Management von Open-Source-Software

Um den rechtlichen Risiken von Open-Source-Software einzudämmen, sollte ein Management der im Unternehmen vorhandenen und genutzten Open-Source-Software eingerichtet werden.

6.13.2.1 Erfassung der verwendeten Open-Source-Software

Dazu sind zunächst die im Unternehmen vorhandenen und verwendeten OSS-Komponenten einschließlich ihrer Autoren bzw. Bezugsquellen zu identifizieren, zu erfassen und mit zugehörigen Lizenztexten zu dokumentieren. Dies ist besonders wichtig für OSS-Komponen-ten, die in eigenen Produkten des Unternehmens Verwendung finden. Für die Erfassung können entsprechende Tools zur Unterstützung herangezogen werden. Die Implementierung geeigneter Verfahren für die Steuerung des Einsatzes von Open-Source-Software gehören zu den Organisa-tionspflichten im Unternehmen, ihr Fehlen kann (z. B. aufgrund sog. Organisationsverschuldens) zu persönlicher Haftung führen. Weitere Einzelheiten zu Erfassung und Verwaltung von OSS-Lizenzen sind im Ziffer 7.4 (Lizenzmanagement und Compliance) dargestellt. Daneben sollte eine Befragung der relevanten Mitarbeiter im Unternehmen nach bereits eingesetzter Open-Source-Software stattfinden.

Auch im Release-Prozess für eigene Software-Produkte sollten Vorkehrungen zur Identifizierung von OSS-Komponenten getroffen werden, sodass bei der abschließenden Freigabe eines Pro-dukts durch eine letzte Prüfungsinstanz klar ist, welche OSS-Komponenten in einem Produkt enthalten sind und welche Risiken dies birgt.

Abschließend sei darauf hingewiesen, dass das Management von OSS-Komponenten und OSS- Lizenzen im Unternehmen als kontinuierlicher Prozess anzusehen ist und nicht als einmaliges und abschließbares Projekt.

6.13.2.2 Unternehmensinterne Regeln zur Verwendung von Open-Source-Software

Zum OSS-Management gehört es nicht zuletzt, die eigenen Software-Entwickler im Unter- nehmen für die OSS-Problematik zu sensibilisieren. Ihnen müssen Richtlinien an die Hand gegeben werden, z. B. hinsichtlich Lizenzkompatibilitäten. Dabei ist zu berücksichtigen, ob das Unternehmen unveränderte oder veränderte Open-Source-Software verwendet und ob diese nur zur internen Verwendung oder auch zur Verbreitung vorgesehen ist.

Der Vertrieb einer Open-Source-Software in modifizierter Form stellt dabei im Allgemeinen das größere und die rein interne Verwendung einer unveränderten Open-Source-Software das geringere Risiko dar. Das Risiko erhöht sich tendenziell, wenn die verwendete Software unter einer Lizenz mit Copyleft-Effekt steht.

Open-Source-Software 2.0 98 Rechtliche Aspekte von Open-Source-Software

In der Praxis haben sich folgende Vorgaben für interne OSS-Richtlinien als sinnvoll erwiesen:

◼ Bestimmung einer intern zuständigen Stelle und Etablierung von Prozessen für Fragen zu Open-Source-Software;

◼ Konkrete Lizenztexte für verwendete Open-Source-Komponenten lesen, ihre Auswirkungen analysieren und befolgen;

◼ Kurze und verständliche Beschreibung der Rahmenbedingungen zum Einsatz von Open-Source-Software (Tools, Bibliotheken und Server-Software);

◼ Einführung einer vorherigen unternehmensinternen Freigabe für die Verwendung, Bearbeitung und Verbindung von Open-Source-Software mit eigener Software, sowie für die Distribution von OSS;

◼ Einholung von Erklärungen oder Garantien vom Anbieter über Bestandteile von Open- Source-Software bei der Beschaffung von Software und Hardware mit Software als

Bestandteilen oder als Zugaben (z. B. embedded systems, Tools zur Hardwareüberwachung);

◼ ggf. den unternehmensinternen Einsatz oder bestimmte Verwendungsszenarien von Software mit unliebsamen Lizenzkonsequenzen untersagen;

◼ OSS-Komponenten und proprietäre Software streng auseinanderhalten und getrennt lizenzieren; auch in den Produktbeschreibungen sollte eine transparente Abgrenzung von Open-Source-Software und selbst erstellten Software-Komponenten vorgenommen werden;

◼ Verwendung von Open-Source-Klauseln in Einkaufs- und Verkaufsbedingungen;

◼ Lizenzbedingungen für OSS-Komponenten, die in den Produkten des Unternehmens verwen-det werden, sind den Kunden des Unternehmens zugänglich zu machen (am besten vorab);

◼ Für den Fall, dass Rechte Dritter an der Open-Source-Software die vertragsgerechte Leistungs-erbringung des Anbieters unmöglich machen, sollte sich der Anbieter im Vertrag über seine Leistung ein Leistungsänderungsrecht und ein Notausstiegsrecht vorbehalten.

◼ Einführung von Vorgaben für die Interaktion mit Open-Source-Software-Gemeinschaften, deren Werke genutzt werden;

◼ regelmäßige Aktualisierung der internen Open-Source-Software-Richtlinien anhand sich verändernder Open-Source-Lizenzbedingungen und geänderter Verwendungsszenarien.

Alle Vertragsmuster und laufenden Verträge sollten auf die Einhaltung der unternehmensintern festgelegten Regeln überprüft werden.

Interne Richtlinien können nur erfolgreich sein, wenn die davon betroffenen Unternehmens- angehörigen darüber informiert und in ihrer Befolgung sowie im Umgang mit den geeigneten Mitteln geschult werden.

Open-Source-Software 2.0 99 Rechtliche Aspekte von Open-Source-Software

6.14 Zusammenfassung

Open-Source-Software befindet sich nicht im »rechtsfreien Raum«. Ihre Nutzung unterliegt Beschränkungen und begründet Verpflichtungen, auch wenn dafür kein Entgelt zu zahlen ist.

Die unkontrollierte Nutzung von Open-Source-Software in einem Unternehmen und in dessen Produkten kann ein nicht kalkulierbares rechtliches und finanzielles Risiko sowohl für das Unter-nehmen als auch für die nachfolgende Lieferkette darstellen. So kann beispielsweise für das Unternehmen die Anforderung bestehen, den Source Code des vertriebenen Produktes offen zu legen. Bei Mängeln der im Produkt integrierten Open-Source-Software kann das Unternehmen vom Kunden in Haftung genommen werden, wenn beim Vertrieb keine transparente Abgrenzung von verwendeter Open-Source-Software und selbst erstellter Closed-Software vorgenommen wurde. Ein Regress des Unternehmens gegenüber dem Autor der Open-Source-Software kann daran scheitern, dass der Anspruchsgegner nicht eindeutig bestimmbar ist oder seine Haftung wirksam ausgeschlossen hat.

Einige wesentliche Hinweise:

◼ Für Open-Source-Software gelten dieselben Rechtsvorschriften wie für andere Software auch.

◼ Rechtliche Regelungen und Beschränkungen für Open-Source-Software werden insbesondere in deren Lizenzbedingungen getroffen.

◼ Für die Lizenzbedingungen von Open-Source-Software kann ausländisches Recht gelten.

◼ Lizenzbedingungen für Open-Source-Software können Veränderungen unterliegen.

Sie sollten daher bei jedem Erwerb einer Open-Source-Software überprüft werden.

◼ In Unternehmen verwendete Open-Source-Software sollte erfasst und ihre Verwendung gesteuert und kontrolliert werden. Die Implementierung geeigneter Verfahren hierfür gehört in den Bereich der Organisationspflichten im Unternehmen, ihr Fehlen kann (z. B. aufgrund sog. Organisationsverschuldens) zu persönlicher Haftung führen. Die Steuerung des Einsatzes von Open Source Software erfordert zumindest:

◼ technisches Management und

◼ rechtliches Lizenzmanagement

für die verwendete Open-Source-Software.

◼ Der Vertrieb von Open-Source-Software oder von Open-Source-Software zusammen mit anderer Software führt zu Haftungsrisiken.

◼ Der Vertrieb veränderter Open-Source-Software kann zur Offenlegung der geänderten Source Codes verpflichten.

Open-Source-Software 2.0 100 Rechtliche Aspekte von Open-Source-Software

◼ Der Vertrieb von Open-Source-Software zusammen mit selbst erstellter Software kann zur Offenlegung des selbst geschaffenen Source Codes verpflichten.

◼ Vertragliche Regelungen für die Beschaffung und den Vertrieb von Open-Source-Software müssen deren spezifische rechtliche Implikationen berücksichtigen, auch um Haftungsrisiken zu reduzieren.

◼ Bei der Gestaltung von Verträgen über Leistungen im Zusammenhang mit Open-Source-Soft-ware (etwa Implementierung, Anpassung, Zusatzprogrammierung etc.) sollten fachkundige unternehmensinterne oder externe Rechtsberater beteiligt werden.

Diese Darstellung kann angesichts der Vielgestaltigkeit von Open Source Software und ihrer Verwendung weder Anspruch auf detaillierte Betrachtung einzelner Einsatzszenarien noch auf Vollständigkeit erheben. Sie soll vielmehr die auch im Zusammenhang mit notwendigem Risk-Management erforderliche Sensibilität für den Umgang mit Open-Source-Software fördern.

Open-Source-Software 2.0 101 Open-Source-Software im Unternehmen

7 Open-Source-Software im