Ein neues Dokument der belgischen EU-Ratspräsidentschaft, das Euractiv vorliegt, skizziert die wichtigsten Details einer neuen Risikobewertungsmethode, die das Rückgrat eines Gesetzentwurfs zur Bekämpfung von Material über Kindesmissbrauch im Internet (CSAM) bilden wird.
Das Dokument folgt dem jüngsten Ansatz der belgischen Ratspräsidentschaft in Bezug auf den Gesetzesentwurf über CSAM (child sexual abuse material), der sich auf die Rolle der Koordinierungsstelle konzentriert, wie die Risikokategorisierung oder die Anordnungen zur Erkennung.
Das neue Dokument, datiert vom 27. März, wurde an die Arbeitsgruppe des Rates für Strafverfolgung (LEWP) geschickt, die für die Gesetzgebung und die operativen Probleme der grenzüberschreitenden Polizeiarbeit zuständig ist.
Bei der Koordinierungsstelle handelt es sich um eine in jedem EU-Land benannte Stelle, die für die Entgegennahme von Risikobewertungen, die Umsetzung von Maßnahmen zur Risikominderung und die Koordinierung der Bemühungen zur Identifizierung, Meldung und Beseitigung von CSAM zuständig ist.
In ihrem Ansatz vom 13. März forderte die belgische Präsidentschaft die Mitgliedstaaten auf, ihre technischen Bedenken bezüglich der Aufdeckungstechnologien zu äußern, damit mehr Sicherheitsmaßnahmen in die endgültige Gesetzgebung aufgenommen werden können.
Auf der Grundlage der Vorschläge der Mitgliedstaaten und der LEWP-Sitzungen vom 1. und 19. März hat die Präsidentschaft ein neues Dokument erstellt, das Details zu möglichen Kriterien und Kategorisierungsmethoden enthält, die im praktischen Teil der CSAM-Gesetzgebung verwendet werden sollen.
Das Dokument betont auch, dass nichts im Widerspruch zu den Grundrechten stehen sollte, ein Punkt, der in der Verordnung ausdrücklich erwähnt werden sollte.
Mögliche Kriterien für die Risikokategorisierung
Das jüngste Dokument erinnert daran, dass bereits im vorhergehenden Text eine Methodik vorgeschlagen wurde, um das mit Dienstleistungen oder ihren Bestandteilen verbundene Risiko zu bewerten, indem Dienstleistungen in drei Risikostufen eingeteilt werden. Dabei werden Risikobewertung und Maßnahmen zur Risikominderung berücksichtigt.
Das neue Dokument skizziert einen Ansatz zur Kategorisierung potenzieller Risiken, die mit Online-Diensten verbunden sind.
Die erste vorgeschlagene Kategorisierung basiert auf der Art des angebotenen Dienstes, wie etwa Social-Media-Plattformen, elektronische Nachrichtendienste und Online-Spieleplattformen, um nur einige zu nennen.
Die zweite geht tiefer in die Bewertung der Kernarchitektur dieser Dienste, einschließlich Faktoren wie der Interaktionsebenen der Nutzer, Identifizierungsfunktionen und Kommunikationsmethoden.
Die dritte Kategorisierung befasst sich mit der Bewertung der Wirksamkeit der von den Diensteanbietern implementierten Richtlinien und Sicherheitsfunktionen, insbesondere im Hinblick auf den Schutz von Kindern als Nutzer. Dazu gehören Aspekte wie Altersverifikation, elterliche Kontrolle und der Umgang mit potenziellem Online-Missbrauch von Kindern.
Diese Kategorisierung untersucht Nutzertendenzen und statistische Muster unter Berücksichtigung von Faktoren wie Account-Nutzung, Risiko von Einladungen und Unternehmensrichtlinien zur Nutzersicherheit, einschließlich Funktionen zur Vorab-Moderation und Systemen zur Entfernung von Inhalten.
Die vierte Kategorie umfasst die Analyse von Nutzertendenzen und statistischen Mustern, einschließlich der Bewertung des Nutzerverhaltens, der Beliebtheit über Altersdemografien hinweg, der Kartierung von Aufforderungsrisiken und kontobezogenen Faktoren wie der Nutzung anonymer Konten und Muster. Dies soll potenzielle Risiken wie gefälschte Konten oder Identitätsverschleierung aufzeigen.
Die fünfte Kategorisierung konzentriert sich auf die Bewertung der Sicherheitsrichtlinien des Dienstes. Dazu gehört die Bewertung der Verwendung von Funktionen zur Vorab-Moderation, die Implementierung von Systemen zur Entfernung von Inhalten und die Verwendung von Bildmaskierungstechniken zur Verbesserung der Sicherheit und Privatsphäre der Nutzer.
Mögliche Bewertungsmethoden
Das Risikokategorisierungssystem schlägt verschiedene Bewertungsmethoden für eine Reihe von Parametern vor. Diese Methoden umfassen binäre Fragen, hierarchische Kriterien oder Stichprobenverfahren. Eine Kombination dieser Ansätze kann bei Bedarf in das Verfahren integriert werden.
Für das Risikokategorisierungssystem werden zwei Bewertungsmethoden vorgeschlagen.
Die „binäre Methode“ beinhaltet Ja/Nein-Fragen zur Architektur des Dienstes, wobei jede Antwort die Endpunktzahl beeinflusst, die in vier Risikokategorien unterteilt wird.
Die „Multi-Klassen-Bewertungsmethode mit vier hierarchischen Kriterien“ bewertet die Wirksamkeit von Richtlinien und Funktionen bei der Prävention von sexuellem Missbrauch von Kindern, indem sie diese als „nicht vorhanden“, „grundlegend“, „wirksam“ und „umfassend“ einstuft. Jede Stufe ergibt dabei eine andere Risikopunktzahl.
Das Stichprobenverfahren beinhaltet die Unterteilung der zu analysierenden Daten in spezifisch ausgewählte Datentypen sowie die Definition von Erhebungs- und Analyseverfahren.
Dies kann die Analyse von CSAM-Daten oder Metadaten zu Benutzerkonten umfassen, um Risikofaktoren wie die Verwendung anonymer Konten oder die Häufigkeit von Kontenwechseln zu bewerten. Datenerfassung, Datenverarbeitung und Trendanalyse seien notwendige Schritte bei der Umsetzung dieser Methode, heißt es in dem Text.
In einem nächsten Schritt sollen die wichtigsten inhaltlichen Aspekte identifiziert und die Schlüsselprinzipien herausgearbeitet werden.
[Bearbeitet von Eliza Griktsi/Zoran Radosavljevic]