Am Montag veröffentlichte die britische Internetregulierungsbehörde Ofcom die ersten endgültigen Richtlinien für Online-Dienstanbieter, die dem Online Safety Act unterliegen. Damit beginnt die erste Compliance-Frist des weitläufigen Online-Schadensgesetzes, deren Inkrafttreten die Regulierungsbehörde in drei Monaten erwartet.
Ofcom stand unter dem Druck, bei der Umsetzung des Online-Sicherheitsregimes schneller vorzugehen, nachdem es im Sommer zu Unruhen gekommen war, von denen allgemein angenommen wurde, dass sie durch Aktivitäten in den sozialen Medien angeheizt wurden. Obwohl es lediglich den vom Gesetzgeber festgelegten Prozess befolgt, der es erfordert, über endgültige Compliance-Maßnahmen zu konsultieren und das Parlament diese genehmigen zu lassen.
„Diese Entscheidung zu den Illegal Harms Codes und Leitlinien stellt einen wichtigen Meilenstein dar, da Online-Anbieter nun gesetzlich verpflichtet sind, ihre Benutzer vor illegalem Schaden zu schützen“, schrieb Ofcom in einem Pressemitteilung.
„Anbieter sind nun verpflichtet, das Risiko rechtswidriger Schäden an ihren Diensten zu bewerten, wobei die Frist bis zum 16. März 2025 läuft. Vorbehaltlich der Kodizes, die den parlamentarischen Prozess abschließen, müssen Anbieter ab dem 17. März 2025 die festgelegten Sicherheitsmaßnahmen ergreifen in den Kodizes darlegen oder andere wirksame Maßnahmen ergreifen, um Benutzer vor illegalen Inhalten und Aktivitäten zu schützen.“
„Wir sind bereit, Durchsetzungsmaßnahmen zu ergreifen, wenn Anbieter nicht umgehend handeln, um die Risiken ihrer Dienste anzugehen“, heißt es weiter.
Laut Ofcom könnten mehr als 100.000 Technologiefirmen in den Geltungsbereich des Gesetzes fallen, um Benutzer vor einer Reihe illegaler Inhaltstypen zu schützen – in Bezug auf die über 130 „prioritären Straftaten“, die das Gesetz vorsieht, die Bereiche wie Terrorismus und Hass abdecken Sprache, sexueller Missbrauch und Ausbeutung von Kindern sowie Betrug und Finanzdelikte.
Bei Nichteinhaltung drohen Geldstrafen von bis zu 10 % des weltweiten Jahresumsatzes (oder bis zu 18 Millionen Pfund, je nachdem, welcher Betrag höher ist).
Die betroffenen Unternehmen reichen von Technologiegiganten bis hin zu „sehr kleinen“ Dienstleistern, wobei verschiedene Sektoren betroffen sind, darunter soziale Medien, Dating, Spiele, Suche und Pornografie.
„Die Pflichten des Gesetzes gelten für Anbieter von Diensten mit Bezug zum Vereinigten Königreich, unabhängig davon, wo auf der Welt sie ansässig sind. Die Zahl der Online-Dienste, die der Regulierung unterliegen, könnte sich auf über 100.000 belaufen und von einigen der größten Technologieunternehmen der Welt bis hin zu sehr kleinen Diensten reichen“, schrieb Ofcom.
Die Kodizes und Leitlinien gehen auf eine Konsultation zurück, bei der sich Ofcom mit Forschungsergebnissen befasst und die Antworten von Interessengruppen berücksichtigt, um diese Regeln mitzugestalten, da das Gesetz im vergangenen Herbst vom Parlament verabschiedet wurde und im Oktober 2023 in Kraft trat.
Die Regulierungsbehörde hat Maßnahmen für Benutzer-zu-Benutzer- und Suchdienste dargelegt, um die mit illegalen Inhalten verbundenen Risiken zu verringern. Leitlinien zu Risikobewertungen, Aufzeichnungen und Überprüfungen sind in zusammengefasst ein offizielles Dokument.
Ofcom hat ebenfalls veröffentlicht eine Zusammenfassung jedes Kapitel der heutigen Grundsatzerklärung abdecken.
Der Ansatz, den das britische Gesetz verfolgt, ist das Gegenteil von einer Einheitslösung – mit im Allgemeinen mehr Verpflichtungen für größere Dienste und Plattformen, bei denen mehrere Risiken auftreten können, im Vergleich zu kleineren Diensten mit weniger Risiken.
Allerdings werden auch kleinere, risikoärmere Dienste nicht von den Verpflichtungen befreit. Und tatsächlich gelten für alle Dienste viele Anforderungen, wie zum Beispiel ein Content-Moderationssystem, das eine schnelle Entfernung illegaler Inhalte ermöglicht; über einen Mechanismus verfügen, mit dem Benutzer Inhaltsbeschwerden einreichen können; klare und zugängliche Nutzungsbedingungen haben; Entfernen von Konten verbotener Organisationen; und viele andere. Allerdings handelt es sich bei vielen dieser pauschalen Maßnahmen um Funktionen, die zumindest die Mainstream-Dienste wahrscheinlich bereits bieten.
Man kann jedoch mit Fug und Recht behaupten, dass jedes Technologieunternehmen, das im Vereinigten Königreich Benutzer-zu-Benutzer- oder Suchdienste anbietet, zumindest eine Bewertung der Anwendung des Gesetzes auf sein Unternehmen vornehmen und ggf. betriebliche Änderungen vornehmen muss spezifische Bereiche regulatorischer Risiken.
Für größere Plattformen mit auf Engagement ausgerichteten Geschäftsmodellen – bei denen ihre Fähigkeit zur Monetarisierung von nutzergenerierten Inhalten davon abhängt, die Aufmerksamkeit der Menschen fest im Griff zu behalten – könnten größere betriebliche Änderungen erforderlich sein, um nicht gegen die gesetzlichen Pflichten zum Schutz der Nutzer vor unzähligen Schäden zu verstoßen .
Ein wichtiger Hebel, um Veränderungen voranzutreiben, ist das Gesetz, das unter bestimmten Umständen eine strafrechtliche Haftung für Führungskräfte einführt, was bedeutet, dass Technologie-CEOs für bestimmte Arten von Verstößen persönlich zur Verantwortung gezogen werden könnten.
Melanie Dawes, CEO von Ofcom, deutete am Montagmorgen in der Sendung „Today“ von BBC Radio 4 an, dass es im Jahr 2025 endlich zu erheblichen Veränderungen in der Funktionsweise großer Technologieplattformen kommen wird.
„Was wir heute ankündigen, ist tatsächlich ein großer Moment für die Online-Sicherheit, denn in drei Monaten müssen die Technologieunternehmen beginnen, geeignete Maßnahmen zu ergreifen“, sagte sie. „Was müssen sie ändern? Sie müssen die Funktionsweise der Algorithmen ändern. Sie müssen sie testen, damit illegale Inhalte wie Terror und Hass, intimer Bildmissbrauch und vieles mehr nicht in unseren Feeds erscheinen.“
„Und wenn dann etwas durch das Netz rutscht, müssen sie es ausschalten. Und für Kinder möchten wir, dass ihre Konten privat sind, damit sie nicht von Fremden kontaktiert werden können“, fügte sie hinzu.
Allerdings ist die Grundsatzerklärung von Ofcom erst der Anfang der Umsetzung der gesetzlichen Anforderungen, während die Regulierungsbehörde noch an weiteren Maßnahmen und Pflichten in Bezug auf andere Aspekte des Gesetzes arbeitet – einschließlich dessen, was Dawes als „umfassenderen Schutz für Kinder“ bezeichnete, wie sie sagte im neuen Jahr eingeführt werden soll.
Wesentlichere Änderungen im Zusammenhang mit der Sicherheit von Kindern an Plattformen, die von den Eltern lautstark erzwungen werden sollen, werden daher möglicherweise erst später im Jahr durchsetzen.
„Im Januar werden wir unsere Anforderungen an Alterskontrollen vorlegen, damit wir wissen, wo sich Kinder befinden“, sagte Dawes. „Und dann werden wir im April die Regeln für unseren umfassenderen Schutz für Kinder fertigstellen – und dabei wird es um Pornografie, Selbstmord- und Selbstverletzungsmaterial, gewalttätige Inhalte usw. gehen, einfach darum, dass Kinder nicht auf die Art und Weise weitergegeben werden, wie es mittlerweile der Fall ist.“ so normal, aber heute ist es wirklich schädlich.“
In dem zusammenfassenden Dokument von Ofcom wird außerdem darauf hingewiesen, dass weitere Maßnahmen erforderlich sein könnten, um mit technischen Entwicklungen wie dem Aufkommen generativer KI Schritt zu halten. Dies deutet darauf hin, dass das Unternehmen weiterhin Risiken prüfen und die Anforderungen an Dienstanbieter möglicherweise weiterentwickeln wird.
Die Regulierungsbehörde plant auch „Krisenreaktionsprotokolle für Notfälle“ wie die Unruhen im letzten Sommer; Vorschläge zur Sperrung der Konten derjenigen, die CSAM (Materialien zum sexuellen Missbrauch von Kindern) geteilt haben; und Anleitung für den Einsatz von KI zur Bekämpfung illegaler Schäden.