Open-Source-Software (OSS) hat in Unternehmen stark an Bedeutung gewonnen und wird mittlerweile in einer Vielzahl von Produkten verwendet. Sie gilt allgemein als zuverlässig und sicher.
Einer von Black Duck Software im Jahr 2016 weltweit durchgeführten Umfrage zufolge nutzen 78 Prozent der befragten Unternehmen OSS. Bei 66 Prozent wird OSS zur Entwicklung von Kundensoftware verwendet. Diese Zahlen haben sich seit der Umfrage im Jahr 2010 nahezu verdoppelt.
Unterschätzte Risiken beim Open-Source-Einsatz
Angesichts der großen Beliebtheit wird häufig übersehen, dass trotz der kostenlosen Verfügbarkeit OSS in den meisten Fällen nicht bedingungslos verwendet werden kann. Aus der fehlenden Vergütungspflicht lässt sich nicht der Rückschluss ziehen, dass der Rechteinhaber auf seine Rechte und deren Durchsetzung verzichtet. Die meisten Open Source Lizenzen enthalten neben einer umfangreichen Einräumung von Nutzungsrechten (Nutzung, Vervielfältigung, Verbreitung, öffentliche Zugänglichmachung, etc.) auch konkrete Vorgaben beziehungsweise Restriktionen, die von den Unternehmen zu erfüllen sind. Dies gilt insbesondere dann, wenn die quelloffene Software Kunden gegenüber angeboten und damit verbreitet wird.
Die Risiken, die gerade für Unternehmen durch die Nutzung von OSS entstehen, werden häufig unterschätzt oder gar völlig übersehen. Dementsprechend verfügen zahlreiche Unternehmen nicht über Regelungen für eine Open-Source-Compliance, die die Einhaltung der Lizenzbedingungen sicherstellen könnte. Mehr als 55 Prozent der befragten Unternehmen gaben bei der Umfrage von Black Duck Software im Jahr 2016 an, keine Policy für die Auswahl und die Freigabe von OSS zu haben. Doch auch in Unternehmen mit entsprechenden Richtlinien werden diese in 50 Prozent der Fälle nicht durchgesetzt beziehungsweise können umgangen werden. Dabei drohen bei Lizenzverstößen Unterlassungs- und Schadensersatzansprüche. Zudem kann das Unternehmen auf Vernichtung und Rückruf der betroffenen Software in Anspruch genommen werden.
GPL: Gerichtsentscheidungen zu Lizenzvestößen
Dass dieses Risiko nicht nur theoretischer Natur ist, zeigt sich an der zunehmenden Zahl der Gerichtsverfahren in Deutschland, bei denen Lizenzverstöße im Zusammenhang mit OSS gegenständlich sind.
Bereits im Jahr 2011 hat sich die Justiz mit der FRITZ!Box des deutschen Herstellers AVM beschäftigt. Das Gericht debattierte in dem Urteil, ob die Verwendung des Kernels der FRITZ!Box, der unter einer Version der General Public License (GPL) steht, aufgrund des Copyleft-Effekts dazu führt, dass die weiteren Komponenten und Module der Firmware ebenfalls unter der GPL lizenziert werden müssten und dementsprechend der Source Code der gesamten Firmware zu veröffentlichen wäre. (LG Berlin, Urteil vom 08.11.2011 - 16 O 255/10 / Surfsitter - Wirkung der GNU GPL auf Sammelwerke)
Im Jahr 2015 wurde die Betreiberin einer Webseite dazu verurteilt, eine unter der GPL-Lizenz stehende Software eines anderen nicht mehr öffentlich anzubieten, solange nicht der Lizenztext der GPL beigefügt und der Source Code der Software jedermann verfügbar gemacht wird. (LG Hannover, Urteil vom 21.07.2015 - 18 O 159/15 / Unterlassene Veröffentlichung des Quellcodes einer Software unter GPL-Lizenz)
Schließlich hat das Landgericht Hamburg im Jahr 2016 Überlegungen dazu angestellt, ob die Verbindung mehrerer Softwaremodule, von denen ein Modul unter der GPL lizenziert ist, aufgrund des Copyleft-Effekts dazu führt, dass die ganze Software unter die GPL fällt. Zu einer Entscheidung kam es in diesem Fall nur deshalb nicht, weil der Kläger seine Rechte an dem fraglichen Softwaremodul nicht darlegen konnte. (Landgericht Hamburg, Urteil vom 08.07.2016 - 310 O 89/15 / Formulierung Unterlassungsantrag, Bestimmtheitsgrundsatz bei Urheberrechtsverletzungen)
Compliance-Maßnahmen für die Open-Source-Nutzung
Die Verwendung von OSS erfordert die Entwicklung und den Einsatz von Compliance-Maßnahmen, die die Einhaltung der Lizenzbedingungen sicherstellen. Solche Maßnahmen beginnen bereits vor der eigentlichen Entwicklung der Software mit der grundsätzlichen Entscheidung, ob und welche OSS eingesetzt werden kann.
Daneben kommt auch der Firmenphilosophie eine bedeutende Rolle zu. Hier stellt sich etwa die Frage, ob Unternehmen zur Offenlegung des Source Codes ihrer Software bereit sind. Während der Entwicklung muss verlässlich festgehalten werden, welche OSS-Komponenten zu welchem Zeitpunkt Bestandteil der Software sind. Dabei müssen auch die verschiedenen Versionen der Software bedacht werden. Ebenfalls von Bedeutung ist, wie die Software eingesetzt wird. Eine Vielzahl von OSS-Lizenzen sieht je nach Nutzungsart unterschiedliche Anforderungen vor. Auch beim Bezug von Software muss geprüft werden, welche OSS-Komponenten enthalten sind und ob dem Unternehmen tatsächlich hinreichende Rechte eingeräumt werden (können).
Mittlerweile haben sich einige Anbieter auf die Identifizierung und Einordnung von OSS in Software spezialisiert. So bieten Black Duck Software und Palamida entsprechende kommerzielle Software-Lösungen an, die ein Audit der fertigen Software vornehmen. Alternativ gibt es dazu Open-Source-Lösungen wie fossology.
Die genannten Tools erleichtern die Suche nach OSS in Softwareprodukten erheblich und liefern eine erste, verwertbare Übersicht zu deren Verwendung. Dabei verwenden sie unterschiedliche Techniken zum Aufspüren von OSS. Eine vollautomatische Prüfung ist damit dennoch nicht möglich. Die Ergebnisse müssen händisch gesichtet und bewertet werden. Letztendlich kann ein spezialisierter Rechtsanwalt die abschließende rechtliche Einordnung vornehmen. Dadurch lässt sich eine verlässliche und rechtlich belastbare Einschätzung der Risiken des Einsatzes von OSS in Unternehmen sicherstellen.
Fazit und Empfehlung
Während der Einsatz von Open-Source-Software im Unternehmen stetig zugenommen hat und dort eine immer wichtigere Rolle spielt, beschäftigen sich nur wenige mit der Prüfung der lizenzrechtskonformen Verwendung. Dabei wird das Thema der Open Source Compliance immer wichtiger. Neben dem verstärkten Einsatz von OSS zeigt sich, dass die Gerichte immer häufiger die Einhaltung von Lizenzbedingungen von OSS prüfen. Die möglichen Folgen einer Verurteilung eines Unternehmens können dabei sehr schwerwiegend ausfallen, bis hin zur gerichtlichen Untersagung der weiteren Nutzung und der vollständigen Offenlegung des Source Codes mitsamt aller darin enthaltenen Betriebsgeheimnisse. Auch die Vernichtung beziehungsweise der Rückruf betroffener Software kann von den Unternehmen gefordert werden.
Der Einsatz von Tools zur Identifizierung von Open-Source-Problemen ist sicherlich ein richtiger und wichtiger Schritt. Allerdings sollte gerade im Bereich der Compliance nicht auf die rechtliche Beratung durch spezialisierte Rechtsanwälte verzichtet werden.