Open Source Software (OSS) gewinnt zunehmend an Bedeutung. Was früher durch private Kinderzimmer-Projekte vorangetrieben wurde, wird nun vor allem durch Unternehmen jeder Größe forciert. Heutzutage fördern Unternehmen durch verschiedene Ansätze (bspw. sog. Open Source Fridays), dass ihre Mitarbeiter OSS für verschiedene Zwecke programmieren und verwenden. OSS kann entscheidend zur Entwicklung innovativer Produkte und Dienstleistungen bis hin zur Optimierung interner Prozesse beitragen. Der offene Zugang zu Quellcodes fördert die Zusammenarbeit und Innovation, was zu einem schnelleren Fortschritt und einer breiteren Verfügbarkeit technischer Lösungen führt. Zudem führt er zu einer besseren und langfristigeren Wartbarkeit der Software und reduziert etwaige Abhängigen von einzelnen Softwarelieferanten, etwa im Falle ihrer Insolvenz.

Lizenzanforderungen

Open Source Lizenzbedingungen sind durch grundlegende Anforderungen gekennzeichnet, die vom Verwender eingehalten werden müssen. Abhängig von der konkreten Lizenz gehören dazu:

  • Freie Weitergabe: Die Lizenz erlaubt die freie Verbreitung der Software. Benutzer können die Software ohne Einschränkungen kopieren, verbreiten und weitergeben.
  • Quellcode-Zugänglichkeit: Der Quellcode der Software muss zugänglich sein. Nutzer haben das Recht, den Quellcode einzusehen, zu modifizieren und zu verbessern.
  • Modifikation und abgeleitete Werke: Nutzer dürfen die Software modifizieren und abgeleitete Werke erstellen. Besonderheiten birgt eine sog. Copyleft-Lizenz, die es erlaubt, ein Werk frei zu nutzen, zu verändern und zu verbreiten, unter der Bedingung, dass alle abgeleiteten Werke ebenfalls unter derselben Lizenz stehen.
  • Keine Diskriminierung: Die Lizenz darf keine Person oder Gruppe diskriminieren. Sie muss allen Nutzern unabhängig von deren Zweck zur Verfügung stehen.
  • Technologie-Neutralität: Die Lizenz darf keine Beschränkungen hinsichtlich des Einsatzes der Software in spezifischen Technologien oder Produktbereichen vorsehen.
  • Integrität des Quellcodes des Autors: Während Modifikationen erlaubt sind, kann die Lizenz verlangen, dass der ursprüngliche Quellcode des Autors in einer bestimmten Form erhalten bleibt, oder dass modifizierte Dateien klar als solche gekennzeichnet werden.
  • Keine Nutzungseinschränkungen: Es dürfen keine Einschränkungen bezüglich der Nutzung der Software auferlegt werden, etwa durch Verbote für bestimmte Anwendungszwecke, wie z.B. die Festlegung einer Obergrenze an zulässigen Nutzern.
  • Weitergabe der Lizenz: Die Rechte, die in der Lizenz gewährt werden, müssen auch bei Weitergabe der Software an Dritte weitergegeben werden.

Unterschiedliche Open-Source-Lizenzen (z.B. GPL, MIT, Apache, GPL) interpretieren diese Grundsätze jedoch unterschiedlich, was zu spezifischen zusätzlichen Anforderungen führen kann.

Besondere Herausforderungen bei OSS-Einsatz

Darüber hinaus gibt es eine Vielzahl rechtlicher Aspekte, die bei der Nutzung von OSS berücksichtigt werden müssen. Besondere Herausforderungen sind:

Kompatibilität verschiedener Lizenzen

OSS wird unter verschiedenen Lizenzen zur Verfügung gestellt, die jeweils spezifische Anforderungen und Einschränkungen beinhalten. Das Spektrum der verwendeten Lizenzen ist groß. Diese Lizenzen reichen von sehr restriktiven, wie der GNU General Public License (GPL), die erfordert, dass abgeleitete Werke ebenfalls unter der gleichen Lizenz veröffentlicht werden müssen, bis hin zu eher permissiven Lizenzen, wie der MIT-Lizenz, die weniger strenge Anforderungen stellt. Ein wesentliches Risiko besteht darin, dass die unbedachte Vermischung unterschiedlicher Lizenztypen innerhalb eines Projekts zu Unvereinbarkeiten und rechtlichen Konflikten führen kann. Dies gilt insb. bei der Verwendung von Copyleft-Lizenzen.

Urheberrecht

Der Einsatz von OSS bedeutet nicht, dass das geistige Eigentum der ursprünglichen Entwickler aufgegeben wird. Vielmehr bleibt das Urheberrecht beim Entwickler, und der Code wird nur unter den Bedingungen der jeweiligen Open-Source-Lizenz zur Verfügung gestellt. Daher muss sichergestellt werden, dass die Rechte der Urheber respektieren und keine urheberrechtlich geschützten Inhalte unberechtigt nutzen oder verändern. Die Überprüfung der Lizenzbedingungen ist auch wichtig, um potenzielle Haftungsrisiken zu bewerten. Je nach Art der Lizenz kann ein Verstoß gegen die Bestimmungen dazu führen, dass die eingeräumten Nutzungsrechte automatisch erlöschen und strafrechtliche Konsequenzen drohen. Auch bei weniger strikten Lizenzbedingungen kann jeder Verstoß zu allgemeinen zivilrechtlichen Ansprüchen führen. Besonders bei Lizenzen mit Copyleft-Klauseln droht eine Pflicht zur Offenlegung eigener Quellcodes.

Sicherheits- und Haftungsrisiken

Da OSS öffentlich zugänglich ist, können auch potenzielle Schwachstellen für Hackerangriffe leichter aufgedeckt werden. Unternehmen, die OSS in ihre Produkte oder IT-Infrastruktur integrieren, müssen daher sicherstellen, dass sie regelmäßig Sicherheitsüberprüfungen durchführen und Patches zeitnah anwenden. Zudem stellt sich die Frage der Haftung, falls durch die Nutzung von OSS Schäden entstehen. In vielen Fällen bieten die Lizenzen keinen oder nur begrenzten Schutz vor solchen Risiken.

Die Open Source-Welt ist im Umbruch – mit Aitava blieben Sie am Ball.

Neue Digitalgesetze und Open Source

Neue Produkthaftungsrichtlinie (Inkrafttreten vssl. Ende 2024)

  • Strenge zivilrechtliche Haftung zulasten von Softwareherstellern
  • Bereichsausnahme für freie oder quelloffene Software, die außerhalb einer gewerblichen Tätigkeit entwickelt oder bereitgestellt wird (Art. 2 Nr. 2)
  • Gewerbliche Tätigkeit u.a. schon dann, wenn personenbezogene Daten nicht nur zur Verbesserung der Sicherheit, Kompatibilität oder Interoperabilität der Software verwendet werden

AI Act (am 01.07.2024 in Kraft getreten)

  • Gemäß Art. 2 Abs. 12 gilt der AI Act nicht für KI-Systeme, die unter freien und quelloffenen Lizenzen bereitgestellt werden, es sei denn, sie werden als Hochrisiko-KI-Systeme oder als ein KI-System, das unter Art. 5 (KI-Verbot) oder Art. 50 (Transparenz) fällt, in Verkehr gebracht oder in Betrieb genommen.
  • Damit läuft das „OSS-Privileg“ des AI Act faktisch leer.

Cyber Resilience Act (Inkrafttreten vssl. Ende 2024)

  • Hohe produktrechtliche Anforderungen an die Entwicklung von Software bei digitalen Produkten
  • Zusätzliche Pflichten für sog. Verwalter quelloffener Software (engl. open source software stewards), die die OSS-Entwicklung systematisch und nachhaltig zu unterstützen, z.B. durch Hosting von Quellcode oder Softwareentwicklungsplattformen.

Open Source Compliance

Um das enorme Potential, welches in der Verwendung von Open Source Software liegt umfassend ausschöpfen zu können, ist es für Unternehmen folglich ratsam, ein effektives Compliance System einzurichten. Ein effektives Open Source Compliance-System umfasst mehrere zentrale Komponenten, die sicherstellen, dass OSS rechtssicher und unternehmenseinheitlich verwendet wird. Zu den wichtigsten Bausteinen gehören:

1. Open Source Policy

Eine klare und umfassende Open Source Policy bildet die Grundlage für jedes Compliance-System. Diese Policy definiert – abhängig von jeweiligen Unternehmen – die Regeln und Verfahren für die Verwendung von Open Source Software innerhalb des Unternehmens. Sie legt u.a. fest, welche Lizenztypen akzeptabel sind, welche Verpflichtungen damit einhergehen und welche Schritte im Falle eines Lizenzverstoßes zu unternehmen sind. Die Policy dient als verbindlicher Leitfaden für alle Mitarbeiter und unterstützt die Einhaltung rechtlicher Vorgaben und die Minimierung von Risiken.

2. Experten-Task Force

Zur Bündelung von unternehmensinternem Knowhow empfiehlt sich insb. bei Open Source Projekten die Einrichtung eines zentrales Expertengremiums. Dieses ist entscheidend für die wirksame Umsetzung und Überwachung der Open Source Compliance zuständig. Diese Gruppe von Spezialisten soll über das notwendige Wissen und die Erfahrung verfügen, um Fragen zur Lizenzkonformität zu klären und bei Zweifeln über die Verwendung von OSS-Komponenten zu entscheiden. Sie fungiert als zentrale Anlaufstelle für Mitarbeiter und stellt sicher, dass alle OSS-Verwendungen den internen Richtlinien und externen gesetzlichen Anforderungen entsprechen.

3. Mitarbeiterschulungen

Die Schulung der Mitarbeiter ist ein weiterer wesentlicher Bestandteil eines Open Source Compliance-Systems. Es ist entscheidend, dass alle Mitarbeiter, die mit OSS arbeiten oder diese in ihre Projekte integrieren, die Bedeutung von Lizenzkonformität verstehen. Schulungen tragen dazu bei, das Bewusstsein für die potenziellen rechtlichen und geschäftlichen Risiken zu schärfen, die mit der Verwendung von OSS verbunden sind. Sie vermitteln auch Kenntnisse darüber, wie OSS sicher und effektiv eingesetzt werden kann.

Schluss mit Open Source Chaos

Wir unterstützen Sie gerne auf dem Weg zur OSS-Compliance

AI & Data

Vorsprung bedeutet, Handlungsmöglichkeiten frühzeitig zu kennen. Aitava ist spezialisiert auf die Beratung rund um Künstliche Intelligenz und Datenökonomie.

IT & Cloud

Wir vereinen juristische und technische Expertise zu Software- und Cloud-Projekten sowie IT-Outsourcing und Datenschutz.