Eine vorgeschlagene zentrale Agentur zur Unterstützung der Erkennung und Entfernung von Material über sexuellen Kindesmissbrauch (CSAM) wird laut dem jüngsten Kompromiss des Gesetzentwurf zur Bekämpfung von CSAM.
Der Entwurf vom 14. Juni, der Euractiv vorliegt, enthält Beispiele für visuelle Kommunikation, die in die Befugnisse der Behörden zur Erkennung von CSAM einbezogen ist, wie Euractiv bereits zuvor berichtete.
Der Vorschlag wurde von der belgischen EU-Ratspräsidentschaft an den Ausschuss der Ständigen Vertreter (AStV) weitergeleitet, dem auch die 27 Botschafter angehören. Dies könnte bedeuten, dass das seit Monaten in der Gesetzgebungspipeline feststeckende Dossier endlich gelöst werden könnte.
Wie Euractiv berichtete, ging die belgische Präsidentschaft während der Sitzung des Rates für Justiz und Inneres letzte Woche auf die Bedenken der Delegationen hinsichtlich des Gesetzesentwurfs ein.
Die Belgier streben eine Einigung im AStV an und Innenkommissarin Ylva Johansson geht davon aus, dass die interinstitutionellen Verhandlungen (die sogenannten Triloge) nach dem Sommer beginnen werden.
Der vorherige Entwurf schloss Audiokommunikation vom Geltungsbereich aus, schloss visuelle Inhalte jedoch ein.
Die neueste Version schließt Textkommunikation aus und stellt klar, dass Erkennungsanordnungen nur für visuelle Inhalte gelten, von Bildern und Videokomponenten bis hin zu GIFs und Aufklebern. Das Dokument besagt jedoch, dass die Anwerbung von Kindern weiterhin so weit wie möglich anhand visueller Komponenten identifiziert werden sollte.
Ziel der Verordnung ist die Schaffung eines Systems zur Erkennung und Meldung von CSAM im Internet.
Das Gesetz wurde dafür kritisiert, dass es Justizbehörden möglicherweise erlaubt, die Überprüfung privater Nachrichten auf Plattformen wie WhatsApp oder Gmail anzufordern, die derzeit durch eine Ende-zu-Ende-Verschlüsselung geschützt sind.
Die Rolle des EU-Zentrums im Datenschutz
Der neueste Entwurf übergibt den Staffelstab in Sachen Ende-zu-Ende-Verschlüsselung (E2EE) an das EU-Zentrum und die Europäische Kommission. Die Regulierung dürfe die Cybersicherheitsmaßnahmen, einschließlich E2EE, nicht schwächen, heißt es im Entwurf.
E2EE stellt sicher, dass nur Absender und Empfänger eine Nachricht lesen können, sodass sie auch vor dem Plattformanbieter wie WhatsApp oder Signal vertraulich bleibt.
Um E2EE aufrechtzuerhalten, müssen Technologien zur Erkennung von CSAM in E2EE-Diensten vom EU-Zentrum zertifiziert und getestet sowie von der Europäischen Kommission genehmigt werden, bevor diese „die Technologien genehmigt, die zur Ausführung der Erkennungsaufträge verwendet werden können“.
Das EU-Zentrum soll Plattformanbietern auch dabei helfen, die Kosten einer anonymisierten Datenanalyse zur Erkennung von CSAM einzuschätzen. Anbieter müssen Mechanismen zur Kindersicherung implementieren, Meldungen über potenzielles CSAM bearbeiten und statistische Daten zur Bewertung generieren.
Anbieter können sich beim EU-Zentrum um technische Unterstützung bei datenschutzfreundlichen Maßnahmen zur Altersüberprüfung wenden. Die Kosten für Kleinst-, Klein- und Mittelunternehmen werden vom Zentrum übernommen. Die Kommission kann delegierte Rechtsakte zur Kostenteilung erlassen.
Delisting und Sperrung von Aufträgen
Der neue Text verpflichtet Anbieter von Online-Suchmaschinen dazu, Websites, die CSAM anzeigen, aus ihren Listen zu entfernen.
Die zuständigen Behörden oder Gerichte eines Mitgliedstaats können Online-Dienstanbietern Delisting- und Sperranordnungen erteilen. Diese Unternehmen müssen die Nutzer dann über die Gründe für die Delistung informieren, damit diese ihr Recht auf Entschädigung wahrnehmen können.
Zuständige Behörden sind die nationalen Justizbehörden. Mitgliedstaaten, die eine richterliche Genehmigung benötigen, müssen die Kommission informieren und auf dem Laufenden halten.
Die Anbieter müssen die ausstellenden Behörden umgehend über etwaige Unfähigkeit zur Einhaltung der Vorschriften informieren, über die ergriffenen Maßnahmen zur Sperrung des Zugriffs auf CSAM Bericht erstatten und regelmäßig über deren Wirksamkeit berichten.
Risikobewertung
Die Risikobewertungen müssen für Dienstleistungen mit geringem Risiko mindestens alle drei Jahre, für Dienstleistungen mit mittlerem Risiko mindestens alle zwei Jahre und für Dienstleistungen mit hohem Risiko mindestens einmal jährlich aktualisiert werden, heißt es in dem neuen Text.
Die Koordinierungsbehörde kategorisiert die Dienste nach Risikostufe und kann auf Grundlage der Berichte, die die Anbieter der Behörde übermitteln, das EU-Zentrum um Unterstützung bitten.
Anhand der Ergebnisse werden die Services als risikoreich, mittelriskant oder niedrig eingestuft, wodurch qualitative und vergleichbare Bewertungen gewährleistet werden.
Die Kommission kann weitere Rechtsakte erlassen, um die Methodik und Kriterien für die Risikokategorisierung festzulegen.
Koordinierungsbehörden, die die Umsetzung des Gesetzes in jedem Land überwachen, können von anderen Mitgliedsstaaten und Dienstanbietern mit geringem bis mittlerem Risiko Aktualisierungen verlangen. Bewertungen sollten Risiken für bestimmte Dienstkomponenten oder Benutzergruppen aufzeigen, um CSAM wirksam einzudämmen.
Anbieter von Hosting- oder zwischenmenschlichen Kommunikationsdiensten müssen die identifizierten CSAM-Risiken mindern und sich dabei auf bestimmte Teile oder Benutzer konzentrieren.
Sie sollten den Nutzern zugängliche Tools zur Verfügung stellen, mit denen sie CSAM melden und Informationen über Hotlines austauschen können. Die statistische Datenerfassung sollte Risiken bewerten und sicherstellen, dass keine personenbezogenen Daten erfasst werden.
[Edited by Eliza Gkritsi/Zoran Radosavljevic]
