Tipps zum Umgang mit Open-Source-Software

Die verschiedenen Lizenzen und Nutzungsrechte von Open-Source-Software können verwirren. Ein Leitfaden hilft beim richtigen und legalen Einsatz. wordle.com/Redaktion IEE

Begibt sich ein Unternehmen in die Open-Source-Welt, ist es nicht nur für Software-Entwickler wichtig zu wissen, wie Open-Source-Software (OSS) richtig eingesetzt wird, sondern auch für die Führungskräfte in den Unternehmen. Denn sie sind für das Einhalten der rechtlichen Rahmenbedingungen verantwortlich. Und dazu gehören auch OSS-Lizenzbedingungen. Kommt es zu einem Verstoß gegen diese Bedingungen, droht dem Unternehmen erheblicher finanzieller Schaden, zum Beispiel durch ein Verbot, die Software weiter zu verwenden.

Eine Hilfestellung beim Umgang mit dieser Thematik bietet der 2012 erstmals veröffentlichte und zur Hannover Messe aktualisierte und erweiterte Ausgabe des Leitfadens zum Einsatz von OSS im unternehmerischen Umfeld, herausgegeben vom Cluster Mechatronik&Automation. Er gibt Tipps zum richtigen Umgang mit OSS. Vor allem räumt er mit einigen populären OSS-Mythen auf. Denn mit dem Begriff OSS sind viele Halbwahrheiten verbunden, die auf der einen Seite zu einem leichtfertigen Umgang mit dieser Software-Art führen, auf der anderen Seite jedoch auch Berührungsängste heraufbeschwören.

Mythos 1: Open-Source-Software kostet kein Geld

Dass OSS kein Geld kostet, trifft nur bedingt zu. OSS als Begriff bedeutet in erster Linie nur, dass sich jeder den Quellcode der Software ansehen kann. Ob für das Verwenden der Software Lizenzgebühren anfallen, hängt von dem gewählten Lizenzmodell und nicht von der Quelloffenheit ab. Die eigentliche Kostenersparnis beruht darauf, dass Unternehmen den Aufwand für die Eigenentwicklung von Funktionalitäten verringern können. Dem gegenüber steht  jedoch die Integration von notwendigen organisatorischen und dokumentarischen Maßnahmen, um Rechtssicherheit beim Einsatz von OSS zu erhalten. Diese bedeuten Aufwand und kosten somit wieder Geld.

Mythos 2: Jeder kann mit Open-Source-Software machen, was er will

Anzunehmen, dass OSS jeder verwenden kann, wie er will, ist falsch und auch gefährlich. Denn das Verschenken eines Werkes hebt den Urheberrechtsschutz nicht auf. Weist der Urheber also in seinen Lizenzbestimmungen nicht ausdrücklich drauf hin, dass sein Werk ohne Einschränkungen abgeändert, weiterentwickelt und veräußert werden darf, bleiben diese Handlungen verboten.

Mythos 3: Der eigene Quellcode muss offen sein

Der Mythos, dass Unternehmen auch den eigenen, mit OSS in Berührung stehenden Quellcode veröffentlichen müssen, lässt sich nicht pauschal beantworten. Es hängt vom jeweiligen Lizenzmodell der OSS ab, ob und in welchem Umfang eigener Quellcode veröffentlicht werden muss. Es kann also nur durch das genaue Prüfen der Lizenzbedingungen, vor allem hinsichtlich enthaltener Offenlegungspflichten, ermittelt werden, was Unternehmen genau beachten müssen.

Mythos 4: Open-Source-Software ist lizenzfrei

OSS ist nicht lizenzfrei. Denn fehlen Lizenzbestimmungen, gelten die restriktiven Regelungen des Urheberrechts, die den Einsatz der Software untersagen. Erst eine Lizenz schafft die Voraussetzung die Software legal zu nutzen.

Mythos 5: Ein Lizenzverstoß hat keine Folgen

Auch trifft es leider nicht zu, dass Lizenzverstöße nicht geahndet werden.  Gerichtsurteile, auch von deutschen Gerichten, zeigen das Gegenteil. Außerdem sollte es in einem unternehmerischen Umfeld vermieden werden, durch ein möglicherweise illegales Verhalten angreifbar zu sein.

Mythos 6: Die Verwendung von Open-Source-Software kann keiner nachweisen

Der Einsatz von OSS in der eigenen Software lässt sich durchaus nachweisen  – sogar im Binärcode. Werkzeuge wie JPlag, MOSS (measure of software similarity), Sherlock, PMD, Black Duck Protex oder BAT ermöglichen Ähnlichkeitsanalysen und Reverse Engineering, wodurch sich OSS-Komponenten aufspüren lassen.

Verstöße gegen Lizenzbestimmungen werden geahndet

Jede OSS unterliegt genauso wie jede proprietäre Software bestimmten Lizenzbedingungen. Kommt es zu einem Verstoß gegen die darin enthaltenen Beschränkungen und Verpflichtungen, hat dies ernstzunehmende Konsequenzen, nämlich dem Entfall der eingeräumten Rechte. Besonders problematisch dabei ist, dass nach den meisten OSS-Lizenzbestimmungen keine rückwirkende Heilung möglich ist, sondern nur ein Neuerwerb der Rechte für zukünftige Fälle. Dies bedeutet: Ist beim Einsatz von OSS eine Lizenz verletzt worden, kann das nachträgliche Erfüllen der Lizenz den bisherige Einsatz nicht legalisieren.

Die Komplexität steigt weiter, wenn OSS im Rahmen von Beschaffungs- und Vertriebsverhältnissen zum Einsatz kommt. Kommt es hierbei zu Verstößen, entsteht rasch ein Flächenbrand: Verstößt der Hersteller eines Produktes gegen die Lizenzbestimmungen, so sind kettenreaktionsartig alle späteren Einräumungen von Nutzungsrechten auf dem von diesem Nutzer ausgehenden Vertriebsweg wirkungslos. Dieser Effekt tritt auch ein, wenn die späteren Empfänger der OSS nichts vom ursprünglichen Lizenzverstoß wissen. Denn nach deutschem Recht können Nutzungsrechte nicht gutgläubig erworben werden. Dies bedeutet, dass Händler die Produkte nicht weiter vertreiben dürfen und möglicherweise sogar der Endkunde dieses nicht mehr verwenden darf.

Ansprüche des Urhebers erfüllen

Der Rechteinhaber – zum Beispiel ein Entwickler oder die OSS-Community – kann bei einem Verstoß gegen die Lizenzbestimmungen Ansprüche gegen den Verwender der OSS und dessen Kunden geltend machen. Diese Ansprüche können das Unterlassen der weiteren Nutzung, Änderung, Vervielfältigung und Weitergabe der OSS, eine Auskunft über bereits erfolgte Handlungen sowie ein Schadensersatz für unerlaubte Handlungen umfassen. Dabei kann der Rechteinhaber auch auf gerichtliche Hilfe zurückgreifen, die den Verstoß unter Strafe stellen kann.

Die richtigen Lizenzen wählen

OSS-Lizenzen regeln die allgemeine Nutzung, die Einbindung in Dritt-Software und den Umgang mit Änderungen und Erweiterungen. Hierbei sind in den letzten Jahren viele unterschiedliche Lizenzarten entstanden. Häufig lassen sich OSS-Lizenzen anhand der Regelungen für Änderungen und Erweiterungen einteilen. Diese reichen von sehr freien Regelungen, die dem Nutzer eine nahezu beliebige Verwendung der OSS ohne Reglementierung erlauben, bis hin zu sehr strengen Regelungen, bei denen jegliche Änderungen und Erweiterungen wieder als OSS verfügbar gemacht werden müssen. Eine pauschale Klassifizierung der einzelnen Lizenzen ist jedoch schwierig. Aus diesem Grund müssen OSS-Lizenzen in jeden Fall individuell geprüft und bewertet werden. In einzelnen Fällen existiert eine OSS-Komponente auch unter mehreren Lizenzen. Eine Kontaktaufnahme mit dem Rechteinhaber kann an dieser Stelle so manche Tür öffnen.

Open-Source-Software-Prozesse etablieren

Es stellt sich nun die Frage, wie diesen möglichen Verstößen bei der Nutzung von OSS entgegen gewirkt werden kann. Der erste und wichtigste Schritt dabei ist, einen klaren OSS-Prozess im Unternehmen zu etablieren, der den Umgang mit OSS regelt. Dazu gehört es an vorderster Stelle einen Freigabeprozess zu gestalten, der regelt und dokumentiert, welche OSS verwendet wird und welche Anforderungen für die jeweilige OSS zu berücksichtigen sind. Erst nach einer technischen und auch lizenzrechtlichen Prüfung darf es zu einem Einsatz im Unternehmen kommen. Zur eigenen Absicherung müssen Unternehmen diesen Prüfprozess auch auf Produkte von Lieferanten anwenden, da auch darin enthaltene OSS Auswirkungen auf das eigene Produkt haben kann.

Um vor allem auch gegenüber einem Kunden einen klaren Nachweis über die eingesetzte OSS führen zu können  – immer mehr Kunden lassen sich dies vertraglich zusichern –, ist eine lückenlose Dokumentation des Prüfprozesses und somit der eingesetzten OSS notwendig. Dazu gehört es zum Beispiel Version, Download-Datum, Download-Ort und Lizenzbestimmungen festzuhalten.

Kommt es zu der Entscheidung, eine OSS einzusetzen, empfiehlt es sich auch eine Nachverfolgung in den OSS-Prozess zu integrieren, um strukturiert auf neue Versionen reagieren zu können. Denn OSS entwickelt sich weiter, Updates werden zur Verfügung gestellt, Fehler werden behoben; aber auch Lizenzbestimmungen können sich ändern.

(mf)