EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32024R0436
Commission Delegated Regulation (EU) 2024/436 of 20 October 2023 supplementing Regulation (EU) 2022/2065 of the European Parliament and of the Council, by laying down rules on the performance of audits for very large online platforms and very large online search engines
Delegierte Verordnung (EU) 2024/436 der Kommission vom 20. Oktober 2023 zur Ergänzung der Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates durch Festlegung von Vorschriften für die Durchführung von Prüfungen sehr großer Online-Plattformen und sehr großer Online-Suchmaschinen
Delegierte Verordnung (EU) 2024/436 der Kommission vom 20. Oktober 2023 zur Ergänzung der Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates durch Festlegung von Vorschriften für die Durchführung von Prüfungen sehr großer Online-Plattformen und sehr großer Online-Suchmaschinen
C/2023/6807
ABl. L, 2024/436, 2.2.2024, ELI: http://data.europa.eu/eli/reg_del/2024/436/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 02/02/2024
|
Amtsblatt |
DE Serie L |
|
2024/436 |
2.2.2024 |
DELEGIERTE VERORDNUNG (EU) 2024/436 DER KOMMISSION
vom 20. Oktober 2023
zur Ergänzung der Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates durch Festlegung von Vorschriften für die Durchführung von Prüfungen sehr großer Online-Plattformen und sehr großer Online-Suchmaschinen
DIE EUROPÄISCHE KOMMISSION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,
gestützt auf die Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste (Gesetz über digitale Dienste) und zur Änderung der Richtlinie 2000/31/EG (Gesetz über digitale Dienste) (1), insbesondere Artikel 37 Absatz 7,
in Erwägung nachstehender Gründe:
|
(1) |
Unabhängige Prüfungen sind ein wichtiges Instrument bei der Überwachung, ob Anbieter sehr großer Online-Plattformen oder sehr großer Online-Suchmaschinen ihren Verpflichtungen gemäß der Verordnung (EU) 2022/2065 nachkommen. Obgleich in der genannten Verordnung — nicht zuletzt durch eine verstärkte öffentliche Kontrolle von Transparenzberichten und andere Anforderungen an die Offenlegung von Daten — andere Instrumente für die Rechenschaftspflicht vorgesehen sind, kommt unabhängigen Prüfstellen eine besondere Rolle bei der frühzeitigen Bewertung der Einhaltung der Verordnung durch diese Anbieter zu. Die Schlussfolgerungen und Ergebnisse solcher unabhängigen Prüfungen und deren Empfehlungen sind aussagekräftig und können in die regulatorische Aufsicht einfließen. Gleichzeitig stellen unabhängige Prüfungen eine von mehreren Informations- und Analysequellen dar, die Regulierungsbehörden im Rahmen ihrer Aufsichts- und Durchsetzungsaufgaben nutzen können. |
|
(2) |
Um sicherzustellen, dass ab dem Geltungsbeginn der Verordnung (EU) 2022/2065 gemäß den Artikeln 92 und 93 der Verordnung unabhängige Prüfungen wirksam, effizient, rechtzeitig und vergleichbar durchgeführt werden, sollte die Kommission Vorschriften für die Durchführung von Prüfungen festlegen, insbesondere in Bezug auf die rechtlichen Verpflichtungen der geprüften Anbieter und die Verfahrensschritte, mit denen sichergestellt wird, dass die die Prüfungen durchführenden Stellen die in Artikel 37 Absatz 3 der Verordnung (EU) 2022/2065 festgelegten Bedingungen in Bezug auf Unabhängigkeit, Vermeidung von Interessenkonflikten, Fachwissen und Berufsethik erfüllen. |
|
(3) |
Um die angemessene Durchführung von Prüfungen mit hoher Fachkenntnis zu erleichtern und unbeabsichtigten Folgen auf dem Markt für Prüfdienste vorzugreifen, sollte klargestellt werden, dass gemäß Artikel 37 der Verordnung (EU) 2022/2065 durchgeführte Prüfungen von mehreren Prüfern durchgeführt werden können. Sollte es beispielsweise aufgrund des Bedarfs an spezifischen Fachkenntnissen für die Prüfung bestimmter Pflichten oder Verpflichtungszusagen erforderlich sein, wie etwa in Bezug auf die Konzeption und Funktionsweise algorithmischer Systeme, das Verständnis von Risiken für die Grundrechte oder die Verbreitung illegaler Inhalte, kann der geprüfte Anbieter verschiedene Prüfstellen oder ein Konsortium von Organisationen mit der Durchführung der Prüfung beauftragen. Prüfstellen können die erforderlichen Fachkenntnisse auch an Unterauftragnehmer vergeben, sofern sowohl die Prüfstelle als auch die Unterauftragnehmer die erforderlichen Bedingungen in Bezug auf Unabhängigkeit, Vermeidung von Interessenkonflikten, nachgewiesene Objektivität und Berufsethik erfüllen und die Bedingungen für technische Fachkenntnisse gemeinsam erfüllen. In diesen Fällen sollte der geprüfte Anbieter nach wie vor sicherstellen, dass seine Einhaltung aller Pflichten und Verpflichtungszusagen nach Artikel 37 Absatz 1 der Verordnung (EU) 2022/2065 mindestens einmal jährlich geprüft wird. |
|
(4) |
Stellungnahmen nach Artikel 37 Absatz 4 Buchstabe g der Verordnung (EU) 2022/2065 sollten von Prüfstellen mit einem hinreichenden Maß an Sicherheit erteilt werden. Um ein hinreichendes Maß an Sicherheit zu erreichen, sollte die Prüfstelle über ein hohes, wenngleich kein absolutes Vertrauen dahin gehend haben, dass keine Falschangaben wie Auslassungen, falsche Darstellungen oder Fehler vorliegen, die bei der Prüfung nicht ermittelt wurden. Zur Gewährleistung dieses Maßes an Sicherheit sollte die Prüfstelle unter anderem ausreichende Nachweise einholen und bei ihrer Bewertung geeignete Prüfungsmethoden anwenden. |
|
(5) |
Gemäß Artikel 37 Absatz 1 der Verordnung (EU) 2022/2065 sollten mindestens einmal jährlich unabhängige Prüfungen durchgeführt werden, die auf den jährlichen Zyklus der Risikobewertungen gemäß Artikel 34 der genannten Verordnung abgestimmt sind. In bestimmten Fällen können jedoch häufigere Prüfungen erforderlich sein. Die Häufigkeit zeitliche Abfolge der Prüfungen sollte gewährleisten, dass die Einhaltung der Verordnung (EU) 2022/2065 und der einschlägigen Verhaltenskodizes und Krisenprotokolle durch die geprüften Anbieter kontinuierlich überwacht wird. Der geprüfte Anbieter sollte sicherstellen, dass der Zeitraum für den eine bestimmte Prüfung zur Einhaltung der geprüften Pflichten und Verpflichtungszusagen durchgeführt wird, den Zeitraum ergänzt, der von der vorherigen Prüfung der Einhaltung dieser Pflichten und Verpflichtungszusagen durch den Anbieter abgedeckt wurde, und dass dieser spätestens beginnt, wenn der von der vorherigen Prüfung erfasste Zeitraum endet. Da die Schlussfolgerung einer Prüfung sowohl die Bewertung durch die Prüfstelle als auch die Erstellung eines Prüfberichts umfasst, sollten die geprüften Anbieter sicherstellen, dass die Dauer der Prüfung so angesetzt wird, dass Prüfungen mindestens einmal pro Jahr abgeschlossen werden können und die Übermittlung der Prüfberichte an die Kommission und den Koordinator für digitale Dienste gemäß Artikel 42 Absatz 4 der Verordnung (EU) 2022/2065 unverzüglich erfolgen kann. |
|
(6) |
Wenngleich geprüfte Anbieter unter keinen Umständen die Durchführung der Prüfung und ihre Schlussfolgerungen beeinträchtigen sollten, so sollten sie ihren Verpflichtungen gemäß Artikel 37 der Verordnung (EU) 2022/2065 nachkommen, unter anderem indem sie mit der Prüfstelle Vertragsbedingungen vereinbaren und vor der Auswahl einer Prüfstelle prüfen, ob die auszuwählende Stelle die Anforderungen nach Artikels 37 Absatz 3 der Verordnung (EU) 2022/2065 erfüllt. |
|
(7) |
Der geprüfte Anbieter sollte beispielsweise zuvor mit der Prüfstelle geschlossene Verträge oder Verträge zwischen der Prüfstelle und mit dem geprüften Anbieter verbundenen juristischen Personen bewerten. Zur Gewährleistung der Einhaltung der in Artikel 37 Absatz 3 der Verordnung (EU) 2022/2065 festgelegten Bedingungen sollte der geprüfte Anbieter zudem entsprechende Klauseln in den Verträgen mit Prüfstellen vorsehen. Besteht die Prüfstelle aus mehreren Stellen, so sollte sich der geprüfte Anbieter vergewissern, dass alle Stellen diese Bedingungen erfüllen, gegebenenfalls einschließlich etwaiger Unterauftragnehmer, die von der Prüfstelle damit beauftragt wurden, die Durchführung der Prüfung in irgendeiner Art und Weise zu unterstützen. Während jede Stelle, die die Prüfung durchführt, für sich genommen die Anforderungen an die Unabhängigkeit und die Vermeidung von Interessenkonflikten erfüllen sollte, sollten diese Stellen gemeinsam die Anforderungen in Bezug auf Zuständigkeit, Fachkenntnisse oder technische Mittel erfüllen, damit die verschiedenen Stellen die jeweiligen Teile der Prüfung durchführen und über die für die Durchführung der Prüfung erforderlichen Kapazitäten, Kompetenzen und Fachkenntnisse verfügen. Im Prüfbericht sollte angegeben werden, für welchen Teile der Prüfung die jeweilige Stelle zuständig ist. |
|
(8) |
Nach Artikel 37 Absatz 3 Buchstabe a Ziffer i der Verordnung (EU) 2022/2065 sollte der geprüfte Anbieter besondere Aufmerksamkeit darauf richten, dass die Prüfstelle dem geprüften Anbieter keine prüfungsfremden Leistungen erbringt, wenn er prüft, ob eine Prüfstelle die Anforderungen an die Unabhängigkeit und die Vermeidung von Interessenkonflikten erfüllt. Der geprüfte Anbieter sollte beispielsweise bewerten, ob Dienstleistungen erbracht wurden, z. B. solche, die mit einem System, einer Software oder einem Prozess verbunden sind, die für die geprüfte Pflicht oder Verpflichtungszusage relevant sind, wie Beratungsleistungen für Leistungsbewertungen, Governance- und Softwarebewertungen, Schulungsdienste, die Entwicklung oder Wartung von Systemen oder Vergabe von Unteraufträgen für die Moderation von Inhalten. Zu diesen Dienstleistungen gehören auch für den geprüften Anbieter erbrachte Dienstleistungen, die darin bestehen, zu internen Kontrollen zu beraten oder solche Kontrollen zu konzipieren oder zu internen Zwecken zu bewerten, ob der geprüfte Anbieter die Verordnung (EU) 2022/2065 oder Verhaltenskodizes und Krisenprotokolle einhält, auch wenn dies auf punktuelle Tests beschränkt ist, wie z. B. Tests Dritter zur Leistung von Systemen zur Moderation von Inhalten. Dies sollte Prüfungsorganisationen, die Abschlussprüfungen durchgeführt haben, nicht ausschließen. |
|
(9) |
Angesichts der Komplexität und der besonderen Art der Compliance-Prüfungen nach der Verordnung (EU) 2022/2065 ist die Fachkompetenz der Prüfstelle entscheidend für die Durchführung von Prüfungen mit einem hinreichenden Maß an Sicherheit und für die Ausübung des fachlichen Urteils und der kritischen Grundhaltung, die es dieser Stelle ermöglichen, z. B. zu wissen, welche Informationen sie benötigt, um die Prüfverfahren durchzuführen oder widersprüchliche Informationen infrage zu stellen. Der geprüfte Anbieter sollte daher prüfen, ob die Prüfstelle über diese Fachkenntnisse verfügt, darunter auch im Bereich Risikomanagement, sowohl in Bezug auf Prüfungsrisiken und den Gegenstand der Verordnung (EU) 2022/2065 und insbesondere der in Artikel 34 der Verordnung genannten systemisch-gesellschaftlichen Risiken. Darüber hinaus sollte der geprüfte Anbieter die technischen Kompetenzen und Kapazitäten der Prüfstelle im Hinblick auf den konkreten geprüften Dienst überprüfen, einschließlich ihrer Fachkompetenz, z. B. in Bezug auf die Funktionsweise und die Auswirkungen algorithmischer Systeme wie Empfehlungssysteme und anderer vom Anbieter gewarteter soziotechnischer Systeme. Die Prüfstelle sollte die Möglichkeit haben, die erforderlichen Fachkenntnisse und Kapazitäten an Unterauftragnehmer zu vergeben oder anderweitig zu beschaffen und einzusetzen, und der geprüfte Anbieter sollte überprüfen und sicherstellen, dass die Prüfstelle in der Lage ist, diese Fachkenntnisse und Kapazitäten rechtzeitig für die Durchführung der Prüfung zu erwerben. |
|
(10) |
Bei der Prüfung, ob die Prüfstellen die in Artikel 37 Absatz 3 der Verordnung (EU) 2022/2065 festgelegten Bedingungen erfüllen, sollte der geprüfte Anbieter einschlägige Belege bewerten, einschließlich gegebenenfalls der von der Prüfstelle ausgestellten Bescheinigungen, Erklärungen und Prüfberichte. Die entsprechenden Fachkenntnisse könnten beispielsweise durch praktische Erfahrungen bezüglich der Risikobewertung und des Risikomanagements sowie durch wissenschaftliche Tätigkeiten, wissenschaftliche Veröffentlichungen und Erfahrungen mit einschlägigen Prüfungen nachgewiesen werden. Prüfberichte sollten alle einschlägigen Belege enthalten, aus denen hervorgeht, dass die Prüfstelle die erforderlichen Voraussetzungen erfüllt. |
|
(11) |
Nach Artikel 37 Absatz 2 der Verordnung (EU) 2022/2065 hat der geprüfte Anbieter die erforderliche Zusammenarbeit und Unterstützung zu leisten, damit die Prüfstelle die Prüfung wirksam, effizient und rechtzeitig durchführen kann, ohne dabei in unabhängige Entscheidungen der Prüfstelle einzugreifen. Beispielsweise sollte der geprüfte Anbieter der Prüfstelle keine vertraglichen oder sonstigen Beschränkungen oder Anreize bei der Auswahl und Durchführung von Prüfverfahren, Methoden, der Erhebung und Verarbeitung von Informationen und Prüfbelegen, Analysen, Tests, Stellungnahmen oder der Ausarbeitung von Prüfungsschlussfolgerungen vorschreiben, sie diesbezüglich beraten oder anderweitig beeinflussen. |
|
(12) |
Zur Gewährleistung der erforderlichen Zusammenarbeit und Unterstützung während der Prüfung sollte der geprüfte Anbieter dafür sorgen, dass die Prüfstelle Zugang zu allen für die Durchführung der Prüfung erforderlichen Informationen erhält. Der geprüfte Anbieter sollte der Prüfstelle so früh wie möglich, in jedem Fall aber vor der Durchführung der Prüfverfahren alle erforderlichen Unterlagen und Erläuterungen übermitteln. Beispielsweise ist es Aufgabe der Compliance-Abteilung des geprüften Anbieters nach Artikel 41 Absatz 3 Buchstaben d und e der Verordnung (EU) 2022/2065, die Einhaltung aller geprüften Pflichten und Verpflichtungszusagen zu überwachen, was zur Ausarbeitung interner Kontrollen führen dürfte. Die Prüfstelle sollte daher Zugang zu allen Informationen im Zusammenhang mit solchen Kontrollen sowie zu allen anderen Informationen erhalten, die Aufschluss darüber geben, welche Strategie der geprüfte Anbieter verfolgt, um die Einhaltung zu gewährleisten. Insbesondere sollte der geprüfte Anbieter der Prüfstelle die Referenzwerte zur Verfügung stellen, auf die er sich stützt, um die Einhaltung der Verordnung (EU) 2022/2065 sicherzustellen, damit die Prüfstelle diesen Informationen bei den Prüfungskriterien Rechnung tragen kann. Darüber hinaus sollte die Prüfstelle Zugang zu allen Analysen erhalten, die der geprüfte Anbieter möglicherweise zu inhärenten Risiken und Kontrollrisiken durchgeführt hat. Der Anbieter sollte der Prüfstelle Informationen zur Verfügung stellen, die beitragen zum Verständnis des geprüften Dienstes, seiner Governance, der Kompetenzen der jeweiligen Teams und der Entscheidungsstrukturen, einschließlich seiner Compliance-Funktion, sowie ferner Darstellungen seiner informationstechnischen Systeme, Daten- und Datensatzstrukturen und des Zusammenspiels zwischen verschiedenen algorithmischen Systemen, die für die Prüfung relevant sind. |
|
(13) |
Der Prüfstelle sollte es möglich sein, jederzeit im Zuge der Durchführung der Prüfung alle sonstigen erforderlichen Informationen anzufordern. Der Zugang zu diesen Informationen sollte unverzüglich und so gewährt werden, dass die Durchführung der Prüfung in keiner Weise behindert wird. Dazu sollte auch der Zugang zu Daten, einschließlich personenbezogener Daten, aus verschiedenen Quellen wie Unterlagen, algorithmischen Systemen, Datenbanken oder Befragungen gehören. Der geprüfte Anbieter sollte der Prüfstelle auch Zugang zu Verfahren und Prozessen, IT-Systemen wie algorithmischen Systemen und Informationssystemen, einschließlich Testumgebungen, gewähren. Damit die Prüfstelle diese Systeme richtig inspizieren kann, sollte der geprüfte Anbieter alle erforderlichen Mittel zur Verfügung stellen, um diese Stelle beim Zugang zu den Systemen und deren Bewertung zu unterstützen, z. B. indem er kompetente Mitarbeiter für die Beantwortung von Fragen oder den Betrieb von Testumgebungen und Erläuterungen zu deren Funktionsweise zur Verfügung stellt oder den sonstigen erforderlichen Zugang zu Personal und Räumlichkeiten wie Gebäuden erleichtert. Der Zugang zu Verfahren und Prozessen könnte beispielsweise den Zugang zu Beschreibungen oder Unterlagen zum internen Entscheidungsprozess des geprüften Anbieters umfassen. Der Zugang zu einschlägigen Informationen kann auch weitere Maßnahmen des geprüften Anbieters erforderlich machen, um seiner Verpflichtung zur Zusammenarbeit und Unterstützung nachzukommen. So kann es beispielsweise erforderlich sein, dass der geprüfte Anbieter für Personalbefragungen gesicherte Einrichtungen zur Verfügung stellt. Soweit dies für die Durchführung der Prüfung erforderlich ist, sollten die geprüften Anbieter der Verpflichtung zur Zusammenarbeit und Unterstützung gegenüber der Prüfstelle nachkommen, indem sie unter anderem den Zugang zu relevanten Daten erleichtern, die im Zusammenhang mit ihren Tätigkeiten stehen und sich im Besitz dritter Vertragspartner befinden. Dies könnte beispielsweise zutreffen auf Ergebnisse von Maßnahmen zur Moderation von Inhalten, Schulungsmaterial oder Anleitungen, die von Drittunternehmern, die Inhalte moderieren, oder von Anbietern und Diensteanbietern für IT-Lösungen verwendet werden, einschließlich beispielsweise Algorithmen und Anwendungen, die in Empfehlungssystemen oder Werbesystemen des geprüften Anbieters eingesetzt werden. |
|
(14) |
Um eine wirkliche Transparenz der Prüfungsfeststellungen zu erleichtern und ein umfassendes und vergleichbares Format der Prüfberichte gemäß Artikel 37 Absatz 4 der Verordnung (EU) 2022/2065 und der Bericht über die Umsetzung der Prüfergebnisse gemäß Artikel 37 Absatz 6 der genannten Verordnung bereitzustellen, sollten in der vorliegenden Verordnung Berichtsvorlagen festgelegt und für jeden dieser Berichte eine Reihe von Anhängen vorgeschrieben werden. Die in dieser Verordnung festgelegten Vorlagen erfordern zwar eine umfassende Berichterstattung, sie sollten jedoch die Anforderungen an die Veröffentlichung von Berichten gemäß Artikel 42 Absätze 4 und 5 der Verordnung (EU) 2022/2065 unberührt lassen. |
|
(15) |
Um sicherzustellen, dass die Prüfstelle vom geprüften Anbieter ohne Einflussnahme in die Durchführung der Prüfung jede erforderliche Unterstützung erhält und dass die Prüfstelle alle Bedingungen für die Vorbereitung der Prüfung erfüllt und den Prüfbericht rechtzeitig und in der erforderlichen Qualität vorlegt, um ein hinreichendes Maß an Sicherheit zu erreichen, sollten in bestimmten Vorschriften die Verfahren für die Vorbereitung der Prüfung festgelegt werden. Die Aufgaben und Zuständigkeiten des geprüften Anbieters und der Prüfstelle, einschließlich aller Unterauftragnehmer oder Partnerorganisationen und des für die Durchführung der Prüfung zuständigen Personals, sollten in einer schriftlichen Vereinbarung, auch in Form von Vertragsbedingungen, festgelegt werden. In der schriftlichen Vereinbarung sollten auch die geprüften Pflichten und Verpflichtungszusagen, die Zuweisung von Mitteln sowie die Regeln für die Interaktion und die Kontaktstellen für die Prüfstelle und den geprüften Anbieter festgelegt werden. Alle Belege und Verträge sollten dem Prüfbericht beigefügt werden, auch wenn die Unterlagen in Form eines Prüfungsauftrags oder anderer Vertragsbedingungen vorgelegt werden. |
|
(16) |
Um einen umfassenden Überblick zu geben und die Rechenschaftspflichten der geprüften Anbieter zu erleichtern, sollte der Prüfbericht eine Schlussfolgerung der Prüfstelle dahin gehend enthalten, ob der geprüfte Anbieter die einzelnen geprüften Pflichten oder Verpflichtungszusagen einhält. Jede Prüfungsschlussfolgerung sollte sich auf ein hinreichendes Maß an Sicherheit stützen und entweder als „positiv“, „positiv mit Anmerkungen“ oder „negativ“ eingestuft werden, um die Stellungnahme angemessen zu untermauern. Schlussfolgerungen, die als „positiv mit Anmerkungen“ eingestuft wurden, sollten nicht die Bewertung der Einhaltung an sich betreffen. Diese Anmerkungen könnten sich beispielsweise beziehen auf die Vorlage von Informationen durch den Anbieter auf Ersuchen der Prüfstelle oder auf Verbesserungen bei der Wartung oder bei den vom geprüften Anbieter eingeführten Kontrollen, oder auf weitere vom Anbieter geplante Risikominderungspläne und Verbesserungen verweisen. Ist die Prüfstelle der Auffassung, dass der geprüfte Anbieter nach den von ihm gemeldeten Referenzwerten eine geprüfte Pflicht oder Verpflichtungszusage einhält, es aber für notwendig hält, Anmerkungen zu diesen Referenzwerte aufzunehmen, sollte die Prüfungsschlussfolgerung „positiv mit Anmerkungen“ sein, da dem Anbieter über solche Anmerkungen nützliche Informationen zu den Änderungen übermittelt werden könnten, die er auf der Grundlage des Wissens und der Fachkenntnisse der Prüfstelle an seinen Referenzwerten vornehmen könnte, sowie Informationen aus externen Quellen. Die Anmerkungen könnten sich beispielsweise stützen auf Orientierungshilfen der Kommission, unter anderem auf Leitlinien der Kommission nach Artikel 35 Absatz 3 der Verordnung (EU) 2022/2065, und auf andere einschlägige Leitlinien der Kommission in Bezug auf die Anwendung der genannten Verordnung, auf Berichte des in Artikel 35 Absatz 2 dieser Verordnung genannten Europäischen Gremiums für digitale Dienste, auf Durchsetzungsmaßnahmen, von der Kommission aufgrund der genannten Verordnung erlassene Beschlüsse, die einschlägige Rechtsprechung, insbesondere des Gerichtshofs der Europäischen Union, öffentliche Konsultationen oder einschlägige maßgebliche Quellen. |
|
(17) |
Um eine öffentliche und regulatorische Aufsicht zu ermöglichen, sollte die Prüfstelle im Falle einer für einen begrenzten Zeitraum gültigen „negativ“ erteilten Prüfungsschlussfolgerung, sofern sie der Auffassung ist, dass der geprüfte Anbieter die Pflicht oder Verpflichtungszusage für den Rest des geprüften Zeitraums erfüllt hat, eine entsprechende Anmerkung im Prüfbericht für jede betroffene Pflicht oder Verpflichtungszusage machen. Der Bericht sollte die Bemerkungen der Prüfstelle zu allen Informationen enthalten, die ihr der geprüfte Anbieter in Bezug auf bestehende oder geplante Pläne zur Behebung der Nichteinhaltung zur Verfügung gestellt hat. |
|
(18) |
Angesichts der unterschiedlichen Art der in Kapitel III der Verordnung (EU) 2022/2065 festgelegten rechtlichen Pflichten und der freiwilligen Verpflichtungszusagen, die im Rahmen von Verhaltenskodizes und Krisenprotokollen nach den Artikeln 45, 46 und 48 der genannten Verordnung eingegangen wurden, sollte die Prüfstelle Stellungnahmen zur Einhaltung des genannten Kapitels sowie der einzelnen Kodizes und Protokolle abgeben. |
|
(19) |
Um die Prüfung mit einem hinreichenden Maß an Sicherheit durchführen zu können und die geeigneten Methoden für die Prüfverfahren zu konzipieren, die das Prüfrisiko auf ein niedriges Niveau senken, sollte ein wesentlicher Bestandteil der Methoden für die Durchführung der Prüfung die Schätzung der Prüfrisiken sein, d. h. des Risikos, dass die Prüfstelle eine unangemessene Stellungnahme oder Schlussfolgerung abgibt. Daher sollte die Prüfstellen das Prüfrisiko direkt zu Beginn der Prüfung bewerten, bevor sie die genaue Methode konzipiert und Prüfverfahren durchführt. Die Analyse des Prüfrisikos ist erforderlich, damit die Prüfstelle die genauen Methoden für die Prüfung auswählen und bestimmen kann, wie umfassend die Prüfverfahren sein müssen, um ein hinreichendes Maß an Sicherheit für die Stellungnahme zu erreichen. Die Prüfstelle sollte die Analyse des Prüfrisikos zur Bewertung der Einhaltung jeder geprüften Pflicht oder Verpflichtungszusage durchführen, wobei inhärente Risiken, Kontrollrisiken und Aufdeckungsrisiken zu berücksichtigen sind. |
|
(20) |
Um die Prüfrisiken korrekt bewerten zu können, sollten bei der Analyse des Prüfrisikos die Art des geprüften Dienstes, insbesondere sein Risikoprofil, sowie der Umfang und die Komplexität der Prüfung berücksichtigt werden. So sind beispielsweise Online-Plattformen, die den Abschluss von Fernabsatzverträgen zwischen Verbrauchern ermöglichen, wahrscheinlich mit anderen inhärenten Risiken konfrontiert als Video-Sharing-Plattformen oder Suchmaschinen. Darüber hinaus sollten der gesellschaftliche und wirtschaftliche Kontext, in dem der geprüfte Dienst erbracht wird, berücksichtigt werden, z. B. im Hinblick auf typische Nutzergruppen wie Minderjährige oder häufig auftretende Verhaltensweisen wie eine hohe Inzidenz des unauthentischen Verhaltens und koordinierter Verhaltensweisen bei Desinformationskampagnen. Der zu berücksichtigende gesellschaftliche und wirtschaftliche Kontext sollte auch die Wahrscheinlichkeit und — gesondert — die Schwere einer Exposition gegenüber Krisensituationen und unerwarteten Ereignissen gemäß der Verordnung (EU) 2022/2065 umfassen. |
|
(21) |
Um sicherzustellen, dass die Analyse des Prüfrisikos die Entwicklung der Risiken, denen der Dienst unterliegt, widerspiegelt, sollte sich die Analyse des Prüfrisikos auch auf Informationen aus früheren Prüfungen stützen, denen der geprüfte Anbieter unterzogen wurde, und auf Informationen aus Quellen wie Auditberichten anderer Anbieter mit ähnlichem Risikoprofil aufbauen. Damit gewährleistet ist, dass die Analyse des Prüfrisikos umfassend auf dem neuesten Stand der Erkenntnisse über Risiken ist, die in ähnlichen Kontexten wie dem Tätigkeitsbereich des geprüften Anbieters vorliegen, und auf verlässlichen Quellen von unmittelbarer Bedeutung für die Anwendung der Verordnung (EU) 2022/2065 beruht, sollte sich die Analyse auch auf Informationen aus Berichten des Europäischen Gremiums für digitale Dienste oder gegebenenfalls auf Leitlinien der Kommission stützen. Zu den weiteren Informationen könnten auch Informationen aus Prüfberichten gehören, die gemäß Artikel 42 Absatz 4 der Verordnung (EU) 2022/2065 von anderen Anbietern sehr großer Online-Plattformen oder sehr großer Online-Suchmaschinen veröffentlicht wurden. |
|
(22) |
Die Prüfstellen sollten ohne Einflussnahme des geprüften Anbieters die Prüfungsmethoden ausarbeiten, die zur Bewertung der Einhaltung der geprüften Pflichten und Verpflichtungszusagen verwendet werden. Die Prüfkriterien sollten sich auf die vom geprüften Anbieter vorgelegten Informationen zu den Referenzwerten stützen, die dieser für die Überwachung der Einhaltung verwendet. Bei der Methode können auch weitere vom geprüften Anbieter bereitgestellte Informationen berücksichtigt werden, beispielsweise die Analyse inhärenter Risiken, sofern diese durch den geprüften Anbieter durchgeführt wurde, beispielsweise durch Maßnahmen, die vom Compliance-Beauftragten oder vom Leitungsorgan nach Artikel 41 der Verordnung (EU) 2022/2065 entwickelt wurden, oder durch andere Maßnahmen, die in die Funktionsweise des Dienstes für die in Artikel 34 der genannten Verordnung genannten Bewertungen des Systemrisikos eingebettet sind. |
|
(23) |
Um sicherzustellen, dass die Prüfungsmethoden geeignet sind, ein hinreichendes Maß an Sicherheit der Stellungnahmen zu erreichen, sollte die Wahl der Methode für die Prüfverfahren den Besonderheiten der geprüften Pflicht oder Verpflichtungszusage Rechnung tragen und beispielsweise an die Art der geprüften Pflicht als Mittelverpflichtung oder eine Verpflichtungszusage zur Vorlage Ergebnissen angepasst werden, die der Anbieter erreichen muss, um die Anforderungen zu erfüllen. Beispielsweise könnten Prüfverfahren zur Bewertung der Einhaltung der Transparenzberichtspflichten gemäß Artikel 15 der Verordnung (EU) 2022/2065 es der Prüfstelle ermöglichen, festzustellen, ob die Berichte innerhalb der in der genannten Verordnung vorgeschriebenen Fristen und Formate veröffentlicht wurden, ob sie vollständig waren und ob die gemeldeten Daten korrekt, repräsentativ und — z. B. nach Kategorien illegaler Inhalte, zu denen Maßnahmen ergriffen wurden — adäquat aufgeschlüsselt waren. |
|
(24) |
Die Wahl der Methode sollte auch davon abhängen, ob für die Konformitätsbewertung kontextbezogene Auslegungen durch die Prüfstelle erforderlich sind. Die Wahl der Methoden sollte auch an die inhärenten Risiken angepasst werden, die mit den bei der Erbringung des Diensts durchgeführten Tätigkeiten verbunden sind, und an den Kontext, in dem die Dienstleistung erbracht wird, z. B. ob die Dienstleistung den Verkauf von Waren umfasst, die rechtswidrig sein könnten, oder ob die Dienstleistung in erster Linie von Minderjährigen genutzt wird. Beispielsweise sollten Methoden zur Bewertung der Einhaltung der Verpflichtungen zur Einführung geeigneter und verhältnismäßiger Maßnahmen für ein hohes Maß an Privatsphäre, Sicherheit und Schutz von Minderjährigen nach Artikel 28 Absatz 1 der Verordnung (EU) 2022/2065 es der Prüfstelle ermöglichen, hinreichend zu verstehen, wie der geprüfte Dienst von Minderjährigen genutzt wird und welche Risiken für ihre Privatsphäre, ihre Sicherheit und ihren Schutz entstehen können und was eine angemessene und verhältnismäßige Maßnahme im spezifischen Kontext des geprüften Dienstes und seiner Nutzung durch Minderjährige wäre. Zu diesem Zweck sollten die Prüfstellen die Bewertung in geeignete Schritte aufteilen. Sie sollten die Prüfrisiken anhand des Risikoprofils des geprüften Anbieters bewerten, und dabei insbesondere berücksichtigen, ob dessen Dienste für Minderjährige verfügbar sind bzw. überwiegend von Minderjährigen genutzt werden. Sie sollten beispielsweise bewerten, ob der Anbieter Instrumente zur Altersfeststellung eingeführt hat, ob diese wirksam sind und wie der geprüfte Anbieter ihre Wirksamkeit bewertet und überwacht. Sie sollten bewerten, ob der geprüfte Anbieter geeignete Maßnahmen ergriffen hat, um eine feindselige Nutzung seines Dienstes und Verhaltensmuster aufzudecken, die darauf abzielen, Minderjährigen Schaden zufügen oder diese zu schädigen drohen. |
|
(25) |
Die Wahl der Methoden sollte an die Kontrollrisiken im Zusammenhang mit den von dem geprüften Anbieter ergriffenen Compliance-Maßnahmen sowie an die Aufdeckungsrisiken angepasst werden, darunter insbesondere das Risiko, dass Falschangaben in den Informationen, die der Anbieter der Prüfstelle zur Verfügung stellt, nicht aufgedeckt werden. Wenn beispielsweise eine geprüfte Pflicht die Prüfung eines algorithmischen Systems auf der Grundlage der Personalisierung für die einzelnen Nutzer des geprüften Dienstes und der wiederkehrenden Aktualisierungen des algorithmischen Systems beruht, wie die Offenlegungspflichten für Empfehlungssysteme gemäß Artikel 27 der Verordnung (EU) 2022/2065, sollte die Wahl der Methode es der Prüfstelle ermöglichen, geeignete Tests zur Minimierung der Aufdeckungsrisiken zu entwickeln. Möchte die Prüfstelle wiederum bewerten, ob bei der Konzeption, dem Betrieb und der Nutzung von auf großen Sprachmodellen beruhenden Anwendungen, wie vom geprüften Anbieter eingesetzten Chat-Funktionen oder Empfehlungssystemen, alle relevanten Risiken gemindert wurden, sollte die Prüfstelle zunächst die Angemessenheit der vom Anbieter eingeführten Kontrollen bewerten. Bei der Wahl der Tests sollte die Robustheit dieser internen Kontrollen berücksichtigt werden. Insbesondere, aber nicht beschränkt auf die Fälle, in denen die internen Kontrollen nicht streng, nicht vollständig oder nicht schlüssig sind, um zu beurteilen, ob die Vorschriften eingehalten werden, wenn die Gesamtheit der Nutzer des geprüften Dienstes berücksichtigt wird, sollten die Prüfverfahren auf einer Kombination von Methoden beruhen. Die Methoden könnten beispielsweise vertiefte Analyseverfahren umfassen, wie die Analyse der Interaktionen zwischen allen an den Empfehlungssystemen beteiligten algorithmischen Systemen und damit zusammenhängenden Regeln der Entscheidungsfindung und -verfahren zur Festlegung der wichtigsten Parameter dieser Empfehlungssysteme, sowie die Auswertung digitaler Aufzeichnungen und Protokolle. Die Methoden sollten auch Tests des Systems umfassen, z. B. Tests in simulierten Umgebungen. |
|
(26) |
Um sicherzustellen, dass die Methode relevant und an neue, während der Durchführung der Prüfung festgestellte Erkenntnisse angepasst ist, sollte sich die Wahl der Methoden nach dem fachlichen Urteil der Prüfstelle richten und an diese neuen Feststellungen angepasst werden, insbesondere wenn die Prüfstelle begründete Zweifel an den vom geprüften Anbieter vorgelegten Informationen hat. Die kritische Grundhaltung der Prüfstelle sollte sich auf ihre Fachkenntnisse sowie auf andere Informationsquellen stützen, die für die Anwendung der Verordnung (EU) 2022/2065 von besonderer Bedeutung sind, wie Berichte des Europäischen Gremiums für digitale Dienste, Anleitungen der Kommission, Prüfberichte aus Verhaltenskodizes oder Krisenprotokollen gemäß den Artikeln 45, 46 und 48 der genannten Verordnung oder Informationen, die sich während der Durchführung der Prüfung ergeben, auch wenn sie mit Ereignissen, insbesondere Krisensituationen, zusammenhängen, die zusätzliche Maßnahmen des geprüften Anbieters erforderlich machen, um die Einhaltung bestimmter geprüfter Pflichten oder Verpflichtungszusagen sicherzustellen. |
|
(27) |
Um sicherzustellen, dass während der Prüfung ausreichend Prüfbelege erhoben werden, sollten die Prüfstellen sowohl die internen Kontrollen des geprüften Anbieters bewerten als auch vertiefte Prüfverfahren durchführen, um die Einhaltung der Vorschriften durch den geprüften Anbieter zu bewerten. In bestimmten Fällen sollte die Prüfstelle auch Tests durchführen. |
|
(28) |
Angesichts der Komplexität der von den Anbietern von Online-Plattformen verwendeten algorithmischen Systeme und ihrer wichtigen Rolle bei der Einhaltung mehrerer in der Verordnung (EU) 2022/2065 festgelegter Verpflichtungen sollte ein besonderes Augenmerk auf die Wahl notwendiger und geeigneter Methoden für die Prüfung algorithmischer Systeme gelegt werden. Dies gilt sowohl dann, wenn algorithmische Systeme Teil der vom geprüften Anbieter eingeführten Kontrollen sind, als auch, wenn sie selbst Gegenstand der geprüften Pflichten oder Verpflichtungszusagen sind, z. B. in Bezug auf Empfehlungssysteme, z. B. nach den Artikeln 27, 34, 35 und 38 der Verordnung (EU) 2022/2065, oder Werbesysteme, wie nach den Artikeln 26, 28, 34, 35 und 39 der genannten Verordnung, Systeme zur Moderation von Inhalten, beispielsweise nach den Artikeln 14, 15, 34 und 35 der genannten Verordnung, oder jedes andere algorithmische System, das zu den in Artikel 34 der genannten Verordnung genannten Risiken beiträgt. |
|
(29) |
Es sollte auch eine Kombination vertiefter Analyseverfahren verwendet werden, gegebenenfalls auch auf der Grundlage von Beobachtungen der Verfahren und Tätigkeiten des geprüften Anbieters bei der Konzeption, der Entwicklung, dem Betrieb, dem Test und der Überwachung algorithmischer Systeme oder der Auswertung der von den Systemen erstellten digitalen Aufzeichnungen und Protokolle. Die Methoden sollten an die Besonderheiten algorithmischer Systeme, einschließlich ihrer Governance, der Interaktion zwischen verschiedenen algorithmischen Systemen und den zugehörigen Datenmanagementsystemen, sowie an die diesen algorithmischen Systemen zugrunde liegenden Technologien wie generative Modelle oder andere Klassifizierungs-, Auswahl- oder Suchalgorithmen angepasst werden. |
|
(30) |
Darüber hinaus sollten die Prüfungsmethoden für algorithmische Systeme Tests umfassen, beispielsweise um Informationen zu erheben, die der geprüfte Anbieter zuvor nicht dokumentiert hat, oder um Ergebnisse von Genauigkeitsindikatoren, Sandbox-Tests, Tests in simulierten Umgebungen oder Tests in Produktionssystemen unabhängig nachzuvollziehen und zu bewerten, unter anderem durch Datenextraktion oder Angriffstests. |
|
(31) |
Da eine hohe Qualität der Prüfbelege eine notwendige Voraussetzung dafür ist, dass eine Prüfstelle eine Stellungnahme mit einem hinreichenden Maß an Sicherheit erteilt, sollten die Informationen, die die Prüfstelle als Prüfbelege zu verwenden beabsichtigt, angemessen und ausreichend sein, um Prüfrisiken zu verringern. Darüber hinaus sollten die Prüfbelege nach dem fachlichen Urteil und der kritischen Grundhaltung der Prüfstelle und, bei Bedarf, unter Berücksichtigung alternativer Informationsquellen zuverlässig sein. Zu einem fachlichen Urteil und einer kritischen Grundhaltung sollten auch eine kritische Bewertung von Prüfbelegen und möglichen Falschangaben gehören. Diese Qualitätsstandards sollten für alle Prüfbelege gelten, unabhängig davon, ob sie vom geprüften Anbieter vorgelegt oder aus anderen Quellen erhoben wurden. |
|
(32) |
Die Prüfstelle sollte eine Reihe von Informationsquellen berücksichtigen, unter anderem Befragungen von Mitarbeitern oder Auftragnehmern des geprüften Anbieters und von Compliance-Beauftragten, Ingenieuren, Datenwissenschaftlern, Softwarearchitekten oder Mitgliedern interner Auditteams. Sie könnten auch eine technische Dokumentation über die Konzeption, Umsetzung, Erprobung und Überwachung eines einschlägigen Systems, einschließlich Datenqualität und -verwaltung und Aktualisierungen und Versionen des Systems, sowie andere Unterlagen über die Unternehmensführungs- und Entscheidungsverfahren des geprüften Anbieters umfassen, auch im Hinblick auf Prioritäten, Ressourcen, die Zuweisung von Aufgaben und Zuständigkeiten oder die Fachkenntnisse einschlägiger Mitarbeiter. |
|
(33) |
Um Effizienz und Verhältnismäßigkeit bei der Durchführung der Prüfung zu gewährleisten, sollte es der Prüfstelle gestattet sein, unter gebührender Berücksichtigung der Erreichung einer repräsentativen Stichprobe Daten und Informationen zu erheben, damit die Prüfstelle eine Stellungnahme mit einem hinreichenden Maß an Sicherheit erteilen kann. Um Transparenz und Reproduzierbarkeit der Prüfverfahren zu gewährleisten, sollte die Prüfstelle die Wahl des Umfangs und der Methode der Stichprobe im Prüfbericht begründen. So sollten beispielsweise der Umfang und die Methode der Stichprobe unter der Berücksichtigung gewählt werden, dass der Zweck der Prüfung der konkreten geprüften Pflicht oder Verpflichtungszusage wirksam erfüllt und das Risiko minimiert werden, dass die Schlussfolgerung aus der Prüfung der spezifischen Stichprobe von der Schlussfolgerung abweicht, die sich ergeben würde, wenn die Gesamtheit der Belege in das Prüfverfahren einbezogen wird. Umfang und Methode der Stichprobe sollten unter Berücksichtigung des gesamten Prüfungsumfangs sowie unter Berücksichtigung zu dieser Zeit erfolgter interner oder externer Änderungen des geprüften Diensts ausgewählt werden. Sie sollten auch an die Besonderheiten algorithmischer Systeme angepasst werden, so auch in Bezug auf die Personalisierung durch Profiling. Bei diesen Überlegungen sollte die Prüfstelle beispielsweise eine angemessene Stichprobe aus den verschiedenen Kohorten oder Teilungen, die sich aus Personalisierungstechniken ergeben können, ziehen oder die Fehlermarge ermitteln und begründen, warum sie auf einem annehmbaren Niveau liegt. |
|
(34) |
Angesichts der Neuartigkeit einiger Bestimmungen der Verordnung (EU) 2022/2065 ist es erforderlich, methodische Grundsätze festzulegen, einschließlich Prüfungsfragen, sowie weitere Orientierungshilfen für die Wahl der Prüfungsmethoden und Prüfbelege zur Bewertung der Einhaltung dieser Bestimmungen, insbesondere zur Bewertung der Einhaltung der Artikel 34, 35 und 36 der Verordnung (EU) 2022/2065 hinsichtlich der Durchführung von Risikobewertungen und der Annahme von Maßnahmen zur Risikominderung durch geprüfte Anbieter und der Anwendung von Pflichten in Bezug auf eine Krisenreaktion. |
|
(35) |
Da Prüfstellen auch die Einhaltung von Artikel 37 der Verordnung (EU) 2022/2065 durch den geprüften Anbieter bewerten sollten, gilt es auch, die genaue Prüfung näher zu spezifizieren, anhand derer die Einhaltung bewertet werden sollte, insbesondere um Interessenkonflikte der Prüfstelle zu vermeiden. |
|
(36) |
Angesichts des freiwilligen Charakters der Verhaltenskodizes und Krisenprotokolle gilt es, spezifische Bedingungen für die Prüfung der Einhaltung der Artikel 45, 46 und 48 der Verordnung (EU) 2022/2065 festzulegen, um insbesondere sicherzustellen, dass die Prüfstellen über alle Informationen verfügen, die für die Durchführung von Prüfungen im Zusammenhang mit den Verpflichtungen im Rahmen der einzelnen Verhaltenskodizes und Krisenprotokolle erforderlich sind — |
HAT FOLGENDE VERORDNUNG ERLASSEN:
ABSCHNITT I
Allgemeine Bestimmungen
Artikel 1
Gegenstand
In dieser Verordnung werden Vorschriften für die Durchführung von Prüfungen nach Artikel 37 der Verordnung (EU) 2022/2065 in Bezug auf Folgendes festgelegt:
|
a) |
die Verfahrensschritte, mit denen sichergestellt wird, dass die auszuwählende Prüfstelle die in Artikel 37 Absatz 3 der Verordnung (EU) 2022/2065 festgelegten Bedingungen erfüllt; |
|
b) |
die Verfahrensschritte für die Zusammenarbeit und die Unterstützung durch den geprüften Anbieter bei der Durchführung von Prüfungen, einschließlich des Zugangs zu einschlägigen Informationen im Hinblick auf die Erlangung von Prüfbelegen; |
|
c) |
die Festlegung und Auswahl der Prüfungsmethoden; |
|
d) |
die Vorlagen für den Prüfbericht und den Bericht über die Umsetzung der Prüfergebnisse. |
Artikel 2
Begriffsbestimmungen
Für die Zwecke dieser Verordnung bezeichnet der Ausdruck
|
1. |
„Prüfstelle“ eine einzelne Organisation, ein Konsortium oder eine sonstige Kombination von Organisationen, einschließlich Unterauftragnehmern, die der geprüfte Anbieter mit der Durchführung einer unabhängigen Prüfung nach Artikel 37 der Verordnung (EU) 2022/2065 beauftragt hat; |
|
2. |
„geprüfter Dienst“ eine sehr große Online-Plattform oder eine sehr große Online-Suchmaschine, die nach Artikel 33 der Verordnung (EU) 2022/2065 benannt wurde; |
|
3. |
„geprüfter Anbieter“ den Anbieter eines geprüften Dienstes, der unabhängigen Prüfungen nach Artikel 37 Absatz 1 der genannten Verordnung unterliegt; |
|
4. |
„geprüfte Pflicht oder Verpflichtungszusage“ eine Pflicht oder Verpflichtungszusage nach Artikel 37 Absatz 1 der Verordnung (EU) 2022/2065, die Gegenstand der Prüfung ist; |
|
5. |
„Prüfkriterien“ die Kriterien, anhand deren die Prüfstelle die Einhaltung jeder geprüften Pflicht oder Verpflichtungszusage bewertet; |
|
6. |
„Prüfbelege“ sämtliche Informationen, die von einer Prüfstelle zur Untermauerung der Prüfungsfeststellungen und -schlussfolgerungen und zur Abgabe einer Stellungnahme verwendet werden, einschließlich Daten aus Dokumenten, Datenbanken oder IT-Systemen, Befragungen oder Tests; |
|
7. |
„Falschangabe“ eine vorsätzliche oder unbeabsichtigte Auslassung, eine falsche Darstellung oder einen Fehler in den Erklärungen oder Daten, die der geprüfte Anbieter der Prüfstelle mitgeteilt oder übermittelt hat, oder in der Testumgebung, die der geprüfte Anbieter der Prüfstelle bereitgestellt hat; |
|
8. |
„Prüfrisiko“ das Risiko, dass die Prüfstelle eine unzutreffende Stellungnahme abgibt oder zu einer unzutreffenden Schlussfolgerung hinsichtlich der Einhaltung einer geprüften Pflicht oder Verpflichtungszusage durch den geprüften Anbieter gelangt, wobei die Aufdeckungsrisiken, inhärenten Risiken und Kontrollrisiken in Bezug auf die geprüfte Pflicht oder Verpflichtungszusage zu berücksichtigen sind; |
|
9. |
„Aufdeckungsrisiko“ das Risiko, dass die Prüfstelle eine Falschangabe nicht entdeckt, die für die Bewertung der Einhaltung einer geprüften Pflicht oder Verpflichtungszusage durch den geprüften Anbieter relevant ist; |
|
10. |
„inhärentes Risiko“ das Risiko der Nichteinhaltung, das untrennbar mit der Art, der Konzeption, der Tätigkeit und der Nutzung des geprüften Dienstes sowie dem Kontext, in dem dieser betrieben wird, zusammenhängt, sowie das Risiko der Nichteinhaltung im Zusammenhang mit der Art der geprüften Pflicht oder Verpflichtungszusage; |
|
11. |
„Kontrollrisiko“ das Risiko, dass Falschangaben nicht rechtzeitig im Rahmen interner Kontrollen des geprüften Anbieters verhindert, entdeckt und korrigiert werden; |
|
12. |
„Wesentlichkeitsschwelle“ den Schwellenwert, über dem Abweichungen oder Falschangaben des geprüften Anbieters — einzeln oder in aggregierter Form — die Prüfungsfeststellungen und -schlussfolgerungen sowie die Stellungnahmen ernsthaft beeinträchtigen; |
|
13. |
„hinreichendes Maß an Sicherheit“ ein hohes, aber nicht absolutes Maß an Sicherheit, das es der Prüfstelle ermöglicht, in ihrer Stellungnahme und ihren Prüfungsschlussfolgerungen auf der Grundlage ausreichender und geeigneter Nachweise festzustellen, ob der geprüfte Anbieter die geprüften Pflichten oder Verpflichtungszusagen einhält; |
|
14. |
„interne Kontrolle“ sämtliche Maßnahmen, Verfahren und Tests, die vom geprüften Anbieter, einschließlich seiner Compliance-Beauftragten und seines Leitungsorgans, konzipiert, umgesetzt und aufrechterhalten werden, um die Einhaltung der geprüften Pflicht oder Verpflichtungszusage durch den geprüften Anbieter zu überwachen und sicherzustellen; |
|
15. |
„zugelassener Forscher“ eine Forscherin bzw. einen Forscher, die bzw. der nach Artikel 40 Absatz 8 der Verordnung (EU) 2022/2065 mit diesem Status anerkannt wurde; |
|
16. |
„Prüfverfahren“ jede Technik, die die Prüfstelle bei der Durchführung der Prüfung anwendet, einschließlich der Erhebung von Daten, der Wahl und Anwendung von Methoden wie Tests und vertiefte Analyseverfahren, sowie alle anderen Maßnahmen, die zur Erhebung und Analyse von Informationen zur Sammlung von Prüfbelegen und zur Formulierung von Prüfungsschlussfolgerungen ergriffen werden, einschließlich der Erstellung einer Stellungnahme oder des Prüfberichts; |
|
17. |
„Test“ eine Prüfungsmethode, die aus Messungen, Experimenten oder anderen Kontrollen, darunter Kontrollen algorithmischer Systeme, besteht und durch die die Prüfstelle die Einhaltung der geprüften Pflicht oder Verpflichtung durch den geprüften Anbieter bewertet; |
|
18. |
„vertieftes Analyseverfahren“ eine Prüfungsmethode, die von der Prüfstelle verwendet wird, um Informationen zu bewerten, aus denen auf Prüfrisiken oder die Einhaltung der geprüften Pflicht oder Verpflichtungszusage geschlossen werden kann. |
Artikel 3
Prüfungsumfang und hinreichendes Maß an Sicherheit
(1) Die Prüfung wird in einer Weise und für einen Zeitraum durchgeführt, die es der Prüfstelle ermöglichen, die Einhaltung aller geprüften Pflichten und Verpflichtungszusagen durch den geprüften Anbieter mit einem hinreichenden Maß an Sicherheit zu bewerten.
(2) Die Prüfung erstreckt sich auf den Zeitraum, der unmittelbar nach dem von der vorherigen Prüfung abgedeckten Zeitraum beginnt und an einem Tag endet, der es der Prüfstelle ermöglicht, die Prüfung innerhalb des in Artikel 37 Absatz 1 der Verordnung (EU) 2022/2065 vorgeschriebenen Zeitrahmens durchzuführen, unter anderem indem sie ihre Bewertung gemäß Absatz 1 auf der Grundlage der in diesem Zeitraum gesammelten Nachweise und durchgeführten Prüfverfahren abgibt und den Prüfbericht gemäß Artikel 37 Absatz 4 der genannten Verordnung fertigstellt und dem geprüften Anbieter vorlegt.
(3) Wurde kein früheres Audit durchgeführt, deckt die Prüfung den Zeitraum ab, der vier Monate nach der Mitteilung gemäß Artikel 33 Absatz 6 Unterabsatz 1 der Verordnung (EU) 2022/2065 beginnt, und die Dauer der Prüfung muss es ermöglichen, dass der Prüfbericht gemäß Artikel 6 Absatz 1 spätestens innerhalb eines Jahres nach Beginn des geprüften Zeitraums abgeschlossen werden kann.
ABSCHNITT II
Bedingungen für die Durchführung der Prüfung
Artikel 4
Auswahl der Prüfstelle
(1) Vor der Auswahl einer Prüfstelle im Hinblick auf die Durchführung der Prüfung prüft der geprüfte Anbieter, ob die auszuwählende Stelle die Anforderungen nach Artikels 37 Absatz 3 der Verordnung (EU) 2022/2065 erfüllt.
(2) Besteht die auszuwählende Prüfstelle aus mehr als einer juristischen Person oder beabsichtigt sie, einen oder mehrere Unterauftragnehmer in Anspruch zu nehmen, so prüft der geprüfte Anbieter, ob alle diese juristischen Personen oder Unterauftragnehmer
|
a) |
für sich genommen die Anforderungen nach Artikel 37 Absatz 3 Buchstaben a und c der Verordnung (EU) 2022/2065 erfüllen; |
|
b) |
gemeinsam die Anforderungen nach Artikel 37 Absatz 3 Buchstabe b der Verordnung (EU) 2022/2065 erfüllen; |
Artikel 5
Zusammenarbeit zwischen dem geprüften Anbieter und der Prüfstelle und gegenseitige Unterstützung
(1) Zu einem mit der Prüfstelle vereinbarten Zeitpunkt und in jedem Fall vor Durchführung eines Prüfverfahrens übermittelt der geprüfte Anbieter der ausgewählten Prüfstelle mindestens die folgenden Informationen:
|
a) |
eine Beschreibung der internen Kontrollen, die in Bezug auf jede geprüfte Pflicht und Verpflichtungszusage eingeführt wurden, einschließlich zugehöriger Indikatoren und aller aktuellen und historischen Messungen, sowie Referenzwerte, die der geprüfte Anbieter verwendet hat, um die Einhaltung der geprüften Pflichten und Verpflichtungszusagen zu bestätigen oder zu überwachen, sowie alle Belege; |
|
b) |
seine vorläufige Analyse der inhärenten Risiken und Kontrollrisiken, sofern der geprüfte Anbieter eine solche Analyse durchgeführt hat, sowie alle Belege; |
|
c) |
Informationen über relevante Entscheidungsstrukturen, Zuständigkeiten der Abteilungen des Anbieters, einschließlich der Compliance-Funktion gemäß Artikel 41 der Verordnung (EU) 2022/2065, relevante IT-Systeme, Datenquellen, -verarbeitung und -speicherung sowie Erläuterungen zu relevanten algorithmischen Systemen und deren Interaktionen. |
(2) Der geprüfte Anbieter gewährt der Prüfstelle unverzüglich Zugang zu allen für die Durchführung der Prüfung erforderlichen Daten, einschließlich personenbezogener Daten, Unterlagen, Informationen über Verfahren und Prozesse, sowie zu den IT-Systemen, den Testumgebungen, dem Personal und den Räumlichkeiten des Anbieters sowie zu allen einschlägigen Unterauftragnehmern.
(3) Der geprüfte Anbieter stellt alle erforderlichen Ressourcen zur Verfügung und stellt der Prüfstelle die Unterstützung und die Erläuterungen bereit, die sie benötigt, um die einschlägigen Informationen zu analysieren und Tests durchzuführen, auch wenn die von der Prüfstelle gemäß Artikel 37 Absatz 3 der Verordnung (EU) 2022/2065 angeforderten Informationen sich im Besitz von dritten Vertragspartnern des geprüften Anbieters befinden.
ABSCHNITT III
Durchführung von Prüfungen
Artikel 6
Prüfbericht und Bericht über die Umsetzung der Prüfergebnisse
(1) Der Prüfbericht nach Artikel 37 Absatz 4 der Verordnung (EU) 2022/2065 wird von der Prüfstelle ohne Einflussnahme seitens des geprüften Anbieters erstellt. Dieser Prüfbericht wird nach der Vorlage in Anhang I erstellt und enthält detaillierte und begründete Schlussfolgerungen in Bezug auf alle Elemente der Vorlage.
(2) Gegebenenfalls wird der Bericht über die Umsetzung der Prüfergebnisse nach Artikel 37 Absatz 6 der Verordnung (EU) 2022/2065 gemäß der Vorlage in Anhang II erstellt.
Artikel 7
Verfahren für die Vorbereitung der Prüfung
(1) Der geprüfte Anbieter und die Prüfstelle schließen eine schriftliche Vereinbarung, in der Folgendes festgelegt ist:
|
a) |
die erschöpfende Liste der geprüften Pflichten und Verpflichtungszusagen; |
|
b) |
die Zuständigkeiten der Prüfstelle, gegebenenfalls einschließlich detaillierter Angaben zu jeder juristischen Person, aus der die Prüfstelle besteht, und der zur Unterzeichnung des Prüfberichts befugten Parteien; |
|
c) |
die Verfahren und Kontaktstellen, die der geprüfte Anbieter der Prüfstelle zur Verfügung stellt, um Zugang zu den in Artikel 5 Absatz 2 genannten Daten zu beantragen; |
|
d) |
den Zeitrahmen für die Prüfung, einschließlich des Anfangs- und Enddatums der Prüfverfahren und der Fertigstellung des Prüfberichts; |
|
e) |
ein Verfahren zur Beilegung von Streitigkeiten zwischen dem geprüften Anbieter und der Prüfstelle, die sich aus der Durchführung der Prüfung ergeben. |
(2) Die in Absatz 1 genannte Vereinbarung sowie alle anderen zwischen der Prüfstelle und dem geprüften Anbieter im Zusammenhang mit der Durchführung der Prüfung geschlossenen Vereinbarungen oder Prüfungsaufträge werden dem Prüfbericht beigefügt.
(3) Werden während der Durchführung der Prüfung Änderungen an der in Absatz 1 genannten Vereinbarung vorgenommen, wird auf diese im Prüfbericht explizit hingewiesen.
Artikel 8
Stellungnahmen, Prüfungsschlussfolgerungen und Empfehlungen
(1) Der Prüfbericht enthält die Prüfungsschlussfolgerungen, die die Prüfstelle hinsichtlich der Einhaltung der einzelnen geprüften Pflichten und Verpflichtungszusagen durch den geprüften Anbieter gezogen hat. Die Prüfungsschlussfolgerungen sind
|
a) |
„positiv“, wenn die Prüfstelle mit einem hinreichenden Maß an Sicherheit zu dem Schluss gelangt, dass der geprüfte Anbieter einer geprüften Pflicht oder Verpflichtungszusage nachgekommen ist; |
|
b) |
„positiv mit Anmerkungen“, wenn die Prüfstelle zwar mit einem hinreichenden Maß an Sicherheit zu dem Schluss gelangt, dass der geprüfte Anbieter einer geprüften Pflicht oder Verpflichtungszusage nachgekommen ist,
|
|
c) |
„negativ“, wenn die Prüfstelle mit einem hinreichenden Maß an Sicherheit zu dem Schluss gelangt, dass der geprüfte Anbieter einer geprüften Pflicht oder Verpflichtungszusage nicht nachgekommen ist. |
(2) Enthält ein Prüfbericht operative Empfehlungen nach Artikel 37 Absatz 4 Buchstabe h der Verordnung (EU) 2022/2065, so gelten diese Empfehlungen und ihr empfohlener Zeitrahmen spezifisch für jede geprüfte Pflicht oder Verpflichtungszusage, für die die Prüfungsschlussfolgerung nach Absatz 1 „positiv mit Anmerkungen“ oder „negativ“ lautet.
(3) Umfassen die in Absatz 2 genannten operativen Empfehlungen spezifische Maßnahmen zur Gewährleistung der Einhaltung, so wird darin erläutert, wie sich diese Maßnahmen gemäß der Bewertung der Prüfstelle auf die Wesentlichkeitsschwelle im Vergleich zur Prüfungsschlussfolgerung für die jeweilige geprüfte Pflicht oder Verpflichtungszusage auswirken würden.
(4) Auf der Grundlage der Prüfungsschlussfolgerungen enthält der Prüfbericht eine Stellungnahme zur Einhaltung aller geprüften Pflichten nach Artikel 37 Absatz 1 Buchstabe a der Verordnung (EU) 2022/2065 durch den geprüften Anbieter.
(5) Auf der Grundlage der Schlussfolgerungen zu allen geprüften Verpflichtungszusagen enthält der Prüfbericht eine oder gegebenenfalls mehrere Stellungnahmen zur Einhaltung aller geprüften Verpflichtungszusagen, die vom geprüften Anbieter gemäß den in Artikel 37 Absatz 1 Buchstabe b der Verordnung (EU) 2022/2065 genannten Verhaltenskodizes und Krisenprotokollen gemacht wurden.
(6) Stellungnahmen nach den Absätzen 4 und 5 sind
|
a) |
„positiv“, wenn die Prüfstelle für alle geprüften Pflichten oder Verpflichtungszusagen eine „positive“ Prüfungsschlussfolgerung gezogen hat; |
|
b) |
„positiv mit Anmerkungen“, wenn die Prüfstelle für eine geprüfte Pflicht oder Verpflichtungszusage mindestens zu einer Prüfungsschlussfolgerung, die „positiv mit Anmerkungen“ lautet, gelangt ist und für keine der geprüften Pflichten oder Verpflichtungszusagen eine „negative“ Prüfungsschlussfolgerung gezogen hat; |
|
c) |
„negativ“, wenn die Prüfstelle für mindestens eine geprüfte Pflicht oder Verpflichtungszusage eine „negative“ Prüfungsschlussfolgerung gezogen hat. |
(7) Ist der Anbieter gemäß der Bewertung der Prüfstelle während einer begrenzten Zeit innerhalb des in Artikel 3 Absatz 2 genannten Zeitraums einer geprüften Pflicht oder Verpflichtungszusage nicht nachgekommen, so wird diese Bewertung im Prüfbericht ordnungsgemäß dokumentiert.
(8) Kann die Prüfstelle nicht mit einem hinreichenden Maß an Sicherheit eine Prüfungsschlussfolgerung nach Absatz 1 oder eine Stellungnahme nach den Absätzen 4 und 5 abgeben, so enthält der Prüfbericht eine Erläuterung der Umstände und der Gründe, warum ein solches Maß an Sicherheit nicht erreicht werden konnte.
ABSCHNITT IV
Prüfungsmethoden
Artikel 9
Analyse des Prüfrisikos
(1) Der Prüfbericht enthält eine fundierte Analyse des Prüfrisikos, die von der Prüfstelle durchgeführt wird, um zu bewerten, ob der geprüfte Anbieter jede geprüfte Pflicht oder Verpflichtungszusage einhält.
(2) Die Analyse des Prüfrisikos erfolgt vor der Durchführung von Prüfverfahren und wird während der Durchführung der Prüfung unter Berücksichtigung neuer Prüfbelege aktualisiert, die nach dem fachlichen Urteil der Prüfstelle die Bewertung des Prüfrisikos wesentlich verändern.
(3) Die Analyse des Prüfrisikos trägt folgenden Faktoren Rechnung:
|
a) |
inhärente Risiken; |
|
b) |
Kontrollrisiken; |
|
c) |
Aufdeckungsrisiken. |
(4) Bei der Durchführung der Analyse des Prüfrisikos wird Folgendes berücksichtigt:
|
a) |
die Art des geprüften Dienstes und der gesellschaftliche und wirtschaftliche Kontext, in dem der geprüfte Dienst betrieben wird, einschließlich der Wahrscheinlichkeit und Schwere einer Exposition gegenüber Krisensituationen und unerwarteten Ereignissen; |
|
b) |
die Art der Pflichten und Verpflichtungszusagen; |
|
c) |
sonstige zweckdienliche Informationen, darunter
|
Artikel 10
Geeignete Prüfungsmethoden
(1) Unbeschadet der spezifischen Prüfungsmethoden nach den Artikeln 13, 14 und 15 werden die Prüfungen unter Verwendung geeigneter Prüfungsmethoden durchgeführt, um die bewerteten Prüfrisiken auf ein Niveau zu senken, das es der Prüfstelle ermöglicht, mit einem hinreichenden Maß an Sicherheit zu Prüfungsschlussfolgerungen zu gelangen.
(2) Der Prüfbericht enthält eine Beschreibung der von der Prüfstelle vor der Durchführung von Prüfverfahren entwickelten Prüfungsmethoden, die mindestens Folgendes umfasst:
|
a) |
die auf der Grundlage von Informationen gemäß Artikel 5 Absatz a 1 Buchstabe a festgelegten Prüfkriterien, die zur Bewertung der Einhaltung jeder geprüften Pflicht oder Verpflichtungszusage verwendet werden, sowie die tolerierte und gegebenenfalls qualitativ oder quantitativ formulierte Wesentlichkeitsschwelle; |
|
b) |
alle Tests und vertieften Analyseverfahren sowie Prüfbelege, die die Prüfstelle für jede geprüfte Pflicht oder Verpflichtungszusage zu verwenden beabsichtigt, um deren Einhaltung zu bewerten. |
Der Prüfbericht enthält eine Beschreibung etwaiger Änderungen der bei der Durchführung der Prüfung verwendeten Methoden im Vergleich zu den Methoden, die vor der Durchführung der Prüfverfahren konzipiert wurden.
(3) Hat eine Prüfstelle begründete Zweifel an den bei der Durchführung der Prüfung bewerteten Informationen, insbesondere in Bezug auf die von dem geprüften Anbieter vorgelegten Informationen, so sind die Wahl und Anwendung der Methode so anzupassen, dass der Prüfstelle die erforderlichen Prüfbelege nach Artikel 11 zur Verfügung stehen.
(4) Begründete Zweifel nach Absatz 3 liegen insbesondere dann vor, wenn eines der folgenden Elemente gegeben ist:
|
a) |
fachliches Urteil und kritische Grundhaltung bei der Bewertung von Informationen, auch in Bezug auf interne Kontrollen des geprüften Anbieters, die die Prüfstelle dazu veranlassen, begründete Zweifel zu formulieren; |
|
b) |
externe Hinweise auf Prüfrisiken, insbesondere Berichte des Europäischen Gremiums für digitale Dienste nach Artikel 35 Absatz 2 der Verordnung (EU) 2022/2065, Leitlinien der Kommission nach Artikel 35 Absatz 3 der genannten Verordnung und sonstige einschlägige Orientierungshilfen der Kommission in Bezug auf die Anwendung der Verordnung (EU) 2022/2065 sowie Prüfberichte, die gemäß den in den Artikeln 45, 46 und 48 der genannten Verordnung genannten Verhaltenskodizes oder Krisenprotokollen erstellt werden; |
|
c) |
Informationen über Ereignisse, die während der Durchführung der Prüfung eintreten, einschließlich Krisensituationen, die zusätzliche Maßnahmen des geprüften Anbieters erfordern, um die Einhaltung bestimmter geprüfter Pflichten oder Verpflichtungszusagen sicherzustellen. |
(5) Die Prüfverfahren umfassen mindestens Folgendes:
|
a) |
die Durchführung von Tests und vertieften Analyseverfahren für die internen Kontrollen, die der geprüfte Anbieter für jede der geprüften Pflichten oder Verpflichtungszusagen eingeführt hat; |
|
b) |
die Durchführung vertiefter Analyseverfahren zur Bewertung der Einhaltung jeder geprüften Pflicht und Verpflichtungszusage, auch in Bezug auf algorithmische Systeme; |
|
c) |
die Durchführung von Tests, auch in Bezug auf algorithmische Systeme, in Bezug auf die geprüften Pflichten und Verpflichtungszusagen, an denen die Prüfstelle begründete Zweifel im Sinne von Absatz 4 hat, und in Bezug auf geprüfte Pflichten und Verpflichtungen, wenn die Prüfstelle es für erforderlich hält, bei ihrer Wahl der Methode nach Absatz 1 Tests durchzuführen. |
(6) Ist es gemäß den Pflichten oder Verpflichtungszusagen nach Artikel 37 Absatz 1 der Verordnung (EU) 2022/2065 erforderlich, dass der geprüfte Anbieter bestimmte Informationen veröffentlicht, so müssen die Prüfungsmethoden eine Bewertung zu der Frage enthalten, ob diese Informationen frei von wesentlichen Fehlern oder Auslassungen sind, die andernfalls dazu führen könnten, dass die Informationen irreführend sind.
Artikel 11
Qualität der Prüfbelege
Die Prüfungsschlussfolgerungen und Stellungnahmen stützen sich auf Prüfbelege, die die beiden folgenden Anforderungen erfüllen:
|
a) |
Sie sind relevant und ausreichend, um die nach Artikel 9 ermittelten Prüfrisiken zu verringern und die Prüfstelle in die Lage zu versetzen, Schlussfolgerungen und Stellungnahmen nach Artikel 8 abzugeben. |
|
b) |
Sie sind nach dem fachlichen Urteil und der kritischen Grundhaltung der Prüfstelle verlässlich. |
Artikel 12
Stichprobenverfahren
(1) Stützen sich die Prüfbelege ganz oder teilweise auf eine Stichprobe von Daten oder Informationen, so werden der Stichprobenumfang und die Methode für die Stichprobenauswahl so bestimmt, dass das Aufdeckungsrisiko so gering wie möglich gehalten wird und der geprüfte Anbieter keinen Einfluss nimmt.
(2) Der Stichprobenumfang und die Methode für die Stichprobenauswahl werden so bestimmt, dass die Repräsentativität der Daten oder Informationen gewährleistet ist und gegebenenfalls alle folgenden Aspekte berücksichtigt werden:
|
a) |
die Repräsentativität der Stichprobe für den in Artikel 3 Absätze 2 und 3 genannten Zeitraum; |
|
b) |
relevante Änderungen des geprüften Dienstes während dieses Zeitraums; |
|
c) |
relevante Änderungen des Rahmens, in dem der geprüfte Dienst während dieses Zeitraums erbracht wird; |
|
d) |
gegebenenfalls relevante Merkmale algorithmischer Systeme, einschließlich Personalisierung auf der Grundlage von Profiling oder sonstigen Kriterien; |
|
e) |
sonstige relevante Merkmale oder Untergliederungen der Daten, Informationen und Nachweise, die Gegenstand der Prüfung sind; |
|
f) |
gegebenenfalls Darstellung und angemessene Analyse von Bedenken in Bezug auf bestimmte Gruppen wie Minderjährige oder schutzbedürftige Gruppen und Minderheiten, in Bezug auf die geprüfte Pflicht oder Verpflichtungszusage. |
(3) Der Prüfbericht enthält eine Begründung für die Wahl des Stichprobenumfangs und der Methode für die Stichprobenauswahl.
Artikel 13
Spezifische Methoden für die Prüfung der Einhaltung des Artikels 34 („Risikobewertung“) der Verordnung (EU) 2022/2065
(1) Die Bewertung der Einhaltung des Artikels 34 der Verordnung (EU) 2022/2065 durch den geprüften Anbieter umfasst unter anderem eine Analyse aller folgenden Aspekte:
|
a) |
ob der geprüfte Anbieter die in Artikel 34 Absatz 1 Unterabsatz 1 der Verordnung (EU) 2022/2065 genannten systemischen Risiken in der Union sorgfältig ermittelt, analysiert und bewertet hat, indem er unter anderem bewertet,
|
|
b) |
ob die Risikobewertung innerhalb der in Artikel 34 Absatz 1 Unterabsatz 2 der Verordnung (EU) 2022/2065 festgelegten Fristen und gegebenenfalls innerhalb der Fristen für Tätigkeiten durchgeführt wurde, die als Risikominderungsmaßnahmen zur Erkennung systemischer Risiken nach Artikel 35 Absatz 1 Buchstabe f der genannten Verordnung festgelegt wurden; |
|
c) |
wie der geprüfte Anbieter Funktionen ermittelt hat, die wahrscheinlich kritische Auswirkungen auf die Risiken haben, für die Risikobewertungen nach Artikel 34 Absatz 1 Unterabsatz 2 der Verordnung (EU) 2022/2065 vor ihrer Einführung durchgeführt werden sollen, ob diese Funktionen korrekt ermittelt wurden und ob die Risikobewertung angemessen durchgeführt wurde; |
|
d) |
ob der geprüfte Anbieter die Belege, die in Bezug auf die Risikobewertung aufbewahrt werden sollten, korrekt ermittelt hat und ob er die notwendigen Mittel vorgesehen hat, um sicherzustellen, dass diese Dokumente nach Artikel 34 Absatz 3 der Verordnung (EU) 2022/2065 mindestens drei Jahre aufbewahrt werden, und ob die Dokumente entsprechend aufbewahrt wurden. |
(2) Unbeschadet anderer Analysen, die erforderlich sind, um ein hinreichendes Maß an Sicherheit zu erreichen, umfassen die Methoden für die Prüfung der Einhaltung von Artikel 34 der Verordnung (EU) 2022/2065 mindestens eine Bewertung der folgenden Elemente durch die Prüfstelle:
|
a) |
der internen Kontrollen, die der geprüfte Anbieter eingeführt hat, um die Durchführung der Risikobewertungen in Bezug auf jeden der in Artikel 34 Absatz 2 Unterabsatz 1 der Verordnung (EU) 2022/2065 genannten Faktoren zu überwachen; eine entsprechende Bewertung
|
|
b) |
der Maßnahmen, Mittel und Verfahren, die der geprüfte Anbieter eingeführt hat, um die Einhaltung von Artikel 34 der Verordnung (EU) 2022/2065 und deren Ergebnisse sicherzustellen; diese Bewertung stützt sich auf
|
(3) Die von der Prüfstelle zur Untermauerung der gemäß diesem Artikel durchgeführten Bewertung analysierten Informationen umfassen unter anderem
|
a) |
den vom geprüften Anbieter erstellten Risikobewertungsbericht für den betreffenden geprüften Zeitraum, der erforderlichenfalls vertrauliche Informationen enthält, die nicht zu den nach Artikel 42 Absatz 2 der genannten Verordnung veröffentlichten Informationen gehören, sowie alle Belege; |
|
b) |
gegebenenfalls sonstige Risikobewertungsberichte des geprüften Anbieters und Belege dazu; |
|
c) |
vom geprüften Anbieter nach Artikel 5 übermittelte Informationen; |
|
d) |
alle einschlägigen Transparenzberichte des geprüften Anbieters nach Artikel 15 Absatz 1 der Verordnung (EU) 2022/2065; |
|
e) |
sonstige Testergebnisse, Unterlagen, Belege, Erklärungen, die in Beantwortung schriftlicher oder mündlicher Fragen der Prüfstelle an das Personal des geprüften Anbieters abgegeben wurden, sowie gegebenenfalls vor Ort vorgebrachte Bemerkungen; |
|
f) |
sonstige einschlägige Belege, auch auf der Grundlage von Informationen, die vom geprüften Anbieter bereitgestellt wurden; |
|
g) |
sofern verfügbar, Berichte nach Artikel 35 Absatz 2 der Verordnung (EU) 2022/2065 und Orientierungshilfen der Kommission, einschließlich Leitlinien nach Artikel 35 Absatz 3 der Verordnung erstellte Leitlinien sowie andere einschlägige Orientierungshilfen der Kommission in Bezug auf die Anwendung der Verordnung (EU) 2022/2065. |
(4) Die von der Prüfstelle analysierten Informationen können gegebenenfalls Informationen nach Artikel 42 Absatz 4 der Verordnung (EU) 2022/2065, unter anderem aus Prüf-, Risikobewertungs- und Risikominderungsberichten, in Bezug auf andere sehr große Online-Plattformen oder sehr große Online-Suchmaschinen umfassen, oder auch Daten und Forschungsarbeiten, die von zugelassenen Forscherinnen und Forschern nach Artikel 40 Absatz 8 Buchstabe g der Verordnung öffentlich zugänglich gemacht werden.
Artikel 14
Spezifische Methoden für die Prüfung der Einhaltung des Artikels 35 („Risikominderung“) der Verordnung (EU) 2022/2065
(1) Die Bewertung der Einhaltung des Artikels 35 der Verordnung (EU) 2022/2065 durch den geprüften Anbieter umfasst unter anderem eine Analyse aller folgenden Aspekte:
|
a) |
wie der geprüfte Anbieter Risikominderungsmaßnahmen für jedes der in Artikel 34 Absatz 1 der Verordnung (EU) 2022/2065 genannten systemischen Risiken ermittelt hat und ob bei der Ermittlung dieser Risikominderungsmaßnahmen sorgfältig vorgegangen wurde; |
|
b) |
wie der geprüfte Anbieter bewertet hat, ob die Risikominderungsmaßnahmen nach Artikel 35 Absatz 1 Buchstaben a bis k der Verordnung (EU) 2022/2065 auf den geprüften Dienst anwendbar waren und ob die Schlussfolgerung dieser Bewertung angemessen war, auch in Bezug auf die Maßnahmen, die der geprüfte Anbieter nicht ergriffen hat; |
|
c) |
ob die vom geprüften Anbieter eingeführten Risikominderungsmaßnahmen angemessen, verhältnismäßig und wirksam sind, um die betreffenden Risiken zu mindern, unter anderem
|
(2) Unbeschadet anderer Analysen, die erforderlich sind, um ein hinreichendes Maß an Sicherheit zu erreichen, umfassen die Methoden für die Prüfung der Einhaltung von Artikel 35 der Verordnung (EU) 2022/2065 mindestens eine Bewertung der folgenden Elemente durch die Prüfstelle:
|
a) |
der internen Kontrollen, die der geprüfte Anbieter eingeführt hat, um die Anwendung der Risikominderungsmaßnahmen nach Artikel 35 Absatz 1 der Verordnung (EU) 2022/2065 zu überwachen, wobei zu prüfen ist, ob diese angemessen, verhältnismäßig und wirksam sind; eine entsprechende Bewertung
|
|
b) |
der von den geprüften Anbietern eingeführten Risikominderungsmaßnahmen; diese Bewertung stützt sich auf
|
(3) Die von der Prüfstelle zur Untermauerung der gemäß diesem Artikel durchgeführten Bewertung analysierten Informationen umfassen unter anderem
|
a) |
die vom geprüften Anbieter erstellten Risikobewertungs- und Risikominderungsberichte für den betreffenden geprüften Zeitraum, die erforderlichenfalls vertrauliche Informationen enthalten, die nicht zu den nach Artikel 42 Absatz 2 der Verordnung (EU) 2022/2065 veröffentlichten Informationen gehören, sowie alle Belege; |
|
b) |
gegebenenfalls sonstige Risikobewertungs- und Risikominderungsberichte des geprüften Anbieters und Belege dazu; |
|
c) |
vom geprüften Anbieter nach Artikel 5 übermittelte Informationen; |
|
d) |
alle einschlägigen Transparenzberichte des geprüften Anbieters nach Artikel 15 Absatz 1 der Verordnung (EU) 2022/2065; |
|
e) |
gegebenenfalls frühere Risikominderungsberichte und die zugehörigen Belege, die Zeiträume betreffen, die nicht in den geprüften Zeitraum fallen, und die erforderlichenfalls vertrauliche Informationen enthalten, die nicht zu den nach Artikel 42 Absatz 2 der Verordnung (EU) 2022/2065 veröffentlichten Informationen gehören; |
|
f) |
sonstige Testergebnisse, Unterlagen, Belege, Erklärungen, die in Beantwortung schriftlicher bzw. mündlicher Fragen der Prüfstelle an das Personal des geprüften Anbieters abgegeben wurden, sowie gegebenenfalls vor Ort vorgebrachte Bemerkungen; |
|
g) |
sonstige einschlägige Belege, auch auf der Grundlage von Informationen, die vom geprüften Anbieter bereitgestellt wurden; |
|
h) |
sofern verfügbar, Berichte nach Artikel 35 Absatz 2 der Verordnung (EU) 2022/2065 und Orientierungshilfen der Kommission, einschließlich Leitlinien nach Artikel 35 Absatz 3 der Verordnung erstellte Leitlinien sowie andere einschlägige Orientierungshilfen der Kommission in Bezug auf die Anwendung der Verordnung (EU) 2022/2065. |
(4) Die von der Prüfstelle analysierten Informationen können gegebenenfalls Informationen nach Artikel 42 Absatz 4 der Verordnung (EU) 2022/2065, unter anderem aus Prüf-, Risikobewertungs- und Risikominderungsberichten, in Bezug auf andere sehr große Online-Plattformen oder sehr große Online-Suchmaschinen umfassen, oder auch Daten und Forschungsarbeiten, die von zugelassenen Forscherinnen und Forschern nach Artikel 40 Absatz 8 Buchstabe g der Verordnung (EU) 2022/2065 öffentlich zugänglich gemacht werden.
Artikel 15
Spezifische Methoden für die Prüfung der Einhaltung des Artikels 36 („Krisenreaktionsmechanismus“) der Verordnung (EU) 2022/2065
(1) Die Bewertung der Einhaltung des Artikels 36 Absatz 1 Unterabsatz 1 Buchstabe a der Verordnung (EU) 2022/2065 durch den geprüften Anbieter umfasst unter anderem eine Analyse, ob und wie der geprüfte Anbieter die erforderlichen Maßnahmen durchgeführt hat, insbesondere
|
a) |
ob und wie der geprüfte Anbieter die einschlägigen Systeme ermittelt hat, die an dem Betrieb und der Nutzung seines Dienstes beteiligt sind und erheblich zu der schwerwiegenden Bedrohung beitragen, und ob diese Systeme angemessen ermittelt wurden; |
|
b) |
ob und wie der geprüfte Anbieter den erheblichen Beitrag zur schwerwiegenden Bedrohung definiert und überwacht hat und ob seine Bewertung angemessen war; |
|
c) |
jedes sonstige Erfordernis, das in dem in Artikel 36 Absatz 1 bzw. Absatz 7 Unterabsatz 2 der Verordnung (EU) 2022/2065 genannten Beschluss der Kommission festgelegt ist. |
(2) Die Bewertung der Einhaltung von Artikel 36 Absatz 1 Unterabsatz 1 Buchstabe b der Verordnung (EU) 2022/2065 durch den geprüften Anbieter umfasst unter anderem eine Analyse, ob und wie der geprüfte Anbieter die erforderlichen Maßnahmen durchgeführt hat, insbesondere
|
a) |
ob und wie der geprüfte Anbieter Maßnahmen ermittelt hat, um einen Beitrag zu der schwerwiegenden Bedrohung zu verhindern, zu beseitigen oder zu begrenzen; |
|
b) |
ob und wie mit den vom geprüften Anbieter ergriffenen Maßnahmen der Schwere der schwerwiegenden Bedrohung und der Dringlichkeit begegnet wurde und ob die Maßnahmen in dieser Hinsicht angemessen waren; |
|
c) |
ob und wie der geprüfte Anbieter die von den Maßnahmen betroffenen Parteien und ihre berechtigten Interessen ermittelt hat und wie der geprüfte Anbieter die tatsächlichen oder potenziellen Auswirkungen der Maßnahmen auf die Rechte dieser Parteien, einschließlich der Grundrechte, und ihre berechtigten Interessen bewertet hat; |
|
d) |
ob die von dem geprüften Anbieter ergriffenen Maßnahmen wirksam und verhältnismäßig waren; |
|
e) |
jedes sonstige Erfordernis, das in dem in Artikel 36 Absatz 1 bzw. Absatz 7 Unterabsatz 2 der Verordnung (EU) 2022/2065 genannten Beschluss der Kommission festgelegt ist. |
(3) Die Bewertung der Einhaltung des Artikels 36 Absatz 1 Unterabsatz 1 Buchstabe c der Verordnung (EU) 2022/2065 durch den geprüften Anbieter umfasst unter anderem eine Analyse der Art und Weise, wie der geprüfte Anbieter die erforderliche Maßnahme durchgeführt hat, insbesondere, ob der geprüfte Anbieter der Kommission die im Beschluss der Kommission nach Artikel 36 Absatz 1 bzw. Absatz 7 Unterabsatz 2 der Verordnung (EU) 2022/2065 vorgeschriebenen erforderlichen Informationen übermittelt hat, und ob diese Berichte korrekt waren.
Artikel 16
Prüfung der Einhaltung des Artikels 37 („Unabhängige Prüfung“) der Verordnung (EU) 2022/2065
(1) Die Einhaltung der in Artikel 37 der Verordnung (EU) 2022/2065 und in der vorliegenden Verordnung festgelegten Pflichten wird im Zusammenhang mit der Prüfung bzw. den Prüfungen bewertet, die im Jahreszeitraum vor der laufenden Prüfung durchgeführt wurden.
(2) Zusätzlich zu Absatz 1 umfasst die Prüfung eine Bewertung der Einhaltung des Artikels 37 Absatz 2 der Verordnung (EU) 2022/2065 durch den geprüften Anbieter in Bezug auf die laufende Prüfung.
(3) Wurden in Absatz 1 genannte frühere Prüfungen von derselben Prüfstelle wie die laufende Prüfung durchgeführt oder besteht die Prüfstelle, die die laufende Prüfung durchführt, aus mindestens einer juristischen Person, die an der früheren Prüfung teilgenommen hat, muss im Prüfbericht dargelegt werden, welche Schritte die Prüfstelle unternommen hat, um die Objektivität der Bewertung sicherzustellen.
Artikel 17
Prüfung der Einhaltung von Verhaltenskodizes und Krisenprotokollen
(1) Der geprüfte Anbieter stellt der Prüfstelle Folgendes zur Verfügung:
|
a) |
eine Liste und den Wortlaut aller Verhaltenskodizes nach den Artikeln 45 und 46 der Verordnung (EU) 2022/2065 und der Krisenprotokolle nach Artikel 48 der genannten Verordnung, die der geprüfte Anbieter unterzeichnet hat; |
|
b) |
eine detaillierte Liste der Verpflichtungszusagen, die der geprüfte Anbieter in diesen Verhaltenskodizes und Krisenprotokollen gemacht hat; |
|
c) |
gegebenenfalls die wesentlichen Leistungsindikatoren, die im Rahmen der einzelnen Verhaltenskodizes und Krisenprotokolle vereinbart wurden; |
|
d) |
gegebenenfalls verfügbare Messungen, Daten und Unterlagen sowie vom geprüften Anbieter erstellte Berichte über die Einhaltung der gemachten Verpflichtungszusagen durch den geprüften Anbieter, einschließlich des Zugangs zu allen einschlägigen Informationen und Daten im Zusammenhang mit dem Betrieb der vom geprüften Anbieter angebotenen Dienste, die für die Umsetzung des Verhaltenskodex oder des Krisenprotokolls von Belang sind; |
|
e) |
gegebenenfalls sonstige von den Unterzeichnern des Verhaltenskodex oder des Krisenprotokolls erstellte Messungen, Daten und Unterlagen sowie die Bewertungen durch die Kommission oder das Gremium nach Artikel 45 Absatz 4 der Verordnung (EU) 2022/2065. |
(2) Die Bewertung der Einhaltung der in Artikel 45 der Verordnung (EU) 2022/2065 genannten Verhaltenskodizes durch den geprüften Anbieter umfasst unter anderem die Messung der wesentlichen Leistungsindikatoren, die im Verhaltenskodex nach Artikel 45 Absatz 3 der genannten Verordnung vereinbart wurden, wobei anzugeben ist, welches die Wesentlichkeitsschwelle der Prüfungsschlussfolgerungen ist und ob die mitgeteilten Daten korrekt sind.
ABSCHNITT V
Schlussbestimmungen
Artikel 18
Inkrafttreten
Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Brüssel, den 20. Oktober 2023
Für die Kommission
Die Präsidentin
Ursula VON DER LEYEN
ANHANG I
VORLAGE FÜR DEN PRÜFBERICHT NACH ARTIKEL 6
Inhaltsverzeichnis
|
ABSCHNITT B: Prüfstelle(n) Bitte für die einzelnen Punkte dieses Abschnitts so viele Zeilen wie nötig einfügen. |
||||||||||||||||||||||||||||||
|
|
ABSCHNITT F.1: Konsultierte Dritte Wiederholen Sie diesen Abschnitt bitte für jeden konsultierten Dritten, wobei die Unterabschnitte entsprechend zu nummerieren sind (z. B. F.1, F.2 usw.). |
||||||||
|
|
ABSCHNITT G: Sonstige Informationen, die die Prüfstelle in den Prüfbericht aufnehmen möchte (z. B. um mögliche inhärente Einschränkungen zu beschreiben). |
|
|
|
|
Bitte so viele Zeilen einfügen, wie nötig, entsprechend den Zuständigkeiten und Befugnissen gemäß Artikel 7 Absatz 1 Buchstabe b. |
|
Datum: … |
Unterzeichnet von: … |
|
Ort: … |
Im Namen von: … |
|
|
Zuständig für: … |
Anhänge zum Prüfbericht (falls zutreffend):
Gemäß Artikel 7 Absatz 2 der vorliegenden Verordnung erforderliche Unterlagen
Unterlagen zur Analyse des Prüfungsrisikos nach Artikel 9 der vorliegenden Verordnung
Unterlagen, aus denen hervorgeht, dass die Prüfstelle die Pflichten nach Artikel 37 Absatz 3 Buchstabe a der Verordnung (EU) 2022/2065 einhält
Unterlagen, aus denen hervorgeht, dass die Prüfstelle die Pflichten nach Artikel 37 Absatz 3 Buchstabe b der Verordnung (EU) 2022/2065 einhält
Unterlagen, aus denen hervorgeht, dass die Prüfstelle die Pflichten nach Artikel 37 Absatz 3 Buchstabe c der Verordnung (EU) 2022/2065 einhält
Dokumentation und Ergebnisse etwaiger von der Prüfstelle durchgeführter Tests, auch in Bezug auf algorithmische Systeme des geprüften Anbieters
Verhaltenskodizes nach den Artikeln 45 und 46 der Verordnung (EU) 2022/2065, in deren Rahmen der geprüfte Anbieter Verpflichtungszusagen gemacht hat, einschließlich einer klaren Angabe aller Verpflichtungszusagen und aller für diese Verpflichtungszusagen vereinbarten wesentlichen Leistungsindikatoren
Krisenprotokolle gemäß Artikel 48 der Verordnung (EU) 2022/2065, die vom geprüften Anbieter umgesetzt werden
Andere Anhänge auf Wunsch der Prüfstelle
ANHANG II
VORLAGE FÜR DEN BERICHT ÜBER DIE UMSETZUNG DER PRÜFERGEBNISSE NACH ARTIKEL 6
Inhaltsverzeichnis
|
ABSCHNITT A: Allgemeine Angaben |
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
|
ELI: http://data.europa.eu/eli/reg_del/2024/436/oj
ISSN 1977-0642 (electronic edition)