Der jüngste Kompromisstext der belgischen EU-Ratspräsidentschaft zum Gesetzentwurf zur Erkennung und Verhinderung von Online-Materialien zum sexuellen Missbrauch von Kindern klärt die Schwellenwerte für die Risikokategorisierung weiter und legt die Pflicht der Diensteanbieter zur Datenaufbewahrung fest.
Die Verordnung, die darauf abzielt, ein System zur Erkennung und Meldung von sexuellem Missbrauch von Kindern im Internet (CSAM) zu schaffen, wurde kritisiert, weil sie den Justizbehörden möglicherweise erlaubt, das Scannen privater Nachrichten auf Plattformen wie WhatsApp oder Gmail zu verlangen.
Der jüngste Kompromisstext vom 9. April, den Euractiv eingesehen hat, wurde von der belgischen EU-Ratspräsidentschaft an die Arbeitsgruppe für Strafverfolgung (LEWP) geschickt, die für gesetzgeberische und operative Fragen im Zusammenhang mit der grenzüberschreitenden Polizeiarbeit zuständig ist.
Dienstleister
Nach dem Gesetzesentwurf können Anbieter von Online-Diensten freiwillig Maßnahmen bei der Koordinierungsbehörde melden, auch wenn lediglich der Verdacht besteht, dass ihre Dienste für einen Missbrauch genutzt werden, und nicht, wenn konkrete Beweise für einen solchen Missbrauch vorliegen. Dies kann die Erteilung von Aufklärungsbefehlen erforderlich machen.
Der neue Kompromisstext sieht vor, dass Anbieter Treffer bei Erkennungsanordnungen aufzeichnen und aufbewahren müssen.
Sie sind jedoch nicht verpflichtet, die Daten zu melden, bis Treffer im Zusammenhang mit potenziellen neuen CSAM zweimal und Treffer im Zusammenhang mit Versuchen, Kinder anzuwerben, dreimal gemeldet wurden, jeweils innerhalb des Zeitrahmens der jeweiligen Erkennungsanordnung.
Zuständige Behörden sind nationale Justizbehörden, während die Koordinierungsbehörde in jedem EU-Land Risikobewertungen und Minderungsmaßnahmen sowie Bemühungen zur Erkennung, Meldung und Beseitigung von CSAM überwacht.
Erkennungsanordnungen verpflichten Dienstanbieter dazu, auf ihren Plattformen aktiv nach Fällen von CSAM oder Versuchen, Kinder anzuwerben, zu suchen und diese zu melden.
Um die Verhältnismäßigkeit sicherzustellen, werden die Anbieter angewiesen, freiwillig nur potenzielle neue Missbrauchsfälle bei Nutzern mit wiederholtem Verhalten zu melden. Anbieter sollten den ersten Vorfall eines solchen Verhaltens aufzeichnen und es während einer Erkennungsanordnung aufbewahren und die Aufzeichnungen löschen, sobald die Anordnung abläuft.
In diesem Teil der Verordnung steht das neue CSAM im Gegensatz zu früheren Verweisen auf bekannte CSAM. In diesem Zusammenhang bezieht sich „bekanntes“ Material auf Inhalte, die bereits im Umlauf waren und entdeckt wurden, im Vergleich zu „neuem“ Material, das nicht identifiziert wurde.
Anbieter müssen außerdem das EU-Zentrum – einen geplanten neuen zentralen Hub zur Bekämpfung von CSAM – bei der Durchführung von Funktions- und Sicherheitsprüfungen auf Quellcodeebene unterstützen, um CSAM zu bekämpfen, heißt es in dem neuen Text.
In diesem Zusammenhang zielt die Gesetzgebung darauf ab, die zugrunde liegende Software der geprüften Plattform und ihre Beteiligung an der Verbreitung von CSAM zu untersuchen.
Risikokategorisierung
Der neue Text legt außerdem spezifische Schwellenwerte fest, um Dienstleister danach zu kategorisieren, wie riskant ihre Dienste sind. In früheren Entwürfen wurden die Kategorisierungskriterien umfassender dargelegt.
Im Kompromisstext werden die Indikatoren entsprechend ihrer Auswirkung auf das Risiko sexuellen Missbrauchs von Kindern gewichtet, wobei die resultierenden Bewertungen ein hohes, mittleres und niedriges Risikoniveau festlegen. Dienste, die 60 % der Risikoindikatoren überschreiten, gelten als Hochrisiko, 25–60 % als Mittelrisiko und Dienste unter 25 % als Niedrigrisiko.
Der Text erwähnt Anhang
Die Risikokategorisierungsmethode muss sich auf Anbieterberichte an die Koordinierungsbehörde stützen. Je nach Umfang und Art der angebotenen Dienstleistungen sollten unterschiedliche Versionen von Selbstbewertungsvorlagen bereitgestellt werden. Die Bewertung sollte auf Kriterien wie Dienstgröße, -typ, -architektur, Sicherheitsrichtlinien und Benutzertendenzen basieren.
Eine neue Ergänzung des Textes besagt, dass die Koordinierungsbehörde Anbieter auffordern kann, Risikobewertungen früher als geplant zu aktualisieren, wenn Anhaltspunkte dafür vorliegen, dass sich das Risiko des sexuellen Missbrauchs von Kindern im Internet erheblich verändert. Dazu gehören Erkenntnisse von Anbietern, die Dienste mit geringem oder mittlerem Risiko anbieten.
EU-Zentrum
Der aktualisierte Text erweitert die Rolle des EU-Zentrums um die Beratung der Kommission bei der Genehmigung von Technologien zur Erkennung bekannter und neuer CSAM oder Grooming.
Es ermöglicht dem Zentrum außerdem, Prüfungen auf Quellcodeebene durchzuführen, wenn es Stellungnahmen zu Technologien abgibt. Unter Quellcodeebene versteht man die Untersuchung der tatsächlichen Programmieranweisungen der geprüften Software oder Plattform.
Der Technologieausschuss und das Opfergremium, bestehend aus Experten und Opfern, werden die Aktivitäten des Zentrums leiten, indem sie bei der Genehmigung solcher Technologien beraten.
Koordinierende Behörden und zuständige Behörden
Den Mitgliedstaaten solle die Freiheit eingeräumt werden, eine gerichtliche oder unabhängige Verwaltungsbehörde zu ernennen, die spezifische Anordnungen erlässt, insbesondere im Hinblick auf das Recht auf wirksamen Rechtsbehelf gegen Entscheidungen zuständiger Behörden, heißt es in dem Text.
