Spanien setzt bei Gesetz gegen Kindesmissbrauch auf Risikoanalyse und Prävention
Die spanische EU-Ratspräsidentschaft hat am 29. Juni ihren ersten Kompromisstext für die Verordnung zur Bekämpfung von Material über sexuellen Kindesmissbrauch im Internet (CSAM) in Umlauf gebracht. Er wurde von EURACTIV eingesehen und konzentriert sich auf Risikobewertung und Maßnahmen zur Eindämmung.
Die spanische EU-Ratspräsidentschaft hat am 29. Juni ihren ersten Kompromisstext für die Verordnung zur Bekämpfung von Material über sexuellen Kindesmissbrauch im Internet (CSAM) in Umlauf gebracht. Er wurde von EURACTIV eingesehen und konzentriert sich auf Risikobewertung und Maßnahmen zur Eindämmung.
Spanien hat am Samstag (1. Juli) die rotierende Präsidentschaft des EU-Ministerrats übernommen. Das Land versucht sich bereits am ersten Entwurf der CSAM-Verordnung, einem Gesetzesentwurf zur Verhinderung der Verbreitung von Kinderpornografie und anderem missbräuchlichen Material im Internet.
Das Gesetz ist auf Kritik gestoßen, weil es die Privatsphäre der Menschen stark beeinträchtigen könnte. Der erste spanische Kompromiss geht nicht auf die umstrittensten Aspekte des Gesetzes ein und konzentriert sich stattdessen auf die Risikobewertung und Maßnahmen zur Risikominderung.
Einem Entwurf der Tagesordnung zufolge will die spanische Präsidentschaft am 28. September einen Standpunkt des EU-Rates erreichen.
Risikobewertung und Maßnahmen zur Risikominderung
Gemäß dem Gesetzesentwurf müssen die Anbieter von interpersonellen Kommunikationsdiensten wie Signal oder Gmail sowie Unternehmen, die Online-Inhalte hosten, das Risiko der Verbreitung von CSAM über ihre Dienste bewerten und geeignete Maßnahmen zur Risikominderung ergreifen.
In der Definition der Risikobewertung wurde festgelegt, dass „Informationen über die Eindämmung von Risiken“ gesammelt werden müssen. Dies gilt beispielsweise für „bestimmte Arten von Kanälen eines interpersonellen Kommunikationsdienstes oder für bestimmte Nutzer oder bestimmte Gruppen von Nutzern“, so dass diese bestimmten Nutzer oder Gruppen „isoliert bewertet werden können.“
Die Risikominderung ist jedoch auf einen bestimmten Teil eines Dienstes oder auf bestimmte Nutzer und Gruppen beschränkt, „ohne dass dadurch die Wirksamkeit der Maßnahme beeinträchtigt wird.“
Die Anbieter können statistische Daten, jedoch keine personenbezogenen Daten, erheben, „um die Risiken und die Wirksamkeit der Risikominderungsmaßnahmen besser bewerten zu können“, so der Gesetzesentwurf des Rates.
Die Dienstleister können das neue EU-Zentrum zur Prävention und Bekämpfung von sexuellem Kindesmissbrauch bitten, sie bei der Analyse der Schutzmaßnahmen zu unterstützen. Die EU-Zentralstelle kann dem Unternehmen eine solche Analyse in Rechnung stellen, es sei denn, der Dienstleister ist ein KMU.
Die zuständigen Behörden können das EU-Zentrum auch bitten, sie bei der Bewertung der Risikominderungsmaßnahmen des Anbieters und der verbleibenden Risiken zu unterstützen. Sie können die Risikobewertung erneut durchführen oder aktualisieren und zusätzliche Maßnahmen überprüfen, ändern, einstellen oder einbeziehen.
Der Dienstleister muss die zuständige Behörde innerhalb einer von ihr festgelegten Frist, die sich nach der Komplexität der Maßnahmen richtet, über die getroffenen Maßnahmen informieren.
Risikobewertungen oder Risikominderungsmaßnahmen können mit anderen Ermittlungs- oder Durchsetzungsmaßnahmen kombiniert werden. So kann beispielsweise ein regelmäßig zu zahlendes Bußgeld auferlegt werden, um die Einhaltung der Vorschriften zu gewährleisten.
Nachweis der Einhaltung der Vorschriften
Nachdem die zuständige Behörde bestätigt hat, dass die Anbieter die Risikobewertung und die Maßnahmen zur Risikominderung durchgeführt haben und keine Restrisiken mehr bestehen, sollte sie den Anbietern von Hosting-Diensten oder interpersonellen Kommunikationsdiensten gestatten, ein Konformitätszeichen anzubringen. Dadurch können ihre Nutzer erkennen, dass der Dienst die EU-Anforderungen erfüllt.
Das Zeichen bedeutet nicht, dass kein Risiko des sexuellen Missbrauchs von Kindern mehr besteht. Es können immer noch weitere Maßnahmen, wie zum Beispiel Ermittlungsaufträge, erteilt werden. Die zuständige Behörde muss regelmäßig überprüfen, ob die Bedingungen noch erfüllt sind. Ist dies nicht der Fall, kann die Genehmigung entzogen werden, und das Kennzeichen muss entfernt werden.
Das EU-Zentrum muss über jede Zulassung und deren Entzug informiert werden.
Beschleunigte Berichterstattung
Der neue Kompromisstext führte eine beschleunigte Berichterstattung ein und strich die Teile zur Notfallmeldung. Letzteres bezog sich auf „eine unmittelbare Bedrohung für das Leben oder die Sicherheit eines Kindes.“ In diesem Fall hätten die Anbieter verpflichtet sein sollen, die „für die Ermittlung und Verfolgung von Straftaten zuständigen Behörden“ des betreffenden Mitgliedstaates zu informieren.
In der aktualisierten Fassung bedeutet die beschleunigte Berichterstattung, dass im Falle eines laufenden Missbrauchs eines Kindes nur die notwendigsten Informationen übermittelt werden müssen. Der Rest kann angegeben werden, sobald die Informationen verfügbar sind. Im Falle einer solchen Berichterstattung sollte auch eine beschleunigte Bearbeitung durch das EU-Zentrum erfolgen.
Andere Situationen, die solche dringenden Maßnahmen erfordern, aber nicht als Eilmeldungen gelten, sollten ebenfalls in die Berichterstattung aufgenommen werden. Dazu gehören beispielsweise Informationen über laufende Ermittlungen.
Aufdeckungsanordnungen
Der Gesetzesentwurf ermächtigt die Justizbehörden, Aufdeckungsanordnungen zu erlassen, mit denen Diensteanbieter aufgefordert werden, automatisierte Instrumente zur Aufdeckung von CSAM in ihren Diensten einzusetzen. Die Maßnahme wurde scharf kritisiert, da sie mit der Ende-zu-Ende-Verschlüsselung nicht vereinbar ist.
Der spanische Ansatz scheint Aufdeckungsanordnungen als Maßnahme der letzten Instanz beizubehalten. Vor dem Erlass solcher Anordnungen sind die zuständigen Behörden insbesondere berechtigt, die Diensteanbieter aufzufordern, ihre Risikobewertung oder Maßnahmen zur Risikominderung anzupassen.
Kann der Dienstleistungserbringer eine Aufdeckungsanordnung aufgrund von Fehlern oder unzureichenden Informationen nicht ausführen, muss die zuständige Behörde die Justizbehörde um eine Änderung der Anordnung bitten. In der früheren Fassung des Dokuments konnten auch andere unabhängige Verwaltungsbehörden damit beauftragt werden.
Audio-Kommunikation
Wie EURACTIV berichtete, sah der vorherige Kompromisstext vor, dass interpersonelle Kommunikationsdienste, die aus Echtzeit-Audiokommunikation bestehen, von den Ermittlungsanordnungen ausgenommen werden sollten. Nicht-Echtzeit-Audiokommunikation, wie beispielsweise Sprachnachrichten, fällt weiterhin in den Anwendungsbereich.
Dem neuen Entwurf zufolge sollten die Aufdeckungsanordnungen im Falle von Grooming nicht für solche Kommunikationen gelten. Er bezieht sich nun aber ausdrücklich auf Anrufe. Der Begriff Audiokommunikation wurde aus dem Dokument gestrichen.
Altersüberprüfung
Eine Altersüberprüfung und -einschätzung ist notwendig, um die persönlichen Daten der Kinder zu schützen und gleichzeitig ein sicheres Umfeld für sie zu gewährleisten. Dem Entwurf zufolge müssen solche Maßnahmen nicht diskriminierend und zugänglich sein.
Das Verbot der biometrischen Identifizierung und des Profilings zur Altersüberprüfung wurde ebenfalls aus dem Entwurf gestrichen.
[Bearbeitet von Luca Bertuzzi/Nathalie Weatherald]
