Im digitalen Zeitalter ist Open Source Software (OSS) zum festen Bestandteil der deutschen Wirtschaft geworden. So setzen laut dem durch den Bitkom e.V. herausgegebenen „Open-Source-Monitor 2023“ mittlerweile 69 Prozent der insgesamt mehr als 1.100 befragten deutschen Unternehmen bewusst OSS-Lösungen ein. OSS steht für Flexibilität, Kosteneinsparungen und kollaborative Innovationsförderung. Dennoch birgt die Nutzung von OSS auch rechtliche Risiken, die ohne eine ordnungsgemäße Compliance-Strategie empfindliche Folgen – vom Vertriebsstopp über Produktrückrufe bis hin zu hohen Schadensersatzzahlungen – haben können.
Was genau ist OSS?
OSS ist Software, deren Quellcode offengelegt und damit für jedermann frei zugänglich ist. Im Unterschied zu proprietärer Software ist es den Benutzern von OSS stets erlaubt, die Software frei – d.h. unabhängig von etwaigen Beschränkungen durch deren Urheber – auszuführen, zu analysieren, zu bearbeiten sowie in unbearbeiteter oder bearbeiteter Version weiterzugeben. Damit folgt OSS dem Grundgedanken eines freien Austauschs von Wissen und Ideen, um auf diese Weise eine kollaborative und innovationsfördernde Zusammenarbeit von Entwicklern aus der ganzen Welt – der sog. Community – zu ermöglichen.
Entgegen teilweise immer noch anzutreffender Missverständnisse ist OSS allerdings keine Software ohne rechtliche Verpflichtungen. Vielmehr bietet derjenige, der Software als OSS neu zur Verfügung stellt, das jeweilige Programm typischerweise zu den Bedingungen einer bestimmten urheberrechtlichen Open-Source-Lizenz an. Dieses Lizenzangebot wird durch eine Benutzung der OSS konkludent angenommen, wodurch es in rechtlicher Hinsicht zum Abschluss eines Lizenzvertrags kommt.
Je nach Art der konkret einschlägigen Lizenzbedingungen – in der Praxis existiert eine Vielzahl an standardisierten Open-Source-Lizenzen – treffen den Lizenznehmer hierbei auch bestimmte Pflichten. Stets erforderlich ist z.B., dass derjenige, der fremde OSS weitergibt, mit der Software auch den Lizenztext weiterreicht.
Daneben gibt es Open-Source-Lizenzen, die eine sog. Copyleft-Klausel enthalten. Eine Copyleft-Klausel verpflichtet denjenigen, der eine fremde OSS-Komponente weiterentwickelt, in Bezug auf die weiterentwickelte Software dieselben Rechte einzuräumen, die er selbst vom Urheber der ursprünglichen Softwareversion erhalten hat. Dies geschieht in der Praxis dadurch, dass die Weiterentwicklung unter den Bedingungen derselben Lizenz wie das Ursprungswerk oder einer damit kompatiblen Lizenz weitergegeben wird. Auf diese Art und Weise dient der Copyleft-Mechanismus dazu, die Offenheit und Freiheit von OSS zu bewahren und die Kollaboration innerhalb der Entwicklergemeinschaft zu fördern. Die bekannteste Copyleft-Lizenz ist die GNU General Public License, die seit dem Jahr 2007 in der nach wie vor aktuellen Version 3 vorliegt.
Die Bedeutung von OSS-Compliance
Während Unternehmen in der Vergangenheit OSS regelmäßig nur benutzten, geht der Trend nunmehr dahin, OSS-Komponenten auch gezielt weiterzuentwickeln und mit proprietärer Software zu verflechten. Das ermöglicht nicht nur kurzfristige, flexible Lösungen, sondern auch eine Beschleunigung der eigenen Entwicklung bei einer gleichzeitigen Einsparung von Kosten.
Allerdings steigt dadurch auch das Risiko von folgenschweren rechtlichen Auseinandersetzungen. Denn wie oben bereits erläutert wurde, muss bei der Einbindung von fremder OSS deren jeweiligen Lizenzanforderungen Rechnung getragen werden, was insbesondere in dem Fall, dass OSS in unbearbeiteter oder bearbeiteter Version (z.B. als Teil eines Endprodukts) weitergegeben bzw. ausgeliefert wird, regelmäßig besondere Pflichten nach sich zieht. Kommt es hier zu Verstößen gegen die Vorgaben der jeweils einschlägigen Lizenz, führt das bei vielen Open-Source-Lizenzen zu einem automatischen Verlust aller Nutzungsrechte an der OSS, was im Fall einer weiteren Nutzung eine Urheberrechtsverletzung begründet. Bei einer solchen Urheberrechtsverletzung drohen in rechtlicher Hinsicht unter verschiedenen Gesichtspunkten Konsequenzen:
Zivilrechtliche Ansprüche
Zunächst bestehen – verschuldensunabhängig – urheberrechtliche Beseitigungs- und Unterlassungsansprüche (§ 97 Abs. 1 UrhG) sowie Ansprüche auf Vernichtung, Rückruf und Überlassung der rechtsverletzenden Software (§ 98 UrhG). Diese Ansprüche können gemäß § 99 UrhG stets auch gegen den Unternehmensinhaber gerichtet werden. Daneben ist der Verletzer, sofern er schuldhaft (d.h. zumindest fahrlässig) gehandelt hat, auch zum Schadensersatz verpflichtet (§ 97 Abs. 2 UrhG). Überdies existieren weitreichende Auskunftsansprüche.
Strafbarkeitsrisiko
Theoretisch besteht im Fall einer Urheberrechtsverletzung im Lichte der §§ 106 ff. UrhG sogar ein Strafbarkeitsrisiko. Dies gilt allerdings nur, sofern dem Verletzer ein vorsätzliches Handeln nachgewiesen werden kann.
Aufsichtspflichtverletzung durch den Unternehmensinhaber
Da eine Urheberrechtsverletzung also nach §§ 106 ff. UrhG prinzipiell strafbewehrt ist, kommt bei einer sog. betriebsbezogenen Verletzungshandlung auch eine Haftung des jeweiligen Unternehmensinhabers in Betracht, sofern die Zuwiderhandlung durch eine ordnungsgemäße Aufsicht seinerseits verhindert oder wesentlich erschwert worden wäre (§ 130 Abs. 1 OWiG). Eine derartige Aufsichtspflichtverletzung kann sowohl für den Unternehmensinhaber als auch für das Unternehmen als solches (vgl. § 30 OWiG) massive Geldbußen nach sich ziehen.
Vor diesem Hintergrund ist es Unternehmen, die auf OSS-Lösungen setzen, zur Prävention von Rechtsverstößen und den damit verbundenen Folgen dringend zu empfehlen, ein funktionierendes System zur OSS-Compliance zu etablieren.
Die (weiteren) Vorteile von OSS-Compliance
Neben den genannten rechtlichen Aspekten bietet eine angemessene OSS-Compliance zahlreiche weitere Vorteile, zum Beispiel:
Positive Reputation
Unternehmen, die bekannt dafür sind, OSS-Lizenzen zu missachten, können in der öffentlichen Wahrnehmung einen Reputationsschaden erleiden, der Kunden und Partner abschrecken kann. Umgekehrt bietet ein funktionierendes OSS-Compliance-System ein signifikantes Potential, um zu einem positiven Image als innovatives Unternehmen beizutragen, das im Bereich Software einen freien Austausch von Wissen und Ideen pflegt.
Unterstützung der OSS-Community / Innovationsförderung
Viele Unternehmen profitieren von OSS und sehen es daher als ihre ethische Pflicht an, die Gemeinschaft von OSS-Entwicklern und den Grundgedanken einer kollaborativen Innovationsförderung zu unterstützen, indem sie die jeweiligen Open-Source-Lizenzbestimmungen einhalten.
Beitrag zum Risikomanagement / Wirtschaftlichkeit
Die Einhaltung von Open-Source-Lizenzen ist Teil des Risikomanagements, das finanzielle, operative und rechtliche Risiken minimieren soll.
Handlungsempfehlung
Unternehmen sollten das Thema OSS-Compliance proaktiv angehen, ähnlich wie beim Datenschutz. Dabei sollten jedenfalls folgende wichtigen Aspekte zur Minimierung des Risikos von Lizenzverstößen berücksichtigt werden:
- – Implementierung eines Compliance-Systems, das an die spezifischen Bedürfnisse des Unternehmens angepasst ist.
- – Schulung und Sensibilisierung aller Mitarbeiter – insbesondere derjenigen, die in der Softwareentwicklung und -beschaffung tätig sind.
- – Festlegung unternehmensinterner OSS-Compliance-Prozesse und Richtlinien.
- – Regelmäßige OSS-Compliance-Audits.
- – Gezielter Einsatz von Tech-Tools wie OSS-Scannern.
- – Klare vertragliche Vereinbarungen mit Dritten (z.B. den Lieferanten von Software).
Sehr gerne unterstützen wir Sie mit unserer Expertise bei der Entwicklung, Implementierung und Aufrechterhaltung eines individuell auf Ihr Unternehmen zugeschnittenen OSS-Compliance-Systems.
Ihr Ansprechpartner
Julian N. Modi | Partner, Rechtsanwalt
Stefan Hösler | Senior Manager, Rechtsanwalt
Dr. Markus Schreiber | Rechtsanwalt
Die Sonderinformation als PDF-Datei finden Sie im Nachgang verlinkt
