12.04.2022 - 08:48

Herausforderungen durch die Verwendung von Open-Source-Software in der Lieferkette

Gastbeitrag von Monika Menz, Rechtsanwältin, Fachanwältin für Informationstechnologierecht

Rechtsanwältin Monika Menz wird in den kommenden Wochen mehrere Gastbeiträge eklusiv auf intellicar.de publizieren, die sich des Themas Open-Source-Software in der Automobilindustrie widmen. Im ersten Beitrag gibt Frau Menz einen ersten Überblick zum Themenfeld.

Open-Source-Software ist aus dem Alltag vieler Unternehmen nicht mehr wegzudenken. In einer Umfrage aus dem Jahr 2021 gaben 87% der Unternehmen mit mehr als 2.000 Beschäftigten an, quelloffene Software im Unternehmen einzusetzen. Immerhin jedes fünfte Unternehmen nutzt Open-Source-Software als Teil eigener Produkte und Dienstleistungen, die mit Quellcode-Anpassungen an die Kunden weitergegeben werden (1). Geschätzt werden insbesondere Kosteneinsparungen, der Zugriff auf den Quellcode und die einfache Möglichkeit des Anbieterwechsels (2). Die Anwendungsbereiche sind vielfältig. Auch deutsche Automobilkonzerne setzen verstärkt auf Open-Source-Software. Volkswagen setzt bei der Entwicklung seines Betriebssystems „vw.os“ in Teilen auf Open Source (3). Mercedes-Benz veröffentlichte jüngst ein Manifest, das Mitarbeiter dazu ermutigen soll, entsprechende Software zu nutzen und zu fördern (4).

Konsequenzen bei Verstößen gegen die Open-Source-Software-Lizenzbedingungen

Doch quelloffene Software ist keine rechtsfreie Software und bei Missachtung von Lizenzvorgaben drohen Unterlassungsansprüche, Schadensersatzansprüche sowie der Zwang zur Vernichtung und gegebenenfalls zum Rückruf der Vervielfältigungsexemplare des Produktes. Gerade bei Embedded Software können durch solche Vernichtungs- und Rückrufanforderungen nicht nur die Software selbst, sondern das ganze Produkt betroffen sein und so erhebliche Schäden entstehen. Zwar verwehren die Gerichte bislang überwiegend die Schadensersatzansprüche im Wege der sogenannten Lizenzanalogie (5), da Open-Source-Software-Lizenzen kostenfrei für jedermann zur Verfügung gestellt werden – andere Schadensberechnungsmethoden bleiben aber unbenommen. Außerdem muss der verletzende Quellcode zwingend ersetzt werden. Neben dem materiellen Schaden drohen auch Reputationsschäden.

Weiteres Ungemach droht zudem bei der Verwendung von Open-Source-Quellcodes, welche unter Lizenzen stehen, die mit einem sogenannten „Copyleft-Effekt“ ausgestattet sind. Der Copyleft-Effekt kann dazu führen, dass auch bis dahin proprietäre Software durch den Einsatz von Open-Source-Komponenten insgesamt unter Open Source gestellt werden muss und der Quellcode unter der gleichen kostenfreien Lizenz für jedermann zur Verfügung gestellt werden muss. Man nennt dies den „viralen Effekt“ von Copyleft-Lizenzen. Eine der bekanntesten Open-Source-Lizenzen mit einem solchen Effekt ist die GPL v. 2.0 oder höher.

Pflichten beim Einsatz von Open-Source-Software-Komponenten

Die Inhalte der jeweiligen Open-Source-Lizenzen ergeben sich aus dem jeweiligen relevanten Lizenztext. Hierbei unterscheidet man grob zwischen sogenannten „permissiven Lizenzen“, die wenige bis gar keine Pflichten mit sich bringen, und „restriktiven Lizenzen“ mit Pflichten, die bis hin zu dem bereits erwähnten Copyleft-Effekt reichen können. Vielen Open-Source-Lizenzen ist gemein (und zwar sowohl permissiven als auch restriktiven), dass bei einer Verwendung der Open-Source-Software veröffentlicht werden muss, dass Bestandteile unter einer Open-Source-Lizenz enthalten sind. Zudem muss häufig die dazugehörige Lizenz wiedergegeben werden. Allein aufgrund eines nicht abgedruckten Lizenztextes hat das Landgericht Berlin bereits einen Hersteller von Routern zu Unterlassung und Schadensersatz verurteilt. Daneben können Open-Source-Lizenzen beispielsweise auch den kommerziellen Einsatz von mit ihren Komponenten gebauter Software untersagen.

Eine weitere Schwierigkeit besteht darin, dass es unter anderem nicht möglich ist, Komponenten unter unterschiedlichen Lizenzen miteinander zu kombinieren. Die sogenannte „Lizenzinkompatibilität“ kann ebenfalls dazu führen, dass – auch wenn ansonsten alle Bedingungen der Open-Source-Software-Lizenz erfüllt sind – die Verwendung dennoch rechtswidrig ist. Und zu guter Letzt kann auch die konkrete Art der Verwendung zu unterschiedlichen Konsequenzen führen. Bei den oben bereits erwähnten Open-Source-Software-Lizenzen mit Copyleft-Effekt kommt es entscheidend darauf an, ob mit der verwendeten Open-Source-Software-Komponente ein sogenanntes abgeleitetes Werk („derivative work“) geschaffen wurde oder nicht. In diesem Zusammenhang macht es z.B. einen Unterschied, ob Bibliotheken dynamisch oder statisch verlinkt werden.

Open-Source-Software Compliance-System

Eine genaue Kenntnis darüber, welche Komponenten wie und unter welcher Lizenz wo eingesetzt wurden, ist also entscheidend, um einen lizenzkonformen Einsatz gewährleisten und die Risiken richtig einschätzen zu können. Häufig sind aber genau diese Informationen dem Unternehmen nicht bekannt bzw. dort nicht ausreichend dokumentiert. Dabei sind die Bestandsaufnahme und die hierdurch erhaltenen Informationen über die verwendete Open-Source-Software nur der Anfang. Denn die so gewonnenen Informationen können mitunter auf Versäumnisse aufmerksam machen, die zu beheben sind. Unter Umständen sind vollständige Neuprogrammierungen erforderlich, die in keiner Budgetplanung vorgesehen waren.
Um den größtmöglichen Nutzen aus der Verwendung von Open-Source-Software ziehen und dabei an drohenden Risiken sicher vorbeinavigieren zu können, empfiehlt es sich, für den zukünftigen Einsatz von Open-Source-Software ein Open-Source-Compliance-System aufzusetzen. Bestandteile eines solchen Systems sind unter anderem Richtlinien (mit Black- und Whitelists) sowie Prozesse zur Erfassung und Freigabe in Projekten und zur Erfüllung der Anforderungen aus den jeweiligen Lizenzen.
Herausforderungen in der Lieferkette – Zertifizierung als Lösung!

In der Lieferkette verstärken sich die Herausforderungen, die im Zusammenhang mit der Verwendung von Open-Source-Software-Komponenten in Verbindungen stehen. Denn letztlich ist der Hersteller am Ende der Lieferkette dafür verantwortlich, ein lizenzkonformes Produkt auf den Markt bringen zu können. Risiken, die sich in der Lieferkette verbergen, werden zu seinen eigenen Risiken. Anforderungen an die Lieferkette steigen dadurch und werden immer häufiger Bestandteil der Auftragsvergabe. Eine verlässliche Möglichkeit für den Nachweis, dass das anbietende Unternehmen über ein geeignetes Open-Source-Lizenz-System verfügt, ist eine Zertifizierung eines solchen Systems. Hierfür steht die ISO/IEC DIS 5230:2020(e) zur Verfügung, die von geeigneten Stellen geprüft und zertifiziert werden kann.

Die Besonderheit an dieser ISO/IEC ist, dass sie – ganz im Geiste der Open-Source-Bewegung – maßgeblich durch das „OpenChain-Projekt“ entwickelt wurde. Die OpenChain-Spezifikation 2.1 ist wortgleich zur ISO/IEC DIS 5230:2020(e) und kann unter dem OpenChain-Projekt selbst zertifiziert werden. Hierfür steht dort ein Fragebogen zur Verfügung. Die Spezifikationen definieren die wesentlichen Anforderungen an ein Open-Source-Compliance-System. Die (Selbst-)Zertifizierung liefert den Nachweis dafür, dass ein Open-Source-Compliance-System bei dem jeweiligen Unternehmen existiert. Damit kann sichergestellt werden, dass die Herausforderungen angemessen adressiert werden, um einen rechtssicheren Einsatz von Open-Source-Software-Komponenten zu ermöglichen.

Über die Autorin: Rechtsanwältin Monika Menz ist Salary Partner, Fachanwältin für Informationstechnologierecht und Co-Head Digital Business Unit bei reuschlaw. Darüber ist sie Lehrbeauftragte für IT-Recht am Hasso-Plattner-Institut sowie zertifizierte Datenschutzbeauftragte.

(1) Bitkom e.V., Open-Source-Monitor, Studienbericht 2021, S. 22, abrufbar unter: bitkom.org >>, zuletzt abgerufen am 06.05.2022.

(2) Ebd., S. 15.

(3) Vgl. opensource.mercedes-benz.com >>, zuletzt abgerufen am 06.05.2022.

(4) Siehe background.tagesspiegel.de >>, zuletzt abgerufen am 06.05.2022.

(5) So etwa OLG Hamm v. 13.06.2017 – 4 U 72/16, GRUR-RR 2017, 421, 425.

Autor: jst

– ANZEIGE –


Aktuelle Termine

Keysight World

Zum Termin
HEV

Fachtagung Hybrid- und Elektrofahrzeuge

Zum Termin

20. Hessischer Mobilitätskongress

Zum Termin
Gefunden bei intellicar.de
https://intellicar.de/markets/herausforderungen-durch-die-verwendung-von-open-source-software-in-der-lieferkette/
12.04.2022 08:12