Dies ist keine Aufforderung zur Rechtsberatung, und Antworten in diesem Thema sollten nicht als Rechtsberatung verstanden werden.
Dies ist eine Aufforderung zu allgemeinem, unspezifischem Rat.
Das ist wirklich peinlich, als erstes Thema hier auf Meta zu fragen, aber ich habe keine vernünftigen Antworten gefunden. Ich habe gerade überlegt, wie ich illegale Inhalte aus meinen S3-Backups löschen kann, falls das jemals nötig sein sollte, und habe die unglückliche(?) Entscheidung getroffen, ChatGPT zu „konsultieren“, ob ich Gesetze kennen sollte, die damit zusammenhängen könnten… was mich auf diese Spur gebracht hat.
Hintergrund
Letztes Jahr hat der US-Kongress den REPORT Act verabschiedet, der Anforderungen für Anbieter auferlegt, Fälle von CSAM dem NCMEC (National Center for Missing and Exploited Children) CyberTipline zu melden und diese Inhalte bis zu einem Jahr lang aufzubewahren. Nach meinem begrenzten Verständnis gehören zu den „Anbietern“ alle, die ein Discourse-Forum hosten, da wir ein „Anbieter von elektronischen Kommunikationsdiensten oder ein Anbieter von Ferncomputingdiensten“ sind.
Soweit ich finden konnte, haben EU-Hoster eine Meldepflicht, aber keine Aufbewahrungspflicht wie die USA, abgesehen von einer Art Vorschlag (ich habe dieses PDF nicht vollständig gelesen, aber es wird zumindest auf Seite 8 erwähnt).
Ich habe einen Artikel gefunden, der erwähnt, dass das Vereinigte Königreich auch die Online Safety (CSEA Content Reporting) Regulations 2025 hat, die am 3. November 2025 in Kraft treten. Es scheint zu besagen, dass Anbieter auch verpflichtet sind, diese CSAM-Daten ein Jahr lang zu speichern. Ich glaube, ich habe auch gelesen, dass britische Anbieter verpflichtet sind, Bild-Hash-Erkennungssoftware zu verwenden, um bekannte CSAM-Bilder zusammen mit CSAM-URLs zu filtern, aber ich kann die Quelle nicht finden.
Gilt das für uns als Discourse-Community?
Wahrscheinlich? Ich habe nichts Gegenteiliges gefunden, aber korrigiert mich, wenn ich falsch liege.
Ich habe mich intensiv damit beschäftigt, einen selbst gehosteten AWS Discourse-Server für das kleine Unternehmen eines Familienmitglieds einzurichten (während ich nebenbei Cloud Engineering/DevOps/IaC lerne), und die Wahrscheinlichkeit, dass jemand CSAM in unserem Forum postet, ist winzig.
Es ist wahrscheinlicher, dass ich zweimal vom Blitz getroffen werde an einem sonnigen Tag.
Ich möchte jedoch die erforderliche Speicherinfrastruktur und einen Plan bereithalten, falls ein kranker, selbstzerstörerischer Einzelner Ärger machen möchte – eine Art Vorbereitung für den Notfall. Ich spreche von der Einrichtung eines dedizierten Speicher-Buckets, der Sicherung mit Verschlüsselung und/oder IAM-Rollen, der Führung von Zugriffsprotokollen und einem Verfahren zur sicheren Übertragung dieser CSAM-Daten aus Ihrem Upload-Bucket usw.
Fragen
Meine Fragen richten sich hauptsächlich an die US-Hoster, obwohl es so aussieht, als ob britische und EU-Hoster diese Antworten bald ebenfalls benötigen könnten.
- Haben Sie schon einmal CSAM-Inhalte in Ihren Communities behandelt?
- Was war Ihr Verfahren, um damit umzugehen? NSFW AI Triage → Meldung → Speicherung? Wann haben Sie (falls überhaupt) einen Anwalt kontaktiert? Wie sind Sie mit Datenbank- und Upload-Backups umgegangen, die diese Daten möglicherweise gespeichert haben oder nicht?
- Haben Sie den erforderlichen Speicher für die Aufbewahrung eingerichtet? Wenn ja, wie haben Sie die relevanten Vorschriften eingehalten?
- Dedizierter S3-Bucket? Verschlüsselung? Haben Sie ihn in einem anderen Cloud-Konto?
- Verwenden Sie proaktive Bild-Hash-Erkennungs-/Blockierungssoftware in Ihrer Infrastruktur, damit diese Inhalte gar nicht erst auf Ihren Server gelangen? Gibt es kostengünstige Lösungen?
Ich würde mich sehr über eine Art allgemeine, NICHT-RECHTLICHE Anleitung oder Referenzen freuen, da alle Informationen, die ich online finden kann, auf jemanden zugeschnitten zu sein scheinen, der in einem großen Unternehmen mit viel Geld und Erfahrung arbeitet, aber ich bin ziemlich sicher, dass diese Gesetze für alle gelten. Selbst wenn nie jemand diese Art von illegalen Inhalten in irgendein Discourse-Forum weltweit hochlädt, bin ich lieber vorsichtig als nachsichtig.