IT-Compliance

Open-Source-Software: Warum Unternehmen eine Compliance brauchen

| Autor / Redakteur: Michaela Witzel* / Julia Moßner

Augen zu und durch mag manchmal funktionieren. Beim Einsatz von Software sollte man die rechtlichen Risiken minimieren. Auch Open-Source-Software ist nicht rechtsfrei und bedarf daher wie andere Software auch einer genauen rechtlichen Betrachtung.
Augen zu und durch mag manchmal funktionieren. Beim Einsatz von Software sollte man die rechtlichen Risiken minimieren. Auch Open-Source-Software ist nicht rechtsfrei und bedarf daher wie andere Software auch einer genauen rechtlichen Betrachtung. (Bild: gemeinfrei / CC0)

Ziel einer Compliance-Organisation ist es, die Risiken beim Einsatz von Software zu minimieren. Brauchen Unternehmen eine Compliance, wenn sie Open-Source-Software einsetzen oder kann man in diesem Fall den Aufwand sparen und darauf verzichten?

Open-Source-Software (OSS) ist Grundlagen der Digitalisierungsstrategie vieler Unternehmen und findet sich in allen Branchen und Marktsegmenten – von der Automobilbranche bis zur öffentlichen Hand. Linux, Mozilla und Wikipedia gehören zu etablierten technischen Standards, die ihren Eingang auch in die IT der großen Konzerne gefunden haben. Doch trotz der hohen Verbreitung fehlt es bei vielen Unternehmen noch an einem Open-Source-Compliance-System. Warum aber Compliance?

Open-Source-Software ist nicht rechtsfrei und nicht in der Public Domain Der Begriff „Open Source“ steht für Softwarekomponenten, die ihrem Nutzer mit dem Quellcode (Source Code) angeboten werden. Der Nutzer soll eine

Anwendung nicht nur nutzen, sondern auch bearbeiten, ändern und weiterentwickeln können. Durch möglichst viele Beiträge qualifizierter Entwickler soll sich der Funktionsumfang einer Anwendung rasch erweitern, aber auch die Qualität, Stabilität und Performance verbessern. Das klingt alles sehr vielversprechend. Allerdings ist Open-Source-Software keineswegs „rechtsfrei“.

Die Open-Source-Softwarekomponenten sind nicht in der – nach deutschem Urheberrecht nicht vorgesehenen – Public Domain, wonach der Rechteinhaber ausdrücklich auf seine Rechte verzichtet.

Im Gegenteil: Viele der unzähligen Open-Source-Lizenzbestimmungen (Open Source Licenses, siehe auch www.ifross.org) enthalten Verpflichtungen, die der Nutzer unter bestimmten Voraussetzungen beachten muss. Sonst droht eine Urheberrechtsverletzung, die zu einer Abmahnung, Unterlassungsverpflichtung und gegebenenfalls auch Schadenersatz führen kann. Hinzu kommt, dass viele OSS-Lizenzbedingungen für den Fall der Lizenzverletzung den Wegfall von Nutzungsrechten vorsehen. Nach deutschem AGB-Recht könnten solche Klauseln als überraschende Klauseln unwirksam sein, nach „US-Recht“ ist der Bestand solcher Klauseln sehr wahrscheinlich.

Hinweis Fallen in der Vertriebskette nachträglich Nutzungsrechte weg, drohen Ansprüche wegen Rechtsmängeln seitens der weiteren Lizenznehmer. Lizenzverstöße können demnach weitreichende Folgen haben. In Betracht kommen urheberrechtliche Unterlassungs- und Schadenersatzansprüche, gegebenenfalls strafrechtliche Sanktionen. Eine fehlende oder unzureichende Compliance kann auch zur Haftung der Unternehmensleitung führen.

Lizenzpflichten

Hinter dem Begriff der „Lizenzpflichten“ verbergen sich die zunächst verhältnismäßig harmlos erscheinenden Verpflichtungen zur Weitergabe des Quellcodes und der Urheberrechtsvermerke. Selbst daraus ergeben sich viele ungeklärte Fragen:

  • Eine hohe Anzahl von OSS-Lizenzbedingungen verlangt die Mitlieferung einer Kopie der Lizenztexte. Wie diese Verpflichtung erfüllt werden kann, ist in Literatur und Rechtsprechung nicht geklärt.
  • Es zeichnet sich eine Tendenz ab, dass diese Verpflichtung nicht mit der Verlinkung von Lizenztexten oder der Angabe von Links auf generische Versionen erfüllt werden kann. Solange es nur um einzelne Lizenztexte geht, erscheint eine Mitlieferung in Papierform (zum Beispiel als Bestandteil einer Dokumentation) denkbar. Wie aber lässt sich diese Verpflichtung umsetzen, wenn es um hunderte Komponenten mit unterschiedlichen Lizenztexten geht? Was gilt, wenn diese Vielzahl von Open–Source-Software in einem Embedded System (zum Beispiel in der Entertainment-Einheit eines Kfz oder der Steuerung eines Küchengeräts) steckt? Können die Lizenztexte dann über Webseiten, Displays oder Interfaces „mitgeliefert“ werden?
  • Eine Lizenzverletzung kann sich auch daraus ergeben, dass für den Lizenznehmer kein unmittelbarer Bezug zwischen der OSS-Komponente und dem Lizenztext erkennbar ist: Der Lizenznehmer muss aber seine Rechte in Bezug auf die konkrete OSS-Komponente erkennen können. Der Bezug zwischen Lizenztext und OSS-Komponente muss also vorhanden sein. Das ist für viele Hersteller aber unerwünscht, denn sie möchten ja gerade nicht offenlegen, was alles in ihren Produkten enthalten ist. Auch Sicherheitsaspekte können solchen Angaben entgegenstehen: Der konkrete Hinweis auf enthaltene Komponenten liefert unter Umständen ein Einfallstor für Hacker.

Der sogenannte „Copyleft-Effekt“

Neben den allgemeinen Lizenzpflichten enthalten einige Open Source Licenses einen sogenannten Copyleft-Effekt („viraler Effekt“), d. h. die Verpflichtung, Bearbeitungen und Weiterentwicklungen unter der gleichen Lizenzbestimmung zu verbreiten. Das wäre dann einfach, wenn klar wäre, was unter eine Bearbeitung oder Weiterentwicklung fällt. Das ist es aber gerade nicht.

  • Wesen des viralen Effekts ist es, dass sich eine OSS-Lizenzbedingung mit Copyleft-Effekt auf alle Komponenten erstrecken muss, die die erhaltene OSS-Komponente vollständig oder in Teilen enthalten oder deren Bearbeitung („Derivative Work“) darstellen. Die Festlegung, wann eine Bearbeitung oder ein „Derivative Work“ vorliegt, ist komplex und nicht abschließend geklärt: Die statische Verlinkung von Bibliotheken löst zum Beispiel den viralen Effekt bei GPL (General Public License) und LGPL (Lesser General Public License) aus, aber auch bei der dynamischen Verlinkung kann ein Copyleft-Effekt nicht von vornherein ausgeschlossen werden.
  • Welche technischen Verknüpfungen zulässig sind, damit der virale Effekt nicht ausgelöst wird, ist nicht abschließend geklärt. Das Landgericht Berlin hat in einer Entscheidung eine TV-Set-Top-Box zum Sammelwerk im urheberrechtlichen Sinne erklärt. In der Konsequenz greift der virale Effekt für alle in der TV-Set-Top-Box enthaltenen Komponenten. Die Entscheidung ist höchst umstritten, kann aber dennoch nicht einfach ignoriert werden.

Die weitere Rechtsprechung der deutschen Gerichte macht deutlich, dass Rechteinhaber ihre Ansprüche geltend machen und auch durchsetzen können.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45343882 / Praxis)