Startschuss für Hadopi in Frankreich: Erste Warnmails gehen raus

In Frankreich ist es jetzt soweit: Die ersten Anschlussinhaber haben wegen Urheberrechtsverletzungen im Internet eine Abmahnung per Email bekommen. Absender im Auftrag der französischen Internet-Kontrollbehörde zur Bekämpfung illegaler Downloads, kurz „Hadopi“ (Hohe Autorität für die Weiterverbreitung von Werken und den Schutz von Urheberrechten im Internet), sind die Internetprovider Bouygues und Numericable. Dies ist der erste Schritt der sogenannten „abgestuften Erwiderung“ und strafrechtlichen Verfolgung von Urheberrechtsverletzungen im Netz.

Mitte September hatte die Kontrollbehörde Hadopi eine erste Anfrage zur Identifizierung von IP-Adressen an alle Internetprovider (ISPs) Frankreichs geschickt. Laut Gesetz haben die ISPs acht Tage Zeit, eine solche Anfrage zu beantworten und Namen, Vornamen, Anschrift, Email und Telefonnummer zu übermitteln –sonst blüht ihnen 1.500 €uro Strafe für jede nichtidentifizierte IP-Adresse. Daraufhin erhielt die Behörde von den Providern die Kontaktdaten von ca. 800 verdächtigen Internetabonnenten. Allerdings nutzte mindestens einer der Provider eine Gesetzeslücke aus und übermittelte, dem Online-Magazin Numerama zufolge, die Listen mit den Daten der Anschlussinhaber praktischerweise in Papierform.

Wie funktioniert Hadopi eigentlich?

Das Hadopi-Gesetz, das sich auf die europäische Urheberrechtsrichtlinie 2001/29/EG stützt, wurde in Frankreich am 12. Juni 2009 abgesegnet. Die Kontrollbehörde Hadopi ist für die Umsetzung und praktische Bekämpfung von illegalen Downloads zuständig. Gegen Rechtsverletzer im Internet wird in drei Stufen (siehe Three-Strikes oder auch abgestufte Erwiderung) vorgegangen. Als erstes wird, nach Identifizierung der verdächtigen IP-Adressen durch die Provider, eine Abmahnung per Email versandt. Im Wiederholungs innerhalb von sechs Monaten nach Erhalt der ersten Verwarnung gibt es beim zweiten Mal eine Abmahnung per Einschreiben. Beim dritten Mal wird der Anschlussinhaber auf eine schwarze Liste gesetzt und die Internetverbindung temporär gekappt. Der französische Verfassungsrat bestimmte allerdings, dass eine Sperrung des Internetzugangs als letztes Mittel nur auf richterliche Anordnung erfolgen kann.

Durch das Gesetz liegt die Beweislast indirekt bei den Anschlussinhabern, die genauestens überwachen müssen, was auf ihren Computern so vor sich geht. Auf ihrer Internetseite erklärt die Behörde ein wenig mager, dass man den Internetzugang gegen eventuelle Schwarzfahrer einserseits mithilfe von Programmen für elterliche Kontrolle, Firewalls, Antivirenprogrammen und andererseites mittels WPA/WEP-Verschlüsselung absichern kann. Eine Liste mit zugelassenen Überwachungsprogrammen steht offiziell noch nicht zur Verfügung, aber ein erstes Programm, das die Bedingungen von Hadopi erfüllen würde, ist schon bekannt: ISIS entwickelt von der Firma H2DS. Das Programm zeichnet nach der Installation auf dem Rechner jeden Klick auf, damit der Internutzer seine Unschuld beweisen kann.

Der am 20. September geleakte Bericht der Datenschutzbehörde CNIL offenbarte, dass die Verwertungsindustrie der Hadopi-Behörde zukünftig bis zu 150.000 IP-Adressen täglich übermitteln wird, welche wiederum an die ISPs zur Identifizierung weitergeleitet werden. Der Vorsitzende der SCPP (entspr. zus. mit der SACEM in etwa der GEMA) bestätigte, dass es sich momentan um ungefähr 10.000 IP-Adressen/Tag handelt. Hier wurde die Zielsetzung dieser ‚digitalen Guillotine‘ mal ausgerechnet – mit dem Ergebnis, dass bald knapp ein Viertel der Franzosen in der digitalen Haft landen könnte. Der Bericht der CNIL erwähnt zudem die vollautomatisierten Prozeduren der Behörde – eine manuelle Überprüfung wird nicht stattfinden.

Das Budget für Hadopi belief sich im letzten Jahr auf insgesamt 6,9 Millionen Euro. Der Zeitung Nouvelobs erklärte der Abgeordnete Lionel Tardy, dass das Budget für 2010 ca. 10,5 Millionen Euro erreichen wird. Für das nächste Jahr wurden der Behörde 12 Millionen Euro zugeteilt – eine Summe, die jedoch nicht den Kostenaufwand der ISPs für die Identifizierung der Abonnenten berücksichtigt.

In Großbritannien werden die Kosten der Three-Strikes-Regelung zu 75% von den Rechteinhabern und zu 25% von den ISPs getragen, in Frankreich müssen die Steuerzahler hierfür aufkommen. Zudem tragen die französischen Provider gänzlich den Kostenaufwand für die Er- und Übermittlung der Kundendaten, denn Kulturminister Frédéric Mitterand erklärte bereits der Nachrichtenagentur AFP, dass „eine Rückerstattung durch den Staat nicht vorhergesehen ist“. Die Verhandlungen laufen aber noch.

Zu den weiteren Aufgaben der Behörde zählt die Kontrolle der Interoperabilität der digitalen Rechteverwaltung (DRM), das Ausarbeiten von Studien zu Urheberrechtsfragen (legales Angebot, Piraterie-Links etc.), die Überwachung von Urheberechtsverletzungen und die Bewertung von Filtertechniken.

Deep Packet Inspection

Einige Filtertechniken werden zurzeit für das französische Netz entwickelt und getestet. Die Hadopi-Behörde dient hierbei als Plattform für alldiejenigen, die sich für die Deep Packet Inspection interessieren. Diese Netzwerküberwachungstechnik schaut in die übermittelten Datenpakete und analysiert sie auf eventuell unerwünschte Inhalte.

Anfang des Monats deckte das Online-Magazin PCInpact auf, dass die Verwertungsgesellschaft SCPP bei Meetings in der Europäischen Kommission die Tests der Berliner Firma EANTC zur Überwachung von P2P-Netzwerken in Frankreich vorgestellt hat (.ppt). Hier sind die Protokollentwürfe von den Meetings, die am 2. Juni und 1. Juli 2010 stattfanden. Angeblich konnten 90% des Datenverkehrs gefiltert werden, ohne dass es nennenswerte Auswirkungen auf die Netzwerkleistungen gegeben hätte.

Auch die ersten Tests der Vedicis-Technologie sollen nach Werbeaussagen der Firma erfolgreich gewesen zu sein, 99,98% der illegalen Inhalte sollen gefiltert wurden sein (Was nicht unabhängig überprüft wurde und etwas viel für die Realität scheint). In einer Pressemitteilung heißt es:

Based on its technology of Deep Content Inspection, Vedicis has developed a Content Smart Switch to provide advanced content analysis and control within broadband networks and create smart pipes with content awareness. Its fine grained traffic analysis enables precise monitoring and control over protocols, applications and content within High Speed Internet, while empowering telecom operators to achieve real time content billing and add behavioural targeting.

Wie man sich den “Content Smart Switch” genau vorstellen muss, wird hier (pdf) erklärt. In dem Dokument werden vier Stufen der Filtertechnik vorgestellt: „Detection, Identification, Actions in real time, Reports“. Auch die Erwähnung des Begriffs „Selective Blocking“ kann man sich auf der Zunge zergehen lassen.

Überraschend sind all diese Aktivitäten in Frankreich nicht, denn Präsident Sarkozy kündigte schon in seinen Neujahrswünschen die netzpolitische Richtung seiner Regierung an:

Und unabhängig von den Ermahnungen soll die Kontrollbehörde Hadopi permanent die modernsten und effizientesten Lösungen konzipieren, um Werke zu schützen. Je besser wir Netzwerke und Server automatisch von Piraterie ‚reinigen‘ können, um so weniger wird es nötig sein, auf Maßnahmen zurückzugreifen, die eine Belastung für die Internetnutzer sind. Wir müssen also unverzüglich mit Filtertechniken experimentieren.
(Übersetzung vasistas?)

Die ersten Abmahnungen werden nicht einfach ohne weitere pädagogische Maßnahmen auf die französischen Internetnutzer losgelassen, sondern von der neugeschaffenen Internetseite hadopi.fr begleitet. Die Seite ließ lange auf sich warten, ist aber seit dem 1.10. online und informiert Internetnutzer über gesetzliche Einzelheiten, die Behörde an sich („Schutz, Information, Innovation“), das legale Angebot und die Absicherung der eigenen Internetverbindung.

Der Generalsekretär von Hadopi, Eric Walter, erklärte bereits, dass das Budget zu hoch gewesen wäre, um die Seite gegen eine DDos-Attacke zu wappnen und ein Rüstungswettlauf vermieden werden wollte. In der letzten Zeit waren die Webseiten der MPAA und der RIAA wegen ihrer Kampfansagen gegen die Piraterie DDos-Attacken zum Opfer gefallen. Diese neue ‚Form des Protests‘ scheint auch für die Seite hadopi.fr in Planung zu sein.

Es gibt auch mittlerweile Muster der Warn-Emails.

Die Email beschreibt den generellen Ablauf der Three-Strikes-Regelung. Hier nur einiges Kurioses aus diesem Muster:

– Man muss „alle notwendigen Vorkehrungen treffen, um [die Verbindung] abzusichern und betrügerischer Nutzung “ vorzubeugen. Welche Vorkehrungen gemeint sind, wird nicht weiter ausgeführt.

– Ein pädagogischer Ansatz mit der Überschrift „Warum das Urheberrecht schützen?“: Die Antwort: „Hinter dem verlockenden Anschein des Kostenlosen verbergen sich Praktiken, die keinen Respekt vor dem Urheberrecht haben und den Künstlern ihre faire Vergütung rauben.“ Dass es im Internet auch ein kostenloses Musikangebot gibt, das vollkommen legal heruntergeladen werden kann, scheint irgendwie bei der Kontrollbehörde Hadopi noch nicht angekommen zu sein…

Eigentlich ist es gesetzlich vorgeschrieben, dass die verwarnten Internetnutzer umfangreiche Informationen zu dem legalen kulturellen Angebot im Internet und den Möglichkeiten der Anschlussabsicherung von der Kontrollbehörde erhalten. Aber all diese Infos werden in der Warnmail so minimal wie möglich gehalten.

(Crossposting von vasistas?)

11 Ergänzungen

  1. krasse scheiße, und wer seine unschuld auf vorrat speichern will überwacht sich praktischerweise gleich selber.

  2. Wie wird verhindert, das die Leute nicht ein fingiertes „sauberes“ Log zu ihrer Entlastung vorlegen? Z.B. kann man doch ganz prima ISIS auf eine virtuelle Maschine installieren, die dann nix mitbekommt. Und wenn man die WLAN-Verbindung nur per WEP verschlüsseln muss, dann ist’s im Zweifel sowieso immer ein anderer.

  3. Ich bin ja mal gespannt, wann die ersten die emails faken und massenhaft an „Unschuldige“ verschicken (vlt. sogar gleich mit Kontonummer für die angefallene Strafzahlung… )

  4. Wie konnten die französischen Internetnutzer zulassen, dass so ein Gesetz beschlossen und so eine Institution aufgebaut wird?

    Und nur mal vorsichtshalber: Wie kann man sich gegen diese Art von Kontrolle schützen?

  5. Ich schreibe eigentlich nie Kommentare, aber heute muss ich was los werden:
    Ich glaube, dass das Thema Netzpolitik schön langsam zu einem Generationenkonflikt wird, so Digital Natives versus Alte Säcke! (Man möge mir dem Ausdruck entschuldigen…) Das Blöde ist, dass eben diese realitätsfernen abgehobenen Kapitalisten in der Regierug sitzen.
    Ich frage mich, wie so eine umfangreiche Überwachung überhaupt in einem Rechtsstaat möglich ist. Man sollte doch annehmen, dass so ein Versuch sofort als verfassungswidrig gekippt wird.
    Laut einer Studie befinden sich auf 1/4 der deutschen PCs (incl. Firmen-PCs) illegale Kopien. Die Dunkelziffer liegt, glaube ich, noch höher. Das lässt sich auch ungefähr auf die Gesellschaft ummünzen. Also sagen wir, 1/4 der Gesellschaft nutzt illegale Kopien. Das wären in Frankreich 15 Millionen Leute!!!
    Sag mal, sind die noch bei Trost!!!

    Um noch meinem Vorposter zu antworten: Da hilft wohl nur eines, nämlich Verschleierungssoftware, wie z.B. Tor. Allerdings bin ich mir nicht sicher, ob Tor gegen Deep Packet Inspection hilft…

  6. Bei Tor bin ich mir nicht ganz sicher ob das auch gegen DPI schützt. Die Verbindung muss halt auf dem eigenen Rechner (oder zumindest im eigenen Netzwerk) schon verschlüsselt werden. Tor ist halt primär dazu gedacht um sich dem Dienstanbieter ggü. zu anonymisieren. Wenn die DPI am Einwahlknoten des eigenen Anschlusses stattfindet, dann ist zwingend eine verschlüsselte Verbindung notwendig.

    Eine andere Lösung wäre einen Server in einem anderen Land (z.B. Island) zu unterhalten und dann den gesamten Internetverkehr per SSH oder VPN dorthin zu tunneln und den Server als „Ausfalltor“ zu verwenden. Vorteil: ziemlich sicher, Nachteil: hohe Kosten, hoher Administrationsaufwand.

  7. TOR müsste helfen, weil TOR den Verkehr mehrfach verschlüsselt (mindestens 3 Mal, pro Knoten ein Mal). Insofern halte ich es für außerordentlich unwahrscheinlich, dass man die Art des Verkehrs noch irgendwie erraten kann, wenn man in die Pakete reinschaut. Ggf. könnte man grob schließen was für eine Art von Verbindung hier erfolgt, weil man die Datenmengen einigermaßen sehen kann. Allerdings ist es gänzlich unmöglich den Download eines geschützten Films über HTTP vom Download einer Linux-Distribution über HTTP zu unterscheiden. Beides rund 700MB groß, gleiches Protokoll, gleichmäßiger Stream (bei P2P schwankt es ja stark), alles gleich. Man kann wenn es verschlüsselt ist eben nicht mehr sagen WAS das da genau für ein Datum ist, man kann nur auf die groben Charakteristika schließen (Datenmenge, Datenrate etc.).
    Wenn man allerdings keine Ende-zu-Ende-Verschlüsselung macht, dann kann zwischen der TOR-Exit-Node und dem Ziel-Rechner noch mitgelesen und mit DPI ggf. gefiltert werden. Nicht aber rechtssicher auf den Sender geschlossen werden.

    Aber mal ehrlich: Filesharing mit TOR!? Das ist nicht euer Ernst!

    Nett finde ich aber

    Im Wiederholungs innerhalb von sechs Monaten nach Erhalt der ersten Verwarnung gibt es beim zweiten Mal eine Abmahnung per Einschreiben.

    Das bedeutet man kann sich zwei Mal im Jahr erwischen lassen, immer wenn man erwischt wurde muss man es sechs Monate sein lassen (bzw. ganz doll aufpassen und entsprechende Maßnahmen ergreifen). Interessante Variante.

    Großartig finde ich aber die Grundidee auf Alternativen hin zu weisen. Ich stelle immer wieder fest, dass CC-Portale unbekannt sind oder unter Vorurteilen (ob der Qualität) zu leiden haben.
    Auch wenn es nicht so richtig umgesetzt wird, fände ich es eigentlich erfreulich, wenn mehr und mehr Filesharer einfach zu Content unter freien Lizenzen (in Frankreich vielleicht die „Art Libre“) tendierten und mehr oder minder der französische Markt zumindest für kostenpflichtige Musik und Software total wegbricht. (Bei Filmen und ein wenig auch bei Büchern ist die Menge an freien Produkten ja eher gering).
    Ich persönlich mache nämlich seit geraumer Zeit genau das, ich höre fast nur noch freie Musik und ich benutze fast nur noch freie Software, die Probleme, die sich auftun sind nicht der Rede wert.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.