Artikel 3 VO (EU) 2021/1232

(1) Artikel 5 Absatz 1 und Artikel 6 Absatz 1 der Richtlinie 2002/58/EG gelten nicht für die Vertraulichkeit von Kommunikation, bei der auch personenbezogene und andere Daten durch die Anbieter im Zusammenhang mit der Bereitstellung nummernunabhängiger interpersoneller Kommunikationsdienste verarbeitet werden, sofern:

a)

die Verarbeitung

i)

unbedingt erforderlich ist, damit eine spezielle Technologie zum alleinigen Zweck der Aufdeckung und Entfernung von Online-Material über sexuellen Missbrauch von Kindern und der Meldung dieses Materials an Strafverfolgungsbehörden und Organisationen, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen, sowie zur Aufdeckung der Kontaktaufnahme zu Kindern und ihrer Meldung an Strafverfolgungsbehörden und Organisationen, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen, verwendet werden kann;

ii)

verhältnismäßig ist und auf Technologien beschränkt bleibt, die von Anbietern zu dem unter Ziffer i genannten Zweck verwendet werden

iii)

auf Inhaltsdaten und damit verbundene Verkehrsdaten beschränkt ist, die für den unter Ziffer i genannten Zweck unbedingt erforderlich sind;

iv)

auf das, was für den unter Ziffer i genannten Zweck unbedingt erforderlich ist, beschränkt ist;

b)

die für den unter Buchstabe a Ziffer i des vorliegenden Absatzes genannten Zweck verwendete Technologie dem Stand der Technik in der Branche entspricht und am wenigsten in die Privatsphäre eingreift, auch im Hinblick auf den Grundsatz des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gemäß Artikel 25 der Verordnung (EU) 2016/679, und, soweit sie zum Durchsuchen von Text in Kommunikation verwendet wird, nicht in der Lage ist, den wesentlichen Inhalt der Kommunikation zu erschließen, sondern lediglich Muster erkennen kann, die auf einen möglichen sexuellen Missbrauch von Kindern im Internet hindeuten;

c)

in Bezug auf jede spezielle Technologie, die zu dem unter Buchstabe a Ziffer i des vorliegenden Absatzes genannten Zweck verwendet wird, eine vorherige Datenschutz-Folgenabschätzung gemäß Artikel 35 der Verordnung (EU) 2016/679 und ein Verfahren der vorherigen Konsultation gemäß Artikel 36 der genannten Verordnung durchgeführt wurden;

d)

im Hinblick auf neue Technologien, d. h. Technologien, die zur Aufdeckung von Online-Material über sexuellen Missbrauch von Kindern verwendet werden und die vor dem 2. August 2021 von keinem Anbieter im Zusammenhang mit Diensten, die für Nutzer nummernunabhängiger interpersoneller Kommunikationsdienste (im Folgenden „Nutzer” ) in der Union erbracht wurden, verwendet worden sind, sowie im Hinblick auf Technologien, die zur Ermittlung möglicher Kontaktaufnahmen zu Kindern verwendet werden, erstattet der Anbieter der zuständigen Behörde Bericht über die Maßnahmen, die ergriffen wurden, um die Einhaltung der schriftlichen Empfehlungen, die gemäß Artikel 36 Absatz 2 der Verordnung (EU) 2016/679 von der gemäß Kapitel VI Abschnitt 1 der genannten Verordnung benannten zuständigen Aufsichtsbehörde (im Folgenden „Aufsichtsbehörde” ) im Rahmen des Verfahrens der vorherigen Konsultation abgegeben wurden, nachzuweisen.

e)

die verwendeten Technologien an sich hinreichend zuverlässig sind, da sie die Fehlerquote bei der Erkennung von Inhalten, die sexuellen Missbrauch von Kindern im Internet darstellen, weitestmöglich begrenzen, und bei gelegentlich auftretenden Fehlern deren Folgen unverzüglich berichtigen;

f)

die zur Aufdeckung von Mustern einer möglichen Kontaktaufnahme zu Kindern verwendeten Technologien auf die Verwendung geeigneter Schlüsselindikatoren und objektiv ermittelter Risikofaktoren wie Altersunterschiede und die wahrscheinliche Beteiligung eines Kindes an der durchsuchten Kommunikation beschränkt sind und das Recht auf Überprüfung durch einen Menschen wahrt.

g)

die Anbieter

i)

interne Verfahren eingeführt haben, um Missbrauch von, unbefugten Zugriff auf und unbefugte Weitergabe von personenbezogenen und anderen Daten zu verhindern;

ii)

menschliche Aufsicht über und erforderlichenfalls menschliche Eingriffe in die Verarbeitung personenbezogener und anderer Daten mit Hilfe von Technologien, die unter diese Verordnung fallen, gewährleisten;

iii)

sicherstellen, dass Material, das zuvor nicht als Online-Material über sexuellen Missbrauch von Kindern oder als Kontaktaufnahme zu Kindern identifiziert wurde, nicht ohne vorherige Bestätigung durch einen Menschen an Strafverfolgungsbehörden oder Organisationen, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen, gemeldet wird;

iv)

geeignete Verfahren und Beschwerdemechanismen eingeführt haben, um sicherzustellen, dass Nutzer innerhalb einer angemessenen Frist Beschwerden bei ihnen einreichen können, um ihre Sichtweise darzulegen;

v)

die Nutzer in klarer, deutlicher und verständlicher Weise darüber informieren, dass sie sich im Einklang mit dieser Verordnung auf die Ausnahme von Artikel 5 Absatz 1 und Artikel 6 Absatz 1 der Richtlinie 2002/58/EG hinsichtlich der Vertraulichkeit der Kommunikation der Nutzer berufen, und zwar ausschließlich für den in Buchstabe a Ziffer i des vorliegenden Absatzes genannten Zweck, sowie die hinter den Maßnahmen, die sie im Rahmen der Ausnahmeregelung ergriffen haben, stehende Logik und die Auswirkungen auf die Vertraulichkeit der Kommunikation der Nutzer, einschließlich der Möglichkeit, dass personenbezogene Daten an Strafverfolgungsbehörden und Organisationen, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen, weitergegeben werden;

vi)

die Nutzer über Folgendes informieren, wenn ihre Inhalte entfernt oder ihr Konto gesperrt oder ein ihnen angebotener Dienst eingestellt wurde:

1.

die Möglichkeiten, bei ihnen Beschwerde einzulegen;

2.

die Möglichkeit, Beschwerde bei einer Aufsichtsbehörde einzulegen; und

3.

das Recht auf einen gerichtlichen Rechtsbehelf;

vii)

bis zum 3. Februar 2022 und danach bis zum 31. Januar jedes Jahres einen Bericht über die in den Anwendungsbereich dieser Verordnung fallende Verarbeitung personenbezogener Daten veröffentlichen und der zuständigen Aufsichtsbehörde und der Kommission vorlegen, einschließlich über:

1.

die Art und Menge der verarbeiteten Daten;

2.

den spezifischen Grund, der für die Verarbeitung gemäß der Verordnung (EU) 2016/679 geltend gemacht wird;

3.

den Grund, der für die Übermittlung personenbezogener Daten in Länder außerhalb der Union gemäß Kapitel V der Verordnung (EU) 2016/679 geltend gemacht wird;

4.

die Zahl der aufgedeckten Fälle von Missbrauch von Kindern im Internet, wobei zwischen Online-Material über sexuellen Missbrauch von Kindern und Kontaktaufnahmen zu Kindern zu unterscheiden ist;

5.

die Zahl der Fälle, in denen Nutzer Beschwerden über den internen Beschwerdemechanismus oder bei einer Justizbehörde eingereicht haben, und das Ergebnis dieser Beschwerden;

6.

die Anzahl und der Anteil der mit verschiedenen verwendeten Technologien aufgetretenen Fehler (falsch positive Ergebnisse);

7.

die Maßnahmen zur Begrenzung der Fehlerquote und die erreichte Fehlerquote;

8.

die Aufbewahrungsregeln und die gemäß der Verordnung (EU) 2016/679 angewandten Datenschutzvorkehrungen;

9.

die Namen der Organisationen, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen und mit denen Daten gemäß dieser Verordnung ausgetauscht wurden;

h)

bei Verdacht auf sexuellen Missbrauch von Kindern im Internet die Inhaltsdaten und damit verbundenen Verkehrsdaten, die für die Zwecke gemäß Buchstabe a Ziffer i verarbeitet werden, und die bei einer solchen Verarbeitung generierten personenbezogenen Daten auf sichere Weise gespeichert werden, und zwar ausschließlich für die folgenden Zwecke:

i)

um den mutmaßlichen sexuellen Missbrauch von Kindern im Internet unverzüglich den zuständigen Strafverfolgungs- und Justizbehörden oder Organisationen, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen, zu melden;

ii)

das Konto des betroffenen Nutzers zu sperren oder die Bereitstellung des Dienstes für den betroffenen Nutzer auszusetzen oder zu kündigen;

iii)

eine eindeutige, unumkehrbare digitale Signatur (sog. „Hash” ) von Daten, die zuverlässig als Online-Material über sexuellen Missbrauch von Kindern identifiziert wurden, zu erstellen;

iv)

dem betroffenen Nutzer die Möglichkeit zu geben, beim Anbieter Beschwerde einzulegen oder verwaltungsrechtliche oder gerichtliche Rechtsbehelfe im Zusammenhang mit dem mutmaßlichen sexuellen Missbrauch von Kindern im Internet einzulegen; oder

v)

Anfragen der zuständigen Strafverfolgungs- und Justizbehörden in Übereinstimmung mit dem geltenden Recht zu beantworten und ihnen die zur Verhütung, Aufdeckung, Ermittlung oder Verfolgung von Straftaten gemäß der Richtlinie 2011/93/EU erforderlichen Daten zu übermitteln;

i)

die Daten nicht länger gespeichert werden, als es für den unter Buchstabe h genannten relevanten Zweck unbedingt erforderlich ist, und in keinem Fall länger als 12 Monate ab dem Datum der Ermittlung eines Verdachts auf sexuellen Missbrauchs von Kindern im Internet;

j)

jeder begründete und überprüfte Verdachtsfall auf sexuellen Missbrauch von Kindern im Internet unverzüglich den zuständigen nationalen Strafverfolgungsbehörden oder den Organisationen, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen, gemeldet wird.

(2) Bis zum 3. April 2022 gilt die in Absatz 1 Buchstabe c genannte Bedingung nicht für Anbieter, die

a)

vor dem 2. August 2021 eine spezielle Technologie zu dem unter Absatz 1 Buchstabe a Ziffer i genannten Zweck eingesetzt haben, ohne ein Verfahren der vorherigen Konsultation in Bezug auf diese Technologie abgeschlossen zu haben;

b)

vor dem 3. September 2021 ein Verfahren der vorherigen Konsultation einleiten; und

c)

im Rahmen des Verfahrens der vorherigen Konsultation gemäß Buchstabe b ordnungsgemäß mit der zuständigen Aufsichtsbehörde zusammenarbeiten.

(3) Bis zum 3. April 2022 gilt die in Absatz 1 Buchstabe d genannte Bedingung nicht für Anbieter, die

a)

vor dem 2. August 2021 eine der unter Absatz 1 Buchstabe d genannten Technologien eingesetzt haben, ohne ein Verfahren der vorherigen Konsultation in Bezug auf diese Technologie abgeschlossen zu haben;

b)

vor dem 3. September 2021 ein Verfahren gemäß Absatz 1 Buchstabe d einleiten; und

c)

im Rahmen des Verfahrens nach Absatz 1 Buchstabe d ordnungsgemäß mit der zuständigen Aufsichtsbehörde zusammenarbeiten.

(4) Die in dem Bericht nach Absatz 1 Buchstabe g Ziffer vii enthaltenen Daten werden schriftlich anhand eines Standardformulars bereitgestellt. Die Kommission legt spätestens zum 3. Dezember 2024 den Inhalt und die Darstellung dieses Formulars im Wege von Durchführungsrechtsakten fest. Dabei kann die Kommission beschließen, die in Absatz 1 Buchstabe g Ziffer vii aufgeführten Datenkategorien in Unterkategorien zu unterteilen.

Die genannten Durchführungsrechtsakte werden gemäß dem in Artikel 9a Absatz 2 genannten Beratungsverfahren erlassen.