Die größten Fraktionen des EU-Parlaments haben am Dienstag (24. Oktober) eine Einigung über den Gesetzentwurf zur Verhinderung der Verbreitung von Material über sexuellen Missbrauch von Kindern im Internet (CSAM) erzielt.
Die vorgeschlagene Verordnung zielt darauf ab, CSAM zu verhindern und zu bekämpfen, indem digitale Plattformen in der EU verpflichtet werden, solches Material zu ermitteln und zu melden. Der Gesetzesentwurf stieß auf Kritik, da er in seiner ursprünglichen Form die Justizbehörden ermächtigt hätte, Interkommunikationsdienste wie WhatsApp oder Gmail aufzufordern, die privaten Nachrichten von Personen zu scannen, um verdächtige Inhalte zu finden.
Der vereinbarte Text, der von Euractiv eingesehen wurde, konzentriert sich auf das EU-Zentrum und die Ermittlungsanordnungen. Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments wird das Dossier voraussichtlich am 13. November annehmen und damit den Weg für die letzte Phase des Gesetzgebungsverfahrens ebnen.
EU-Zentrum
Das EU-Zentrum wird ein zentraler Knotenpunkt für Fachwissen zur Bekämpfung des sexuellen Missbrauchs von Kindern in der EU sein. Im Anschluss an einen Kompromisstext vom September, der sich auf Änderungen der Aufgaben dieser Einrichtung konzentrierte, wurden auch im aktuellen Text einige Änderungen vorgenommen.
Das EU-Zentrum wird „die weitestgehende Rechtsfähigkeit genießen, die juristischen Personen“ nach dem Recht jedes Mitgliedstaates zusteht.
Frühere Fassungen des Dokuments sahen vor, dass das EU-Zentrum in Den Haag, in den Niederlanden, angesiedelt werden sollte, aber dies war ein umstrittener Teil des Dossiers. In der neuen Fassung wird nicht ausdrücklich gesagt, wo das Zentrum angesiedelt werden soll, es heißt jedoch, dass der Standort keinen Einfluss auf die Aufgaben oder den Einstellungsprozess haben darf.
Darüber hinaus muss es sich um einen Ort handeln, an dem es nach Inkrafttreten der Verordnung lokal eingerichtet werden kann. Der Standort muss „eine ausgewogene geografische Verteilung der EU-Institutionen“ sowie Nachhaltigkeit, digitale Sicherheit und Konnektivität „in Bezug auf die physische und IT-Infrastruktur und die Arbeitsbedingungen“ gewährleisten.
In dem Zentrum wird es auch möglich sein, in „öffentlich zugänglichen Inhalten“ nach CSAM zu suchen, ähnlich wie ein Web-Crawler – ein Bot, der beispielsweise von Suchmaschinen verwendet wird, um Inhalte zu sammeln, damit sie in den Suchergebnissen erscheinen können. OpenAI verwendet diese Technologie auch für ChatGPT.
Das EU-Zentrum muss außerdem unabhängig sein und über einen Grundrechtsbeauftragten verfügen, der die Ausübung der Aufgaben überwacht.
Europol
Europol kann vom Zentrum Informationen anfordern, die, wenn sie als „notwendig und verhältnismäßig“ erachtet werden, über ein „verfügbares sicheres Kommunikationsinstrument, wie die Secure Information Exchange Network Application“ übermittelt werden müssen. Dabei handelt es sich um eine Plattform für den Informationsaustausch, die bereits von Europol, den Mitgliedsstaaten und Dritten genutzt wird.
Stellt das EU-Zentrum fest, dass eine Meldung „unbegründet“ ist, muss sie „im Einklang mit dem Unionsrecht“ an Europol weitergeleitet werden.
Zugriff auf personenbezogene Daten, die im Informationssystem von Europol verarbeitet werden, kann nur „auf Einzelfallbasis auf ausdrücklichen und begründeten Antrag, der den spezifischen Zweck dokumentiert, gewährt werden.“
Europol kann solche Daten also nur dann an das EU-Zentrum übermitteln, wenn dies absolut notwendig ist und „in einem angemessenen Verhältnis zum angegebenen Zweck“ steht. In den vergangenen Jahren stand Europol im Mittelpunkt einer Untersuchung des Europäischen Datenschutzbeauftragten wegen Datenverarbeitungspraktiken außerhalb seines Mandats, das später erweitert wurde.
Verschlüsselung und Aufdeckungsanordnungen
Die Verschlüsselung war vielleicht der am meisten diskutierte Teil des Gesetzentwurfs in Bezug auf Aufdeckungsanordnungen, mit denen Kommunikationsdienste aufgefordert werden sollen, mutmaßliche CSAM aufzudecken.
Organisationen für digitale Rechte, Experten und Messaging-Apps wie Signal oder WhatsApp sagten, dieses Tool würde die Ende-zu-Ende-Verschlüsselung brechen und damit die Datensicherheit und das Recht auf Privatsphäre schwächen.
Dem neuen Text zufolge müssen die zur Erkennung von CSAM eingesetzten Technologien „unabhängig auf ihre Leistungsfähigkeit hin überprüft werden“, gleich ob sie vom EU-Zentrum bereitgestellt oder von dem Anbieter, der sie einsetzt, entwickelt wurden.
Da die Verordnung immer klargestellt hat, dass sie technologieneutral sein sollte, gibt es keine spezifischen Anforderungen hinsichtlich der zu verwendenden Technologie.
In dem Dokument heißt es außerdem, dass „das EU-Zentrum über den Umfang der Prüfung entscheidet, die öffentlich zugänglich gemacht wird.“ Dies sollte jedoch nicht für die Ende-zu-Ende-Verschlüsselung gelten.
Aufdeckungsanordnungen sollten auch auf eine bestimmte Gruppe von Nutzern abzielen, beispielsweise auf „Abonnenten eines bestimmten Kommunikationskanals.“ Allerdings muss ein „begründeter Verdacht“ auf einen Zusammenhang mit sexuellem Kindesmissbrauch bestehen, damit sie ins Visier genommen werden können.
App-Stores und Altersüberprüfung
Die Rolle von Software-App-Stores im Zusammenhang mit CSAM steht ebenfalls schon seit einiger Zeit zur Diskussion.
Anbieter von App-Stores, die im Rahmen des Gesetzes über digitale Märkte (DMA) benannt wurden, sind verpflichtet, bei Apps, deren Nutzung für Kinder nicht erlaubt ist, angemessene Anstrengungen zu unternehmen, um sicherzustellen, dass dies auch tatsächlich der Fall ist. Die Abgeordneten haben spezifische Kriterien für Altersüberprüfungssysteme festgelegt.
Altersüberprüfungssysteme können auch eingesetzt werden, sind aber nicht verpflichtend, nur im Falle von pornografischen Plattformen.
[Bearbeitet von Luca Bertuzzi/Nathalie Weatherald]