Ein neuer Ansatz der belgischen EU-Ratspräsidentschaft zum Gesetzesentwurf zur Erkennung und Entfernung von Online-Material über sexuellen Kindesmissbrauch legt den Schwerpunkt auf die Aufgaben der Koordinierungsbehörde, wie etwa Risikokategorisierung oder Erkennungsanordnungen.
Die Koordinierte Behörde ist eine benannte Stelle in jedem EU-Land, die für die Entgegennahme von Risikobewertungen, die Umsetzung von Risikominderungsmaßnahmen und die Koordinierung der Bemühungen zur Erkennung, Meldung und Entfernung von Online-Material über sexuellen Kindesmissbrauch (CSAM) zuständig ist.
Mit der Verordnung soll eine dauerhafte Lösung für die Erkennung und Meldung von Online-CSAM geschaffen werden. Es hat Kritik auf sich gezogen, da es in seiner ursprünglichen Form den Justizbehörden die Möglichkeit geben würde, Kommunikationsplattformen wie WhatsApp oder Gmail zu bitten, die privaten Nachrichten der Benutzer zu scannen, um verdächtige Inhalte zu finden.
Der neue Ansatz der Präsidentschaft vom 13. März, den Euractiv eingesehen hat, erwähnt ein weiteres Dokument, das während der Sitzung der Law Enforcement Working Party (LEWP) am 1. März 2024 vorgestellt wurde. LEWP ist für Aufgaben im Zusammenhang mit der Gesetzgebung und operativen Fragen im Zusammenhang mit der grenzüberschreitenden Polizeiarbeit verantwortlich.
Der neue Ansatz stand auf der Tagesordnung einer LEWP-Sitzung am Dienstag (19. März).
Der Ansatz besteht aus gezielteren Erkennungsaufträgen zur Verbesserung der Risikobewertung und -kategorisierung sowie zum Schutz der Cybersicherheit und verschlüsselter Daten, umfasst aber weiterhin Dienste mit Ende-zu-Ende-Verschlüsselung im Rahmen von Erkennungsaufträgen.
Ende-zu-Ende-Verschlüsselung (E2EE) ist eine Methode zur sicheren Kommunikation, die verhindert, dass Dritte, einschließlich der verwendeten Messaging-App, auf Daten zugreifen, die von einem Benutzer an einen anderen gesendet werden.
E2EE war ein viel diskutierter Teil der Akte, bei dem es um die Frage ging, ob eine Kompromittierung erforderlich ist, um CSAM zu erkennen. Einige haben diesen Ansatz befürwortet, während andere sich für Methoden aussprechen, die die Verschlüsselung bewahren und die Bedeutung des Datenschutzes betonen.
In dem Dokument besteht die Risikobewertung aus einer Risikokategorisierung, Minderungsmaßnahmen und Erkennungsanordnungen, die erlassen würden, um grünes Licht für die Erkennung von CSAM auf Plattformen zu geben. Der neueste Text rückt diese ins Rampenlicht.
Risikokategorisierung
Die Präsidentschaft schlägt eine Methodik zur Bewertung des mit Diensten oder ihren Komponenten verbundenen Risikos vor und kategorisiert die Dienste in drei Risikostufen: hoch, mittel und niedrig.
Diese Kategorien werden unter Berücksichtigung von Faktoren wie der Art des Dienstes, seiner Kernarchitektur, Anbieterrichtlinien, Sicherheitsfunktionen und Benutzerverhalten festgelegt und sollen Dienstanbieter bei der Bewertung der Risiken von CSAM in ihren Diensten unterstützen.
Die Kategorie bietet der Koordinierungsbehörde auch Kriterien zur Festlegung der Maßnahmen zur Minderung dieser Risiken.
Dienstanbieter müssen den Risikokategorisierungsprozess durch die Koordinierungsbehörde mithilfe einer Vorlage erleichtern, nachdem sie das CSAM-Risiko für ihre Dienste ermittelt haben.
Sie müssen die Ergebnisse der Risikobewertung, Minderungsmaßnahmen und Selbstbewertung der Koordinierungsbehörde melden. Dieser überprüft die Kategorisierung, fordert bei Bedarf weitere Informationen an und bestätigt oder weist auf Grundlage seiner Bewertung eine andere Kategorie zu.
Anbieter können kennzeichnen, wenn sie in ihrem Dienst ein Risiko identifiziert haben, das eine Erkennungsanordnung erfordert, dies löst jedoch nicht automatisch eine Anordnung aus. Nur die Koordinierungsbehörde kann entscheiden, ob sie eine gerichtliche oder unabhängige Verwaltungsbehörde um den Erlass einer Anordnung ersucht.
Je nach Risikostufe unterliegen die Anbieter unterschiedlich hohen Schutzmaßnahmen und Pflichten. Alle Anbieter müssen Abhilfemaßnahmen umsetzen, und je nach Dienstkategorie gelten auch zusätzliche maßgeschneiderte Maßnahmen, die speziell auf die Merkmale des Dienstes zugeschnitten sind.
Abhängig von der Kategorie wird der Dienst oder seine Komponente nach einem bestimmten Zeitraum einer Neukategorisierung unterzogen. Die Verordnung könnte Höchstlaufzeiten für jede Kategorie festlegen: 12 Monate für hohes Risiko, 24 Monate für mittleres Risiko und 36 Monate für niedriges Risiko.
Die Höchstlaufzeiten bieten den Koordinierungsbehörden die Flexibilität, bestimmte Zeiträume festzulegen, die den Dienstanbietern bei der Erteilung der Kategorisierung mitgeteilt werden können. Die Behörde kann jederzeit eine Neukategorisierung veranlassen, was zu obligatorischen Abhilfemaßnahmen führen könnte, wenn der Dienst als Hochrisiko- oder Mittelrisiko-Dienst neu eingestuft wird.
Für Dienstleistungen mit hohem und mittlerem Risiko sind zusätzliche Risikominderungsmaßnahmen obligatorisch. Die Koordinierungsbehörde wird bei der Erteilung des Kategorisierungsbeschlusses erläutern, warum diese Maßnahmen erforderlich sind. Zuwiderhandlungen führen zu Strafen.
Für Dienste mit geringem Risiko werden zusätzliche Abhilfemaßnahmen empfohlen, um den Anbieter bei der Identifizierung potenzieller Dienstverbesserungen zu unterstützen. Die Nichteinhaltung zieht keine Strafen nach sich.
Erkennungsbefehle
Als letztes Mittel schlägt die Präsidentschaft vor, die Ermittlungsanordnungen auf Dienste mit hohem Risiko zu beschränken. Die Koordinierungsbehörde kann die Reihenfolge auf der Grundlage spezifischer Risiken anpassen und dabei der am wenigsten aufdringlichen Methode Vorrang einräumen.
Einem Anhang zufolge umfassen die Erkennungsanordnungen für Dienste mit hohem Risiko auch Dienste, die E2EE nutzen, während dies für Dienste mit mittlerem und niedrigem Risiko nicht der Fall ist.
Die Kriterien für die Anpassung werden von den zuständigen Behörden überprüft, die auf Anfrage der Koordinierungsbehörde die Anordnung erteilen.
Diese Anfrage umfasst die Dauer der Erkennungsanordnung, die eingesetzten Technologien, die Auswirkungen auf den Schutz der zwischenmenschlichen Kommunikation, mögliche Umfangsbeschränkungen und andere Schutzmaßnahmen.
Das Dokument führt den Begriff „Benutzer von Interesse“ ein und bezieht sich auf einen potenziellen Sender oder Empfänger von CSAM- oder Grooming-Versuchen. Grooming bezeichnet manipulative Praktiken, die darauf abzielen, Menschen auszubeuten und zu missbrauchen.
In diesem Fall erfolgt die Erkennung automatisch, ohne dass jemand, einschließlich des Anbieters, etwas davon mitbekommt, bis eine bestimmte Anzahl von Vorfällen in den Benutzerkonten auf potenzielle CSAM-Sharing- oder Grooming-Versuche hindeutet.
Wenn ein Anbieter einen Erkennungsauftrag für CSAM und/oder Grooming erhält, richtet er Mechanismen ein, um mögliches „Interesse“ zu erkennen, indem er nach Verbindungen zu bekannten oder neuen CSAM und/oder Grooming sucht.
Ein erwachsener Benutzer wird nach einer bestimmten Anzahl automatisch erkannter Treffer als Benutzer von Interesse gekennzeichnet, abhängig von der Art des Online-CSAM und den Genauigkeitsraten: einmal für bekanntes CSAM und zweimal für neues CSAM oder Grooming.
Bei minderjährigen Nutzern gilt: Wenn ein potenzieller Treffer erkannt wird, wird das Kind sofort benachrichtigt, ohne dass der Anbieter davon weiß. Das Kind kann sich dann beim Anbieter melden, der es erst nach der Meldung des Kindes erfahren wird.
Anbieter werden erst dann auf einen möglichen Missbrauch aufmerksam, wenn ein Nutzer als Interessent identifiziert wird. Nur diese Benutzer werden dem EU-Zentrum gemeldet, einem neuen zentralen Kompetenzzentrum zur Bekämpfung von CSAM. Dies reduziert dem Dokument zufolge die Fehlerquote bei der Erkennung neuer CSAMs und beim Grooming.
Nächste Schritte
Der Ansatz legt nahe, dass der Schwerpunkt auf dem Verständnis und der Bewältigung potenzieller Risiken im Zusammenhang mit vertrauten Technologien liegen sollte.
Daher werden die Delegationen gebeten, technische Bedenken zu Erkennungstechnologien zu äußern, um die Aufnahme zusätzlicher Schutzmaßnahmen zu ermöglichen. Darüber hinaus muss auch die Rolle des EU-Zentrums bei der Technologieüberprüfung und der Zusammenarbeit mit anderen EU-Cybersicherheitsbehörden definiert werden.
[Edited by Zoran Radosavljevic]
