Een recente uitspraak van het Hoger Regionaal Gerechtshof van Keulen in Duitsland betekende een belangrijke vooruitgang voor Cloudflare en het internet in hun verzet tegen misplaatste pogingen om online schending van auteursrechten aan te pakken via het DNS-systeem. Begin november heeft het Hof in de zaak Universal v. Cloudflare een beslissing genomen waarbij een verzoek werd afgewezen om openbare DNS-resolvers zoals 1.1.1.1 van Cloudflare verplicht te stellen om websites te blokkeren op basis van beschuldigingen van online schending van auteursrechten. Dat is een standpunt waar wij al lang voor pleiten, omdat het blokkeren via openbare resolvers ineffectief en disproportioneel is en het niet de broodnodige transparantie biedt met betrekking tot wat er wordt geblokkeerd en waarom.
Wat is een DNS-resolver?
Om te zien waarom de beslissing van Universal belangrijk is, is het belangrijk om te begrijpen wat een publieke DNS-resolver is en waarom het niet de juiste plaats is om te proberen inhoud op het internet te modereren.
Het DNS-systeem vertaalt websitenamen naar IP-adressen, zodat internetverzoeken naar de juiste locatie kunnen worden geleid. Op een hoog niveau bestaat het DNS-systeem uit twee delen. Aan de ene kant staat een reeks nameservers (Root, TLD en Authoritative) die samen informatie opslaan die domeinnamen aan IP-adressen koppelt; aan de andere kant staan DNS-resolvers (ook recursieve resolvers genoemd), die de nameservers vragen waar een bepaalde website zich bevindt. De nameservers zijn als het telefoonboek met namen en telefoonnummers, terwijl recursieve resolvers zijn als de telefoonoperator die een nummer opzoekt.
Terwijl gezaghebbende naamservers rechtstreeks door websitebeheerders worden beheerd en gebruikt, worden recursieve resolvers geselecteerd en gebruikt door mensen die op het internet surfen. Als je dit op je werk leest, heb je mogelijk naar deze webpagina genavigeerd met behulp van een DNS-resolver die je werkgever heeft gekozen. Als je dit thuis leest op een persoonlijk apparaat, is het mogelijk dat je de standaardoplosser van je ISP hebt gebruikt. Met een beetje technische kennis heb je misschien je eigen DNS-resolver gebouwd en draai je deze zelf of je hebt ervoor gekozen om een van de vele publieke DNS-resolvers te gebruiken die beschikbaar zijn op het internet.
Cloudflare heeft zijn openbare DNS-resolver, 1.1.1.1 in april 2018 gelanceerd, omdat we een snelle en private manier wilden bieden om op het internet te surfen. Terwijl de resolver van Cloudflare’s regelmatig als snelste resolver wordt beoordeeld, is het een van de vele opties. Andere bekende publieke resolvers zijn 8.8.8.8 van Google, OpenDNS van Cisco en Quad9. Gebruikers kunnen een publieke DNS-resolver kiezen om privacyredenen, voor extra veiligheid of beveiliging, of gewoon omdat ze de best presterende optie willen die beschikbaar is. Wat hun reden ook is, mensen kunnen op elk moment van DNS-resolver veranderen.
Wat betekent het om te blokkeren via een DNS-resolver?
Net als andere schakels in de internetverbindingsketen worden DNS-resolvers soms gebruikt om toegang tot inhoud te voorkomen. Blokkeren op resolver-niveau is als het verwijderen van een vermelding uit een telefoonboek. Door te weigeren een IP-adres terug te sturen in antwoord op verzoeken voor een bepaalde website, kan een DNS-oplosser het doen lijken alsof een hele website effectief van het internet is verdwenen voor een individu dat die oplosser gebruikt. In tegenstelling tot het verwijderen van de inhoud bij de hostingprovider, is de inhoud echter nog steeds online toegankelijk, alleen een beetje moeilijker te vinden. Net zoals het hebben van een geheim telefoonnummer niet verhindert dat een telefoonnummer via andere kanalen wordt gevonden en gebeld, verhindert een blokkade in een resolver niet dat een internetgebruiker op talloze andere manieren naar een website kan navigeren. Een gebruiker kan een alternatieve resolver gebruiken, zijn eigen resolver bouwen of gewoon het IP-adres van de website intypen.
Omdat DNS IP-adressen retourneert voor hele domeinen, kan het blokkeren via DNS-resolvers alleen op domeinniveau gebeuren; het is niet mogelijk om specifieke stukken inhoud, individuele webpagina's of zelfs subdomeinen te blokkeren zonder de hele website te blokkeren. Het is niet mogelijk om specifieke stukken inhoud, individuele webpagina's of zelfs subdomeinen te blokkeren zonder de complete website te blokkeren. Dus een blokkadebevel om een auteursrechtelijk beschermde afbeelding te verwijderen via DNS-blokkering — vooral in het geval van een website met veel bijdragers of door gebruikers gegenereerde inhoud — zou leiden tot het blokkeren van álle inhoud op het hele domein. Dat betekent dat tenzij de gehele website een probleem is, de toepassing van een blokkering via DNS waarschijnlijk de toegang tot inhoud blokkeert die niet door een rechtbank als inbreukmakend of anderszins problematisch is aangemerkt.
De manier waarop DNS-blokkering werkt, namelijk weigeren om een IP-adres terug te sturen, betekent ook dat er geen verklaring wordt gegeven aan een individu waarom ze geen toegang konden krijgen tot de website in kwestie. Er is geen kennisgeving of transparantie. Hoewel er voorstellen zijn gedaan voor protocollen die het mogelijk maken om in zulke gevallen een foutcode terug te sturen, is er nog niets geïmplementeerd.
Onderscheid maken tussen publieke en private resolvers
Internet Service Providers (ISP's) in bepaalde rechtsgebieden hebben soms blokkades ingesteld via hun DNS-resolvers als een manier om te proberen te voldoen aan bevelen die gelden in dat rechtsgebied en die hen opdragen bepaalde websites ontoegankelijk te maken voor hun gebruikers. Een Duitse ISP die alleen Duitse gebruikers bedient, kan bijvoorbeeld zijn DNS-resolver laten weigeren om een IP-adres voor een website terug te sturen wanneer deze een bevel krijgt van een Duitse rechtbank om die hele website te blokkeren.
Rechthebbenden hebben onlangs geprobeerd om een dergelijke blokkering uit te breiden naar openbare DNS-resolvers. Maar openbare DNS-resolvers zijn niet hetzelfde als DNS-resolvers die door een lokale ISP worden beheerd. Openbare DNS-resolvers werken over de hele wereld meestal op dezelfde manier. Dat betekent dat als een publieke resolver de blokkade zou toepassen zoals een ISP dat doet, deze overal zou gelden. Dus de Duitse rechtbank die de blokkade beveelt, zou dicteren welke informatie beschikbaar is voor de gebruikers van de resolver in India, de Verenigde Staten, Argentinië en elk ander land waar de resolver wordt gebruikt. Pogingen om blokkades op een meer geografisch gerichte manier toe te passen op basis van de locatie van individuele resolvergebruikers werpen ernstige technische hindernissen op waar lokale ISP's niet mee te maken hebben, en het werpt ook privacykwesties op die serieus genomen moeten worden.
Cloudflare bouwde 1.1.1.1 om internetgebruikers een optie voor DNS-omzetting te bieden die snel zou zijn en hun persoonlijke gegevens niet zou verzamelen. Veel DNS-operators hebben in het verleden informatie over gebruikers verkocht op basis van de websites die ze hebben opgevraagd - 1.1.1.1 is ontworpen om te voorkomen dat dergelijke informatie ooit wordt verzameld. Voor blokkeringsbevelen gericht aan openbare afwikkelaars zou informatie moeten worden verzameld over waar de verzoeken vandaan komen om deze negatieve gevolgen te beperken en tegelijkertijd naleving aan te tonen. Dat zou slecht zijn voor de persoonlijke levenssfeer en slecht voor het internet.
Deze basiskenmerken van openbare resolvers vormen fundamentele obstakels voor het gebruik van dergelijke resolvers om inhoud te blokkeren.
Waarom blokkeren via publieke resolvers niet de oplossing is voor online misbruik
Bedenk wat je zou verwachten als een website die je probeert te bezoeken geblokkeerd zou zijn vanwege een gerechtelijk bevel. Ten eerste zou je verwachten dat de geblokkeerde inhoud echt bij wet verboden is. Je zou niet verwachten dat een hele website niet beschikbaar is alleen omdat een deel van de website in strijd is met het auteursrecht, en je zou ook niet verwachten dat een website wordt geblokkeerd voor een bezoeker in het ene land op grond van een bevel dat is uitgevaardigd in een heel ander land aan de andere kant van de wereld.
Ten tweede zou je verwachten dat je te horen krijgt waarom de website niet beschikbaar is. In plaats van een leeg scherm of geen antwoord, zou je een bericht willen waarin wordt uitgelegd dat de website is geblokkeerd en waarin de wettelijke autoriteit voor die actie wordt genoemd.
Tot slot zou je verwachten dat het blokkeermechanisme dat is ingesteld ook echt effectief is. We moeten geen fundamentele dingen veranderen aan de manier waarop het internet werkt als dat niet eens het beoogde effect heeft.
Blokkeren via publieke resolvers voldoet niet aan al deze eisen. Zoals hierboven besproken, kan het niet beperkt worden toegepast op bepaalde inhoud of bepaalde geografische gebieden. In tegenstelling tot blokkeren door ISP's, dat noodzakelijkerwijs beperkt is tot de geografische regio waarin de ISP opereert, kan blokkeren door middel van wereldwijde publieke resolvers alleen worden geïmplementeerd op een manier die zich uitstrekt over grenzen heen naar rechtsgebieden die misschien nooit geprobeerd zouden hebben om dezelfde inhoud te blokkeren. Dat wil zeggen, tenzij we meer persoonlijke informatie over de gebruiker verzamelen dan nodig is.
Bovendien is het niet transparant. Een gebruiker weet niet dat hij door een gerechtelijk bevel is geblokkeerd om inhoud te bekijken. Dat maakt het moeilijk voor het publiek om overheidsfunctionarissen verantwoordelijk te houden voor fouten of overblokkades.
En het is niet eens effectief. Traditioneel krijgen websitebeheerders of hostingproviders het bevel om inbreukmakende of illegale inhoud te verwijderen, wat een effectieve manier is om ervoor te zorgen dat die informatie niet langer beschikbaar is. Een DNS-blokkade werkt alleen zolang de persoon de resolver blijft gebruiken. De inhoud blijft beschikbaar en wordt weer toegankelijk zodra hij overschakelt op een andere resolver of zijn eigen resolver bouwt.
De rechtbank in Universal verwerpt DNS-blokkering
Ondanks deze problemen hebben sommige rechthebbenden erop aangedrongen dat publieke resolvers websites gedwongen moeten blokkeren op basis van online inbreuk. Cloudflare, samen met anderen zoals Quad9 en Google, hebben dit teruggedrongen. Hoewel er een beperkt aantal voorlopige uitspraken over deze kwestie zijn geweest, is de uitspraak van het Hoger Regionaal Hof in Universal de eerste keer dat een beroepshof in Europa een uitspraak heeft gedaan over het blokkeren van openbare resolvers in de hoofdprocedure.
De Universal-zaak, die oorspronkelijk in 2019 werd aangespannen, was een van de eerste pogingen van een rechthebbende om een bevel te verkrijgen dat blokkering via een openbare DNS-oplosser verplicht stelt. De zaak gaat over een vermeend auteursrechtschendend muziekalbum dat op een website was geplaatst die, op het moment dat de zaak werd ingediend, gebruik maakte van Cloudflare's pass-through beveiliging en CDN-diensten. De arrondissementsrechtbank van Keulen heeft een voorlopige uitspraak gedaan waarin Cloudflare wordt opgedragen de website te blokkeren via zowel onze CDN-service als onze publieke resolver. Cloudflare heeft geen mechanisme voor het blokkeren van websites via 1.1.1.1. en we hebben nog nooit een website geblokkeerd via onze publieke resolver. Cloudflare heeft echter wel stappen ondernomen om de toegang tot de website in Duitsland te blokkeren via onze CDN en pass-through security service. De website ging vervolgens offline en is niet langer beschikbaar op internet. We erkenden het belang van de onderliggende rechtsbeginselen die op het spel stonden en gingen desondanks door met procederen.
De recente beslissing van het Hoger Regionaal Gerechtshof maakt duidelijk dat publieke DNS-resolvers geen geschikt instrument zijn om online inbreuken aan te pakken, of om inhoud meer in het algemeen te modereren. De rechtbank legde uit dat “verweerder met de DNS-resolver een hulpmiddel levert dat voor iedereen gratis toegankelijk is, in het algemeen belang is en goedgekeurd is, en dat zuiver passief, automatisch en neutraal deelneemt aan de verbinding van internetdomeinen”. Verder werd opgemerkt dat blokkeren via een openbare resolver niet effectief is, omdat individuen gemakkelijk van resolver kunnen veranderen.
Belangrijk is dat de rechtbank oordeelde dat DNS-diensten worden beschermd door de Digital Services Act (DSA) van de EU, die vorig jaar werd aangenomen. Net als de richtlijn inzake elektronische handel erkent de DSA dat verschillende soorten diensten verschillende mogelijkheden hebben om inhoudkwesties aan te pakken, en de DSA onderscheidt “mere conduit”- en “caching”-diensten van “hosting”"-diensten in hun rol bij het aanpakken van inbreukmakende inhoud. Handig is dat de DSA DNS- en CDN-diensten uitdrukkelijk vermeldt als niet-hostingdiensten waarvoor andere verplichtingen gelden dan voor hostingdiensten. Het Hoger Regionaal Gerechtshof erkende dat DNS-resolvers recht hebben op dezelfde bescherming tegen aansprakelijkheid als andere “mere conduits” en verwierp in deze zaak het verzoek van de eiser om DNS-blokkering.
De strijd gaat door
Hoewel de beslissing van het Hoger Regionaal Gerechtshof een belangrijke vooruitgang betekent in de DNS-kwestie, gaat de strijd over hoe online inbreuken het beste kunnen worden aangepakt door. Rechthebbenden hebben rechtszaken aangespannen tegen andere DNS-aanbieders en in andere rechtsgebieden om soortgelijke blokkeringsbevelen te krijgen. We zullen blijven pleiten tegen die uitkomst, omdat we denken dat het slecht is voor het internet. We hopen dat de redenering van het Oberlandesgericht over de DNS-kwestie andere rechtbanken zal overtuigen.
Hoewel de beslissing van Universal over DNS de krantenkop is, waren er ook andere delen van de opinie die zorgen baren. De rechtbank bevestigde het vonnis van de lagere rechtbank dat Cloudflare verplichtte om de toegang tot de website in kwestie te blokkeren via onze CDN en pass-through security service. Deze beslissing heeft geen onmiddellijk praktisch effect, omdat de website in kwestie niet langer online beschikbaar is en Cloudflare reeds aan de uitspraak voldeed. Maar voor zover de beslissing kan worden gelezen om een bredere verplichting van doorgeefbeveiligings- en CDN-diensten te impliceren om online inhoud aan te pakken, is dat niet in overeenstemming met de aard van onze diensten en met de DSA, waarin CDN-diensten uitdrukkelijk worden genoemd als cachingdiensten die recht hebben op een aansprakelijkheidsvoorrecht. Cloudflare is daarom van plan om tegen dat aspect van de beslissing in beroep te gaan.
We waarderen de inspanningen van weldenkende rechters om te leren hoe het internet werkt en ervoor te zorgen dat hun beslissingen in lijn zijn met de grotere publieke voordelen van een goed functionerend internet, inclusief veiligheid, betrouwbaarheid en privacy. Deze beslissing betekent een verdere vooruitgang in Cloudflare's strijd om ervoor te zorgen dat inspanningen om online inbreuken aan te pakken verenigbaar zijn met de technische aard van verschillende internetdiensten en met belangrijke juridische en mensenrechtenprincipes rond een eerlijk proces, transparantie en proportionaliteit. We zullen deze strijd voortzetten, zowel door middel van openbare pleitbezorging als, waar nodig, door middel van rechtszaken, als een onze manier om te bouwen aan een beter internet.