Open Source Software und Komponenten – was ist das rechtlich gesehen?
Open Source Software (OSS) und Komponenten werden gerne genutzt. Warum sollte man das Rad neu erfinden, wenn es vorgefertigte Komponenten und ganze Funktionen gibt, um die man seine eigene Software unkompliziert ergänzen oder worauf man zumindest aufbauen kann?
Also direkt gestartet mit beliebten Komponenten – und rein ins Vergnügen, oder?
Ganz unkompliziert ist der Einsatz von Open Source Software tatsächlich nicht und erfordert ein ordentliches Maß an sauberer Dokumentation. Denn ein leider häufig vorherrschendes Missverständnis in diesem Kontext ist, dass OSS mit „Freeware“ gleichgesetzt wird – es also keine Regeln gibt, wenn man solche Software oder Komponenten verwenden möchte. Richtig ist das nur im Fall von „Freeware“ im Wortsinne, welche nämlich tatsächlich „free“ ist – also keinen Regeln und Grenzen unterliegt und damit völlig „frei“ eingesetzt werden darf.
Open Source Software ist aber mit solcher Freeware nicht gleichzusetzen.
Unter OSS versteht man primär solche Software, Komponenten und Bibliotheken, deren Quellcode frei zugänglich verfügbar ist – OSS ist aber eben bestimmten „Nutzungsregeln“ unterworfen (das, was wir im umgangssprachlichen Wortsinne als „Lizenzen“ bezeichnen). An diese muss man sich halten, wenn man OSS einsetzen möchte.
Open Source Software darf dabei unter bestimmten Umständen – eingebaut ins eigene Produkt – kommerzialisiert, gegen Entgelt vertrieben und weiterentwickelt werden. In welchem Rahmen das zulässig ist, entscheidet die „Lizenz“, also das Nutzungsrecht, dem die OSS unterstellt wird. Auf die jeweils gewährte Lizenz kommt es an in Bezug darauf, welchen Regeln man folgen muss. Unter welcher Lizenz die OSS steht, entscheiden die Urheber bzw. die Rechteinhaberinnen.
Dabei gibt es ein paar vorherrschende, allgemein bekannte Lizenzformen, wie etwa die MIT, BSD und GPL (in ihren verschiedenen Formen). Es gibt aber auch viele Mischformen, an vorherrschende Lizenzen angelehnte Lizenzabwandlungen und völlig eigene Lizenzen.
Open Source Software und Komponenten – was bedeutet deren Einsatz für mich und mein Business?
Bevor wir Ihnen erläutern können, welche Pflichten Sie bei der Verwendung von OSS einzuhalten haben, müssen Sie zu OSS rechtlich noch Folgendes wissen:
Open Source Software kommen vorrangig zwei ggf. nachteiligen Folgen zu, die sich auf Ihr Business auswirken können: Der Copyleft-Effekt und der virale Effekt.
Beide Effekte hängen eng miteinander zusammen.
Der Copyleft-Effekt
Der Copyleft-Effekt meint, dass OSS, die unter einer Lizenz mit Copyleft vertrieben wird, zwar unter Einhaltung der Lizenzbestimmungen verwendet werden darf, aber die Verwendung von OSS einerseits offengelegt werden muss und unter denselben Lizenzbedingungen vertrieben werden muss wie die entsprechende OSS.
Der virale Effekt
Der virale Effekt hängt damit direkt zusammen. Man spricht hier auch von „strengem“ Copyleft, was bedeutet, dass der Copyleft-Effekt der verwendeten OSS(-Komponente) das gesamte Produkt „infiziert“. Dies hat zur Folge, dass das gesamte Produkt, nicht nur die Komponente, unter dieselbe Lizenz wie die OSS gestellt werden muss und daher letztlich der Quellcode der gesamten (neuen) Software offen zu legen ist, in die die OSS(-Komponente) eingebaut wurde.
Zudem gibt es weitere Konsequenzen bzw. Pflichten, die sich aus der Nutzung von Open Source Software ergeben: die sogenannten allgemeinen und spezifischen „Vertriebspflichten“. Diese legen wiederum die Urheberinnen bzw. Rechteinhaber der jeweiligen OSS fest und diese beschreiben im Grunde allgemeine Regeln, denen Sie folgen müssen, wenn Sie die OSS einsetzen möchten.
Zu den allgemeinen Vertriebspflichten gehören die Mitlieferung von Lizenztext und Lizenzvermerken im Quelltext (bzw. im zugehörigen Material, soweit eine Offenlegung des Quelltexts nicht erfolgen muss, oder Sie die Software nur in ausführbarer Form vertreiben).
Zudem ergeben sich ggf. spezifische Vertriebspflichten, sofern die OSS(-Komponente) bearbeitet wurde. Dann kann eine Mitlieferung des Quelltexts erforderlich sein und ggf. sind die bearbeiteten Stellen entsprechend zu kennzeichnen. Dies ist von Lizenz zu Lizenz unterschiedlich.
Open Source Software und Komponenten – wie kann ich Compliance sicherstellen?
Wie setzt man nun also Open Source Software so ein, dass die jeweilige Lizenz gewahrt wird und das eigene Produkt im eigenen Vertriebsmodell so vertrieben werden kann, dass keine Rechte verletzt werden?
Wichtig bei der Nutzung ist, die Lizenzbedingungen und die Vertriebspflichten einzuhalten, um sich vor Ansprüchen der Inhaberinnen der Urheberrechte zu schützen. Dieses „sich an Regeln halten“ nennen wir Juristen neudeutsch „Compliance“.
Anderenfalls drohen unschöne Folgen – wie Abmahnungen, Unterlassungs- und Schadensersatzansprüche (z.B. in Form von Untersagung des weiteren Vertriebs Ihres Produkts oder Nachforderung von Lizenzgebühren).
Für Sie gilt also folgende Weichenstellung:
Fragen Sie sich zunächst, ob die OSS, die Sie einsetzen möchten, dem Copyleft-Effekt und dem viralen Effekt unterliegt. Stellen Sie dabei fest, dass die Lizenz eine Offenlegung des (gesamten) Quellcodes auch (von Teilen) Ihrer Software erfordert, müssen Sie prüfen, ob Sie das akzeptieren können. Läuft dies Ihrem Vertriebsmodell zuwider, müssen Sie auf den Einsatz der OSS verzichten.
Sofern der Copyleft-Effekt und der virale Effekt Ihnen keine Probleme bereiten (weil Sie Ihre Software etwa selbst quelloffen vertreiben oder die OSS Copyleft- und/oder zumindest den viralen Effekt nicht hat), geht es an die „Compliance“ im eigentlichen Sinn, die rechtlich entscheidend sein kann und daher nicht vernachlässigt werden sollte.
Unserer Erfahrung nach ist es in der Hinsicht wichtig, zunächst sauber zu dokumentieren, welche OSS(-Komponenten) genutzt und in die eigene Software „verbaut“ werden.
Dazu ist die jeweilige Lizenz in der jeweiligen Version zu notieren, und der Lizenztext, bzw. der Link dazu ebenfalls mit zu dokumentieren.
Außerdem unterscheiden Sie hier danach, ob Sie OSS(-Komponenten) dabei bearbeitet oder unbearbeitet einsetzen. Je nachdem können nämlich andere Vertriebspflichten gelten.
Halten Sie sich an diese Vorgehensweise, kann jederzeit nachvollzogen werden, zu welchem Zeitpunkt welche Version der OSS genutzt wurde. Das macht die Einhaltung der Lizenz- bzw. Vertriebspflichten einfacher.
Diese prüfen Sie nämlich im nächsten Schritt, in dem Sie aus dem Lizenztext herausarbeiten, welche weiteren Kennzeichnungs- und Vertriebspflichten sich aus der Lizenz ergeben.
Diese Pflichten sind dann in Quellcode und/oder Dokumentation/mitgeliefertem Material sauber umzusetzen.
Da davon auszugehen ist, dass Sie mehrere OSS(-Komponenten) verwenden, die unter unterschiedlichen Lizenzen stehen, ist in einem dritten Schritt die Überprüfung der Lizenzkompatibilität von eigenen Produkten und OSS-Komponenten, sowie von OSS-Komponenten untereinander notwendig. Hier können Inkompatibilitäten vorliegen, die es erforderlich machen, bestimmte Komponenten ggf. noch aus Ihrem Produkt zu entfernen.
Unser Fazit
Sie sehen, dass es hier einiges zu beachten gibt.
Aus unserer Sicht würden wir Ihnen daher auch empfehlen, Mitarbeitende zu schulen und dadurch auf die oben genannten Punkte aufmerksam zu machen.
Saubere Dokumentation ist hierbei aus unserer Sicht unerlässlich.
Noch Fragen zur Compliance? Ihnen ist nicht bewusst, wie ausführlich oder wo bestimmte Hinweise vorhanden sein müssen? Wenden Sie sich an uns.
Sie möchten mehr über uns und unsere Leistungen im IT- und Datenschutzrecht erfahren? Das geht ganz einfach:
- Abonnieren Sie unsere Tipps und Tricks.
- Lesen Sie unsere kostenlosen E-Books.
- Informieren Sie sich über unsere Leistungen.
- Werfen Sie einen Blick in unseren Wegweiser. Darin finden Sie alle unsere Blog-Beiträge thematisch geordnet.
- Haben Sie noch ein anderes Anliegen? Nehmen Sie jederzeit gerne Kontakt zu uns auf.
Ihre Ansprechperson
Melanie Schwamberger
Lesen Sie hier weiter:
Die 30 wichtigsten Fragen und Antworten zur DSGVO
Ist Ihr IT-Unternehmen datenschutzrechtlich professionell aufgestellt? In diesem E-Book finden Sie die 30 wichtigsten Fragen und Antworten zur DSGVO!
E-Book: Der richtige Datenschutzbeauftragte für Ihr IT-Unternehmen
Viele IT-Unternehmen wissen nicht, welcher der richtige Datenschutzbeauftragte für sie ist. In diesem E-Book stellen wir alle Vor- und Nachteile bei der Wahl Ihres Datenschutzbeauftragten übersichtlich gegenüber. So finden Sie den richtigen Datenschutzbeauftragten für Ihr IT-Unternehmen.
Unsere Top-Artikel:
- Preisanpassungsklauseln wirksam vereinbaren
- Konfliktsituationen: Fünf Tipps zum richtigen Verhalten
- Regelungen zur Freistellung bei Verletzung von Rechten Dritter in IT-Verträgen – was soll das?
- IT-Verträge in der Krise, Teil 2: Was tun, wenn der Kunde den Vertrag beenden will?
- AGB oder Nutzungsbedingungen – das brauchen Sie wirklich