Ein neues Dokument, das von der belgischen EU-Ratspräsidentschaft verfasst und von Euractiv eingesehen wurde, beschreibt wichtige Details für die Risikobewertung, die das Rückgrat eines Gesetzesentwurfs zur Erkennung und Entfernung von Online-Material über sexuellen Kindesmissbrauch (CSAM) bilden wird.
Das Dokument folgt dem jüngsten Ansatz der belgischen Ratspräsidentschaft zum CSAM-Gesetzentwurf, der den Schwerpunkt auf die Rollen der Koordinierungsbehörde wie Risikokategorisierung oder Erkennungsanordnungen legt.
Das neue Dokument vom 27. März wurde an die Arbeitsgruppe „Strafverfolgung“ (LEWP) des Rates übermittelt, die für Aufgaben im Zusammenhang mit der Gesetzgebung und operativen Fragen im Zusammenhang mit der grenzüberschreitenden Polizeiarbeit zuständig ist.
Die Koordinierte Behörde ist eine benannte Stelle in jedem EU-Land, die für die Entgegennahme von Risikobewertungen, die Umsetzung von Abhilfemaßnahmen und die Koordinierung der Bemühungen zur Erkennung, Meldung und Beseitigung von CSAM zuständig ist.
In ihrem Ansatz vom 13. März forderte die belgische Präsidentschaft die Mitgliedstaaten auf, technische Bedenken zu Erkennungstechnologien anzugeben, damit mehr Schutzmaßnahmen in die endgültige Gesetzgebung aufgenommen werden können.
Basierend auf den Vorschlägen der Mitgliedstaaten und den LEWP-Sitzungen am 1. und 19. März hat die Präsidentschaft das neue Dokument entworfen, das Einzelheiten zu möglichen Kriterien und Kategorisierungsmethoden enthält, die im praktischen Teil der CSAM-Gesetzgebung verwendet werden sollen.
Das Dokument betont auch, dass nichts im Widerspruch zu den Grundrechten stehen dürfe, was in der Verordnung ausdrücklich festgelegt werden sollte.
Mögliche Risikokategorisierungskriterien
Im neuesten Dokument wird erwähnt, dass im vorherigen Text bereits eine Methodik zur Bewertung des mit Diensten oder deren Komponenten verbundenen Risikos vorgeschlagen wurde, bei der die Dienste unter Berücksichtigung der Risikobewertung und Risikominderungsmaßnahmen in drei Risikostufen kategorisiert werden.
Das neue Dokument skizziert einen Ansatz zur Kategorisierung potenzieller Risiken im Zusammenhang mit Online-Diensten.
Die erste vorgeschlagene Kategorisierung basiert auf der Art des angebotenen Dienstes, beispielsweise Social-Media-Plattformen, elektronischen Nachrichtendiensten und Online-Gaming-Plattformen.
Der zweite befasst sich mit der Bewertung der Kernarchitektur dieser Dienste, einschließlich Faktoren wie Benutzerinteraktionsebenen, Identifikationsfunktionen und Kommunikationsmethoden.
Bei der dritten Kategorisierung geht es um die Bewertung der Wirksamkeit der von Dienstanbietern implementierten Richtlinien und Sicherheitsfunktionen, insbesondere zum Schutz von Kinderbenutzern, und deckt Aspekte wie Altersüberprüfung, Kindersicherung und den Umgang mit potenziellem sexuellem Missbrauch von Kindern im Internet ab.
Diese Kategorisierung untersucht Benutzertendenzen und statistische Muster und berücksichtigt dabei Faktoren wie Kontonutzung, Werberisiken und Unternehmensrichtlinien zur Benutzersicherheit, einschließlich Funktionen vor der Moderation und Systeme zur Entfernung von Inhalten.
Die vierte umfasst die Analyse von Benutzertendenzen und statistischen Mustern, einschließlich der Bewertung des Benutzerverhaltens, der Beliebtheit in verschiedenen Altersgruppen, der Kartierung des Kontaktaufnahmerisikos sowie kontobezogener Faktoren wie der Verwendung anonymer Konten und Muster, die auf potenzielle Risiken wie gefälschte Konten oder Identitätsverschleierung hinweisen.
Die fünfte Kategorisierung konzentriert sich auf die Bewertung der Sicherheitsrichtlinien des Dienstes. Dazu gehört die Bewertung der Nutzung von Vormoderationsfunktionen, der Implementierung von Content-Delisting-Systemen und der Verwendung von Bildmaskierungstechniken zur Verbesserung der Benutzersicherheit und des Datenschutzes.
Mögliche Bewertungsmethoden
Das Risikokategorisierungssystem schlägt verschiedene Bewertungsmethoden vor, die auf eine Reihe von Parametern angewendet werden können. Zu diesen Methoden gehören binäre Fragen, hierarchische Kriterien oder Stichprobenmethoden. Bei Bedarf kann eine Kombination dieser Ansätze in das Verfahren integriert werden.
Für das Risikokategorisierungssystem werden zwei Bewertungsmethoden vorgeschlagen.
Die „binäre Methodik“ umfasst Ja/Nein-Fragen zur Architektur des Dienstes, wobei sich jede Antwort auf die Endbewertung auswirkt, die in vier Risikokategorien unterteilt ist.
Die „Mehrklassenbewertung mit vier hierarchischen Kriterien“ bewertet die Wirksamkeit von Richtlinien und Funktionen zur Verhinderung sexuellen Kindesmissbrauchs und stuft sie als „nicht vorhanden“, „einfach“, „wirksam“ und „umfassend“ ein, wobei jede Stufe eine angibt unterschiedlicher Risikowert.
Die Stichprobenmethodik umfasst die Unterteilung der zu analysierenden Daten in bestimmte erfasste Datentypen sowie die Definition von Verfahren für die Erhebung und Analyse.
Dies könnte die Analyse von CSAM-Daten oder Metadaten zu Benutzerkonten umfassen, um Risikofaktoren wie die anonyme Kontonutzung oder die Häufigkeit von Kontoänderungen zu bewerten. Datenerfassung, -verarbeitung und Trendanalyse seien notwendige Schritte bei der Umsetzung dieser Methodik, heißt es im Text.
Der nächste Schritt besteht dem Dokument zufolge darin, die Hauptaspekte des Inhalts zu bestimmen und Schlüsselprinzipien herauszuarbeiten.
[Edited by Eliza Griktsi/Zoran Radosavljevic]
