Die belgische Ratspräsidentschaft hat einen neuen Ansatz für den Gesetzesentwurf zur Identifizierung und Entfernung von Material über sexuellen Kindesmissbrauch im Internet vorgelegt. Das Hauptaugenmerk liegt nun auf den Aufgaben der nationalen Koordinierungsbehörden.
Die Koordinierungsbehörde ist eine in jedem EU-Mitgliedstaat benannte Stelle, die für die Entgegennahme von Risikobewertungen, die Umsetzung von Maßnahmen zur Risikominderung und die Koordinierung der Bemühungen zur Aufdeckung, Meldung und Entfernung von Material über sexuellen Kindesmissbrauch im Internet (CSAM) zuständig ist.
Mit der Verordnung soll eine dauerhafte Lösung für die Aufdeckung und Meldung von CSAM im Internet geschaffen werden. Sie ist in Kritik geraten, da sie in ihrer ursprünglichen Form Justizbehörden dazu ermächtigen würde, Kommunikationsplattformen wie WhatsApp oder Gmail aufzufordern, private Nachrichten von Nutzern auf verdächtige Inhalte zu scannen.
In dem neuen Ansatz der Ratspräsidentschaft, der auf den 13. März datiert ist und von Euractiv eingesehen werden konnte, wird ein anderes Dokument erwähnt, das während der Sitzung der Arbeitsgruppe „Strafverfolgung“ am 1. März 2024 vorgestellt wurde. Die Gruppe „Strafverfolgung“ ist zuständig für gesetzgeberische Aufgaben und operative Fragen im Zusammenhang mit grenzüberschreitender Polizeiarbeit.
Der neue Ansatz stand auf der Tagesordnung einer Sitzung der Gruppe „Strafverfolgung“ am Dienstag (19. März).
Der Ansatz besteht aus gezielteren Aufdeckungsanordnungen zur Verbesserung der Risikobewertung und -einstufung sowie zum Schutz der Cybersicherheit und verschlüsselter Daten. Dabei werden Dienste, die eine Ende-zu-Ende-Verschlüsselung verwenden, weiterhin in den Anwendungsbereich der Aufdeckungsanordnungen fallen.
Die Ende-zu-Ende-Verschlüsselung (E2EE) ist eine Methode der sicheren Kommunikation, die verhindert, dass Dritte, einschließlich der verwendeten Messaging-App, auf Daten zugreifen können, die von einem Nutzer an einen anderen gesendet werden.
Diese Art der Verschlüsselung war ein viel diskutierter Teil des Dossiers. Dabei ging es um die Frage, ob es für die Aufdeckung von CSAM notwendig ist, die Verschlüsselung zu kompromittieren. Einige haben sich für diesen Ansatz ausgesprochen. Andere hingegen plädieren für Methoden, bei denen die Verschlüsselung erhalten bleibt, und betonen die Bedeutung des Datenschutzes.
In dem Dokument besteht die Risikobewertung aus einer Risikokategorisierung, Maßnahmen zur Risikominderung und Aufdeckungsanordnungen. Letztere würden erteilt werden, um grünes Licht für die Aufdeckung von CSAM auf Plattformen zu geben. Der jüngste Text konzentriert sich auf diese Maßnahmen.
Risikoeinstufung
Die Ratspräsidentschaft schlägt eine Methodik zur Bewertung des mit Diensten oder deren Komponenten verbundenen Risikos vor, bei der die Dienste in drei Risikostufen eingeteilt werden: hoch, mittel und gering.
Diese Kategorien werden unter Berücksichtigung von Faktoren wie der Art des Dienstes, seiner grundlegenden Struktur, den Bestimmungen der Plattformbetreiber, Sicherheitsmerkmalen und Nutzerverhalten festgelegt, um Plattformbetreiber bei der Bewertung der Risiken von CSAM in ihren Diensten zu unterstützen.
Die Kategorie enthält auch Kriterien, anhand derer die Koordinierungsbehörde die Maßnahmen zur Risikominderung festlegen kann.
Die Plattformbetreiber müssen der Koordinierungsbehörde den Prozess der Risikoeinstufung anhand einer Vorlage erleichtern, nachdem sie das Risiko von CSAM in ihren Diensten ermittelt haben.
Sie müssen die Ergebnisse der Risikobewertung, die Maßnahmen zur Risikominderung und die Selbsteinschätzung an die Koordinierungsbehörde melden. Diese prüft die Einstufung, fordert bei Bedarf weitere Informationen an und bestätigt die Einstufung oder weist eine andere Kategorie auf der Grundlage ihrer Bewertung zu.
Die Plattformbetreiber können angeben, ob sie ein Risiko in ihren Diensten festgestellt haben, das eine Aufdeckungsanordnung erfordert, was aber nicht automatisch eine solche auslöst. Nur die Koordinierungsbehörde kann entscheiden, ob sie eine gerichtliche oder unabhängige Verwaltungsbehörde um eine Anordnung ersucht.
Je nach Risikokategorie gelten für die Plattformbetreiber unterschiedliche Sicherheitsvorkehrungen und Verpflichtungen. Alle Betreiber müssen Maßnahmen zur Risikominderung ergreifen, und je nach Kategorie gelten zusätzliche Maßnahmen, die auf die Merkmale des Dienstes zugeschnitten sind.
Je nach Kategorie wird der Dienst oder seine Komponente nach einem bestimmten Zeitraum neu kategorisiert. In der Verordnung könnten für jede Kategorie Höchstfristen festgelegt werden: zwölf Monate für hohes Risiko, 24 Monate für mittleres Risiko und 36 Monate für geringes Risiko.
Die Höchstfristen bieten den Koordinierungsbehörden die Flexibilität, spezifische Fristen festzulegen, die den Plattformanbietern bei der Ausstellung der Einstufung mitgeteilt werden können. Die Behörde kann jederzeit eine Neueinstufung veranlassen, was zu verpflichtenden Risikominderungsmaßnahmen führen kann, wenn der Dienst erneut als mit hohem oder mittlerem Risiko behaftet eingestuft wird.
Für Dienste mit hohem und mittlerem Risiko sind zusätzliche Maßnahmen zur Risikominderung vorgeschrieben. Die Koordinierungsbehörde wird bei der Entscheidung über die Einstufung erläutern, warum diese Maßnahmen erforderlich sind. Die Nichteinhaltung dieser Maßnahmen wird mit Sanktionen geahndet.
Für Dienste mit geringem Risiko werden zusätzliche risikomindernde Maßnahmen empfohlen, die den Plattformbetreibern helfen sollen, Verbesserungsmöglichkeiten für ihre Dienste zu identifizieren. Bei Nichtbeachtung dieser Empfehlungen werden keine Sanktionen verhängt.
Aufdeckungsanordnungen
Die Ratspräsidentschaft schlägt vor, Aufdeckungsanordnungen als letztes Mittel auf Dienste mit hohem Risiko zu beschränken. Die Koordinierungsbehörde kann die Anordnung auf der Grundlage spezifischer Risiken anpassen. Dabei soll die am wenigsten in die Privatsphäre eingreifende Methode Vorrang haben.
In einem Anhang heißt es, dass bei Diensten mit hohem Risiko die Aufdeckungsanordnungen auch Dienste umfassen, die E2EE nutzen. Für Dienste mit mittlerem und geringem Risiko gilt dies nicht.
Die Kriterien für die Anpassung werden von den zuständigen Behörden, die den Auftrag erteilen, auf Anfrage der Koordinierungsbehörde überprüft.
Diese Anfrage umfasst die Dauer der Aufdeckungsanordnung und die verwendeten Technologien. Auch die Auswirkungen auf den Schutz der zwischenmenschlichen Kommunikation und die möglichen Einschränkungen des Geltungsbereichs sowie andere Sicherheitsvorkehrungen sind Bestandteil der Anfrage.
In dem Dokument wird der Begriff „Nutzer von Interesse“ eingeführt. Dieser bezieht sich auf einen potenziellen Absender oder Empfänger von CSAM oder sogenannten Grooming-Versuchen. Grooming bezeichnet manipulative Praktiken, die darauf abzielen, Menschen auszunutzen und zu missbrauchen.
In diesem Fall erfolgt die Identifizierung automatisch, ohne dass irgendjemand, einschließlich des Plattformbetreibers, etwas davon mitbekommt. Dies ändert sich erst, wenn eine bestimmte Anzahl von Vorfällen in den Nutzerkonten auf potenziellen CSAM-Austausch oder Grooming-Versuche hinweist.
Wenn ein Plattformbetreiber eine Aufdeckungsanordnung für CSAM und/oder Grooming erhält, richtet er Mechanismen ein, um mögliches „Interesse“ zu erkennen. Dazu sucht er nach Verbindungen zu bekanntem oder neuem CSAM und/oder Grooming.
Ein erwachsener Nutzer wird nach einer bestimmten Anzahl von automatisch erkannten Treffern als Nutzer von Interesse gekennzeichnet. Dies hängt von der Art des Online-CSAM und den Genauigkeitsraten ab: einmal für bekanntes CSAM und zweimal für neues CSAM oder Grooming.
Wenn bei Kindern ein potenzieller Treffer festgestellt wird, wird das Kind sofort gewarnt, ohne dass der Plattformbetreiber davon erfährt. Das Kind kann sich dann beim Betreiber melden, der erst nach der Meldung durch das Kind davon erfährt.
Die Plattformbetreiber werden nur dann auf einen möglichen Missbrauch aufmerksam, wenn ein Nutzer als Nutzer von Interesse identifiziert wird. Nur diese Nutzer werden dem EU-Zentrum gemeldet, einer neuen zentralen Fachstelle, die bei der Bekämpfung von CSAM helfen soll. Dies, so heißt es in dem Dokument, verringere die Fehlerquote bei der Aufdeckung von neuem CSAM und Grooming.
Die nächsten Schritte
Der Ansatz sieht vor, dass der Schwerpunkt auf dem Verständnis und der Bewältigung potenzieller Risiken im Zusammenhang mit bekannten Technologien liegen sollte.
Daher werden die Delegationen gebeten, technische Bedenken bezüglich der Aufdeckungstechnologien mitzuteilen, damit zusätzliche Sicherheitsvorkehrungen getroffen werden können. Darüber hinaus muss die Rolle des EU-Zentrums bei der Technologieüberprüfung und der Zusammenarbeit mit anderen EU-Cybersicherheitsagenturen definiert werden.
[Bearbeitet von Zoran Radosavljevic/Kjeld Neubert]