neuen KI-Features angenommen“ reichen. Die „Verbesserung der Services“ etwas weiter unten schlägt in dieselbe Kerbe. Dann folgt „Produktpersonalisierung“, also wem werden welche User als mögliche „Freunde“ vorgeschlagen, wann ist es am effektivsten, jemandem den Nitro-Kauf schmackhaft zu machen, und so weiter. Und schließlich geht es noch um die Auslieferung von „relevanten“ gesponserten Inhalten, das sind aktuell vor allem diese „Quests“ zu verschiedenen Videospielen. „Relevant“ meint hier, dass ich beispielsweise vorwiegend solche „Quest“-Einblendungen für Shooter-Spiele erhalte, wenn Discord vorher beobachtet hat, dass ich viele Spiele dieses Genres spiele oder mich sogar auf entsprechenden Servern bewege. Und grundsätzlich gilt für alle diese Tätigkeiten: „This processing can include use of automated technologies such as machine learning systems“. Eine Erlaubnis zur KI-gestützten Analyse unserer Daten auf Discord haben wir also bereits mit der Registrierung (bzw. dem Akzeptieren entsprechender neuerer Versionen der Datenschutzbestimmungen) zugestimmt. Automatisierte Entscheidungsfindung findet allerdings laut den „Ergänzenden Bestimmungen für den europäischen Wirtschaftsraum, Großbritannien, und die Schweiz“ nicht statt. Praktisch bedeutet dies, dass ein automatisiertes System eine Entscheidung nur vorbereitet, am Ende jedoch ein Mensch den entscheidenden Klick ausführt (wie viel Aufmerksamkeit der Mensch dann noch auf die Prüfung des maschinellen Ergebnisses legt, steht auf einem anderen Blatt).
Was wird neu ab März?
Bereits jetzt steht in Discords allgemeinen Geschäftsbedingungen, dass das Mindestalter zur Nutzung der Plattform 13 Jahre beträgt – oder alternativ, was in entsprechenden nationalen Gesetzen gilt. Laut der von Discord dazu gepflegten Liste ist das für Nutzende in Deutschland 16 Jahre, in Österreich 14 Jahre und in der Schweiz bleibt es bei 13. Mit Bestätigung der Nutzungsbedingungen teilt man dem Dienst mit, dass man alt genug ist für die Nutzung. Zusätzlich zu diesem (zugegeben sehr optimistischen) Vertrauensmechanismus räumt sich Discord bereits in den aktuell gültigen Bedingungen die Möglichkeit ein, das auch zu überprüfen („We may take additional steps, including the use of third-party services, to determine whether you are old enough to create a Discord account or access certain features or spaces.“).
Genau dieser Gestaltungsspielraum soll nun genutzt werden. In der jüngsten Ankündigung des Plattformbetreibers geht es darum, das Alter der Nutzenden mit technischen bzw. organisatorischen Maßnahmen zu überprüfen. Dazu werden drei Maßnahmen vorgestellt, die eine leider jedoch nur am Rande. Bereits einen Tag später hat das Unternehmen jedoch nachgebessert und die Pressemitteilung entsprechend ergänzt.
Der Großteil der Altersprüfungen wird für die Nutzenden unsichtbar ablaufen. Dazu werden die sowieso bereits vorliegenden Daten über den Account und sein Verhalten (siehe oben) lediglich auf eine „neue“ Weise ausgewertet, um das Alter der zugehörigen Person zu bestimmen. Auch dies ist bei Social Media-Plattformen bereits heutzutage absoluter Standard, ich persönlich gehe davon aus, dass das Alter schon länger Teil der Analytik-Daten auf Discord ist. Vor dem neuen Nutzungshintergrund nennt man es dann eben „age prediction“, eine statistische Auswertung (mit oder ohne KI ist dabei erstmal nachrangig), die ein Ergebnis bestehend aus dem geschätzten Alter und einer sogenannten „confidence“ liefert. Der confidence-Wert ist eine Wahrscheinlichkeit, die aussagt, zu welchem Grad das Ergebnis nicht nur durch puren Zufall (z.B. den Wurf eines W100) so ausgefallen ist wie es ausfällt. In der Wissenschaft gelten Ergebnisse ab einer confidence von 95% als belastbar, in der medizinischen Forschung wird zum Teil sogar 99% gefordert. Bei welcher confidence Discord ein ermitteltes Alter als befriedigendes Ergebnis akzeptiert, wird in der Pressemitteilung nicht genannt, dort heißt es lediglich „high confidence“. In so einem Fall bekommen wir als Nutzende nichts weiter davon mit und können unsere Accounts wie gehabt im „Erwachsenen-Modus“ weiternutzen. Solche Inferenzsysteme für die Alterskontrolle gibt es übrigens auch bereits bei YouTube und TikTok.
Nur im Falle einer nicht ausreichenden confidence der automatischen Prüfung wird ein zusätzlicher Schritt nötig. Das ist aus Datenschutz-Gesichtspunkten erstmal sehr vorbildlich gelöst. Hier stellt der Anbieter dann die Wahl zwischen einer Lösung mit KI-Analyse einer Videoaufnahme des eigenen Gesichts und einer Überprüfung eines Ausweisdokuments durch einen Dienstleister. Beides ist im Prinzip durch die bereits gültigen Nutzungsbedingungen abgedeckt.
Laut Discord soll das aufgenommene Gesichtsvideo lediglich lokal ausgewertet werden. Auch das ist aus Datenschutzsicht eine gute Sache. Ob es aber sich wie vom Unternehmen behauptet dann nicht um biometrische Daten handeln soll ist fraglich, denn ich schätze im Zuge der Auswertung wird dennoch eine Art biometrisches Modell generiert. Werden biometrische Daten von einem Dienst verarbeitet, muss der Anbieter in Form einer sogenannten Datenschutz-Folgenabschätzung gegenüber der zuständigen Aufsichtsbehörde (hier die der Niederlande, weil dort Discord seine europäische Niederlassung hat) ausführlich darlegen, wie genau die Verarbeitung erfolgt und welche Maßnahmen getroffen wurden, um das Risiko für die Nutzenden möglichst gering zu halten. Dieses Dokument ist allerdings nicht öffentlich. Beim Einsatz von KI ist zudem noch die neue KI-Verordnung der EU zu berücksichtigen. Es scheint sich hier meiner Einschätzung nach um ein Einsatzszenario mit mittleren Risikoi zu handeln, sodass auch hier die Erfordernis zu entsprechen technischen und organisatorischen Maßnahmen besteht.
Beim Fall der Ausweisprüfung werden auf jeden Fall biometrische Daten verarbeitet, daher ist auch hier eine Folgenabschätzung nötig. Zusätzlich ist hier noch ein Dienstleister mit an Bord und solche Dienstleister sind meiner Erfahrung nach oft sehr undurchschaubar und leider in der Vergangenheit auch schon mal an einem Datenleck schuld gewesen.
Im großen und ganzen wird sich also nicht viel an der Art und dem Umfang der Daten ändern, die Discord bereits von uns erhebt und verarbeitet. Es kommt mit der Altersprüfung lediglich ein neuer Verarbeitungszweck dazu, wobei dieser in den Nutzungsbedingungen schon genannt wurde und wahrscheinlich auch unter dem Punkt der Plattformmoderatorin schon in den gelisteten Verarbeitungszwecken enthalten ist. Ich bin jedoch gespannt, wie viele Nutzende nun tatsächlich nach einem zusätzlichen Nachweis gefragt werden.
Warum macht Discord das überhaupt?
Hier kann ich abseits der schon in den Nutzungsbedingungen verankerten Überprüfungsmöglichkeiten natürlich nur mutmaßen. Aber zwei Entwicklungen der jüngeren Vergangenheit sollten wir schon diskutieren.
Im Januar 2026 hat Bloomberg berichtet, dass Discord plant, an die Börse zu gehen. Das Kapital von Social Media-Plattformen besteht zum einen aus der Quantität, also der Nutzendenzahlen, und zum anderen aus der Qualität der entsprechenden Daten. Durch eine flächendeckende Altersprüfung aller Nutzenden wird die Qualität der Personendatensätze natürlich verbessert. Das könnte dem Börsenwert des Unternehmens gut tun.
Die andere Entwicklung ist eine politische. In den USA wird gerade ein Verfahren um die Verantwortung von Social Media-Konzernen an psychischen Problemen ihrer jugendlichen Nutzenden geführt. Das Verfahren zieht viel Aufmerksamkeit, ein Urteil wird Präzedenzcharakter haben. Auf dem EU-Parkett wird derzeit am Digital Fairness Act geschraubt, der neben Regulierung bei Lootboxen oder manipulativer Gestaltung von Online-Diensten möglicherweise auch ein Mindestalter für Social Media-Nutzung beinhalten könnte. Einige Mitgliedstaaten der EU haben auf nationaler Ebene bereits entsprechende Gesetze beschlossen oder verhandeln gerade darüber. Vor diesem Hintergrund scheint die Ankündigung von Discord entweder eine Art vorauseilender Gehorsam oder ein Versuch, durch proaktive Maßnahmen vielleicht gar eine Gesetzgebung überflüssig zu machen – denn dort, wo die Wirtschaft bereits freiwillig mitmacht, ist eine Regulierung ja eigentlich gar nicht mehr notwendig.
Kritischer Fehlschlag 