Open Source Compliance
Open Source Software zeichnet sich durch einen öffentlich verfügbaren Quelltext aus. Dieser kann unter Einhaltung der entsprechenden Lizenzbedingungen kostenlos von jedem genutzt, verändert und wieder verbreitet werden. Die Nutzung solcher Open Source Software bietet B2B-Unternehmen wie KMU oder Start-Ups einige Vorteile. Zumindest solange sie sich im Rahmen der jeweiligen Lizenz bewegen. Umso überraschender ist es, dass viele Unternehmen nicht zuverlässig dokumentieren, ob ihre eigene Software Open-Source-Anteile enthält und in welchen Lizenzen diese unterliegen. Erschwerend kommt hinzu, dass die Open Source Lizenzbedingungen oft nicht klar formuliert sind. Open Source Lizenzbedingungen können sich auch gegenseitig ausschließen. So kann es passieren, dass Softwarekomponenten, die solchen Lizenzen unterstehen, innerhalb desselben Projekts nicht eingesetzt werden dürfen. Hier greift die Open Source Compliance ein und versucht mögliche Urheberrechtsverletzungen und deren rechtliche Folgen frühzeitig zu erkennen und zu vermeiden.
Im folgenden Artikel geben wir Ihnen einen Überblick über einige Begriffe im Zusammenhang mit der Open Source Compliance. Für tiefergehende Beratung kontaktieren Sie unsere Rechtsanwälte von LLP Law|Patent aus München.
„Copyleft Effekt“, „Viraler Effekt“ oder „Impfeffekt“
Für das Geschäftsmodell vieler B2B-Unternehmen im IT-Bereich überaus problematisch ist zudem der sogenannte Copyleft-Effekt. Dieser bezieht sich auf bestimmte (Schutz-) Klauseln in der Open Source Nutzungslizenz. Diese fordern im Wesentlichen, dass Weiterentwicklungen einer ursprünglich Open Source Software jedem Empfänger ebenfalls wieder im Quelltext zugänglich gemacht werden müssen. Sogenannte „strenge“ Copyleft Klauseln weiten dies auch auf solche Software-Komponenten aus, die vom Verwender der Open Source Software – auch unabhängig davon – selbst entwickelt wurden und selbstständig sind, aber mit der Open Source Software verbunden werden, wobei bereits eine dynamische Verlinkung genügen kann (sog. „Viraler Effekt“, den Verfechter des Copyleft Prinzips positiv mit „Impfeffekt“ beschreiben). Dies folgt dem Grundgedanken von Free und Open Source, möglichst viele Endnutzer von dem jeweiligen Produkt profitieren zu lassen. Wer also die freie Verfügbarkeit einer Open Source Software nutzt, muss dafür sorgen, dass auch nachfolgende Nutzer von der Software inklusive ihrer Weiterentwicklung gleichfalls wieder Gebrauch machen können.
Welche Probleme entstehen für Unternehmen aus dem „Copyleft Effekt“?
Für B2B-Unternehmen ist dies oftmals äußerst problematisch. Die jeweiligen Unternehmen wollen ihr Produkt in der Regel kostenpflichtig vermarkten und weiterveräußern. Allerdings ohne den Quellcode ihres eigenen Produktes zur freien Bearbeitung, Vervielfältigung und Weiterverbreitung zugänglich machen zu müssen. Im Falle von Open Source Software, deren Lizenzen einen solchen Copyleft Effekt aufweisen, können die Unternehmen also nicht mehr selbst über entsprechende Lizenzbedingungen entscheiden. Zudem stellt der Quellcode oftmals ein entscheidendes Geschäftsgeheimnis dar. Dieses müsste dann wegen der Nutzung einer einzigen Open Source Komponente offenbart werden.
Die besondere rechtliche Problematik liegt darin, dass eine Verletzung solcher Lizenzbedingung oftmals zum automatischen Entfall des Nutzungsrechts führt. Dann liegt eine – eventuell sogar strafbare – Urheberrechtsverletzung vor. Für B2B Unternehmen, insbesondere KMU und Start-Ups, ist dabei ein Aspekt besonders schwerwiegend: Neben den Schadenersatzansprüchen und Unterlassungsansprüchen des Urhebers der Open Source Software bestehen auch Ansprüche, die auf den Rückruf und die Vernichtung von Produkten gerichtet sind, die solche Open Source Komponenten enthalten. Beispielsweise wenn das Unternehmen solche in einem Produkt als „embedded Software“ integriert.
Brauchen Sie rechtlichen Beistand zu dieser Thematik? Kontaktieren Sie unsere Kanzlei LLP Law|Patent in München.
Rechtliche Gefahrenquellen
Verstöße gegen Open Source Lizenzen werden durch verschiedene Akteure aus unterschiedlichen Gründen und auf unterschiedliche Art und Weiße verfolgt. Im Folgenden eine kurze Einführung in die Konzepte der Community Enforcement und des Copyright Trolls.
Open Source Compliance: „Community Enforcement“
Die Hauptzielsetzung der Open Source Community besteht darin, die Einhaltung von Open-Source-Lizenzbestimmungen sicherzustellen. Es liegt dabei nicht in ihrem Interesse, Unternehmen aufgrund von Lizenzverstößen zu sanktionieren und Schadenersatzansprüche geltend zu machen. Ein Großteil der Entwicklergemeinschaft spricht sich insofern für eine informelle Durchsetzung dieser Lizenzen aus. Sie bevorzugt also, gerichtliche Konflikte zu vermeiden. Diese Haltung spiegelt sich auch in den „Principles of Community Enforcement“ der Software Freedom Conservancy wieder. Einer Non-Profit-Organisation zur Unterstützung von Open-Source-Projekten.
Diese Grundsätze unterstreichen das primäre Anliegen der Open Source Community, die Befolgung der Open-Source-Lizenzbedingungen zu fördern. Hauptaugenmerk liegt darauf, B2B-Unternehmen mittels Aufklärung aufzuzeigen, wie sie die Open-Source-Software in Übereinstimmung mit den Lizenzbedingungen nutzen können. Das Erzielen finanzieller Gewinne ist dabei nicht die vordergründige Motivation der Community.
Dennoch ist auch eine solche Inanspruchnahme durch die Community nicht ganz unproblematisch und kann schnell in eine härte Gangart umschlagen, z.B. wenn man die Problematik nicht ernst nimmt (keine sofortige Zusage des Aufbaus eines Open Source Compliance Systems) oder kann, z.B. weil das Produkt bereits im Markt ist und man den Quellcode nicht offenlegen kann, ohne großen Schaden zu nehmen.
Open Source Compliance: „Copyright Troll”
Gänzlich ungemütlich wird es aber, wenn einem Urheber die Zusagen nicht genügen, oder ein solcher von vorneherein rein finanzielle Absichten verfolgt. Letztere werden teilweise auch als Copyright Troll bezeichnet, insbesondere wenn ihre Maßnahmen darauf abzielen, um durch Abmahnungen von Lizenzverstößen Profit zu machen. Gerade mittelständische Unternehmen, KMU und Start-Ups, die, anders als große Konzerne über keine umfangreiche Open Source Organisation und hierauf spezialisierte Rechtsabteilungen verfügen, können leichte Beute solcher – teilweise auch nur vermeintlicher – Rechteinhaber werden.
Treten Sie bei entsprechenden Abmahnungen umgehend mit einem Rechtsanwalt in Kontakt. Wir bei LLP Law|Patent beraten Sie gerne.
Elemente einer erfolgreichen Open Source Compliance-Strategie
Neben den angesprochenen Risiken, die bereits für sich für die Einführung eines Open Source Compliance Systems sprechen – für die mittlerweile auch Standards existieren (OpenChain 2.1 / ISO/IEC 5230) – werden entsprechende Anforderungen insbesondere an mittelständische Unternehmen, KMU und auch Start-Ups durch große Konzerne wie Automotive OEMs in der Lieferkette durchgereicht. In der Planung befindliche regulatorische Verpflichtungen an Unternehmen wie die Erstellung und Mitlieferung einer sog. Software Bill of Material (SBOM) tun ihr Übriges.
Die Anforderungen an eine sinnvolle Open Source Compliance orientieren sich an den individuellen Bedürfnissen des jeweiligen Unternehmens. Hier sollte beispielsweise berücksichtigt werden, ob Ihr Unternehmen die Open Source Software lediglich nutzt oder zur Herstellung eigener Software verwendet. An dieser Stelle daher nur ein allgemeiner Überblick über verschiedene Vorgänge, die Sie im Rahmen Ihrer Open Source Compliance umsetzen können.
Zunächst ist stets eine einheitliche Leitlinie für den Umgang mit Open Source Software zu empfehlen. Gibt es feste Kompetenzzuweisungen und Arbeitsschritte, verringert dies die Chance, dass der Einsatz von Open Source Software oder Lizenzvorschriften übersehen wird.
Ein Unternehmen muss zudem ein abschließendes Verzeichnis darüber führen, auf welche Open Source Software zurückgegriffen wird. Auch darüber, ob die geplante Nutzung oder Weiterverwertung mit der jeweiligen Lizenz im Einklang steht. Damit die bisherigen Punkte auch erfolgreich umgesetzt werden können, sollten Unternehmen ihre Mitarbeiter durch entsprechende Schulungen für die Thematik sensibilisieren. Mit Freelancern oder Lieferanten müssen vertragliche Vereinbarungen geschlossen werden, die es Ihrem Unternehmen ermöglicht, selbst die Lizenzbedingungen von dieser eingesetzten Open Source Software zu erfüllen, und Drittsoftware mittels eines Open Source Scanners auf entsprechende Risiken untersuchen zu können .
Fazit
Die Bedeutung einer effektiven Open Source Compliance-Strategie ist nicht zu unterschätzen. B2B-Unternehmen, die Open Source Software nutzen oder in ihre eigenen Produkte integrieren, müssen sich der verschiedenen Herausforderungen und rechtlichen Aspekte bewusst sein. Die Einhaltung der Lizenzbedingungen ist nicht nur eine Frage der rechtlichen Sicherheit, sondern auch ein Zeichen von Respekt und Anerkennung gegenüber der Open Source Community und den Urhebern der Software.
Die Umsetzung einer fundierten Compliance-Strategie erfordert ein bewusstes und systematisches Vorgehen. Wir bei LLP Law|Patent verstehen die Komplexität und Bedeutung der Open Source Compliance. Unser Team aus erfahrenen Rechtsanwälten unterstützt Sie gerne dabei, eine maßgeschneiderte Compliance-Strategie zu entwickeln und umzusetzen. Ob es um die Analyse von Lizenzbedingungen, die Entwicklung von Richtlinien oder die Beratung bei spezifischen Herausforderungen geht – wir stehen Ihnen zur Seite, um sicherzustellen, dass Ihr Unternehmen rechtlich abgesichert ist und gleichzeitig das volle Potenzial der Open Source Software nutzen kann.
