Ein neuer Kompromisstext des Gesetzesentwurfs zur Erkennung und Entfernung von Online-Material über sexuellen Kindesmissbrauch (CSAM) der belgischen EU-Ratspräsidentschaft, der Euractiv vorliegt, konzentriert sich auf Risikobewertung, Erkennungsanordnungen und Meldung.
Der neue Kompromisstext vom 27. März wurde an die Arbeitsgruppe „Strafverfolgung“ übermittelt, die für Aufgaben im Zusammenhang mit der Gesetzgebung und operativen Fragen im Zusammenhang mit der grenzüberschreitenden Polizeiarbeit zuständig ist.
Der derzeit geprüfte Gesetzesentwurf sieht vor, dass die Behörden der Mitgliedstaaten das Risiko von Online-Dienstanbietern wie Social-Media-Plattformen bewerten. Auf der Grundlage dieser Risikokategorisierung müssen die Behörden geeignete Überwachungs- und Schadensbegrenzungsmaßnahmen umsetzen und Erkennungsanordnungen erteilen.
Die Mitgliedstaaten müssen für die Umsetzung der Rechtsvorschriften zuständige Behörden benennen, von denen eine als Koordinierungsbehörde fungiert. Zuständige Behörden sind nationale Justizbehörden, während die Koordinierungsbehörde in jedem EU-Land Risikobewertungen und Minderungsmaßnahmen sowie Bemühungen zur Erkennung, Meldung und Beseitigung von CSAM überwacht.
Erkennungsbefehle
Der neue Text schlägt vor, nichtöffentliche elektronische Dienste, etwa solche für die nationale Sicherheit, von der Verordnung auszunehmen. Diese Dienste weisen ein geringeres CSAM-Risiko und Datenschutzbedenken auf, heißt es im Entwurf.
Der Entwurf ermächtigt Koordinierungsbehörden, Risikomaßnahmen für Hosting- und Kommunikationsanbieter anzupassen, ohne ihre Ermittlungsbefugnisse, möglicherweise durch Bußgelder, einzuschränken. Anbieter können Nutzer transparent über ihre Compliance informieren.
Ein weiteres Dokument der belgischen Präsidentschaft, über das Euractiv berichtet, enthält Einzelheiten zu den Risikoklassifizierungen, die als Leitfaden für Minderungsmaßnahmen und Erkennungsanordnungen dienen werden.
In einem früheren Text der Präsidentschaft wurden die Rollen der koordinierten Behörden bei der Risikokategorisierung oder bei der Erkennung von Anordnungen dargelegt. Einige davon wurden nun in den Kompromisstext aufgenommen.
In der neuesten Fassung der Gesetzgebung schließen die von der Koordinierungsbehörde erlassenen Erkennungsanordnungen Anrufe über öffentliche Kommunikationsdienste aus.
Risikobewertung
Risikobewertungen müssen regelmäßig aktualisiert werden, wobei Dienste mit geringem Risiko alle drei Jahre, Dienste mit mittlerem Risiko alle zwei Jahre und Dienste mit hohem Risiko jährlich überprüft werden. Die Behörden können alle sechs Monate Neubewertungen anordnen.
Bewertungen müssen spezifische Risiken innerhalb von Online-Diensten identifizieren, um eine gezielte Eindämmung zu ermöglichen. Dienstleister können bei entsprechender Genehmigung ein „Risikoreduzierungszeichen“ anbringen, den Nutzern muss jedoch klar sein, dass dadurch nicht alle Risiken ausgeschlossen sind. Eine frühere Bestimmung zur Kennzeichnung wurde aus der Verordnung gestrichen.
Wird eine Ermittlungsanordnung aufgehoben, müssen Diensteanbieter den Zugang umgehend wiederherstellen.
Berichterstattung
Für Fälle, die auf eine unmittelbare Gefahr hinweisen, wird ein beschleunigtes Meldeverfahren vorgeschlagen, bei dem wesentliche Informationen und schnelles Handeln durch das EU-Zentrum, eine zentrale Anlaufstelle, die durch die Gesetzgebung zur Bekämpfung von CSAM geschaffen wurde, Vorrang haben.
Anbieter können dringende Situationen melden, die für die Ermittlungen von Nutzen sind, aber kein sofortiges Handeln erfordern. Bestimmungen zur „Notfallberichterstattung“ wurden aus dem neuesten Text entfernt.
Die Meldung richtet sich an Wiederholungstäter, wobei die Anbieter Reaktionen auf Anordnungen offenlegen und freiwillige Angaben machen.
Von den Mitgliedstaaten benannte zuständige Behörden können Entfernungs-, Sperrungs- oder Streichungsanordnungen beantragen. Auch grenzüberschreitende Abschiebungsanordnungen können erlassen werden, allerdings nur, wenn die Koordinierungsbehörde dies für erforderlich hält und sie können nach Benachrichtigung ausgesetzt werden.
Nationale Justizbehörden können Suchmaschinen die Entfernung aus der Liste anordnen und betroffene Nutzer über die Abhilfe informieren.
EU-Zentrum und Europol
Der Text schlägt eine Zusammenarbeit zwischen Europol, der EU-Agentur für die Zusammenarbeit bei der Strafverfolgung, und dem EU-Zentrum vor, wobei das EU-Zentrum eine Datenbank mit CSAM-Berichten verwaltet und Europol diese Berichte für Ermittlungszwecke integriert.
Das Zentrum gewährt bei Bedarf Zugang zu seiner Datenbank und richtet einen „Opferausschuss“ ein, der Unterstützung und Beratung bietet.
Der Text sieht eine Übergangsfrist vor, in der bestimmte Bestimmungen nicht gelten, bis die Maßnahmen vollständig umgesetzt sind, beispielsweise Sperranordnungen ohne Zugriff auf die Datenbank des EU-Zentrums.
Datenschutz
Das Dokument stellt klar, dass es die Ende-zu-Ende-Verschlüsselung (E2EE) nicht verbietet, eine Methode der sicheren Kommunikation, die Dritte daran hindert, auf die zwischen Benutzern ausgetauschten Daten zuzugreifen.
Anbieter dürfen Dienste über E2EE anbieten und der Gesetzentwurf kann sie nicht dazu verpflichten, Zugriff auf verschlüsselte Daten zu gewähren. Anbieter müssen potenzielle Cybersicherheitsrisiken analysieren und mindern, die sich aus den zur Ausführung von Erkennungsaufträgen eingesetzten Technologien ergeben.
Die belgische Präsidentschaft schlägt vor, dass die Kommission die Befugnis haben sollte, Technologien zu genehmigen, die für die Ausführung solcher Aufträge geeignet sind.
Maßnahmen zur Altersüberprüfung müssen die Privatsphäre und die Interessen des Kindes in den Vordergrund stellen, ohne Benutzerprofilierung oder biometrische Identifizierung. Der Text betont auch den Datenschutz durch Technikgestaltung, insbesondere beim Schutz der Daten von Kindern und der Förderung eines sicheren Online-Raums, und stellt gleichzeitig sicher, dass die Verfahren nichtdiskriminierend und zugänglich sind.
Linderungsmaßnahmen
Der neueste Text schlägt als Abhilfemaßnahme eine Anpassung der Online-Plattform-Funktionalitäten vor. Dazu gehört die Implementierung einfacher Berichtstools, altersgerechter Funktionen und Datenschutzeinstellungen.
Plattformen können Benutzer über potenziellen Missbrauch informieren, sie an Supportdienste verweisen und statistische Daten zur Risikobewertung sammeln.
Wenn ein Anbieter die Anforderungen für Dienste mit hohem oder mittlerem Risiko nicht erfüllt, weist die Koordinierungsbehörde erforderliche Maßnahmen an, beispielsweise die Aktualisierung von Risikobewertungen oder die Umsetzung neuer Maßnahmen.
[Edited by Eliza Gkritsi/Zoran Radosavljevic]
