Artikel 13 VO (EU) 2024/436

(1) Die Bewertung der Einhaltung des Artikels 34 der Verordnung (EU) 2022/2065 durch den geprüften Anbieter umfasst unter anderem eine Analyse aller folgenden Aspekte:

a)

ob der geprüfte Anbieter die in Artikel 34 Absatz 1 Unterabsatz 1 der Verordnung (EU) 2022/2065 genannten systemischen Risiken in der Union sorgfältig ermittelt, analysiert und bewertet hat, indem er unter anderem bewertet,

i)

wie der geprüfte Anbieter die mit seinem Dienst verbundenen Risiken ermittelt hat, wobei er regionalen und sprachlichen — auch für einen Mitgliedstaat spezifischen — Aspekten der Nutzung seines Dienstes Rechnung trägt, und ob die Risiken angemessen ermittelt wurden;

ii)

wie der geprüfte Anbieter die einzelnen Risiken analysiert und bewertet hat, einschließlich der Art und Weise, wie er der Wahrscheinlichkeit und der Schwere der Risiken Rechnung getragen hat, und ob die Bewertung angemessen war;

iii)

wie der geprüfte Anbieter die in Artikel 34 Absatz 2 Unterabsatz 1 der Verordnung (EU) 2022/2065 genannten Faktoren ermittelt, analysiert und bewertet hat, ob sie angemessen ermittelt wurden und inwieweit diese Faktoren die in Absatz 1 des genannten Artikels ermittelten Risiken beeinflussen;

iv)

welche Informationsquellen der geprüfte Anbieter genutzt hat und wie er die Informationen gesammelt hat, wobei auch zu bewerten ist, ob und wie er sich auf wissenschaftliche und technische Erkenntnisse stützte;

v)

ob und wie der geprüfte Anbieter Annahmen zu Risiken bei den am stärksten von den spezifischen Risiken betroffenen Gruppen geprüft hat;

b)

ob die Risikobewertung innerhalb der in Artikel 34 Absatz 1 Unterabsatz 2 der Verordnung (EU) 2022/2065 festgelegten Fristen und gegebenenfalls innerhalb der Fristen für Tätigkeiten durchgeführt wurde, die als Risikominderungsmaßnahmen zur Erkennung systemischer Risiken nach Artikel 35 Absatz 1 Buchstabe f der genannten Verordnung festgelegt wurden;

c)

wie der geprüfte Anbieter Funktionen ermittelt hat, die wahrscheinlich kritische Auswirkungen auf die Risiken haben, für die Risikobewertungen nach Artikel 34 Absatz 1 Unterabsatz 2 der Verordnung (EU) 2022/2065 vor ihrer Einführung durchgeführt werden sollen, ob diese Funktionen korrekt ermittelt wurden und ob die Risikobewertung angemessen durchgeführt wurde;

d)

ob der geprüfte Anbieter die Belege, die in Bezug auf die Risikobewertung aufbewahrt werden sollten, korrekt ermittelt hat und ob er die notwendigen Mittel vorgesehen hat, um sicherzustellen, dass diese Dokumente nach Artikel 34 Absatz 3 der Verordnung (EU) 2022/2065 mindestens drei Jahre aufbewahrt werden, und ob die Dokumente entsprechend aufbewahrt wurden.

(2) Unbeschadet anderer Analysen, die erforderlich sind, um ein hinreichendes Maß an Sicherheit zu erreichen, umfassen die Methoden für die Prüfung der Einhaltung von Artikel 34 der Verordnung (EU) 2022/2065 mindestens eine Bewertung der folgenden Elemente durch die Prüfstelle:

a)

der internen Kontrollen, die der geprüfte Anbieter eingeführt hat, um die Durchführung der Risikobewertungen in Bezug auf jeden der in Artikel 34 Absatz 2 Unterabsatz 1 der Verordnung (EU) 2022/2065 genannten Faktoren zu überwachen; eine entsprechende Bewertung

i)

beruht für diese internen Kontrollen auf vertieften Analyseverfahren;

ii)

beruht auf Tests, bei denen ermittelt wird, ob diese internen Kontrollen verlässlich sind und sorgfältig konzipiert, durchgeführt und überwacht werden;

iii)

dient der Einschätzung, wie die Compliance-Beauftragten ihre Aufgaben nach Artikel 41 Absatz 3 Buchstaben b, d, e und ggf. f der Verordnung (EU) 2022/2065 durchgeführt haben und wie das Leitungsorgan des geprüften Anbieters an den Entscheidungen im Zusammenhang mit dem Risikomanagement nach Artikel 41 Absätze 6 und 7 der genannten Verordnung beteiligt war;

b)

der Maßnahmen, Mittel und Verfahren, die der geprüfte Anbieter eingeführt hat, um die Einhaltung von Artikel 34 der Verordnung (EU) 2022/2065 und deren Ergebnisse sicherzustellen; diese Bewertung stützt sich auf

i)

vertiefte Analyseverfahren;

ii)

Tests, einschließlich algorithmischer Systeme, wenn die Prüfstelle aufgrund der Ergebnisse der vertieften Analyseverfahren und der Bewertung der internen Kontrollen begründete Zweifel hat, oder wenn die Prüfstelle es für erforderlich hält, Tests bei ihrer Wahl der Methode nach Artikel 10 Absatz 1 durchzuführen.

(3) Die von der Prüfstelle zur Untermauerung der gemäß diesem Artikel durchgeführten Bewertung analysierten Informationen umfassen unter anderem

a)

den vom geprüften Anbieter erstellten Risikobewertungsbericht für den betreffenden geprüften Zeitraum, der erforderlichenfalls vertrauliche Informationen enthält, die nicht zu den nach Artikel 42 Absatz 2 der genannten Verordnung veröffentlichten Informationen gehören, sowie alle Belege;

b)

gegebenenfalls sonstige Risikobewertungsberichte des geprüften Anbieters und Belege dazu;

c)

vom geprüften Anbieter nach Artikel 5 übermittelte Informationen;

d)

alle einschlägigen Transparenzberichte des geprüften Anbieters nach Artikel 15 Absatz 1 der Verordnung (EU) 2022/2065;

e)

sonstige Testergebnisse, Unterlagen, Belege, Erklärungen, die in Beantwortung schriftlicher oder mündlicher Fragen der Prüfstelle an das Personal des geprüften Anbieters abgegeben wurden, sowie gegebenenfalls vor Ort vorgebrachte Bemerkungen;

f)

sonstige einschlägige Belege, auch auf der Grundlage von Informationen, die vom geprüften Anbieter bereitgestellt wurden;

g)

sofern verfügbar, Berichte nach Artikel 35 Absatz 2 der Verordnung (EU) 2022/2065 und Orientierungshilfen der Kommission, einschließlich Leitlinien nach Artikel 35 Absatz 3 der Verordnung erstellte Leitlinien sowie andere einschlägige Orientierungshilfen der Kommission in Bezug auf die Anwendung der Verordnung (EU) 2022/2065.

(4) Die von der Prüfstelle analysierten Informationen können gegebenenfalls Informationen nach Artikel 42 Absatz 4 der Verordnung (EU) 2022/2065, unter anderem aus Prüf-, Risikobewertungs- und Risikominderungsberichten, in Bezug auf andere sehr große Online-Plattformen oder sehr große Online-Suchmaschinen umfassen, oder auch Daten und Forschungsarbeiten, die von zugelassenen Forscherinnen und Forschern nach Artikel 40 Absatz 8 Buchstabe g der Verordnung öffentlich zugänglich gemacht werden.