:quality(80)/p7i.vogel.de/wcms/44/d2/44d227e198252c65e89838e46b41f7d8/0111366922.jpeg "Das Fraunhofer-Institut für Produktionstechnologie IPT hat ein konsteloses Konfigurations-Tool zu bieten. Es handelt sich quasi um eine Multi-Sensor-Plattform mit der Unternehmen ihre gewünschten Sensoriksysteme sehr einfach zusammenstellen können. Hier mehr dazu ... (Bild: Fraunhofer IPT)")
:quality(80)/p7i.vogel.de/wcms/b8/63/b863dd5cc588cbc7948d3cc6d5f4e1b0/0111699796.jpeg "Der 1961 in Oldenburg geborene Maschinenbauingenieur Holger Hanselka leitete das Karlsruher Institut für Technologie (KIT) und hat dies zurück in die Riege der Exzellenzuniversitäten geführt. Jetzt wird er nach Reimund Neugebauer der nächste Präsident der Frauhnofer-Gesellschaft. (Bild: KIT)")
:quality(80)/p7i.vogel.de/wcms/33/f8/33f8743906288382444971d4a35b2297/0111643582.jpeg "„Die Einführung von Prozessgeräteprofilen in EtherNet/IP ist ein wichtiger Schritt, um alle Anforderungen der Prozessindustrie zu erfüllen“, so Dr. Al Beydoun, Präsident und Geschäftsführer von ODVA. Jetzt können günstigere, ausfallsicherere Anlagen entwickelt werden. (Bild: ODVA)")
:quality(80)/p7i.vogel.de/wcms/aa/ca/aaca30b5788219fdc124e95709a2ab8a/0110020694.jpeg "In diesem Jahr wird der Best of Industry Award in 30 Kategorien vergeben. (Bild: VCG)")
:quality(80)/p7i.vogel.de/wcms/d2/37/d23704af47f1a8f9a6846efdce36b69f/0111392653.jpeg "(Bild: Protolabs)")
:quality(80)/p7i.vogel.de/wcms/21/f3/21f3ac3b8f8939075aaf4f23879f3900/0111574745.jpeg "Nahinfrarot anstelle von Ultraviolett: Chinesische Wissenschaftler haben einen neuen Schlicker für den 3D-Druck von Keramik entwickelt, der besonders schnell aushärtet. (Bild: LeonART - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/91/c991e153ef40c5388026e8709eb44efb/0110337719.jpeg "Jan Reckmeyer, Geschäftsführer bei Walter Reckmeyer Werkzeug- und Maschinenbau, spart pro 3D-Drucker ein CNC Bearbeitungszentrum ein. Der industrielle 3D-Druck steht für sein Unterenhmen daher für eine neue Flexibilität und die Wettbewerbsfähigkeit gegenüber dem Wettbewerb aus Fernost. (Bild: Mark 3D GmbH)")
:quality(80)/p7i.vogel.de/wcms/73/96/73969e68ea0ee9cbc28309ec831c60d8/0110426724.jpeg "Screenshot der Einstiegsseite mit anonymisierten Daten. (Bild: Screenshot von Autorin)")
:quality(80)/p7i.vogel.de/wcms/fe/8d/fe8dc7ce63cecaebc42924ef66525a18/0111385441.jpeg "Raspberry Pi Global Shutter Camera: Bestens geeignet für schnelle Bewegtbildfotografie. (Bild: Raspberry Pi)")
IT-Compliance Open-Source-Software: Warum Unternehmen eine Compliance brauchen
Ziel einer Compliance-Organisation ist es, die Risiken beim Einsatz von Software zu minimieren. Brauchen Unternehmen eine Compliance, wenn sie Open-Source-Software einsetzen oder kann man in diesem Fall den Aufwand sparen und darauf verzichten?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/61/5a/615ac2ee6e619/paessler-logo-mit-claim-me-blue.jpeg "paessler-logo-mit-claim-me-blue (Paessler AG)"){kind=logo}
Open-Source-Software (OSS) ist Grundlagen der Digitalisierungsstrategie vieler Unternehmen und findet sich in allen Branchen und Marktsegmenten – von der Automobilbranche bis zur öffentlichen Hand. Linux, Mozilla und Wikipedia gehören zu etablierten technischen Standards, die ihren Eingang auch in die IT der großen Konzerne gefunden haben. Doch trotz der hohen Verbreitung fehlt es bei vielen Unternehmen noch an einem Open-Source-Compliance-System. Warum aber Compliance?
Open-Source-Software ist nicht rechtsfrei und nicht in der Public Domain Der Begriff „Open Source“ steht für Softwarekomponenten, die ihrem Nutzer mit dem Quellcode (Source Code) angeboten werden. Der Nutzer soll eine
Anwendung nicht nur nutzen, sondern auch bearbeiten, ändern und weiterentwickeln können. Durch möglichst viele Beiträge qualifizierter Entwickler soll sich der Funktionsumfang einer Anwendung rasch erweitern, aber auch die Qualität, Stabilität und Performance verbessern. Das klingt alles sehr vielversprechend. Allerdings ist Open-Source-Software keineswegs „rechtsfrei“.
Die Open-Source-Softwarekomponenten sind nicht in der – nach deutschem Urheberrecht nicht vorgesehenen – Public Domain, wonach der Rechteinhaber ausdrücklich auf seine Rechte verzichtet.
Im Gegenteil: Viele der unzähligen Open-Source-Lizenzbestimmungen (Open Source Licenses, siehe auch www.ifross.org) enthalten Verpflichtungen, die der Nutzer unter bestimmten Voraussetzungen beachten muss. Sonst droht eine Urheberrechtsverletzung, die zu einer Abmahnung, Unterlassungsverpflichtung und gegebenenfalls auch Schadenersatz führen kann. Hinzu kommt, dass viele OSS-Lizenzbedingungen für den Fall der Lizenzverletzung den Wegfall von Nutzungsrechten vorsehen. Nach deutschem AGB-Recht könnten solche Klauseln als überraschende Klauseln unwirksam sein, nach „US-Recht“ ist der Bestand solcher Klauseln sehr wahrscheinlich.
Lizenzpflichten
Hinter dem Begriff der „Lizenzpflichten“ verbergen sich die zunächst verhältnismäßig harmlos erscheinenden Verpflichtungen zur Weitergabe des Quellcodes und der Urheberrechtsvermerke. Selbst daraus ergeben sich viele ungeklärte Fragen:
- Eine hohe Anzahl von OSS-Lizenzbedingungen verlangt die Mitlieferung einer Kopie der Lizenztexte. Wie diese Verpflichtung erfüllt werden kann, ist in Literatur und Rechtsprechung nicht geklärt.
- Es zeichnet sich eine Tendenz ab, dass diese Verpflichtung nicht mit der Verlinkung von Lizenztexten oder der Angabe von Links auf generische Versionen erfüllt werden kann. Solange es nur um einzelne Lizenztexte geht, erscheint eine Mitlieferung in Papierform (zum Beispiel als Bestandteil einer Dokumentation) denkbar. Wie aber lässt sich diese Verpflichtung umsetzen, wenn es um hunderte Komponenten mit unterschiedlichen Lizenztexten geht? Was gilt, wenn diese Vielzahl von Open–Source-Software in einem Embedded System (zum Beispiel in der Entertainment-Einheit eines Kfz oder der Steuerung eines Küchengeräts) steckt? Können die Lizenztexte dann über Webseiten, Displays oder Interfaces „mitgeliefert“ werden?
- Eine Lizenzverletzung kann sich auch daraus ergeben, dass für den Lizenznehmer kein unmittelbarer Bezug zwischen der OSS-Komponente und dem Lizenztext erkennbar ist: Der Lizenznehmer muss aber seine Rechte in Bezug auf die konkrete OSS-Komponente erkennen können. Der Bezug zwischen Lizenztext und OSS-Komponente muss also vorhanden sein. Das ist für viele Hersteller aber unerwünscht, denn sie möchten ja gerade nicht offenlegen, was alles in ihren Produkten enthalten ist. Auch Sicherheitsaspekte können solchen Angaben entgegenstehen: Der konkrete Hinweis auf enthaltene Komponenten liefert unter Umständen ein Einfallstor für Hacker.
Der sogenannte „Copyleft-Effekt“
Neben den allgemeinen Lizenzpflichten enthalten einige Open Source Licenses einen sogenannten Copyleft-Effekt („viraler Effekt“), d. h. die Verpflichtung, Bearbeitungen und Weiterentwicklungen unter der gleichen Lizenzbestimmung zu verbreiten. Das wäre dann einfach, wenn klar wäre, was unter eine Bearbeitung oder Weiterentwicklung fällt. Das ist es aber gerade nicht.
- Wesen des viralen Effekts ist es, dass sich eine OSS-Lizenzbedingung mit Copyleft-Effekt auf alle Komponenten erstrecken muss, die die erhaltene OSS-Komponente vollständig oder in Teilen enthalten oder deren Bearbeitung („Derivative Work“) darstellen. Die Festlegung, wann eine Bearbeitung oder ein „Derivative Work“ vorliegt, ist komplex und nicht abschließend geklärt: Die statische Verlinkung von Bibliotheken löst zum Beispiel den viralen Effekt bei GPL (General Public License) und LGPL (Lesser General Public License) aus, aber auch bei der dynamischen Verlinkung kann ein Copyleft-Effekt nicht von vornherein ausgeschlossen werden.
- Welche technischen Verknüpfungen zulässig sind, damit der virale Effekt nicht ausgelöst wird, ist nicht abschließend geklärt. Das Landgericht Berlin hat in einer Entscheidung eine TV-Set-Top-Box zum Sammelwerk im urheberrechtlichen Sinne erklärt. In der Konsequenz greift der virale Effekt für alle in der TV-Set-Top-Box enthaltenen Komponenten. Die Entscheidung ist höchst umstritten, kann aber dennoch nicht einfach ignoriert werden.
Die weitere Rechtsprechung der deutschen Gerichte macht deutlich, dass Rechteinhaber ihre Ansprüche geltend machen und auch durchsetzen können.
Lizenzpflichten hängen von der geplanten Verwendung ab
Es gibt nicht „die“ Open-Source-Lizenzbestimmung, sondern eine Vielzahl von Open Source Licenses. Diese können zwar in bestimmte Lizenztypen systematisiert werden, aber dennoch starke Unterschiede in den Verpflichtungen haben. Damit steht der Nutzer vor erheblichen Herausforderungen, wenn er beurteilen will, unter welchen Voraussetzungen er eine Open-Source-Softwarekomponente rechtssicher einsetzen kann. Dies gilt umso mehr, weil die Entstehung der diversen Lizenzpflichten auch davon abhängt, wie der Nutzer die Softwarekomponente einsetzen will.
Die reine Nutzung zu unternehmensinternen Zwecken ist lizenzrechtlich meist unproblematisch, aber schon bei der Weitergabe an eine Konzerngesellschaft treten die ersten Fragestellungen auf. Ein Konzernprivileg gibt es jedenfalls nach deutschem Recht nicht. Spätestens dann, wenn eine Open-Source-Softwarekomponente als Bestandteil proprietärer Software vertrieben werden soll, wird die lizenzrechtliche Bewertung komplex. Erfolgt der Vertrieb nicht klassisch (durch Übermittlung einer Kopie der Anwendung), sondern als Software-as-a-Service oder Cloud, stellen sich weitere Fragen.
Viele Softwareanwendungen enthalten heute Open-Source-Softwarekomponenten, die unter unterschiedlichen Open-Source-Lizenzbestimmungen verbreitet werden. Nicht alle Lizenzbestimmungen sind miteinander kompatibel. Das heißt, in manchen Fällen führt die Einhaltung einer Open Source License zur Verletzung einer anderen.
- Anwendungen können nur dann lizenzrechtlich unbedenklich vertrieben werden, wenn die Lizenzpflichten aller implementierten Komponenten auch praktisch eingehalten werden können.
- Inkompatibilität liegt vor, wenn die Lizenzpflichten verschiedener Lizenzen miteinander unvereinbar sind, das heißt, dass die Einhaltung der Pflichten aus der einen Lizenz unweigerlich gegen die Pflichten der anderen Lizenz(en) verstößt.
- Copyleft-Lizenzbedingungen verlangen die Erstreckung ihrer Bestimmungen auf andere Komponenten. Deren Lizenzbedingungen dürfen nicht mit der Copyleft-Lizenzbedingung inkompatibel sein.
Für die Frage der Inkompatibilität spielt auch die Softwarearchitektur eine Rolle. Bei der Beschaffung sind neben rechtlichen auch technische Fragen relevant. Im Umgang mit Open Source im Unternehmen sind daher besondere Anforderungen zu beachten.
*Michaela Witzel arbeitet als Fachanwälting für Informationstechnologierecht in München.
(ID:45343882)
:quality(80)/images.vogel.de/vogelonline/bdb/1943400/1943475/original.jpg "Ein Drei-Schritte-Plan kann die Migration zu Open-Source-Software erleichtern. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936300/1936373/original.jpg "Das Fachbuch „Künstliche Intelligenz“ spannt den thematischen Bogen vom KI-Grundwissen über Use Cases bis hin zu Entwicklungen und Trends. (VIT)")