Wenn die Entschlüsselung über inputstream.adaptive + Widevine CDM in der TEE (Trusted Execution Environment, also L1) läuft, wird die Schutzmaßnahme nicht umgangen, sondern bestimmungsgemäß genutzt. Widevine entschlüsselt den Stream so, wie es der Lizenzgeber vorgesehen hat – die Lizenz kommt vom Waipu-Lizenzserver, der Content-Key wird im sicheren Bereich verarbeitet, der Klartext-Stream verlässt die TEE nicht. Das ist technisch dasselbe, was auch die offizielle Waipu-App auf demselben Gerät tun würde.
§95a UrhG greift bei einer Umgehung wirksamer technischer Maßnahmen. Wer die Lizenz regulär anfordert und die CDM-Pipeline normal durchläuft, umgeht nichts – er nutzt das DRM-System wie vorgesehen. Das ist die gängige Argumentationslinie z. B. auch beim Zattoo-Kodi-Plugin oder bei MagentaTV-Integrationen.
Was übrig bleibt, ist die vertragsrechtliche Ebene: Waipus AGB schreiben in der Regel die Nutzung über offizielle Clients vor und untersagen Reverse Engineering der API sowie das Abgreifen von Tokens. Ein Kodi-Plugin, das sich am Login-Endpoint authentifiziert und MPDs + Lizenz-URLs zieht, verletzt fast immer die AGB – Konsequenz wäre Account-Sperre, nicht Strafanzeige.
Strafrechtlich relevant würde es erst, wenn:
der Klartext-Stream nach der CDM aufgezeichnet/weiterverteilt wird (dann §95a + §106 UrhG)
L3-Software-CDM auf einem Weg betrieben wird, der Schlüssel extrahiert (CDM-Dump)
Lizenzen ohne gültigen Account bezogen werden (Token-Sharing)
Solange du also einen eigenen, bezahlten Account verwendest und die Entschlüsselung sauber in der L1-TEE bleibt, ist das Risiko praktisch auf "AGB-Verstoß" reduziert.