Ein kürzlich ergangenes Urteil des Oberlandesgerichts Köln stellt einen wichtigen Meilenstein für Cloudflare und das Internet im Kampf gegen fehlgeleitete Versuche dar, Urheberrechtsverletzungen im Internet über das DNS-System zu bekämpfen. Anfang November lehnte der Gerichtshof in der Rechtssache Universal gegen Cloudflare einen Antrag ab, wonach öffentliche DNS-Resolver wie Cloudflare 1.1.1.1. verpflichtet werden sollten, Websites aufgrund mutmaßlicher Urheberrechtsverletzungen im Internet zu sperren. Diesen Standpunkt vertreten wir seit langem, denn die Sperrung durch öffentliche Resolver ist ineffektiv und unverhältnismäßig, und sie ermöglicht nicht die dringend benötigte Transparenz darüber, was gesperrt wird und warum.
Was ist ein DNS-Resolver?
Um zu verstehen, warum das Urteil in der Rechtssache Universal vs. Cloudflare so wichtig ist, muss man wissen, was ein öffentlicher DNS-Resolver ist und warum er sich nicht für die Moderation von Inhalten im Internet eignet.
Das DNS-System übersetzt die Namen von Websites in IP-Adressen, sodass Internetanfragen an den richtigen Ort weitergeleitet werden können. Im Großen und Ganzen besteht das DNS-System aus zwei Teilen. Auf der einen Seite befinden sich eine Reihe von Nameservern (Root, TLD und Authoritative), die zusammen Informationen speichern, die Domainnamen auf IP-Adressen abbilden; auf der anderen Seite befinden sich DNS-Resolver (auch rekursive Resolver genannt), die die Nameserver abfragen, um zu beantworten, wo sich eine bestimmte Website befindet. Die Nameserver sind wie ein Telefonbuch, in dem Namen und Telefonnummern aufgelistet sind, während rekursive Resolver ähnlich einem Telefonisten agieren, der eine Nummer sucht.
Autoritative Nameserver werden direkt von den Betreibern der Websites verwendet, rekursive Resolver hingegen werden von den Internetnutzern ausgewählt und genutzt. Wenn Sie dies bei der Arbeit lesen, sind Sie möglicherweise über einen von Ihrem Arbeitgeber ausgewählten DNS-Resolver auf diese Website gelangt. Wenn Sie diese Seite auf einem privaten Gerät zu Hause lesen, haben Sie möglicherweise den standardmäßigen DNS-Resolver Ihres Internet Service Providers (ISPs) verwendet. Mit ein wenig technischem Know-how können Sie auch einen eigenen DNS-Resolver erstellen und selbst betreiben oder einen der vielen im Internet verfügbaren öffentlichen DNS-Resolver verwenden.
Cloudflare hat seinen öffentlichen DNS-Resolver 1.1.1.1 im April 2018 eingeführt, weil wir eine schnelle und private Möglichkeit bieten wollten, im Internet zu navigieren. Obwohl der Resolver von Cloudflare immer wieder als der schnellste DNS-Resolver am Markt bewertet wird, ist er nur eine von mehreren Optionen. Andere bekannte öffentliche Resolver sind 8.8.8.8 von Google, OpenDNS von Cisco und Quad9. Nutzer können sich für einen öffentlichen DNS-Resolver entscheiden, um ihre Privatsphäre zu schützen, die Sicherheit zu erhöhen oder einfach, weil sie die bestmögliche Performance wünschen. Egal, aus welchem Grund sie ihn nutzen: Einzelpersonen können ihren DNS-Resolver jederzeit wechseln.
Was bedeutet es, eine Sperre durch einen DNS-Resolver durchzusetzen?
Wie andere Glieder der Internetverbindungskette wurden auch DNS-Resolver manchmal dazu benutzt, den Zugang zu Inhalten zu verhindern. Eine Sperrung von Inhalten auf der Ebene des Resolvers ist vergleichbar mit dem Entfernen eines Eintrags aus einem Telefonbuch. Durch die Verweigerung der Ausgabe einer IP-Adresse als Antwort auf Anfragen nach einer bestimmten Website kann ein DNS-Resolver den Eindruck erwecken, dass eine ganze Website für eine Person, die diesen Resolver verwendet, tatsächlich aus dem Internet verschwunden ist. Im Gegensatz zur Entfernung der Inhalte beim Hosting-Provider sind die Inhalte jedoch weiterhin online zugänglich, nur etwas schwieriger zu finden. Genauso wie eine nicht eingetragene Telefonnummer nicht verhindert, dass eine Telefonnummer über andere Kanäle gefunden und angerufen wird, hindert eine Sperre in einem Resolver einen Nutzer nicht daran, eine Website auf unzähligen anderen Wegen aufzurufen. Ein Nutzer kann einen alternativen Resolver verwenden, einen eigenen Resolver erstellen oder einfach die IP-Adresse der Website eingeben.
Da DNS IP-Adressen für ganze Domains ausgibt, kann die Sperrung durch DNS-Resolver nur auf Domain-Ebene erfolgen; es ist nicht möglich, bestimmte Inhalte, einzelne Webseiten oder sogar Subdomains zu sperren, ohne die gesamte Website zu blockieren. Eine Sperrungsverfügung, die darauf abzielt, ein urheberrechtlich geschütztes Bild durch DNS-Blockierung zu entfernen – insbesondere bei einer Website mit vielen Mitwirkenden oder von Nutzenden erstellten Inhalten – würde also dazu führen, dass alle Inhalte auf der gesamten Domain blockiert werden. Das bedeutet, dass eine DNS-Sperre wahrscheinlich den Zugang zu Inhalten sperrt, die nicht von einem Gericht als Urheberrechtsverletzung oder anderweitig problematisch eingestuft wurden, es sei denn, die gesamte Website ist ein Problem.
Die Funktionsweise der DNS-Sperrung – Ablehnung der Ausgabe einer IP-Adresse – bedeutet auch, dass dem Einzelnen keine Erklärung gegeben wird, warum er nicht auf die betreffende Website zugreifen konnte. Es fehlt an Benachrichtigung und Transparenz. Es gibt zwar Vorschläge für Protokolle, die in solchen Fällen die Ausgabe eines Fehlercodes ermöglichen würden, doch wurde bisher nichts davon umgesetzt.
Unterscheidung zwischen öffentlichen und privaten Resolvern
Internet Service Provider (ISPs), die in bestimmten Ländern ansässig sind, haben manchmal Sperren über ihre DNS-Resolver eingerichtet, in der Absicht, den in diesem Land geltenden Anordnungen nachzukommen, die sie anweisen, ihren Nutzenden den Zugang zu bestimmten Websites zu verwehren. Bei einem deutschen ISP, der nur deutsche Nutzende hat, könnte sich der DNS-Resolver beispielsweise weigern, eine IP-Adresse für eine Website auszugeben, wenn ein deutsches Gericht die Sperrung dieser gesamten Website angeordnet hat.
Die Rechteinhaber haben kürzlich versucht, diese Sperrung auf öffentliche DNS-Resolver auszuweiten. Öffentliche DNS-Resolver unterscheiden sich jedoch von DNS-Resolvern, die von einem lokalen ISP betrieben werden. Öffentliche DNS-Resolver arbeiten in der Regel weltweit auf die gleiche Weise. Das heißt, wenn ein öffentlicher Resolver die Sperre so umsetzt, wie es ein ISP macht, würde sie überall gelten. Das deutsche Gericht, das die Sperrung anordnet, würde also diktieren, welche Informationen den Nutzenden des Resolvers in Indien, den Vereinigten Staaten, Argentinien und jedem anderen Land, in dem der Resolver verwendet wird, zur Verfügung stehen. Der Versuch, geografisch gezieltere Sperren auf der Grundlage des Standorts einzelner Nutzenden vorzunehmen, wirft ernsthafte technische Hürden auf, mit denen lokale ISPs nicht konfrontiert sind. Zudem ergeben sich daraus auch ernst zu nehmende Fragen rund um den Datenschutz.
Cloudflare hat 1.1.1.1 entwickelt, um den Nutzern eine Option für die DNS-Auflösung zu bieten, die schnell ist und keinerlei persönliche Daten erhebt. Viele DNS-Betreiber haben in der Vergangenheit Informationen über Nutzer auf der Grundlage der von ihnen abgefragten Websites verkauft – 1.1.1.1 soll verhindern, dass solche Informationen jemals erhoben werden. Sperrverfügungen, die sich an öffentliche Resolver richten, würden die Erfassung von Informationen darüber erfordern, woher die Anfragen kommen, um diese negativen Auswirkungen zu begrenzen und gleichzeitig die Einhaltung der Vorschriften nachzuweisen. Dies würde der persönlichen Privatsphäre der Nutzenden und dem Internet schaden.
Diese wesentlichen Merkmale öffentlicher Resolver machen es grundsätzlich unmöglich, solche Resolver zur Sperrung von Inhalten zu verwenden.
Warum die Sperrung durch öffentliche Resolver die missbräuchliche Nutzung des Internets nicht verhindern kann
Angenommen Sie möchten eine Webseite besuchen, die aufgrund einer gerichtlichen Anordnung gesperrt wurde. Welche Erwartungen hätten Sie in so einer Situation? Erstens würden Sie erwarten, dass der gesperrte Inhalt tatsächlich gesetzlich verboten ist. Sie würden nicht erwarten, dass eine gesamte Website nicht verfügbar ist, nur weil ein Teil der Website gegen das Urheberrecht verstößt. Ebenso wenig würden Sie erwarten, dass eine Website für einen Besucher in einem Land aufgrund einer Anordnung aus einem anderen Land am anderen Ende der Welt gesperrt wird.
Zweitens würden Sie erwarten, dass Ihnen mitgeteilt wird, warum die Website nicht verfügbar ist. Anstatt einen leeren Bildschirm oder keine Antwort zu erhalten, sollten Sie eine Nachricht erhalten, in der erklärt wird, dass die Sperrung der Website angeordnet wurde, und welche rechtliche Instanz dies veranlasst hat.
Schließlich würden Sie erwarten, dass der eingeführte Sperrmechanismus auch tatsächlich wirksam ist. Wir sollten keine grundlegenden Änderungen an der Funktionsweise des Internets vornehmen, wenn diese nicht einmal die beabsichtigte Wirkung haben würden.
Die Sperrung durch öffentliche Resolver wird keiner dieser Anforderungen gerecht. Wie bereits erörtert, kann sie nicht eng auf bestimmte Inhalte oder bestimmte Regionen angewandt werden. Im Gegensatz zu ISP-Sperren, die zwangsläufig auf die geografische Region beschränkt sind, in der der ISP tätig ist, kann die Sperrung durch globale öffentliche Resolver nur in einer Weise umgesetzt werden, die sich über die Grenzen hinweg auf Länder erstreckt, die möglicherweise nie versucht hätten, denselben Inhalt zu sperren. Es sei denn, wir erheben mehr persönliche Daten über die Nutzenden, als wir benötigen.
Eine solche Sperrung ist auch nicht transparent. Nutzende wissen nicht, dass sie aufgrund eines Gerichtsbeschlusses nicht auf die Inhalte zugreifen können. Sie wissen nur, dass sie keinen Zugriff auf die Website haben. Das macht es der Öffentlichkeit schwer, Behördenvertreter für Fehler oder übermäßige Sperrungen zur Verantwortung zu ziehen.
Und was vielleicht am schlimmsten ist: eine solche Sperrung ist nicht einmal effektiv. In der Regel werden Betreiber von Websites oder Hosting-Providern angewiesen, rechtsverletzende oder illegale Inhalte zu entfernen. Dies ist ein wirksames Mittel, um sicherzustellen, dass diese Informationen nicht mehr verfügbar sind. Eine DNS-Sperre funktioniert nur so lange, wie die betreffende Person den Resolver verwendet. Der Inhalt bleibt verfügbar und wird wieder zugänglich, sobald die Person zu einem anderen Resolver wechselt oder einen eigenen erstellt.
Das in der Rechtssache Universal vs. Cloudflare zuständige Gericht lehnt eine DNS-Sperre ab
Trotz dieser Probleme haben einige Rechteinhaber darauf bestanden, dass Anbieter von öffentlichen DNS-Resolvern angewiesen werden können, Websites aufgrund von Online-Verstößen zu sperren. Cloudflare und andere, wie Quad9 und Google, haben sich dagegen gewehrt. Obwohl es eine begrenzte Anzahl von Vorabentscheidungen zu dieser Frage gab, ist die Entscheidung des Oberlandesgerichts in der Rechtssache Universal vs. Cloudflare das erste Mal, dass ein Berufungsgericht in Europa im Hauptverfahren über die Sperrung von öffentlichen DNS-Resolvern entschieden hat.
Die ursprünglich 2019 eingereichte Klage von Universal war einer der ersten Versuche eines Rechteinhabers, eine Anordnung zur Sperrung durch einen öffentlichen DNS-Resolver zu erwirken. Der Fall betrifft ein mutmaßlich urheberrechtsverletzendes Musikalbum, das auf einer Website veröffentlicht wurde, die zum Zeitpunkt der Klageerhebung die Pass-Through-Sicherheits- und CDN-Dienste von Cloudflare nutzte. Das Landgericht Köln erließ eine einstweilige Verfügung, in der Cloudflare angewiesen wurde, die Website sowohl über unseren CDN-Service als auch über unseren öffentlichen Resolver zu sperren. Cloudflare hat keinen Mechanismus, um Websites über 1.1.1.1. zu blockieren, und wir haben noch nie eine Website über unseren öffentlichen Resolver blockiert. Cloudflare hat jedoch Maßnahmen ergriffen, um den Zugriff auf die Website in Deutschland über unser CDN und unseren Pass-Through-Sicherheitsdienst zu blockieren. Die Website wurde daraufhin offline genommen und ist im Internet nicht mehr verfügbar. Angesichts der Bedeutung der zugrundeliegenden Rechtsgrundsätze, die auf dem Spiel standen, haben wir den Rechtsstreit dennoch fortgesetzt.
Die jüngste Entscheidung des Oberlandesgerichts macht deutlich, dass öffentliche DNS-Resolver kein geeignetes Mittel sind, um gegen Rechtsverletzungen im Internet vorzugehen oder generell Inhalte zu moderieren. Das Gericht erklärte, dass „der Beklagte mit dem DNS-Resolver ein für jedermann kostenlos zugängliches, im öffentlichen Interesse liegendes und zugelassenes Instrument bereitstellt, das rein passiv, automatisch und neutral an der Verbindung von Internetdomains beteiligt ist“. Er stellte ferner fest, dass die Sperrung über einen öffentlichen Resolver nicht wirksam ist, da Einzelpersonen den Resolver jederzeit leicht wechseln können.
Wichtig ist, dass das Gericht feststellte, dass DNS-Dienste durch das im letzten Jahr erlassene EU-Gesetz über digitale Dienste (Digital Services Act, DSA) geschützt sind. Wie schon die E-Commerce-Richtlinie räumt auch der DSA ein, dass verschiedene Arten von Diensten unterschiedliche Fähigkeiten haben, sich mit Inhaltsproblemen zu befassen. Ferner unterscheidet der DSA hinsichtlich ihrer Rolle bei der Bekämpfung rechtsverletzender Inhalte zwischen „reinen Durchleitungs-“ und „Caching“-Diensten und „Hosting“-Diensten. Hilfreich ist, dass das DSA DNS- und CDN-Dienste ausdrücklich als Nicht-Hosting-Dienste aufführt, die anderen Verpflichtungen unterliegen als Hosting-Dienste. Das Oberlandesgericht hat festgestellt, dass DNS-Resolver den gleichen Haftungsschutz genießen wie andere „bloße Durchleitungsstellen“, und hat den Antrag des Klägers auf DNS-Sperrung in diesem Fall abgelehnt.
Der Kampf geht weiter
Während die Entscheidung des Oberlandesgerichts einen wichtigen Meilenstein in der DNS-Frage darstellt, geht der Streit darüber, wie man am besten gegen Rechtsverletzungen im Internet vorgehen kann, weiter. Die Rechteinhaber haben Klagen gegen andere DNS-Anbieter und in anderen Gerichtsbarkeiten eingereicht, um ähnliche Sperrungen zu erwirken. Wir werden uns weiterhin gegen dieses Ergebnis einsetzen, weil wir glauben, dass es dem Internet schadet. Wir hoffen, dass die Argumentation des Oberlandesgerichts in der DNS-Frage zur Überzeugung anderer Gerichte beitragen wird.
Auch wenn die Entscheidung im Rechtsstreit Universal vs. Cloudflare hinsichtlich des DNS für Schlagzeilen sorgt, gibt es andere Teile der Stellungnahme, die Anlass zur Sorge geben. Das Gericht bestätigte das Urteil der Vorinstanz, das Cloudflare dazu verpflichtete, den Zugang zur fraglichen Website über unser CDN und unseren Pass-Through-Sicherheitsdienst zu sperren. Diese Entscheidung hat keine unmittelbaren praktischen Auswirkungen, da die fragliche Website nicht mehr online ist und Cloudflare dem Urteil bereits nachgekommen ist. Soweit die Entscheidung jedoch so verstanden werden kann, dass sie eine umfassendere Verpflichtung von Pass-Through-Sicherheits- und CDN-Diensten zur Kontrolle von Online-Inhalten impliziert, steht dies im Widerspruch zur Art unserer Dienste und zum DSA, der CDN-Dienste ausdrücklich als Caching-Dienste mit Haftungsprivileg ausweist. Cloudflare plant daher, gegen diesen Aspekt der Entscheidung Berufung einzulegen.
Wir schätzen die Bemühungen umsichtiger Richter, die sich über die Funktionsweise des Internets informieren und sicherstellen, dass ihre Entscheidungen mit den Vorteilen eines sicheren, zuverlässigen und datenschutzorientierten Internets vereinbar sind. Diese Entscheidung ist ein weiterer Meilenstein im Kampf von Cloudflare, um sicherzustellen, dass die Bemühungen zur Bekämpfung von Rechtsverletzungen im Internet mit der technischen Natur der verschiedenen Internetdienste und mit wichtigen Rechts- und Menschenrechtsprinzipien wie ordnungsgemäßen Verfahren, Transparenz und Verhältnismäßigkeit vereinbar sind. Wir werden diesen Kampf fortsetzen, sowohl durch öffentliche Überzeugungsarbeit als auch, wenn nötig, durch Rechtsstreitigkeiten, da wir dies als einen weiteren Teil unseres Beitrags für ein besseres Internet sehen.