Die belgische EU-Ratspräsidentschaft hat den jüngsten Kompromisstext zum Gesetzesentwurf über die Aufspürung und Verhinderung von Online-Material über den sexuellen Missbrauch von Kindern präzisiert. Mit diesem werden Dienstleister stärker in die Verantwortung genommen.
Die Verordnung zur Schaffung eines Systems zur Aufspürung und Meldung von Online-Material über den sexuellen Missbrauch von Kindern (CSAM) wurde kritisiert, weil sie es den Justizbehörden potenziell ermöglichen könnte, das Scannen privater Nachrichten auf Plattformen wie WhatsApp oder Gmail anzufordern.
Der jüngste Kompromisstext vom 9. April, den Euractiv einsehen konnte, wurde von der belgischen EU-Ratspräsidentschaft an die Arbeitsgruppe für Strafverfolgung (LEWP) geschickt. Diese ist für legislative und operative Fragen in Bezug auf grenzüberschreitende Polizeiarbeit zuständig.
Dienstanbieter
Der Gesetzesentwurf sieht vor, dass Online-Dienstleister freiwillig Maßnahmen an die Koordinierungsbehörde melden können, auch wenn nur der Verdacht besteht, dass ihre Dienste missbräuchlich genutzt werden, im Gegensatz zu konkreten Beweisen für einen solchen Missbrauch. Dies könnte die Ausstellung von Durchsuchungsbefehlen erforderlich machen.
Der neue Kompromisstext sieht vor, dass die Anbieter die Treffer bei den Suchanfragen aufzeichnen und speichern müssen.
Sie sind jedoch nicht verpflichtet, die Daten zu melden, bis Treffer in Bezug auf potenziell neue CSAM zweimal und Treffer in Bezug auf Versuche, Kinder anzusprechen, dreimal innerhalb des Zeitrahmens des jeweiligen Aufspürauftrags markiert wurden.
Die zuständigen Behörden sind die nationalen Justizbehörden, während die Koordinierungsbehörde in jedem EU-Land die Risikobewertungen und Minderungsmaßnahmen sowie die Bemühungen zur Aufspürung, Meldung und Entfernung von CSAM überwacht.
Meldesysteme verpflichten Dienstleister dazu, aktiv nach CSAM oder Versuchen der Kontaktaufnahme mit Kindern auf ihren Plattformen zu suchen und diese zu melden.
Die Anbieter werden angewiesen, potenziell neue Missbrauchsfälle nur dann freiwillig zu melden, wenn Nutzer ein solches Verhalten wiederholt zeigen, um die Verhältnismäßigkeit zu wahren. Die Dienstleister sollen das erstmalige Auftreten eines solchen Verhaltens aufzeichnen und für die Dauer eines Suchauftrags aufbewahren, die Aufzeichnungen aber nach Ablauf des Auftrags löschen.
In diesem Teil der Verordnung unterscheidet sich das neue CSAM von früheren Verweisen auf bekanntes CSAM. In diesem Zusammenhang bezieht sich „bekanntes“ Material auf Inhalte, die bereits im Umlauf sind und identifiziert wurden, im Gegensatz zu „neuem“ Material, das noch nicht identifiziert wurde.
Anbieter müssen auch das EU-Zentrum – eine geplante neue zentrale Anlaufstelle zur Bekämpfung von CSAM – bei der Durchführung von Funktions- und Sicherheitsaudits auf Quellcodeebene unterstützen, so der neue Text.
In diesem Zusammenhang zielt die Gesetzgebung darauf ab, die der zu prüfenden Plattform zugrunde liegende Software und deren Beteiligung an der Verbreitung von CSAM zu untersuchen.
Risikokategorisierung
Der neue Text legt spezifische Schwellenwerte für die Kategorisierung von Dienstleistungserbringern nach dem Risikograd ihrer Dienstleistungen fest. Frühere Entwürfe beschrieben die Kategorisierungskriterien allgemeiner.
Im Kompromisstext werden die Indikatoren entsprechend ihrer Auswirkungen auf das Risiko des sexuellen Missbrauchs von Kindern gewichtet, und die sich daraus ergebenden Punktzahlen bestimmen hohe, mittlere und niedrige Risikostufen. Dienste, bei denen 60 Prozent der Risikoindikatoren überschritten werden, gelten als Dienste mit hohem Risiko, Dienste mit einem Risiko zwischen 25 Prozent und 60 Prozent als Dienste mit mittlerem Risiko und Dienste mit einem Risiko unter 25 Prozent als Dienste mit niedrigem Risiko.
Der Text verweist auf Anhang XIV für die Methodik, aber der Anhang selbst ist nicht im Dokument enthalten, ähnlich wie im vorherigen Kompromisstext vom 27. März, in dem der Anhang zur Risikokategorisierung separat detailliert wurde.
Die Methodik der Risikokategorisierung muss auf Berichten der Anbieter an die Koordinierungsbehörde basieren. Es sollten verschiedene Versionen von Selbstbewertungsvorlagen zur Verfügung gestellt werden, je nach Größe und Art der angebotenen Dienstleistungen. Die Bewertung sollte auf Kriterien wie Größe und Art des Dienstes, Architektur, Sicherheitsrichtlinien und Nutzertrends basieren.
Neu im Text ist, dass die Koordinierungsbehörde Anbieter auffordern kann, Risikobewertungen früher als geplant zu aktualisieren, wenn es Hinweise auf eine signifikante Veränderung des Risikos des sexuellen Missbrauchs von Kindern im Internet gibt. Dies gilt auch für Anbieter von Diensten mit geringem oder mittlerem Risiko.
EU-Zentrum
Der aktualisierte Text erweitert die Rolle des EU-Zentrums auf die Beratung der Kommission bei der Genehmigung von Technologien zur Erkennung sowohl bekannter als auch neuer Fälle von CSAM und ‚Grooming‘.
Es ermöglicht dem Zentrum auch, Audits auf Quellcode-Ebene durchzuführen, wenn es Stellungnahmen zu Technologien abgibt. Unter Quellcode-Ebene versteht man die Überprüfung der tatsächlichen Programmieranweisungen der zu prüfenden Software oder Plattform.
Der Technologieausschuss und der Opferausschuss, die sich aus Experten und Opfern zusammensetzen, werden die Aktivitäten des Zentrums lenken, indem sie die Genehmigung solcher Technologien beraten.
Koordinierende Behörden und zuständige Behörden
Die Mitgliedstaaten sollten die Möglichkeit haben, ein Gericht oder eine unabhängige Verwaltungsbehörde zu bestimmen, die bestimmte Entscheidungen treffen können, insbesondere im Hinblick auf das Recht auf einen wirksamen Rechtsbehelf gegen Entscheidungen der zuständigen Behörden.
Altersüberprüfung
Der vorherige Kompromisstext sah bereits vor, dass Maßnahmen zur Altersüberprüfung der Privatsphäre und den Interessen des Kindes Vorrang einräumen müssen, ohne dass Nutzerprofile oder biometrische Identifikatoren verwendet werden.
In der neuen Fassung wird betont, dass Maßnahmen zur Altersüberprüfung und -einschätzung den Grundsätzen der Verarbeitung personenbezogener Daten entsprechen müssen, vorwiegend den Grundsätzen der Rechtmäßigkeit, der Zweckbindung und der Datenminimierung.
[Bearbeitet von Eliza Gkritsi/Zoran Radosavljevic/Kjeld Neubert]