Italien

[IT] AGCOM verabschiedet Verordnungsentwurf zu Altersverifizierung

IRIS 2024-9:1/10

Francesco Di Giorgi

Autorità per le garanzie nelle comunicazioni (AGCOM)

Am 24. September 2024 billigte die italienische Kommunikationsbehörde (AGCOM) den Regulierungsrahmen für die technischen und verfahrenstechnischen Methoden zur Verifizierung des Alters von Nutzern (Altersbestätigung oder Altersverifizierung), wie in Artikel 13-bis des Gesetzesdekrets Nr. 123 vom 15. September 2023, umgewandelt mit Abänderungen durch Gesetz Nr. 159 vom 13. November 2023 (das sogenannte Decreto Caivano), dargelegt.

Konkret wurde mit Artikel 13-bis des Decreto Caivano (Bestimmungen zur Altersverifizierung für den Zugang zu pornografischen Websites) ein Verbot des Zugangs Minderjähriger zu pornografischen Inhalten in das italienische Recht aufgenommen, da solche Inhalte „die Achtung ihrer Würde untergraben und ihr körperliches und geistiges Wohlbefinden beeinträchtigen, was ein Problem der öffentlichen Gesundheit darstellt“. Diese Bestimmung verpflichtet Betreiber von Websites und Video-Sharing-Plattformen, welche pornografische Bilder und Videos in Italien verbreiten, das Alter ihrer Nutzer zu überprüfen, um zu verhindern, dass Minderjährige unter 18 Jahren auf solche Inhalte zugreifen.

Die AGCOM wurde beauftragt, die technischen und verfahrenstechnischen Methoden festzulegen, welche Betreiber von Websites und Video-Sharing-Plattformen anwenden müssen, um das Alter von Nutzern zu überprüfen, wobei ein angemessenes, dem Risiko entsprechendes Sicherheitsniveau zu gewährleisten ist und die Grundsätze der Datensparsamkeit in Bezug auf diesen Zweck zu beachten sind. Die endgültige Verordnung ist das Ergebnis einer öffentlichen Konsultation, die per Entschließung Nr. 61/24/CONS eingeleitet wurde und an der verschiedene Interessenträger wie andere Institutionen, Branchenverbände, Verbrauchergruppen und Video-Sharing-Plattformen beteiligt waren (siehe IRIS 2024-4:1/6). Zusätzlich gab die Datenschutzbehörde (Garante per la protezione dei dati personali) während und nach der öffentlichen Konsultationsphase eine positive Stellungnahme ab.

Das Regelwerk, das als technische Vorschrift gemäß Artikel 1 Absatz 1 Buchstabe f) der Richtlinie (EU) 2015/1535 gilt, wurde der Europäischen Kommission gemäß dem in der oben genannten Richtlinie vorgesehenen Verfahren unverzüglich mitgeteilt. Es wird daher erst nach Ablauf der 90-tägigen Stillhaltefrist, die am ab dem 16. Oktober 2024 beginnt, in Kraft treten; dabei müssen etwaigeBe merkungen, die die Kommission und andere Mitgliedstaaten während dieses Zeitraums vorbringen können, berücksichtigt werden.

Die in der Verordnung angenommenen technischen Spezifikationen skizzieren ein System zur Altersverifizierung, das auf dem Modell der „doppelten Anonymität“ beruht. Damit ist es Anbietern von Altersverifizierungsinstrumenten nicht gestattet, (1) zu wissen, für welchen Dienst die Altersverifizierung durchgeführt wird, (2) zu wissen, ob zwei Altersverifizierungen aus derselben Quelle stammen, oder (3) zu wissen, ob ein Nutzer das System bereits zuvor genutzt hat.

Das von der AGCOM entwickelte System sieht die Beteiligung zertifizierter unabhängiger Dritter vor, die das Alter in zwei logisch getrennten Schritten überprüfen: (1) Identifizierung und (2) Authentifizierung der identifizierten Person bei jeder Nutzung des regulierten Dienstes (das heißt Bereitstellung pornografischer Inhalte über eine Website oder Plattform).

Der Prozess der Altersverifizierung ist in drei verschiedene Phasen unterteilt (außer bei Systemen, die auf Anwendungen basieren, die auf dem Gerät des Benutzers installiert sind):

1. In der ersten Phase wird, zum Beispiel beim Zugriff auf eine Website über einen Browser, nach der Identifizierung ein „Altersnachweis“ ausgestellt, und zwar von verschiedenen Stellen, die vom Anbieter der Inhalte unabhängig sind und die den Internetnutzer kennen. Dies können Anbieter digitaler Identitäten oder Organisationen sein, die den Nutzer in einem anderen Zusammenhang identifiziert haben. Die Einrichtung, die den „Altersnachweis“ bereitstellt, weiß nicht, wie der Nutzer ihn verwenden wird, und muss von einer öffentlichen Stelle zertifiziert sein, um die Zuverlässigkeit des verwendeten Identifizierungssystems zu gewährleisten.

2. Die zweite Phase besteht in der Übermittlung des Altersnachweises, der ausschließlich an den Nutzer übertragen wird, der ihn dann der besuchten Website oder Plattform vorlegt. Der „Altersnachweis“ kann zum Beispiel direkt vom Nutzer über die Website des Bestätigers heruntergeladen und dann vom Nutzer an die besuchte Website oder Plattform gesendet werden.

3. Die letzte Phase schließlich betrifft die vom Nutzer besuchte Website oder Plattform, die den vorgelegten Altersnachweis analysiert und den Zugang zu den angeforderten Inhalten gewährt oder verweigert (Authentifizierung).

Bei Systemen, die auf Anwendungen beruhen, die auf dem Gerät des Nutzers installiert sind, stellt der Dritte, der die Altersverifizierung durchführt, eine App zur Verfügung, mit der der „Altersnachweis“ zertifiziert und generiert werden kann (zum Beispiel digitale Identitätsbrieftaschen oder digitales Identitätsmanagement). Der Nutzer kann sich dann authentifizieren und den Altersnachweis direkt auf der Website oder Plattform über die installierte App und den dafür vorgesehenen Dienst erbringen.

Die AGCOM hat einen technologieneutralen Ansatz gewählt, der den für die Implementierung von Altersüberprüfungssystemen verantwortlichen beaufsichtigten Stellen einen angemessenen Spielraum bei der Bewertung und Auswahl der spezifischen Verfahren lässt.

Die AGCOM hat darüber hinaus mehrere Grundsätze und Anforderungen festgelegt, die von den implementierten Systemen erfüllt werden müssen, darunter:

- Verhältnismäßigkeit: ein angemessenes Gleichgewicht zwischen den für die Altersverifizierung eingesetzten Mitteln und ihren Auswirkungen auf die Rechte des Einzelnen.

- Datenschutz (Vertraulichkeitsanforderung): Altersbestätigungssysteme müssen den Datenschutzgesetzen und den Grundsätzen der DSGVO entsprechen (Datensparsamkeit, Genauigkeit, Speicherdauerbegrenzung usw.); daher sind Systeme, die die Verarbeitung personenbezogener Daten wie Ausweisdokumente, Fotos oder Videos des Nutzers, Kreditkarteninformationen oder die Erstellung von Nutzerprofilen beinhalten, nicht zulässig.

- Sicherheit: Das Altersbestätigungssystem muss die Möglichkeit von Cyberangriffen berücksichtigen und ausreichende Sicherheitsmaßnahmen zur Risikominderung beinhalten (in Übereinstimmung mit der DSGVO und der vorgeschlagenen Cyberresilienzverordnung - CRA); es muss zudem Umgehungsversuche verhindern.

- Genauigkeit und Wirksamkeit: Das System muss Fehler bei der Altersbestimmung effektiv minimieren können. Eine Altersbestätigung muss bei jedem Zugriff auf eine Website oder Plattform mit pornografischen Inhalten durchgeführt werden. Die Gültigkeit einer Altersverifizierung endet, wenn der Nutzer den Dienst verlässt, die Sitzung endet, der Browser geschlossen wird oder das Betriebssystem in den Standby-Modus wechselt, auf jeden Fall aber nach 45 Minuten Inaktivität.

- Funktionalität, Barrierefreiheit, Benutzerfreundlichkeit und Nichtbeeinträchtigung des Zugangs zu Internet-Inhalten: Altersbestätigungssysteme müssen benutzerfreundlich und den Fähigkeiten und Eigenschaften von Minderjährigen angemessen sein.

- Inklusivität und Nichtdiskriminierung: Altersbestätigungssysteme sollten unbeabsichtigte Vorurteile und diskriminierende Ergebnisse für Nutzer vermeiden oder minimieren.

- Transparenz: Beaufsichtigte Stellen sollten gegenüber den Nutzern transparent sein, was die Systeme und die verarbeiteten Daten anbelangt, mit klaren, einfachen und umfassenden Erklärungen für Erwachsene und Minderjährige.

- Bildung und Information: Die AGCOM betont, wie wichtig es ist, Minderjährige, Eltern, Pädagogen und Jugendbetreuer über gute digitale Praktiken und die mit dem Internet verbundenen Risiken zu informieren und dafür zu sensibilisieren.

- Beschwerdemanagement: Diensteanbieter müssen mindestens einen Kanal für die Entgegennahme und unverzügliche Bearbeitung von Beschwerden über falsche Altersentscheidungen anbieten.

Schließlich hat die AGCOM angeordnet, dass die oben beschriebenen technischen Methoden neben pornografischem Material auch für andere Arten von Inhalten gelten sollen, die die körperliche, geistige oder sittliche Entwicklung von Minderjährigen beeinträchtigen könnten. Darüber hinaus plant die AGCOM die Einrichtung eines technischen Ausschusses, der die technologischen, rechtlichen und regulatorischen Entwicklungen bei Altersbestätigungssystemen beobachten und analysieren soll.