30.7.2021   

DE

Amtsblatt der Europäischen Union

L 274/41


VERORDNUNG (EU) 2021/1232 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

vom 14. Juli 2021

über eine vorübergehende Ausnahme von bestimmten Vorschriften der Richtlinie 2002/58/EG hinsichtlich der Verwendung von Technologien durch Anbieter nummernunabhängiger interpersoneller Kommunikationsdienste zur Verarbeitung personenbezogener und anderer Daten zwecks Bekämpfung des sexuellen Missbrauchs von Kindern im Internet

(Text von Bedeutung für den EWR)

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 16 Absatz 2 in Verbindung mit Artikel 114 Absatz 1,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente,

nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (1),

gemäß dem ordentlichen Gesetzgebungsverfahren (2),

in Erwägung nachstehender Gründe:

(1)

Die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (3) enthält Vorschriften zur Gewährleistung des Rechts auf Privatsphäre und Vertraulichkeit bei der Verarbeitung personenbezogener Daten beim Datenaustausch im Bereich der elektronischen Kommunikation. Die Richtlinie präzisiert und ergänzt die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (4).

(2)

Die Richtlinie 2002/58/EG gilt für die Verarbeitung personenbezogener Daten in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste. Bis zum 21. Dezember 2020 galt die Begriffsbestimmung für den Ausdruck „elektronischer Kommunikationsdienst“ gemäß Artikel 2 Buchstabe c der Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates (5). An diesem Tag wurde die Richtlinie 2002/21/EG durch die Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates (6) aufgehoben. Die Begriffsbestimmung für den Ausdruck „elektronischer Kommunikationsdienst“ in Artikel 2 Nummer 4 der Richtlinie (EU) 2018/1972 erfasst auch nummernunabhängige interpersonelle Kommunikationsdienste im Sinne des Artikels 2 Nummer 7 der genannten Richtlinie. Die nummernunabhängigen interpersonellen Kommunikationsdienste, zu denen beispielsweise auch die Internet-Sprachtelefonie, die Nachrichtenübermittlung (im Folgenden „Messaging“) und webgestützte E-Mail-Dienste gehören, wurden daher zum 21. Dezember 2020 in den Anwendungsbereich der Richtlinie 2002/58/EG einbezogen.

(3)

Nach Artikel 6 Absatz 1 des Vertrags über die Europäische Union (EUV) erkennt die Union die Rechte, Freiheiten und Grundsätze an, die in der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) niedergelegt sind. Artikel 7 der Charta schützt das Grundrecht aller Menschen auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Kommunikation, was auch die Vertraulichkeit der Kommunikation einschließt. In Artikel 8 der Charta ist das Recht auf den Schutz personenbezogener Daten niedergelegt.

(4)

Nach Artikel 3 Absatz 1 des Übereinkommens der Vereinten Nationen von 1989 über die Rechte des Kindes (im Folgenden „Kinderrechtsübereinkommen“) und Artikel 24 Absatz 2 der Charta muss bei allen Kinder betreffenden Maßnahmen öffentlicher Stellen oder privater Einrichtungen das Wohl des Kindes eine vorrangige Erwägung sein. In Artikel 3 Absatz 2 des Kinderrechtsübereinkommens und Artikel 24 Absatz 1 der Charta wird ferner auf den Anspruch von Kindern auf einen den Schutz und die Fürsorge hingewiesen, die für ihr Wohlergehen notwendig sind.

(5)

Der Schutz der Kinder, sowohl online als auch offline, ist eine der Prioritäten der Union. Sexueller Missbrauch und sexuelle Ausbeutung von Kindern stellen schwere Verletzungen der Menschen- und Grundrechte dar, insbesondere der Rechte der Kinder auf Schutz vor jeglicher Form von Gewalt, Missbrauch und Vernachlässigung, Misshandlung oder Ausbeutung, einschließlich des sexuellen Missbrauchs, wie im Kinderrechtsübereinkommen und in der Charta verankert. Die Digitalisierung hat viele Vorteile für die Gesellschaft und die Wirtschaft mit sich gebracht, sie geht aber auch mit Problemen einher wie der Zunahme des sexuellen Missbrauchs von Kindern im Internet. Am 24. Juli 2020 nahm die Kommission eine Mitteilung mit dem Titel „EU-Strategie für eine wirksamere Bekämpfung des sexuellen Missbrauchs von Kindern“ (im Folgenden „Strategie“) an. Die Strategie zielt darauf ab, auf Unionsebene wirksam gegen das Verbrechen des sexuellen Missbrauchs von Kindern vorzugehen.

(6)

Im Einklang mit der Richtlinie 2011/93/EU des Europäischen Parlaments und des Rates (7) regelt die vorliegende Verordnung nicht die Maßnahmen der Mitgliedstaaten hinsichtlich im gegenseitigem Einverständnis erfolgender sexueller Handlungen, an denen Kinder beteiligt sein können und die der normalen Entdeckung der Sexualität im Laufe der menschlichen Entwicklung zugeordnet werden können; in diesem Zusammenhang wird auch den unterschiedlichen kulturellen und rechtlichen Traditionen und neuen Formen der Herstellung und Pflege von Beziehungen unter Kindern und Jugendlichen, einschließlich via Informations- und Kommunikationstechnologien, Rechnung getragen.

(7)

Einige Anbieter bestimmter nummernunabhängiger interpersoneller Kommunikationsdienste (im Folgenden „Anbieter“) — wie Webmail und Messaging — setzen bereits freiwillig spezielle Technologien ein, um sexuellen Missbrauch von Kindern im Internet in ihren Diensten aufzudecken und an Strafverfolgungsbehörden und an Organisationen, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen, zu melden, indem entweder der Inhalt, wie Bilder und Text, oder die Verkehrsdaten zu einer Kommunikation, in einigen Fällen unter Verwendung historischer Daten, durchsucht werden. Für derartige Tätigkeiten könnten bei Bildern und Videos die Hash-Technologie und bei der Analyse von Text oder Verkehrsdaten Klassifikatoren und künstliche Intelligenz verwendet werden. Bei Verwendung der Hash-Technologie wird das Online-Material über sexuellen Missbrauch von Kindern gemeldet, wenn ein positiver Treffer angezeigt wird, d. h. eine Übereinstimmung, die sich aus einem Vergleich zwischen einem Bild oder einem Video und einer eindeutigen, unumkehrbaren digitalen Signatur (sog. „Hash“) aus einer von einer Organisation, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgeht, betriebenen Datenbank ergibt und die verifiziertes Online-Material über sexuellen Missbrauch von Kindern enthält. Bei diesen Anbietern handelt es sich um nationale Hotlines für die Meldung von Online-Material über sexuellen Missbrauch von Kindern und auch um Organisationen, die sich in der Union und in Drittländern befinden, die sich dafür einsetzen, Kinder zu identifizieren, die sexuelle Ausbeutung und den sexuellen Missbrauch von Kindern zu verringern sowie die Viktimisierung von Kindern zu verhindern. Derartige Organisationen könnten nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 fallen. Derartige freiwillige Maßnahmen leisten in ihrer Gesamtheit einen wertvollen Beitrag zur Ermöglichung der Identifizierung und Rettung von Opfern, deren Grundrechte auf Menschenwürde und körperliche und geistige Unversehrtheit schwer verletzt werden. Derartige freiwillige Maßnahmen sind auch für die Verringerung der Weiterverbreitung von Online-Material über sexuellen Missbrauch von Kindern und als Beitrag zur Identifizierung und Ermittlung von Straftätern sowie zur Verhinderung, Aufdeckung, Ermittlung und Verfolgung von Straftaten im Zusammenhang mit sexuellem Missbrauch von Kindern von Bedeutung.

(8)

Trotz ihres legitimen Ziels bedeuten die freiwilligen Maßnahmen von Anbietern zur Aufdeckung von sexuellem Missbrauch von Kindern im Internet einen Eingriff in die Grundrechte auf Achtung des Privat- und Familienlebens und auf den Schutz personenbezogener Daten aller Nutzer nummernunabhängiger interpersoneller Kommunikationsdienste (im Folgenden „Nutzer“). Eine Beschränkung der Ausübung des Grundrechts auf Achtung des Privat- und Familienlebens, einschließlich der Vertraulichkeit der Kommunikation, lässt sich nicht allein mit der Begründung rechtfertigen, dass die Anbieter bestimmte Technologien zu einer Zeit nutzten, als nummernunabhängige interpersonelle Kommunikationsdienste noch nicht unter die Definition von „elektronischen Kommunikationsdiensten“ fielen. Derartige Beschränkungen sind nur unter bestimmten Bedingungen möglich. Gemäß Artikel 52 Absatz 1 der Charta sind solche Beschränkungen gesetzlich vorzusehen und müssen den Wesensgehalt der Rechte auf Privat- und Familienleben und auf Schutz personenbezogener Daten achten sowie unter Wahrung des Grundsatzes der Verhältnismäßigkeit erforderlich sein und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen. Wenn solche Beschränkungen dauerhaft mit einer allgemeinen und unterschiedslosen Überwachung und Analyse der Kommunikation aller Nutzer verbunden sind, wird damit gegen das Recht auf Vertraulichkeit der Kommunikation verstoßen.

(9)

Die Verarbeitung personenbezogener Daten durch Anbieter durch freiwillige Maßnahmen zur Aufdeckung sexuellen Missbrauchs von Kindern im Internet in ihren Diensten und der Meldung desselben und zur Entfernung von Online-Material über sexuellen Missbrauch von Kindern aus ihren Diensten unterlag bis zum 20. Dezember 2020 nur der Verordnung (EU) 2016/679. Die Richtlinie (EU) 2018/1972, die bis zum 20. Dezember 2020 umgesetzt werden musste, bewirkte, dass die Anbieter in den Anwendungsbereich der Richtlinie 2002/58/EG fallen. Um solche freiwilligen Maßnahmen nach dem 20. Dezember 2020 weiterhin nutzen zu können, sollten die Anbieter die in der vorliegenden Verordnung festgelegten Bedingungen erfüllen. Die Verordnung (EU) 2016/679 wird weiterhin für die Verarbeitung personenbezogener Daten gelten, die mittels solcher freiwilligen Maßnahmen erfolgt.

(10)

Die Richtlinie 2002/58/EG enthält keine besonderen Bestimmungen über die Verarbeitung personenbezogener Daten durch Anbieter im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste zum Zwecke der Aufdeckung sexuellen Missbrauchs von Kindern im Internet in ihren Diensten und der Meldung desselben sowie der Entfernung von Online-Material über sexuellen Missbrauch von Kindern aus ihren Diensten. Gemäß Artikel 15 Absatz 1 der Richtlinie 2002/58/EG können die Mitgliedstaaten aber Rechtsvorschriften zur Beschränkung der unter anderem in den Artikeln 5 und 6 der genannten Richtlinie vorgesehenen Rechte und Pflichten, die die Vertraulichkeit der Kommunikation und der Verkehrsdaten betreffen, erlassen, wenn dies der Verhütung, Aufdeckung, Ermittlung und Verfolgung von Straftaten im Zusammenhang mit sexuellem Missbrauch von Kindern dient. Ohne solche nationalen Rechtsvorschriften können sich die Anbieter bis zur Annahme eines langfristigen Rechtsrahmens für die Bekämpfung sexuellen Missbrauchs von Kindern auf Unionsebene nicht mehr auf die Verordnung (EU) 2016/679 berufen, um über den 21. Dezember 2020 hinaus weiterhin freiwillige Maßnahmen zur Aufdeckung von sexuellem Missbrauch von Kindern im Internet in ihren Diensten und zu dessen Meldung anzuwenden sowie zur Entfernung des Online-Materials über sexuellen Missbrauch von Kindern aus ihren Diensten zu ergreifen. Die vorliegende Verordnung bietet zwar keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Anbieter zum alleinigen Zweck der Aufdeckung von sexuellem Missbrauch von Kindern im Internet in ihren Diensten und der Meldung desselben und der Entfernung von Online-Material über sexuellen Missbrauch von Kindern aus ihren Diensten, aber sie sieht eine Ausnahme von bestimmten Vorschriften der Richtlinie 2002/58/EG vor. Die vorliegende Verordnung legt zusätzliche Schutzvorkehrungen fest, die von den Anbietern einzuhalten sind, wenn sie sich darauf berufen wollen.

(11)

Die Verarbeitung von Daten für die Zwecke der vorliegenden Verordnung könnte die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß der Verordnung (EU) 2016/679 nach sich ziehen. Die Verarbeitung von Bildern und Videos durch besondere technische Mittel, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglicht, gilt als Verarbeitung besonderer Kategorien personenbezogener Daten.

(12)

Die vorliegende Verordnung sieht eine vorübergehende Ausnahme von Artikel 5 Absatz 1 und Artikel 6 Absatz 1 der Richtlinie 2002/58/EG vor, die die Vertraulichkeit der Kommunikation und der Verkehrsdaten schützen. Die freiwillige Nutzung von Technologien zur Verarbeitung personenbezogener und anderer Daten durch Anbieter in dem Umfang, der erforderlich ist, um sexuellen Missbrauch von Kindern im Internet in ihren Diensten aufzudecken und zu melden und Online-Material über sexuellen Missbrauch von Kindern aus ihren Diensten zu entfernen, fällt in den Anwendungsbereich der in der vorliegenden Verordnung vorgesehenen Ausnahmeregelung, sofern diese Nutzung die in der vorliegenden Verordnung festgelegten Bedingungen erfüllt, und unterliegt daher den Schutzvorkehrungen und Bedingungen der Verordnung (EU) 2016/679.

(13)

Die Richtlinie 2002/58/EG wurde auf der Grundlage des Artikels 114 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) erlassen. Darüber hinaus haben nicht alle Mitgliedstaaten im Einklang mit der Richtlinie 2002/58/EG Rechtsvorschriften erlassen, um die in den genannten Bestimmungen vorgesehenen Rechte und Pflichten im Zusammenhang mit der Vertraulichkeit von Kommunikations- und Verkehrsdaten gemäß der genannten Richtlinie zu beschränken, und der Erlass solcher Rechtsvorschriften birgt ein erhebliches Risiko der Fragmentierung, die sich nachteilig auf den Binnenmarkt auswirken könnte. Daher sollte die vorliegende Verordnung auf Artikel 114 AEUV gestützt werden.

(14)

Da Daten im Zusammenhang mit elektronischen Kommunikationsvorgängen, an denen natürliche Personen beteiligt sind, gewöhnlich als personenbezogene Daten einzustufen sind, sollte diese Verordnung auch auf Artikel 16 AEUV gestützt werden, der eine besondere Rechtsgrundlage für den Erlass von Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr bildet.

(15)

Die Verordnung (EU) 2016/679 gilt für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste durch Anbieter allein zu dem Zweck, sexuellen Missbrauch von Kindern im Internet in ihren Diensten aufzudecken und zu melden und Online-Material über sexuellen Missbrauch von Kindern aus ihren Diensten zu entfernen, soweit diese Verarbeitung in den Anwendungsbereich der in der vorliegenden Verordnung vorgesehenen Ausnahme fällt.

(16)

Die Technologien, die für die Zwecke dieser Verordnung verwendet werden, sollten nach dem Stand der Technik in der Branche am wenigsten in die Privatsphäre eingreifen. Diese Technologien sollten nicht zum systematischen Filtern und Durchsuchen von Text in Kommunikationsinhalten verwendet werden, es sei denn, es geht ausschließlich darum, Muster zu erkennen, die auf mögliche konkrete Verdachtsgründe für sexuellen Missbrauch von Kindern im Internet hindeuten, und sie sollten keine Rückschlüsse auf den Inhalt der Kommunikation zulassen. Bei Technologien, die zur Erkennung von Versuchen der Kontaktaufnahme zu Kindern eingesetzt werden, sollten solche konkreten Verdachtsgründe auf objektiv ermittelten Risikofaktoren wie Altersunterschied und wahrscheinliche Beteiligung eines Kindes an der durchsuchten Kommunikation beruhen.

(17)

Es sollten geeignete Verfahren und Beschwerdemechanismen eingerichtet werden, um sicherzustellen, dass Einzelpersonen Beschwerden bei Anbietern einlegen können. Solche Verfahren und Mechanismen sind insbesondere dann relevant, wenn Inhalte, die keinen sexuellen Missbrauch von Kindern im Internet darstellen, entfernt oder den Strafverfolgungsbehörden oder einer Organisation, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgeht, gemeldet wurden.

(18)

Um die Genauigkeit und Zuverlässigkeit so weit wie möglich zu gewährleisten, sollte die für die Zwecke dieser Verordnung verwendete Technologie dem Stand der Technik in der Branche entsprechen, die Zahl und das Verhältnis der Fehler (falsch positive Ergebnisse) so gering wie möglich halten und sollte erforderlichenfalls etwaige Fehler, die dennoch auftreten können, unverzüglich berichtigen.

(19)

Die Inhaltsdaten und Verkehrsdaten sowie die personenbezogenen Daten, die bei der Durchführung der unter diese Verordnung fallenden Tätigkeiten verarbeitet bzw. generiert werden, und der Zeitraum, in dem die Daten im Falle der Ermittlung eines Verdachts auf sexuellen Missbrauch von Kindern im Internet anschließend gespeichert werden, sollten auf das für die Ausübung dieser Tätigkeiten unbedingt erforderliche Maß beschränkt bleiben. Alle Daten sollten unverzüglich und unwiderruflich gelöscht werden, sobald sie für einen der in dieser Verordnung genannten Zwecke nicht mehr unbedingt erforderlich sind, einschließlich der Fälle, in denen kein Verdacht auf sexuellen Missbrauch von Kindern im Internet besteht, auf jeden Fall aber spätestens 12 Monate nach dem Datum der Aufdeckung eines Verdachts auf sexuellen Missbrauch von Kindern im Internet. Dies sollte unbeschadet der Möglichkeit gelten, relevante Inhalts- und Verkehrsdaten gemäß der Richtlinie 2002/58/EG zu speichern. Diese Verordnung lässt die Auferlegung etwaiger rechtlicher Verpflichtungen zur Aufbewahrung von Daten nach Unionsrecht oder nationalem Recht, die für Anbieter gelten, unberührt.

(20)

Diese Verordnung hindert einen Anbieter, der den Strafverfolgungsbehörden sexuellen Missbrauch von Kindern im Internet gemeldet hat, nicht daran, von diesen Behörden eine Empfangsbestätigung der Meldung zu verlangen.

(21)

Zur Gewährleistung der Transparenz und Rechenschaftspflicht in Bezug auf die im Rahmen der Ausnahme nach der vorliegenden Verordnung durchgeführten Tätigkeiten sollten die Anbieter bis zum 3. Februar 2022 und danach bis zum 31. Januar jedes Jahres Berichte veröffentlichen und der gemäß der Verordnung (EU) 2016/679 benannten zuständigen Aufsichtsbehörde (im Folgenden „Aufsichtsbehörde“) und der Kommission vorlegen. Diese Berichte sollten die in den Anwendungsbereich der vorliegenden Verordnung fallende Verarbeitung, einschließlich die Art und Menge der verarbeiteten Daten, die spezifischen Gründe, die für die Verarbeitung personenbezogener Daten gemäß der Verordnung (EU) 2016/679 geltend gemacht werden, die Gründe, die für die Übermittlung personenbezogener Daten in Länder außerhalb der Union gemäß Kapitel V der Verordnung (EU) 2016/679 geltend gemacht werden, gegebenenfalls die Zahl der aufgedeckten Fälle von sexuellem Missbrauch von Kindern im Internet, wobei zwischen Online-Material über sexuellen Missbrauch von Kindern und Kontaktaufnahmen zu Kindern unterschieden wird, die Anzahl der Fälle, in denen ein Nutzer eine Beschwerde beim internen Beschwerdemechanismus eingereicht oder einen gerichtlichen Rechtsbehelf eingelegt hat, und das Ergebnis solcher Beschwerden und gerichtlichen Verfahren, Anzahl und Anteil der mit verschiedenen verwendeten Technologien aufgetretenen Fehler (falsch positive Ergebnisse), Maßnahmen zur Begrenzung der Fehlerquote, die erreichte Fehlerquote, die Aufbewahrungsregeln und die gemäß der Verordnung (EU) 2016/679 angewandten Datenschutzvorkehrungen und die Namen der Organisationen, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen und mit denen Daten gemäß der vorliegenden Verordnung ausgetauscht werden, umfassen.

(22)

Um die Aufsichtsbehörden bei ihren Aufgaben zu unterstützen, sollte die Kommission den Europäischen Datenschutzausschuss auffordern, Leitlinien zur Einhaltung der Verordnung (EU) 2016/679 bei der Datenverarbeitung, die in den Anwendungsbereich der in der vorliegenden Verordnung festgelegten Ausnahme fällt, bereitzustellen. Wenn die Aufsichtsbehörden beurteilen, ob eine bewährte oder neue Technologie, die verwendet werden soll, dem Stand der Technik in der Branche entspricht, am wenigsten in die Privatsphäre eingreift und auf einer angemessenen Rechtsgrundlage gemäß der Verordnung (EU) 2016/679 eingesetzt wird, sollten diese Leitlinien insbesondere den Aufsichtsbehörden bei der Beratung im Rahmen des in jener Verordnung vorgesehenen Verfahrens der vorherigen Konsultation behilflich sein.

(23)

Die vorliegende Verordnung beschränkt das Recht auf Schutz der Vertraulichkeit der Kommunikation und weicht insofern von der in der Richtlinie (EU) 2018/1972 gemachten Vorgabe ab, dass für nummernunabhängige interpersonelle Kommunikationsdienste in Bezug auf den Schutz der Privatsphäre dieselben Vorschriften gelten wie für alle anderen elektronischen Kommunikationsdienste; dies erfolgt ausschließlich zu dem Zweck, Missbrauch von Kindern im Internet in den genannten Diensten aufzuspüren und es den Strafverfolgungsbehörden oder Organisationen, die im öffentlichen Interesse gegen den sexuellen Missbrauch von Kindern vorgehen, zu melden und Online-Material über den sexuellen Missbrauch von Kindern aus diesen Diensten zu entfernen. Die Geltungsdauer der vorliegenden Verordnung sollte daher auf drei Jahre ab ihrem Geltungsbeginn befristet werden, damit die für die Annahme eines neuen langfristigen Rechtsrahmens erforderliche Zeit zur Verfügung steht. Wird der langfristige Rechtsrahmen vor diesem Tag angenommen und in Kraft treten, sollte dieser langfristige Rechtsrahmen die vorliegende Verordnung aufheben.

(24)

In Bezug auf alle anderen Tätigkeiten, die in den Anwendungsbereich der Richtlinie 2002/58/EG fallen, sollten Anbieter den in der genannten Richtlinie festgelegten besonderen Verpflichtungen und folglich den Überwachungs- und Ermittlungsbefugnissen der gemäß der genannten Richtlinie benannten zuständigen Behörden unterliegen.

(25)

Die Ende-zu-Ende-Verschlüsselung ist ein wichtiges Instrument, um die Sicherheit und die Vertraulichkeit der Kommunikation von Nutzern, einschließlich der Kommunikation von Kindern, sicherzustellen. Jede Schwächung der Verschlüsselung könnte unter Umständen von böswilligen Dritten missbräuchlich ausgenutzt werden. Keine Bestimmung dieser Verordnung sollte daher so ausgelegt werden, dass sie die Ende-zu-Ende-Verschlüsselung verbietet oder abschwächt.

(26)

Das Recht auf Achtung des Privat- und Familienlebens, einschließlich der Vertraulichkeit der Kommunikation, ist ein in Artikel 7 der Charta verankertes Grundrecht. Es ist somit auch eine Voraussetzung für eine sichere Kommunikation zwischen Opfern von sexuellem Missbrauch von Kindern und einem vertrauenswürdigen Erwachsenen oder Organisationen, die im Kampf gegen sexuellen Missbrauch von Kindern tätig sind, sowie für die Kommunikation zwischen Opfern und ihren Rechtsanwälten.

(27)

Diese Verordnung sollte die Vorschriften über das Berufsgeheimnis nach nationalem Recht unberührt lassen, wie etwa die Vorschriften über den Schutz der beruflichen Kommunikation zwischen Ärzten und ihren Patienten, zwischen Journalisten und ihren Quellen oder zwischen Rechtsanwälten und ihren Mandanten — insbesondere, da die Vertraulichkeit der Kommunikation zwischen Rechtsanwälten und ihren Mandanten von zentraler Bedeutung ist, um die wirksame Ausübung der Verteidigungsrechte als wesentlichem Bestandteil des Rechts auf ein faires Verfahren zu gewährleisten. Diese Verordnung sollte auch nationale Vorschriften über Register von Behörden oder Organisationen, die Personen in Notlagen Beratung anbieten, unberührt lassen.

(28)

Die Anbieter sollten der Kommission die Namen der Organisationen mitteilen, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen und denen sie potenziellen sexuellen Missbrauch von Kindern im Internet gemäß der vorliegenden Verordnung melden. Während es in der alleinigen Verantwortung der Anbieter liegt, die als für die Datenverarbeitung Verantwortliche fungieren, zu beurteilen, mit welchen Dritten sie personenbezogene Daten gemäß der Verordnung (EU) 2016/679 austauschen können, sollte die Kommission Transparenz in Bezug auf die Übermittlung potenzieller Fälle von sexuellem Missbrauch von Kindern im Internet gewährleisten, indem sie auf ihrer Website eine Liste der Organisationen veröffentlicht, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen und ihr mitgeteilt wurden. Diese öffentliche Liste sollte leicht zugänglich sein. Es sollte den Anbietern auch möglich sein, diese Liste zu nutzen, um relevante Organisationen im weltweiten Kampf gegen den sexuellen Missbrauch von Kindern im Internet zu ermitteln. Diese Liste sollte nicht die Verpflichtungen der Anbieter berühren, die als für die Datenverarbeitung Verantwortliche gemäß der Verordnung (EU) 2016/679 fungieren, einschließlich ihrer Verpflichtung, jede Übermittlung personenbezogener Daten außerhalb der Union gemäß Kapitel V der Verordnung (EU) 2016/679 durchzuführen, und ihrer Verpflichtung, alle Pflichten gemäß Kapitel IV der genannten Verordnung zu erfüllen.

(29)

Die von den Mitgliedstaaten gemäß dieser Verordnung bereitzustellenden Statistiken sind wichtige Indikatoren für die Bewertung der Politik, einschließlich Gesetzgebungsmaßnahmen. Darüber hinaus ist es wichtig, die Auswirkungen der sekundären Viktimisierung anzuerkennen, die mit der Weitergabe von Bildern und Videos von Opfern sexuellen Missbrauchs von Kindern einhergehen, die möglicherweise schon seit Jahren im Umlauf sind und in solchen Statistiken nicht vollständig erfasst werden.

(30)

Im Einklang mit den Anforderungen der Verordnung (EU) 2016/679, insbesondere der Anforderung, dass die Mitgliedstaaten sicherstellen, dass die Aufsichtsbehörden mit den personellen, technischen und finanziellen Ressourcen ausgestattet werden, die sie benötigen, um ihre Aufgaben und Befugnisse wirksam wahrnehmen bzw. ausüben zu können, sollten die Mitgliedstaaten sicherstellen, dass die Aufsichtsbehörden über solche ausreichenden Ressourcen für die wirksame Wahrnehmung ihrer Aufgaben und Ausübung ihrer Befugnisse gemäß der vorliegenden Verordnung verfügen.

(31)

Hat ein Anbieter vor dem Inkrafttreten der vorliegenden Verordnung gemäß der Verordnung (EU) 2016/679 eine Datenschutz-Folgenabschätzung durchgeführt und die Aufsichtsbehörden in Bezug auf eine Technologie konsultiert, sollte er gemäß der vorliegenden Verordnung nicht verpflichtet sein, eine zusätzliche Datenschutz-Folgenabschätzung oder Konsultation durchzuführen, sofern die Aufsichtsbehörden angegeben haben, dass die Verarbeitung von Daten durch diese Technologie kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hätte oder dass der für die Datenverarbeitung Verantwortliche Maßnahmen zur Minderung eines solchen Risikos ergriffen hat.

(32)

Die Nutzer sollten das Recht auf einen wirksamen gerichtlichen Rechtsbehelf haben, wenn ihre Rechte infolge der Verarbeitung personenbezogener und anderer Daten zum Zwecke der Aufdeckung von sexuellem Missbrauch von Kindern im Internet in nummernunabhängigen interpersonellen Kommunikationsdiensten, der Meldung dieses Missbrauchs und der Entfernung von Online-Material über sexuellen Missbrauch von Kindern aus diesen Diensten verletzt wurden, beispielsweise wenn die Inhalte oder die Identität eines Nutzers einer Organisation, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgeht, oder den Strafverfolgungsbehörden gemeldet wurden oder wenn die Inhalte eines Nutzers entfernt oder sein Konto gesperrt oder ein einem Nutzer angebotener Dienst eingestellt wurde.

(33)

Im Einklang mit der Richtlinie 2002/58/EG und dem Grundsatz der Datenminimierung sollte die Verarbeitung personenbezogener und anderer Daten auf die Inhaltsdaten und die damit verbundenen Verkehrsdaten in dem Maß beschränkt bleiben, das zur Erreichung des Zwecks dieser Verordnung unbedingt erforderlich ist.

(34)

Die in dieser Verordnung vorgesehene Ausnahmeregelung sollte sich auf die in Artikel 5 Absatz 1 und Artikel 6 Absatz 1 der Richtlinie 2002/58/EG genannten Datenkategorien erstrecken, die für die Verarbeitung sowohl personenbezogener als auch nicht personenbezogener Daten gelten, die im Zusammenhang mit der Bereitstellung eines nummernunabhängigen interpersonellen Kommunikationsdienstes verarbeitet werden.

(35)

Ziel dieser Verordnung ist die Schaffung einer vorübergehenden Ausnahme von bestimmten Vorschriften der Richtlinie 2002/58/EG, ohne eine Fragmentierung des Binnenmarktes herbeizuführen. Darüber hinaus würden höchstwahrscheinlich nicht alle Mitgliedstaaten rechtzeitig nationale Rechtsvorschriften erlassen können. Da das Ziel dieser Verordnung von den Mitgliedstaaten nicht ausreichend verwirklicht werden kann, sondern vielmehr auf Unionsebene besser zu verwirklichen ist, kann die Union im Einklang mit dem in Artikel 5 EUV verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das für die Verwirklichung dieses Ziels erforderliche Maß hinaus. Sie führt eine vorübergehende und streng begrenzte Ausnahme von der Anwendbarkeit des Artikels 5 Absatz 1 und des Artikels 6 Absatz 1 der Richtlinie 2002/58/EG mit einer Reihe von Schutzvorkehrungen ein, um zu gewährleisten, dass sie nicht über das für die Verwirklichung des festgelegten Ziels erforderliche Maß hinausgeht.

(36)

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (8) angehört und gab am 10. November 2020 seine Stellungnahme ab —

HABEN FOLGENDE VERORDNUNG ERLASSEN:

Artikel 1

Gegenstand und Geltungsbereich

(1)   Die vorliegende Verordnung enthält vorübergehende und streng begrenzte Vorschriften, die von bestimmten in der Richtlinie 2002/58/EG festgelegten Verpflichtungen abweichen und das alleinige Ziel haben, den Anbietern bestimmter nummernunabhängiger interpersoneller Kommunikationsdienste (im Folgenden „Anbieter“) zu ermöglichen, unbeschadet der Verordnung (EU) 2016/679 spezielle Technologien für die Verarbeitung personenbezogener und anderer Daten in dem Maße zu verwenden, in dem dies unbedingt erforderlich ist, um sexuellen Missbrauch von Kindern im Internet bei ihren Diensten aufzudecken und zu melden und Online-Material über sexuellen Missbrauch von Kindern aus ihren Diensten zu entfernen.

(2)   Die vorliegende Verordnung gilt nicht für das Durchsuchen von Audiokommunikation.

Artikel 2

Begriffsbestimmungen

Für die Zwecke dieser Verordnung bezeichnet der Ausdruck

1.

„nummernunabhängiger interpersoneller Kommunikationsdienst“ einen nummernunabhängigen interpersonellen Kommunikationsdienst im Sinne des Artikels 2 Nummer 7 der Richtlinie (EU) 2018/1972;

2.

„Online-Material über sexuellen Missbrauch von Kindern“:

a)

Kinderpornografie im Sinne des Artikels 2 Buchstabe c der Richtlinie 2011/93/EU;

b)

pornografische Darbietung im Sinne des Artikel 2 Buchstabe e der Richtlinie 2011/93/EU;

3.

„Kontaktaufnahme zu Kindern“ jede vorsätzliche Handlung, die eine Straftat im Sinne von Artikel 6 der Richtlinie 2011/93/EU darstellt;

4.

„sexueller Missbrauch von Kindern im Internet“„Online-Material über sexuellen Missbrauch von Kindern“ und „Kontaktaufnahme zu Kindern“.

Artikel 3

Anwendungsbereich der Ausnahme

(1)   Artikel 5 Absatz 1 und Artikel 6 Absatz 1 der Richtlinie 2002/58/EG gelten nicht für die Vertraulichkeit von Kommunikation, bei der auch personenbezogene und andere Daten durch die Anbieter im Zusammenhang mit der Bereitstellung nummernunabhängiger interpersoneller Kommunikationsdienste verarbeitet werden, sofern:

a)

die Verarbeitung

i)

unbedingt erforderlich ist, damit eine spezielle Technologie zum alleinigen Zweck der Aufdeckung und Entfernung von Online-Material über sexuellen Missbrauch von Kindern und der Meldung dieses Materials an Strafverfolgungsbehörden und Organisationen, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen, sowie zur Aufdeckung der Kontaktaufnahme zu Kindern und ihrer Meldung an Strafverfolgungsbehörden und Organisationen, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen, verwendet werden kann;

ii)

verhältnismäßig ist und auf Technologien beschränkt bleibt, die von Anbietern zu dem unter Ziffer i genannten Zweck verwendet werden

iii)

auf Inhaltsdaten und damit verbundene Verkehrsdaten beschränkt ist, die für den unter Ziffer i genannten Zweck unbedingt erforderlich sind;

iv)

auf das, was für den unter Ziffer i genannten Zweck unbedingt erforderlich ist, beschränkt ist;

b)

die für den unter Buchstabe a Ziffer i des vorliegenden Absatzes genannten Zweck verwendete Technologie dem Stand der Technik in der Branche entspricht und am wenigsten in die Privatsphäre eingreift, auch im Hinblick auf den Grundsatz des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gemäß Artikel 25 der Verordnung (EU) 2016/679, und, soweit sie zum Durchsuchen von Text in Kommunikation verwendet wird, nicht in der Lage ist, den wesentlichen Inhalt der Kommunikation zu erschließen, sondern lediglich Muster erkennen kann, die auf einen möglichen sexuellen Missbrauch von Kindern im Internet hindeuten;

c)

in Bezug auf jede spezielle Technologie, die zu dem unter Buchstabe a Ziffer i des vorliegenden Absatzes genannten Zweck verwendet wird, eine vorherige Datenschutz-Folgenabschätzung gemäß Artikel 35 der Verordnung (EU) 2016/679 und ein Verfahren der vorherigen Konsultation gemäß Artikel 36 der genannten Verordnung durchgeführt wurden;

d)

im Hinblick auf neue Technologien, d. h. Technologien, die zur Aufdeckung von Online-Material über sexuellen Missbrauch von Kindern verwendet werden und die vor dem 2. August 2021 von keinem Anbieter im Zusammenhang mit Diensten, die für Nutzer nummernunabhängiger interpersoneller Kommunikationsdienste (im Folgenden „Nutzer“) in der Union erbracht wurden, verwendet worden sind, sowie im Hinblick auf Technologien, die zur Ermittlung möglicher Kontaktaufnahmen zu Kindern verwendet werden, erstattet der Anbieter der zuständigen Behörde Bericht über die Maßnahmen, die ergriffen wurden, um die Einhaltung der schriftlichen Empfehlungen, die gemäß Artikel 36 Absatz 2 der Verordnung (EU) 2016/679 von der gemäß Kapitel VI Abschnitt 1 der genannten Verordnung benannten zuständigen Aufsichtsbehörde (im Folgenden „Aufsichtsbehörde“) im Rahmen des Verfahrens der vorherigen Konsultation abgegeben wurden, nachzuweisen.

e)

die verwendeten Technologien an sich hinreichend zuverlässig sind, da sie die Fehlerquote bei der Erkennung von Inhalten, die sexuellen Missbrauch von Kindern im Internet darstellen, weitestmöglich begrenzen, und bei gelegentlich auftretenden Fehlern deren Folgen unverzüglich berichtigen;

f)

die zur Aufdeckung von Mustern einer möglichen Kontaktaufnahme zu Kindern verwendeten Technologien auf die Verwendung geeigneter Schlüsselindikatoren und objektiv ermittelter Risikofaktoren wie Altersunterschiede und die wahrscheinliche Beteiligung eines Kindes an der durchsuchten Kommunikation beschränkt sind und das Recht auf Überprüfung durch einen Menschen wahrt.

g)

die Anbieter

i)

interne Verfahren eingeführt haben, um Missbrauch von, unbefugten Zugriff auf und unbefugte Weitergabe von personenbezogenen und anderen Daten zu verhindern;

ii)

menschliche Aufsicht über und erforderlichenfalls menschliche Eingriffe in die Verarbeitung personenbezogener und anderer Daten mit Hilfe von Technologien, die unter diese Verordnung fallen, gewährleisten;

iii)

sicherstellen, dass Material, das zuvor nicht als Online-Material über sexuellen Missbrauch von Kindern oder als Kontaktaufnahme zu Kindern identifiziert wurde, nicht ohne vorherige Bestätigung durch einen Menschen an Strafverfolgungsbehörden oder Organisationen, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen, gemeldet wird;

iv)

geeignete Verfahren und Beschwerdemechanismen eingeführt haben, um sicherzustellen, dass Nutzer innerhalb einer angemessenen Frist Beschwerden bei ihnen einreichen können, um ihre Sichtweise darzulegen;

v)

die Nutzer in klarer, deutlicher und verständlicher Weise darüber informieren, dass sie sich im Einklang mit dieser Verordnung auf die Ausnahme von Artikel 5 Absatz 1 und Artikel 6 Absatz 1 der Richtlinie 2002/58/EG hinsichtlich der Vertraulichkeit der Kommunikation der Nutzer berufen, und zwar ausschließlich für den in Buchstabe a Ziffer i des vorliegenden Absatzes genannten Zweck, sowie die hinter den Maßnahmen, die sie im Rahmen der Ausnahmeregelung ergriffen haben, stehende Logik und die Auswirkungen auf die Vertraulichkeit der Kommunikation der Nutzer, einschließlich der Möglichkeit, dass personenbezogene Daten an Strafverfolgungsbehörden und Organisationen, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen, weitergegeben werden;

vi)

die Nutzer über Folgendes informieren, wenn ihre Inhalte entfernt oder ihr Konto gesperrt oder ein ihnen angebotener Dienst eingestellt wurde:

1.

die Möglichkeiten, bei ihnen Beschwerde einzulegen;

2.

die Möglichkeit, Beschwerde bei einer Aufsichtsbehörde einzulegen; und

3.

das Recht auf einen gerichtlichen Rechtsbehelf;

vii)

bis zum 3. Februar 2022 und danach bis zum 31. Januar jedes Jahres einen Bericht über die in den Anwendungsbereich dieser Verordnung fallende Verarbeitung personenbezogener Daten veröffentlichen und der zuständigen Aufsichtsbehörde und der Kommission vorlegen, einschließlich über:

1.

die Art und Menge der verarbeiteten Daten;

2.

den spezifischen Grund, der für die Verarbeitung gemäß der Verordnung (EU) 2016/679 geltend gemacht wird;

3.

den Grund, der für die Übermittlung personenbezogener Daten in Länder außerhalb der Union gemäß Kapitel V der Verordnung (EU) 2016/679 geltend gemacht wird;

4.

die Zahl der aufgedeckten Fälle von Missbrauch von Kindern im Internet, wobei zwischen Online-Material über sexuellen Missbrauch von Kindern und Kontaktaufnahmen zu Kindern zu unterscheiden ist;

5.

die Zahl der Fälle, in denen Nutzer Beschwerden über den internen Beschwerdemechanismus oder bei einer Justizbehörde eingereicht haben, und das Ergebnis dieser Beschwerden;

6.

die Anzahl und der Anteil der mit verschiedenen verwendeten Technologien aufgetretenen Fehler (falsch positive Ergebnisse);

7.

die Maßnahmen zur Begrenzung der Fehlerquote und die erreichte Fehlerquote;

8.

die Aufbewahrungsregeln und die gemäß der Verordnung (EU) 2016/679 angewandten Datenschutzvorkehrungen;

9.

die Namen der Organisationen, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen und mit denen Daten gemäß dieser Verordnung ausgetauscht wurden;

h)

bei Verdacht auf sexuellen Missbrauch von Kindern im Internet die Inhaltsdaten und damit verbundenen Verkehrsdaten, die für die Zwecke gemäß Buchstabe a Ziffer i verarbeitet werden, und die bei einer solchen Verarbeitung generierten personenbezogenen Daten auf sichere Weise gespeichert werden, und zwar ausschließlich für die folgenden Zwecke:

i)

um den mutmaßlichen sexuellen Missbrauch von Kindern im Internet unverzüglich den zuständigen Strafverfolgungs- und Justizbehörden oder Organisationen, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen, zu melden;

ii)

das Konto des betroffenen Nutzers zu sperren oder die Bereitstellung des Dienstes für den betroffenen Nutzer auszusetzen oder zu kündigen;

iii)

eine eindeutige, unumkehrbare digitale Signatur (sog. „Hash“) von Daten, die zuverlässig als Online-Material über sexuellen Missbrauch von Kindern identifiziert wurden, zu erstellen;

iv)

dem betroffenen Nutzer die Möglichkeit zu geben, beim Anbieter Beschwerde einzulegen oder verwaltungsrechtliche oder gerichtliche Rechtsbehelfe im Zusammenhang mit dem mutmaßlichen sexuellen Missbrauch von Kindern im Internet einzulegen; oder

v)

Anfragen der zuständigen Strafverfolgungs- und Justizbehörden in Übereinstimmung mit dem geltenden Recht zu beantworten und ihnen die zur Verhütung, Aufdeckung, Ermittlung oder Verfolgung von Straftaten gemäß der Richtlinie 2011/93/EU erforderlichen Daten zu übermitteln;

i)

die Daten nicht länger gespeichert werden, als es für den unter Buchstabe h genannten relevanten Zweck unbedingt erforderlich ist, und in keinem Fall länger als 12 Monate ab dem Datum der Ermittlung eines Verdachts auf sexuellen Missbrauchs von Kindern im Internet;

j)

jeder begründete und überprüfte Verdachtsfall auf sexuellen Missbrauch von Kindern im Internet unverzüglich den zuständigen nationalen Strafverfolgungsbehörden oder den Organisationen, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen, gemeldet wird.

(2)   Bis zum 3. April 2022 gilt die in Absatz 1 Buchstabe c genannte Bedingung nicht für Anbieter, die

a)

vor dem 2. August 2021 eine spezielle Technologie zu dem unter Absatz 1 Buchstabe a Ziffer i genannten Zweck eingesetzt haben, ohne ein Verfahren der vorherigen Konsultation in Bezug auf diese Technologie abgeschlossen zu haben;

b)

vor dem 3. September 2021 ein Verfahren der vorherigen Konsultation einleiten; und

c)

im Rahmen des Verfahrens der vorherigen Konsultation gemäß Buchstabe b ordnungsgemäß mit der zuständigen Aufsichtsbehörde zusammenarbeiten.

(3)   Bis zum 3. April 2022 gilt die in Absatz 1 Buchstabe d genannte Bedingung nicht für Anbieter, die

a)

vor dem 2. August 2021 eine der unter Absatz 1 Buchstabe d genannten Technologien eingesetzt haben, ohne ein Verfahren der vorherigen Konsultation in Bezug auf diese Technologie abgeschlossen zu haben;

b)

vor dem 3. September 2021 ein Verfahren gemäß Absatz 1 Buchstabe d einleiten; und

c)

im Rahmen des Verfahrens nach Absatz 1 Buchstabe d ordnungsgemäß mit der zuständigen Aufsichtsbehörde zusammenarbeiten.

Artikel 4

Leitlinien des Europäischen Datenschutzausschusses

Bis zum 3. September 2021 und gemäß Artikel 70 der Verordnung (EU) 2016/679 ersucht die Kommission den Europäischen Datenschutzausschuss, Leitlinien bereitzustellen, um die Aufsichtsbehörden bei der Beurteilung der Frage zu unterstützen, ob die in den Anwendungsbereich der vorliegenden Verordnung fallende Verarbeitung für bestehende und auch neue Technologien, die für den in Artikel 3 Absatz 1 Buchstabe a Ziffer i der vorliegenden Verordnung genannten Zweck eingesetzt wird, mit der Verordnung (EU) 2016/679 im Einklang steht.

Artikel 5

Wirksame gerichtliche Rechtsbehelfe

Gemäß Artikel 79 der Verordnung (EU) 2016/679 und Artikel 15 Absatz 2 der Richtlinie 2002/58/EG haben Nutzer das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Auffassung sind, dass ihre Rechte infolge der Verarbeitung personenbezogener und anderer Daten für die in Artikel 3 Absatz 1 Buchstabe a Ziffer i der vorliegenden Verordnung genannten Zwecke verletzt wurden.

Artikel 6

Aufsichtsbehörden

Die gemäß Kapitel VI Abschnitt 1 der Verordnung (EU) 2016/679 benannten Aufsichtsbehörden überwachen die in den Geltungsbereich der vorliegenden Verordnung fallende Verarbeitung im Rahmen ihrer in jenem Kapitel genannten Zuständigkeiten und Befugnisse.

Artikel 7

Öffentliche Liste mit Organisationen, die im öffentlichen Interesse gegen sexuellen Missbrauch von Kindern vorgehen

(1)   Bis zum 3. September 2021 teilen die Anbieter der Kommission eine Liste mit den Namen der Organisationen mit, die im öffentlichen Interesse gegen den sexuellen Missbrauch von Kindern vorgehen und denen sie den sexuellen Missbrauch von Kindern im Internet gemäß dieser Verordnung melden. Anbieter teilen der Kommission regelmäßig etwaige Änderungen dieser Liste mit.

(2)   Bis zum 3. Oktober 2021 veröffentlicht die Kommission eine Liste mit den Namen der Organisationen, die im öffentlichen Interesse gegen den sexuellen Missbrauch von Kindern vorgehen und die ihr gemäß Absatz 1 mitgeteilt wurden. Die Kommission hält diese öffentliche Liste auf dem neuesten Stand.

Artikel 8

Statistiken

(1)   Bis zum 3. August 2022 und danach jährlich machen die Mitgliedstaaten Berichte mit Statistiken zu folgenden Aspekten öffentlich zugänglich und legen sie der Kommission vor:

a)

die Gesamtzahl der Berichte über festgestellten sexuellen Missbrauch von Kindern im Internet, die den zuständigen nationalen Strafverfolgungsbehörden von Anbietern und Organisationen, die im öffentlichen Interesse gegen sexuellen Kindesmissbrauch vorgehen, übermittelt wurden, wobei zwischen der absoluten Zahl der Fälle und jenen Fällen, die mehrmals gemeldet werden, sowie nach der Art des Anbieters, in dessen Diensten sexueller Missbrauch von Kindern im Internet festgestellt wurde, unterschieden wird, sofern solche Daten vorhanden sind,

b)

die Zahl der Kinder, die im Rahmen von Maßnahmen gemäß Artikel 3 ermittelt wurden, aufgeschlüsselt nach Geschlecht,

c)

die Zahl der verurteilten Täter.

(2)   Die Kommission führt die in Absatz 1 des vorliegenden Artikels genannten Statistiken zusammen und berücksichtigt sie bei der Erstellung des Durchführungsberichts gemäß Artikel 9.

Artikel 9

Durchführungsbericht

(1)   Auf der Grundlage der gemäß Artikel 3 Absatz 1 Buchstabe g Ziffer vii vorgelegten Berichte und der gemäß Artikel 8 übermittelten Statistiken erstellt die Kommission bis zum 3. August 2023 einen Bericht über die Durchführung dieser Verordnung und legt ihn dem Europäischen Parlament und dem Rat vor.

(2)   Im Durchführungsbericht bewertet die Kommission insbesondere:

a)

die Bedingungen für die Verarbeitung personenbezogener und anderer Daten gemäß Artikel 3 Absatz 1 Buchstabe a Ziffer ii sowie Buchstaben b, c und d,

b)

die Verhältnismäßigkeit der in dieser Verordnung festgelegten Ausnahme, einschließlich einer Bewertung der von den Mitgliedstaaten gemäß Artikel 8 übermittelten Statistiken,

c)

Entwicklungen des technischen Fortschritts in Bezug auf die unter diese Verordnung fallenden Maßnahmen und das Ausmaß, in dem derartige Entwicklungen die Genauigkeit verbessern und die Zahl und das Verhältnis der Fehler (falsch positive Ergebnisse) verringern.

Artikel 10

Inkrafttreten und Geltung

Diese Verordnung tritt am dritten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Sie gilt bis zum 3. August 2024.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Geschehen zu Brüssel am 14. Juli 2021.

Im Namen des Europäischen Parlaments

Der Präsident

D. M. SASSOLI

Im Namen des Rates

Der Präsident

A. LOGAR


(1)  ABl. C 10 vom 11.1.2021, S. 63.

(2)  Standpunkt des Europäischen Parlaments vom 6. Juli 2021 (noch nicht im Amtsblatt veröffentlicht) und Beschluss des Rates vom 12. Juli 2021.

(3)  Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37).

(4)  Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

(5)  Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste (Rahmenrichtlinie) (ABl. L 108 vom 24.4.2002, S. 33).

(6)  Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation (ABl. L 321 vom 17.12.2018, S. 36).

(7)  Richtlinie 2011/93/EU des Europäischen Parlaments und des Rates vom 13. Dezember 2011 zur Bekämpfung des sexuellen Missbrauchs und der sexuellen Ausbeutung von Kindern sowie der Kinderpornografie sowie zur Ersetzung des Rahmenbeschlusses 2004/68/JI des Rates (ABl. L 335 vom 17.12.2011, S. 1).

(8)  Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39).