Høringssvar vedr. forordningsforslag om forebyggelse af udbredelsen af terrorrelateret onlineindhold
Som overordnet vurdering af forordningsforslaget om forebyggelse af udbredelsen af terrorrelateret onlineindhold (”forordningsforslaget”) skal IT-Politisk Forening indledningsvist anføre, at forordningsforslaget er meget problematisk, fordi det åbner op for en ret vidtgående censur af borgernes ytringer på internettet og en automatiseret overvågning af disse ytringer via de proaktive foranstaltninger. Denne systematiske overvågning af borgernes adfærd på sociale medier og andre hostingtjenester kan i sig selv skabe en ”chilling effect” med selvcensur.
Myndighederne får beføjelser til at udstede administrative påbud om fjernelse af indhold hos hostingtjenesteydere, og forordningens anvendelsesområde (”terrorrelateret indhold”) rækker langt udover indhold som opfordrer til udførelse af terrorhandlinger, og som kan udgøre en reel fare for den offentlige sikkerhed.
Derudover bliver private virksomheder eksplicit pålagt at forebygge udbredelsen af terrorrelateret indhold. Denne fremgangsmåde skaber en meget uheldig cocktail af lovgivningsmæssige og private initiativer mod terrorrelateret indhold, hvor borgerne reelt ikke kan klage over ”afgørelser” om at fjerne indhold, fordi disse afgørelser formelt træffes af private virksomheder uden for retsstatens gængse kontrolforanstaltninger af statens magtudøvelse. Den er i vidt omfang erstattet af privatiseret retshåndhævelse.
Kommissionen har efter vores opfattelse ikke godtgjort, at dette vidtgående forslag er nødvendigt. Tværtimod dokumenterer Kommissionen i konsekvensanalysen, at mængden af terroristisk indhold på internettet er faldende.
Disse overordnede bemærkninger uddybes i det følgende.
Manglende evidens for nødvendigheden af forslaget
Fristen for at gennemføre direktiv (EU) 2017/541 om bekæmpelse af terrorisme (”terrorisme-direktivet”) udløb den 8. september 2018. Kommissionen fremsætter således et helt nyt forslag om forebyggelse af udbredelsen af terrorrelateret onlineindhold på et tidspunkt, hvor der ikke er nogen erfaringer med effektiviteten af det tidligere vedtagne direktiv om bekæmpelse af terrorisme, og heller ingen erfaringer med det tidligere vedtagne direktivs indvirkning på borgernes grundlæggende rettigheder og frihedsrettigheder. Det skal Kommissionen først fremlægge en rapport om i 2021. Kommissionens hastværk med det aktuelle forordningsforslag er særligt problematisk, fordi forslaget kan få en særdeles alvorlig indvirkning på borgernes grundlæggende rettigheder, især ytrings- og informationsfriheden, via den automatiserede internetcensur som forslaget uundgåeligt vil medføre.
I en undersøgelse udført af Kommissionen var der kun to medlemsstater som rapporterede om en stigning i udbredelsen af terroristisk indhold online, mens 12 medlemsstater rapporterede et fald i udbredelsen (jf. side 83 i Kommissionens konsekvensanalyse). I en Eurobarometer undersøgelse havde 6% af respondenterne stødt på terroristisk materiale på internettet (engang, altså ikke regelmæssigt), men erfaringsmæssigt er 80% af sådanne identifikationer forkerte, så det reelle tal er snarere et par procent.
Bortset fra enkeltstående tilfælde er der ingen eksempler på at gerningspersoner til terrorhandlinger er blevet radikaliseret alene ved hjælp af materiale fra internettet. På side 137 i konsekvensanalysen nævnes det meget ukonkret, at materiale på internettet har hjulpet med at accelerere radikaliseringen, men det er ikke specielt overraskende, idet internettet for mange personer udgør den primære adgang til information i dag.
Kommissionens forordningsforslag opererer med en meget bred definition af terrorrelateret indhold (uddybes nedenfor), hvilket i ganske betydeligt omfang øger risikoen for at lovligt materiale, som ikke udgør nogen trussel mod den offentlige sikkerhed, fjernes. Der kan ikke i Kommissionens egen konsekvensanalyse findes evidens for at dette meget vidtgående skridt på nogen måde skulle være nødvendigt.
Et væsentligt element i forslaget er de proaktive foranstaltninger, som kan pålægges hostingtjenesteydere for at forebygge udbredelsen af terrorrelateret indhold. Disse foranstaltninger, som ikke er nærmere specificeret i forordningsforslaget, bygger i høj grad på en række frivillige initiativer med automatisk indholdsfiltrering hos en række større hostingtjenesteydere, specielt de store sociale medier. I forhold til effektiviteten af denne automatiske indholdsfiltrering (upload-filtre) henviser Kommissionen alene til virksomhedernes egne erfaringer, og der er ingen uafhængig vurdering af risikoen for overblokering, altså blokering af lovligt materiale som fejlagtigt identificeres som terroristisk materiale og fjernes af de automatiske indholdsfiltre.
Med et så spinkelt og snævert erfaringsgrundlag er det yderst betænkeligt at lovgive om brugen at automatisk indholdsfiltrering (proaktive foranstaltninger).
Hjemmelsgrundlag i traktaten (TEUF)
Kommissionen har fremsat forordningsforslaget med hjemmel i artikel 114 i Traktaten om Den Europæiske Unions Funktionsmåde (TEUF), der omhandler sikring af et velfungerende indre marked. Kommissionen mener, at misbrug af hostingtjenester til udbredelse af terrorrelateret indhold underminerer brugernes tillid og skader udbydernes forretningsmodeller.
Efter IT-Politisk Forenings opfattelse er det primære formål med forordningsforslaget at sikre et retligt samarbejde om bekæmpelse af terrorrelateret indhold på internettet og forebygge egentlige terrorhandlinger. Eksempelvis indebærer forordningsforslagets artikel 4 en gensidig anerkendelse af kompetente myndigheder, som kan beordre terrorrelateret fjernet inden for en time (dvs. en spansk kompetent myndighed kan beordre indhold fjernet fra en dansk hostingtjenesteyder uden at involvere de danske myndigheder). Artikel 15, stk. 3 giver i forlængelse heraf mulighed for at træffe tvangsforanstaltninger (herunder give give tvangsbøder) mod hostingtjenesteydere i andre medlemsstater. Det vil endvidere være naturligt at se forordningsforslaget som en udvidelse af artikel 21 i terrorisme-direktivet.
På den baggrund er det IT-Politisk Forenings opfattelse, at hjemmelsgrundlaget for retsakten burde findes i afsnit V, kapitel 4 i TEUF, for eksempel artikel 83 som er hjemmelsgrundlaget for terrorisme-direktivet. Det vil indebære, at Danmark ikke er omfattet af forslaget på grund af det danske retsforbehold.
Definition af terrorrelateret indhold
Artikel 21 i terrorisme-direktivet pålægger medlemsstaterne at træffe ”de nødvendige foranstaltninger for at sikre øjeblikkelig fjernelse af onlineindhold, der udgør en offentlig opfordring til at begå en terrorhandling.” Artikel 21 omfatter således indhold, som kan udgøre en umiddelbar trussel mod den offentlige sikkerhed eller statens sikkerhed.
Forordningsforslaget finder anvendelse på terrorrelateret indhold, som er langt bredere defineret end indhold der udbredes for at opfordre til en terrorhandling. Udover de direkte opfordringer til terrorhandlinger omfatter definitionen af terrorrelateret indhold i artikel 2, nr. 5 tillige forherligelse af terrorhandlinger, promovering af en terrorgruppes aktiviteter samt instruktioner i metoder eller teknikker til udførelse af terrorhandlinger. Litra c og d i definitionen kan omfatte indhold, som ikke har nogen direkte relation til udførelse eller medvirken til udførelse af voldelige handlinger.
Det nævnes i Kommissionens konsekvensanalyse (side 17), at visse terrorgrupper udbreder indhold som ikke er voldeligt (”softer approach”), antageligt med en hensigt om at promovere terrorgruppen. Kommissionens hensigt med den brede definition af terrorrelateret indhold synes at være, at alt indhold som produceres og udbredes af en terrorgruppe skal kunne fjernes fra internettet, næsten uanset hvilken sammenhæng dette indhold optræder i.
Forordningen kommer dermed til at omfatte indhold, som ikke på nogen måde opfordrer til terror og som det næppe er strafbart i sig selv at udbrede, men blot har en indirekte relation til en terrorgruppe eller mulige terrorhandlinger. Litra d om ”instruktioner i metoder eller teknikker til udførelse af terrorhandlinger” kan formentlig omfatte en stor mængde materiale om våbenbetjening eller bombefremstilling, som kan have almindelig interesse for en del borgere (eksempelvis personer med interesse for kemi) uden at de på nogen måde har til hensigt at begå terrorhandlinger. Terrorhandlinger kan begås på mange måder, og en del terrorangreb i Europa i de senere år har brugt ganske simple metoder til at opskræmme befolkningen, herunder lastbiler og køkkenknive.
Efter IT-Politisk Forenings opfattelse vil den brede definition af terrorrelateret indhold have meget alvorlige og stærkt negative konsekvenser for borgernes grundlæggende rettigheder. Den vil eksempelvis begrænse borgernes muligheder for af egen drift at søge information på internettet om terrorgrupper med henblik på at borgerne kan danne sig deres egen vurdering af disse terrorgrupper. I den forbindelse skal man være opmærksom på, at definitionen af en terrorgruppe ikke er entydig, og at politiske hensyn ofte spiller en betydelig rolle (et eksempel er den israelsk-palæstinensiske konflikt). Debat på sociale medier om den israelsk-palæstinensiske konflikt kan blive ramt af definitionen af terrorrelateret indhold, selv om ingen af deltagerne i debatten har hensigt om at begå terrorhandlinger eller promovere sådanne handlinger.
Den brede definition af terrorrelateret indhold kan også komme til at ramme journalistisk materiale om terrorgrupper og internationale væbnede konflikter. Det fremgår ganske vist af betragtning 9, at indhold som udbredes til uddannelsesmæssige, journalistiske eller forskningsmæssige formål bør beskyttes tilstrækkeligt, men det er ikke klart hvordan det skal sikres i praksis. Med de nuværende frivillige initiativer for at fjerne terroristisk indhold er der allerede flere eksempler på at journalistisk indhold eller indhold som indsamles af NGO'er til dokumentation af vold mod civile fejlagtigt bliver identificeret som terroristisk indhold og fjernet af automatiske indholdsfiltre. Disse problemer med overblokering vil blive meget værre, når proaktive foranstaltninger mod terrorrelateret indhold bliver lovpligtige.
IT-Politisk Forening vil anbefale, at forordningsforslaget ændres, så det alene omfatter indhold som direkte opfordrer til udførelse af terrorhandlinger. Det kunne være en definition svarende til løsning 1 i Kommissionens konsekvensanalyse hvor det materielle anvendelsesområde begrænses til indhold, som udbredes for direkte at opfordre til at begå en terrorhandling.
Hostingtjenesteydere omfattet af forordningsforslaget
Definitionen af hostingtjenesteydere i artikel 2, nr. 1 og betragtning 10 er meget bred. Den omfatter enhver informationssamfundstjeneste som tillader brugerne at lagre indhold og stille dette indhold til rådighed for tredjeparter (andre end tjenesteyderen og brugeren selv). Ifølge betragtning 10 omfatter det sociale medier, videostreamingplatforme, tjenester til deling af video, lyd og billeder, fildeling og cloudtjenester hvis indholdet gøres tilgængeligt for tredjepart, og websteder hvor brugerne kan kommentere og poste anmeldelser.
Det sidste betyder formentlig, at en privat blog, hvor brugerne kan skrive kommentarer til blogindlæg, er omfattet af definitionen, i hvert fald i det omfang at der er et kommercielt element såsom bannerreklamer (for at være omfattet af definitionen af en informationssamfundstjeneste). Derudover omfatter definitionen af hostingtjenesteydere formentlig en række mere eller mindre lukkede diskussionsfora på internettet, hvor brugerne kan stille indhold til rådighed for hinanden.
Det er ikke klart hvordan hostingtjenesteydere skal afgrænses i forhold til elektroniske kommunikationstjenester, som er omfattet af forordningsforslaget om respekt for privatliv og beskyttelse af personoplysninger i forbindelse med elektroniske kommunikation (KOM (2017) 10 endelig). Sådanne elektroniske kommunikationstjenester kan omfatte gruppe-chats med et endeligt antal brugere, hvor en bruger muligvis kan siges at stille indhold til rådighed for tredjeparter inden for rammerne af definitionen af hostingtjenesteydere i forordningsforslagets artikel 2, nr. 1. Afgrænsningen i forhold til elektroniske kommunikationstjenester er særligt vigtig, fordi de proaktive foranstaltninger (automatisk indholdsfiltrering) er i åbenlys konflikt med kravene om beskyttelse af privatlivet i elektronisk kommunikation.
Efter IT-Politisk Forenings opfattelse vil det være helt uacceptabelt, hvis elektroniske kommunikationstjenester skal udsættes for proaktive foranstaltninger og automatiske indholdsfiltre. Det vil være systematisk overvågning af privat kommunikation. Der er behov for en mere præcis og snæver definition af hostingtjenesteydere i artikel 2, nr. 1, hvor det blandt andet fremgår, at udbydere af elektroniske kommunikationstjenester ikke er omfattet.
Forordningsforslaget har ingen undtagelser for små virksomheder, hvilket et bevidst valg fra Kommissionens side. Begrundelsen synes at være, at terrorrelateret indhold i stigende grad flytter mod små platforme (konsekvensanalysen side 49), og Kommissionen mener derfor ikke, at det vil være ”passende” at undtage små hostingtjenesteydere. I denne vurdering synes Kommissionen dog på ingen måde at inddrage omfanget af den offentlige eksponering mod det uønskede terrorrelaterede materiale, som må antages at være relativt beskedent på små platforme.
Forordningsforslaget vil pålægge en uforholdsmæssig stor byrde for et potentielt meget stort antal små hostingtjenesteydere. Kommissionen anslår at alene i Europa vil 10500 hostingtjenesteydere være omfattet af fordordningsforslaget. Disse tjenesteydere er efter artikel 14 forpligtet til at have et døgnåbent kontaktpunkt, som inden for en time skal kunne reagere på et påbud fra en kompetent myndighed om at fjerne indhold. Derudover skal hostingtjenesteyderen have de fornødne juridiske kompetencer til at kunne reagere på indberetninger efter artikel 5, hvor det er hostingtjenesteyderen selv som skal tage stilling til, om det indberettede indhold skal fjernes. Hostingtjenesteyderen er også forpligtet til at have en klageprocedure, hvis brugerne mener at deres indhold uretmæssigt fjernes. Endelig er der risiko for at hostingtjenesteyderen kan blive pålagt proaktive foranstaltninger, hvilket kan medføre betydeligt udgifter samt tekniske og administrative byrder.
Efter IT-Politisk Forenings opfattelse er den brede definition af hostingtjenesteydere i forordningsforslaget udtryk for et totalt fravær af proportionalitet mellem det, som EU-landene realistisk kan opnå ved at fjerne uønsket terrorrelateret indhold (det bliver aldrig en fuldstændig fjernelse af dette indhold fra internettet), og de økonomiske og praktiske byrder som forordningsforslaget pålægger især små og mellemstore virksomheder.
En forventelig konsekvens af forslaget er at mange små informationssamfundstjenester med brugergenereret indhold vil lukke, eller at de vil outsource funktionaliteten med brugergenereret indhold (eksempelvis kommentarer fra brugerne til en artikel) til store virksomheder som Facebook eller Disqus. Det vil føre til en koncentration af kontrollen med brugergenereret indhold på internettet hos nogle få store aktører, som vil være i strid med internettets ånd om et sammenhængende netværk af decentrale tjenester.
IT-Politisk Forening vil anbefale, at der i forordningsforslaget indføres en passende undtagelse for små hostingtjenesteydere, eksempelvis baseret på definitionen af mikrovirksomheder og små virksomheder i Kommissionens henstilling 2003/361/EF.
Påbud om fjernelse (artikel 4)
Efter artikel 4 kan en kompetent myndighed udstede et påbud om at fjerne terrorrelateret indhold. Hostingtjenesteyderen skal fjerne indholdet, eller deaktivere adgangen til indholdet inden for EU, inden for en time efter modtagelse af påbuddet. Det gælder uanset hvornår påbuddet modtages.
Beføjelsen til at udstede påbud gælder i forhold til hostingtjenesteydere etableret eller repræsenteret i hele Den Europæiske Union. En dansk hostingtjenesteyder kan altså ikke alene modtage påbud fra de(n) danske kompetente myndighed(er), men også fra kompetente myndigheder i andre EU-lande. På den måde indebærer forordningsforslaget i praksis en gensidig anerkendelse mellem EU-medlemsstater af kompetente myndigheder der kan udstede påbud om fjernelse af indhold. Forordningsforslaget tillader endvidere disse kompetente myndigheder at arbejde ekstraterritorialt på samme måde som i forordningsforslaget om den europæiske editions- og sikringskendelse (KOM (2018) 225 endelig). Kun i forhold til beføjelserne efter artikel 6 (proaktive foranstaltninger), artikel 18 (sanktioner) og artikel 21 (overvågning) er jurisdiktionen begrænset til den medlemsstat, hvor hostingtjenesteyderen er etableret eller repræsenteret, jf. artikel 15, stk. 1. Den medlemsstat, som udsteder et påbud om fjernelse, kan dog uanset artikel 15, stk. 1 pålægge hostingtjenesteyderen i en anden medlemsstat tvangsbøder for manglende fjernelse, jf. artikel 15, stk. 3 og betragtning 34.
En konsekvens af det ekstraterritoriale element er at hvis hostingtjenesteyderen eller indholdsleverandøren (brugeren af tjenesten) vil gøre indsigelse mod et påbud skal denne indsigelse ske til domstolene i den medlemsstat, hvis kompetente myndigheder har udstedt påbuddet. Det vil gøre indsigelsesmuligheden uforholdsmæssig vanskelig, hvis påbuddet udstedes på tværs af landegrænser. Det gælder også for hostingtjenesteydere i Danmark, idet forordningsforslaget ikke er omfattet af det danske retsforbehold.
IT-Politisk Forening vil anbefale, at forordningsforslaget ændres, så påbud om fjernelse alene kan udstedes af de kompetente myndigheder i den medlemsstat, hvor hostingtjenesteyderen er etableret eller repræsenteret. Det vil være til gavn for retssikkerheden, fordi indsigelse mod påbuddet skal ske ved et domstolssystem, som i hvert fald hostingtjenesteyderen er bekendt med. En sådan ordning vil i sagens natur kræve et vist samarbejde mellem kompetente myndigheder, når de opdager terrorrelateret indhold på hostingtjenester i andre medlemsstater, men et sådant samarbejde mellem kompetente myndigheder er allerede forudsat i forordningsforslaget i forhold til proaktive foranstaltninger efter et påbud, jf. artikel 4, stk. 9.
Forordningsforslaget (artikel 17 og betragtning 37) stiller ingen krav til de kompetente myndigheder, udover at de i national lovgivning skal være tillagt de beføjelser som artikel 17, stk. 1 kræver. Den enkelte medlemsstat kan således give en politimyndighed, en anklagemyndighed eller anden administrativ myndighed beføjelser til at udstede påbud om fjernelse af indhold i hele Den Europæiske Union. Det er ikke acceptabelt for borgernes og virksomhedernes retssikkerhed, og i særdeleshed ikke når de kompetente myndigheder kan operere ekstraterritorialt. Hvis Folketinget af hensyn til retssikkerheden bestemmer, at påbud om fjernelse af indhold i Danmark alene kan udstedes af en domstol, kan denne beskyttelse af retssikkerheden i praksis blive undergravet af andre EU-medlemsstater, som tillader administrative myndigheder at udstede påbud. Alle kompetente myndigheder kan efter forordningen udstede påbud i alle EU-medlemsstater.
IT-Politisk Forening vil anbefale, at forordningsforslaget ændres, så der stilles krav til medlemsstaterne om at de kompetente myndigheder skal være uafhængige af medlemsstatens politi- og anklagemyndigheder, altså krav om at den kompetente myndighed skal være en domstol eller i det mindste en uafhængig administrativ myndighed.
Kravet om at hostingtjenesteyderen skal reagere inden for en time bør desuden lempes for små virksomheder, så de ikke pålægges urimelige administrative byrder. Definitionen af hostingtjenesteydere er så bred, at den kan omfatte hostingtjenester som drives af borgere med et meget beskedent kommercielt element.
Indberetninger (artikel 5)
Indberetning er en i princippet frivillig anmodning fra en kompetent myndighed eller et EU-organ til hostingtjenesteyderen om at vurdere, hvorvidt indholdet strider mod hostingtjenesteyderens egne vilkår og betingelser. Artikel 3, stk. 2 pålægger i den forbindelse hostingtjenesteyderen at indføre bestemmelser i sine vilkår og betingelser, som forebygger (altså ”forbyder”) udbredelsen af terrorrelateret indhold.
Den kompetente myndighed eller EU-organet skal i indberetningen til hostingtjenesteyderen redegøre for hvorfor indholdet er terrorrelateret indhold, som defineret af forordningsforslaget, jf. artikel 5, stk. 4. Hvis indberetningen kommer fra en kompetent myndighed i en medlemsstat, kunne den kompetente myndighed også udstede et påbud om fjernelse, da artikel 4 og 5 omfatter præcist det samme indhold (terrorrelateret indhold). Det er temmelig uklart, hvorfor en myndighed, som efter forordningsforslaget har beføjelser til at beordre indhold fjernet, i stedet skal fremsende en formelt frivillig opfordring til en privat virksomhed om selvstændigt at vurdere og eventuelt fjerne indholdet.
En mulig praktisk begrundelse kunne selvfølgelig være, at den kompetente myndighed foretrækker kun at udstede påbud, hvis der åbenlyst er tale om terrorrelateret indhold, mens der for indhold som ligger i en gråzone i stedet sendes en indberetning. Hvis hostingtjenesteyderen i sine vilkår og betingelser har en endnu bredere definition af uacceptabelt indhold på platformen end terrorrelateret indhold (som allerede er bredt defineret), vil disse gråzone-tilfælde antageligt også føre til fjernelse af indholdet. Forordningsforslagets betragtning 25 lægger kraftigt op til dette, idet det fremgår at hvis hostingtjenesteyderen ved en fejl har fjernet indholdet (eksempelvis hvis indholdet ikke er terrorrelateret), påvirker kravet om at genindsætte indholdet ikke hostingtjenesteydernes mulighed for at håndhæve deres vilkår og betingelser af andre årsager. Typisk vil disse private vilkår og betingelser give hostingtjenesteyderen mulighed for altid at fjerne brugernes indhold på hostingtjenesteyderens platform.
Ud fra almindelige retssikkerhedsmæssige og retsstatslige principper er denne ”valgmulighed” for den kompetente myndighed mellem påbud og indberetninger ikke acceptabel. Hvis den kompetente myndighed mener, at der er tale om terrorrelateret indhold omfattet af forordningsforslaget, må den kompetente myndighed tage det juridiske ansvar for at denne vurdering er korrekt og udstede et påbud. Det skal ikke være overladt til private virksomheder at tage stilling til de svære tilfælde, hvor indhold måske ligger i en gråzone mellem terrorrelateret indhold og lovligt indhold, som falder helt uden for forordningen. Sådanne afgørelser bør træffes af en kompetent myndighed, der som anført ovenfor bør være en uafhængig judiciel myndighed eller i det mindste uafhængig administrativ myndighed.
Muligheden for indberetninger bør alene eksistere for EU-institutioner som Europol (Internet Referral Unit), som ikke har beføjelser til at udstede påbud. IT-Politisk Forening vil dog anbefale, at beføjelserne til Europol om at sende indberetninger til hostingtjenesteydere (jf. artikel 4, stk. 1, litra m i Europol-forordningen (EU) 2016/794) tages op til revision i forbindelse med behandling af dette forordningsforslag. Når samtlige medlemsstater har udpeget kompetente myndigheder med beføjelser til at udstede påbud, er det vanskeligt at se behovet for at Europol skal have egentlige operative beføjelser i forhold til terrorrelateret indhold (som mulighed for at sende indberetninger). Hvis Europol opdager terrorrelateret indhold, vil det være mere hensigtsmæssigt, at Europol orienterer den kompetente myndighed i den medlemsstat hvor hostingtjenesteyderen er etableret eller repræsenteret, frem for at Europol fremsender en indberetning til hostingtjenesteyderens formelt frivillige ”afgørelse”.
Proaktive foranstaltninger (artikel 6)
Hvis det er passende, skal hostingtjenesteydere træffe effektive og proportionale proaktive foranstaltninger mod udbredelse af terrorrelateret indhold. Forordningsforslaget indeholder ikke en reel definition af hvad der forstås ved proaktive foranstaltninger, men artikel 6, stk. 2 antyder at disse foranstaltninger kan omfatte automatiserede værktøjer (automatisk indholdsfiltrering) med henblik på at (a) forhindre gen-upload af allerede identificeret terrorrelateret indhold og (b) spore, identificere og hurtigt fjerne terrorrelateret indhold, som ikke på forhånd er kendt.
En hostingtjenesteyder kan frivilligt beslutte at anvende proaktive foranstaltninger, men realistisk set vil kun store sociale medier (som Facebook, YouTube og Twitter) og store cloudtjenester (som Microsoft, Amazon og Google) gøre dette af egen drift.
I langt de fleste tilfælde vil proaktive foranstaltninger blive aktuelle, fordi den kompetente myndighed i den medlemsstat hvor hostingtjenesteyderen er etableret eller repræsenteret, pålægger hostingtjenesteyderen at overveje eller indføre proaktive foranstaltninger. Det kan ske efter blot et enkelt påbud om at fjerne terrorrelateret indhold, når dette påbud bliver endeligt. I første omgang er det op til hostingtjenesteyderen af vælge de konkrete proaktive foranstaltninger, og hostingtjenesteyderen skal indsende rapporter til den kompetente myndighed. Hvis den kompetente myndighed mener, at hostingtjenesteyderens indsats er utilstrækkelig, og hvis der ikke kan indgås en aftale med den kompetente myndighed, kan den kompetente myndighed efter tre måneder træffe afgørelse om at hostingtjenesteyderen skal tage yderligere nødvendige og proportionale foranstaltninger. Det må skulle forstås som at den kompetente myndighed kan pålægge hostingtjenesteyderen mere specifikke proaktive foranstaltninger (altså ”specifikke” efter den kompetente myndigheds egen afgørelse, idet forordningsforslaget ikke præcist definerer hvilke foranstaltninger der kan pålægges en hostingtjenesteyder).
Disse beføjelser til den kompetente myndighed er meget problematiske af flere årsager.
Hvis en hostingtjenesteyder har været udsat for gentagne tilfælde med upload af terrorrelateret indhold, som er fjernet efter påbud, kan det efter omstændighederne være rimeligt at pålægge denne hostingtjenesteyder at forhindre genupload af det konkrete terrorrelaterede indhold, som tidligere er fjernet. Det kan sikres ved at undersøge hashkoder af det uploadede indhold.
Selv denne proaktive foranstaltning er dog ikke uden problemer. Konteksten for det pågældende indhold kan have betydning for, om det er terrorrelateret indhold, der kan beordres fjernet (påbud efter artikel 4), eller lovligt indhold som falder uden for forordningen. Eksempelvis kan det samme billede af en bombesprængt bygning bruges til promovering af en terrororganisation eller forherligelse af en terrorhandling, og til kritik af denne terrororganisations vanvittige handlinger. Den sidstnævnte anvendelse må antages at være indhold der ikke kan beordres fjernet, jf. betragtning 9.
Proaktive foranstaltninger, som skal søge at identificere ukendt terrorrelateret indhold, vil have en meget stor risiko for overblokering, altså at lovligt indhold fejlagtigt identificeres som terrorrelateret og fjernes af automatiske algoritmer. Staten bør ikke kunne pålægge private virksomheder at indføre sådanne foranstaltninger, når staten ikke kan garantere, at disse foranstaltninger ikke har negativ indvirkning på borgernes grundlæggende rettigheder (ytrings- og informationsfriheden samt retten til privatliv og beskyttelse af personlige oplysninger). Med det nuværende evidensgrundlag for proaktive foranstaltninger, som primært er selektive erfaringer fra hostingtjenesteydere, som frivilligt har afprøvet disse værktøjer, samt virksomheder som udvikler og sælger sådanne værktøjer og har en åbenlys interesse i at promovere dem, kan staten ikke give disse garantier til borgerne.
Efter artikel 15, stk. 1 i e-handelsdirektivet 2000/31/EF kan medlemsstaterne ikke pålægge en informationssamfundstjeneste en generel overvågningsforpligtelse. Betragtning 19 i forordningsforslaget giver mulighed for at den kompetente myndighed kan afvige fra dette princip i forbindelse med en afgørelse om at hostingtjenesteyderen skal anvende proaktive foranstaltninger. Det er imidlertid på ingen måde klart hvornår proaktive foranstaltninger indebærer en generel overvågningsforpligtelse. I C-324/09 L'Oreal vs eBay fandt EU-Domstolen, at en operatør af en online-markedsplads kunne pålægges at forhindre lignende varemærkekrænkelser i fremtiden uden at det ville være en generel overvågningsforpligtelse, men at der ikke kunne gives pålæg om at forebygge alle former for fremtidige krænkelser af den intellektuelle ejendomsret på udbyderens hjemmeside.
Præmisserne i C-324/09 om varemærkekrænkelser kan selvfølgelig ikke uden videre overføres til proaktive foranstaltninger mod terrorrelateret indhold. Alligevel må det være rimeligt at antage, at i hvert fald et tilpas bredt formuleret krav om at forebygge udbredelsen af endnu ikke identificeret terrorrelateret indhold må indebære en generel overvågningsforpligtelse, fordi denne foranstaltning i praksis vil kræve overvågning af alt uploadet materiale fra samtlige brugere hos hostingtjenesteyderen. Den præcise grænse for hvad der er en generel overvågningsforpligtelse er dog mindre vigtig end i C-324/09, fordi forordningsforslaget som nævnt tillader den kompetente myndighed at afvige fra artikel 15, stk. 1 i e-handelsdirektivet. Det skal dog være klart, hvornår den kompetente myndighed gør brug af denne meget vidtgående beføjelse om at afvige fra artikel 15, stk. 1 i e-handelsdirektivet.
Generelle proaktive foranstaltninger rettet mod fremtidigt ukendt terrorrelateret indhold vil efter IT-Politisk Forenings opfattelse kunne udgøre egentlig forhåndscensur i forhold til grundlovens § 77. Det er som minimum et spørgsmål, som kræver nøje overvejelser af Justitsministeriet, og endnu en grund til de proaktive foranstaltninger i artikel 6 er særdeles problematiske.
Retsgarantier for borgerne
Påbud om at fjerne konkret terrorrelateret indhold kan indbringes for en domstol af hostingtjenesteyderen eller indholdsleverandøren (brugeren af tjenesten). Det sidste forudsætter dog, indholdsleverandøren får den fornødne information om årsagen til at indholdet er fjernet. Betragtning 26 tillader, at den kompetente myndighed i forbindelse med et pålæg efter artikel 4 kan beslutte, at indholdsleverandøren ikke skal underrettes. Denne mulighed bør begrænses, så den kun bruges helt undtagelsesvist af de kompetente myndigheder. I modsat fald kan borgerne risikere, at deres indhold fjernes af hostingtjenesteydere efter pålæg fra en kompetent myndighed, måske i en helt anden medlemsstat, uden at borgerne kan få reel information om årsagen.
IT-Politisk Forening forventer dog, at den primære mekanisme til at fjerne indhold efter forordningsforslagets bestemmelser vil være indberetninger efter artikel 5 og især de proaktive foranstaltninger efter artikel 6. På side 13 i konsekvensanalysen fremhæver Kommissionen automatisk detektering (altså proaktive foranstaltninger) som mere effektive til at fjerne indhold end indberetninger. Effektmålingen (”impact”) baserer sig her alene på hvor meget indhold der fjernes.
Forordningsforslaget sikrer på ingen måde borgerne tilstrækkelige retsgarantier i forhold til indberetninger og proaktive foranstaltninger. Denne opgave er næsten umulig per design, fordi ”afgørelsen” om at fjerne indholdet i det konkrete tilfælde træffes af en privat virksomhed med henvisning til virksomhedens vilkår og betingelser (ikke en afgørelse fra en myndighed, som kan ankes eller indbringes for en domstol), mens det er en EU-forordning som pålægger den private virksomhed at reagere på indberetninger fra myndigheder og indføre automatisk indholdsfiltrering.
Artikel 10 kræver på den ene side, at der skal være effektive klagemekanismer, men betragtning 25 fortæller samtidig hostingtjenesteyderen, hvordan disse ”effektive” klagemekanismer kan udvandes nærmest fuldstændigt. Selv hvis indholdet fejlagtigt er identificeret som terrorrelateret af enten en indberetning fra en myndighed eller et automatisk indholdsfilter, kan hostingtjenesteyderen som foreslået i betragtning 25 undgå besværet med at rette fejlen og genindsætte indholdet ved ganske enkelt at henvise til andre bestemmelser i de private vilkår og betingelser for brug af hostingtjenesten.
Hvis der bruges automatiske værktøjer, skal der efter artikel 9 være ”effektive og passende beskyttelsesforanstaltninger” som sikrer at beslutninger om at fjerne ulovligt indhold er korrekte og velfunderede. Der er desværre ikke krav om ubetinget manuel kontrol af alle automatiske beslutninger om at fjerne indhold, idet artikel 9, stk. 2 kun kræver ”menneskeligt tilsyn og kontrol, hvor det er relevant”.
IT-Politisk Forening vil anbefale, at der i artikel 9 altid stilles krav om en menneskelig vurdering, når en automatiseret algoritme har identificeret terrorrelateret indhold med henblik på fjernelse.