24. Januar 2018
Open Source Compliance
Urheberrecht TMC – Technology, Media & Communications

Open Source Compliance

Mangelnde Open Source Compliance kann zu einer elementaren Bedrohung für die betroffenen Unternehmen führen. Wir geben einen Überblick.

Nachdem in Deutschland im Jahr 2004 erstmals eine Open Source Lizenz gerichtlich durchgesetzt wurde, bestehen an der Wirksamkeit von Open Source Lizenzen mittlerweile keine Zweifel mehr. Die Lizenzdurchsetzung erfolgt traditionell im Wege des „Community Enforcement″, mittlerweile aber auch vermehrt durch einzelne Entwickler, die ihre Eigeninteressen verfolgen. Da an Open Source Projekten häufig hunderte oder gar tausende Entwickler beteiligt sind, steigt durch den Trend vom „Community Enforcement″ zur Einzeldurchsetzung das Prozessrisiko.

Durchsetzung von Open Source Lizenzen

Verstöße gegen Open Source Lizenzen werden zwar bereits seit den 1980er Jahren außergerichtlich – vor allem in den USA – verfolgt, die erste gerichtliche Durchsetzung erfolgte aber erst im Jahr 2004 in Deutschland. Erst drei Jahre später kam es auch zu ersten Gerichtsverfahren in den USA. Seitdem haben die gerichtlichen Durchsetzungsaktivitäten stetig zugenommen. Viele Gerichtsverfahren, die die Durchsetzung von Open Source Lizenzen betreffen, werden heute in Deutschland geführt. Ein Grund hierfür liegt im effizienten Eilrechtsschutz in Deutschland.

Einstweilige Verfügung als effizientes Druckmittel

Im Wege des Eilrechtsschutzes können bei Lizenzverstößen sehr schnell Unterlassungsverfügungen erwirkt werden. Die lizenzwidrige Nutzung der Open Source Software ist dann sofort einzustellen. Dies bedeutet auch, dass alle Produkte, die die Open Source Software beinhalten, nicht mehr ohne weiteres genutzt bzw. vertrieben werden können.

Im Extremfall kann es daher zum Ausfall kritischer Systeme oder zu einem Vertriebsstopp kommen. Für Unternehmen, die Open Source Software lizenzwidrig einsetzen, kann durch Unterlassungsverfügungen daher sehr schnell eine enorme Drucksituation entstehen.

Entfall der Nutzungsrechte bei Lizenzverstößen

Verfahren wegen mangelnder Open Source Compliance stützen sich in der Regel auf die urheberrechtswidrige Nutzung von Open Source Software. Hintergrund ist, dass Open Source Lizenzen zwar umfassende urheberrechtliche Nutzungsrechte gewähren, gleichzeitig aber mit einem Schutzmechanismus ausgestattet sind. In vielen Lizenzen wird eine mangelnde Open Source Compliance hart bestraft: Bei Lizenzverstößen entfallen die dem Nutzer eingeräumten Nutzungsrechte wieder. Der Nutzer verwendet die Software dann urheberrechtswidrig, was u.a. Beseitigungs- und Unterlassungs- sowie Rückrufansprüche nach sich zieht. Diese Ansprüche bestehen verschuldensunabhängig. Es spielt daher keine Rolle, ob das Unternehmen von der fehlenden Open Source Compliance Kenntnis hatte.

Verschärft wird die Situation dadurch, dass ein Entfall der Nutzungsrechte bei vielen Open Source Lizenzen schon bei kleinsten Lizenzverstößen ausgelöst wird. Kleine Nachlässigkeiten bei der Open Source Compliance können daher dazu führen, dass der Nutzer gleich einem „Raubkopierer″ behandelt wird.

Open Source Compliance: Das Community Enforcement

Die Open Source Community verfolgt vorrangig das Ziel, Open Source Compliance herzustellen und zielt nicht darauf ab, Unternehmen für begangene Lizenzverletzungen zu bestrafen. So befürwortet der weitaus größte Teil der Entwicklergemeinschaft die Durchsetzung von Open Source Lizenzen auf informellem Weg und strebt keine gerichtliche Auseinandersetzung an. Dieser Gedanke zeigt sich auch in den von der Software Freedom Conservancy, einer gemeinnützigen Organisation, die Open Source Projekte unterstützt, entwickelten „Principles of Community Enforcement”.

Diese Grundsätze verdeutlichen, dass die Open Source Community in erster Linie Open Source Compliance herstellen möchte. Primär sollen einem Verletzer durch Aufklärung Wege aufgezeigt werden, wie er die Open Source Software zukünftig im Einklang mit den Lizenzbedingungen nutzen kann. Finanzielle Vorteile zu erzielen, steht hingegen nicht im Vordergrund.

Aus Sicht eines betroffenen Unternehmens hilft die weiche Gangart des „Community Enforcement″ jedoch nur begrenzt weiter. Sicherlich werden es Unternehmen zu schätzen wissen, wenn ihnen Wege zur Beseitigung von Lizenzverstößen aufgezeigt werden. Bei vielen Lizenzverstößen – z.B. falsche oder unvollständige Copyright-Vermerke – werden Unternehmen auch schnell für Abhilfe sorgen können und wollen. Allerdings enthalten die Lizenzen in der Regel auch einige Bedingungen, die für Unternehmen problematisch sind.

Copyleft-Effekt bei Unternehmen gefürchtet

Besonders gefürchtet ist der „Copyleft-Effekt″ vieler Lizenzen. Das ist die Verpflichtung, eigene Weiterentwicklungen der Open Source Software und ggf. auch Softwarekomponenten, die mit der Open Source Software verbunden wurden, unter der Open Source Lizenz zur Verfügung zu stellen. Für Unternehmen bedeutet dies, dass sie diese Software nicht mehr unter eigenen Lizenzbedingungen lizenzieren können. Proprietären Lizenzierungsstrategien ist damit ein Riegel vorgeschoben. Genau dies ist der Zweck des Copyleft. Da die Open Source Lizenzen in der Regel auch verlangen, (wenigstens) gegenüber allen Abnehmern den Quellcode der Software offenzulegen, droht auch der Verlust von Geschäftsgeheimnissen.

Es liegt auf der Hand, dass Unternehmen diesen Verpflichtungen häufig nicht nachkommen können, ohne ihr Geschäftsmodell zu riskieren. Aus der Sicht eines betroffenen Unternehmens können die Folgen eines „Community Enforcement″ daher durchaus verheerend sein. Andererseits ist es aus der Perspektive der Community nur verständlich, dass auf derartige Unternehmensinteressen keine Rücksicht genommen werden kann. Weigert sich ein Unternehmen die Lizenzpflichten einzuhalten, wird daher auch beim „Community Enforcement″ – wenn auch nur als ultima ratio – ein Gerichtsverfahren eingeleitet.

Diese Verfahren werden häufig über Crowdfunding oder Spenden finanziert. Ein Beispiel für ein „Community Enforcement″ ist das derzeit von Christoph Hellwig gegen VMware geführte Verfahren.

Einzelakteure und Copyright-Trolls

Nach deutschem Recht (§ 8 Abs. 2, Satz 3 UrhG) ist jeder Miturheber berechtigt, Ansprüche aus Verletzungen des gemeinsamen Urheberrechts geltend zu machen. Im Prinzip kann daher jeder Entwickler, der einen Beitrag zu einer Open Source Software geleistet hat, Ansprüche geltend machen und gerichtlich durchzusetzen. An Open Source Projekten sind häufig hunderte oder gar tausende Entwickler beteiligt. Bei Open Source Software gibt es daher fast immer eine große Anzahl von Anspruchsinhabern, die eigene Rechte geltend machen können.

Trotz der großen Zahl an Anspruchsinhabern wurden bislang nur vergleichsweise wenige Verfahren durch unabhängige Einzelakteure geführt. Einige Entwickler haben jedoch damit begonnen, die Rechtsdurchsetzung selbst in die Hand zu nehmen. Im Gegensatz zum Community Enforcement treten hierbei häufig Profitinteressen in den Vordergrund.

McHardy Abmahnungen stoßen auf Missfallen

In der Community stoßen vor allem die Aktivitäten von Patrick McHardy, einem ehemaligen Mitglied des Netfilter-Entwicklerteams auf Missfallen. Seit einigen Jahren lässt McHardy zahlreiche Abmahnungen wegen vermeintlicher Verstöße gegen die GPL verschicken. Dabei rügt er insbesondere die Verletzung von Urheberrechten an der Software iptables.

Im Juli 2016 hat das Netfilter-Entwicklerteam McHardy suspendiert, da seine Aktivitäten nach Ansicht des Netfilter-Teams den Community Grundsätzen widersprechen. Die Community Grundsätze sind jedoch nur unverbindliche Leitlinien. Einzelakteure wie Patrick McHardy können daher weiterhin die volle Bandbreite an Ansprüchen geltend machen.

Profitmaximierung steht im Vordergrund

Das Vorgehen einiger Einzelakteure, die Open Source Lizenzen durchsetzen, ist durchaus mit dem eines Patent-Trolls vergleichbar. Ähnlich wie ein Patent-Troll macht ein Copyright-Troll vermeintliche Urheberrechtsverletzungen massenhaft geltend. Dabei geht es einem Troll nicht um den Schutz eigener Produkte, sondern vorrangig um Profitmaximierung.

Die Rechtsdurchsetzung entspricht dabei zunächst der in Deutschland üblichen Praxis: Sie beginnt mit einer kostenpflichtigen Abmahnung, mit der mangelnde Open Source Compliance gerügt wird. Mit der Abmahnung wird das gesamte Anspruchsspektrum (u.a. Beseitigung, Unterlassung, Rückruf aus dem Verkehr, Schadensersatz etc.) geltend gemacht und zur Abgabe einer strafbewehrten Unterlassungserklärung binnen einer kurzen Frist aufgefordert. Mit dieser Strategie wird zunächst eine Drucksituation aufgebaut: Gibt das betroffene Unternehmen die geforderte strafbewehrte Unterlassungserklärung nicht ab, kann der Rechtsinhaber im Eilrechtsschutz eine Unterlassungsverfügung erwirken. Es droht dann eine gerichtliche Unterlassungsverfügung, die zu einem Vertriebsstopp oder einem Ausfall von Systemen führen kann.

Strategie: Ausnutzen von Drucksituationen

Ein Copyright-Troll wird sich die Drucksituation zunutze machen. Er wird entweder anbieten, auf die Rechtsdurchsetzung gegen Zahlung einer Gebühr zu verzichten oder die Software gegen Zahlung einer Lizenzgebühr zu lizenzieren (dual licensing). Beides hat für betroffene Unternehmen häufig nur einen begrenzten Nutzen: Lizenzieren kann der Entwickler nur die ihm zustehenden Verwertungsrechte. Alle anderen Entwickler können daher weiterhin ihre Rechte geltend machen. Entscheidet sich ein Unternehmen, eine Lizenzgebühr an einen Entwickler zu zahlen, kann dies im schlimmsten Fall Nachahmer auf den Plan rufen. Statt die Angelegenheit beizulegen, wird so möglicherweise ein Präzedenzfall geschaffen, der schnell weitere Forderungen von Nachahmern nach sich ziehen kann.

Eine weitere Copyright-Troll Strategie besteht darin, zunächst nur gegen eine unbedeutende Software vorzugehen. Unternehmen können dann geneigt sein, die Verwendung dieser Software einzustellen und die geforderte strafbewehrte Unterlassungserklärung abzugeben. Ein Rechtsinhaber, der auf Profitmaximierung aus ist, wird es aber nicht hierbei bewenden lassen. Er wird diese Strategie bei weit verbreiteten Open Source Komponenten anwenden, die in diversen Softwareprodukten zum Einsatz kommen. Die Wahrscheinlichkeit, dass die Softwarekomponente auch in anderen (wichtigeren) Softwareprodukten des Unternehmens verwendet wird, ist hoch und führt dann zu umfangreichen Zahlungsforderungen.

Mit der Abgabe der strafbewehrten Unterlassungserklärung ist die Angelegenheit daher nicht abgeschlossen. Vielmehr wird der Copyright-Troll dann versuchen, aus der strafbewehrten Unterlassungserklärung Profit zu schlagen. Ein besonders perfider Troll wird ein für seine Zwecke geeignetes „Target″ bereits frühzeitig identifizieren. Häufig handelt es sich dann um eine Software, die für das Unternehmen wichtig ist.

Elementare Bedeutung der Open Source Compliance

In der Open Source Community wird seit einiger Zeit diskutiert, wie Copyright-Trolls das Handwerk gelegt werden kann. Ansätze wie die „Principles of Community Enforcement” und das „Kernel Enforcement Statement″ der Linux Kernel Entwickler sollen helfen, verlorenes Vertrauen zurückzugewinnen. Große Unternehmen wie Facebook, Google und IBM haben sich bereits zu den Prinzipien bekannt.

Angesichts des Millionengeschäfts, welches durch die aggressive Verfolgung von Lizenzverletzungen generiert werden kann, dürften Copyright-Trolls trotz aller Maßnahmen aber auch in Zukunft weiter ihr Unwesen treiben.

Hinzu kommt, dass viele Fragen des Open Source Rechts immer noch ungeklärt sind. Oftmals sind die Lizenzbedingungen derart ungenau formuliert, dass bereits der Umfang der Rechtseinräumung unklar ist. Dieser „Konstruktionsfehler″ kann von profitorientierten Rechtsverfolgen ausgenutzt werden. Beispielsweise sind Fälle bekannt geworden, bei denen schon der Over-the-Air Vertrieb von Open Source Software als lizenzwidrig gerügt wurde. Die Lizenzen enthalten zu dieser Nutzungsform keine klare Regelung – ein Umstand, der von einem profitorientierten Rechtsinhaber ausgenutzt werden kann.

Ausschluss von Open Source Software realitätsfern

Trotz aller Risiken ist der Einsatz von Open Source Software im Unternehmen in aller Regel sinnvoll. Generelle Verbote von Open Source Software sind nicht zeitgemäß und gehen an der Realität vorbei. Es ist aber wichtig, den risikogerechten Einsatz von Open Source Software durch geeignete Governance Systeme zu steuern. Softwareentwickler können beispielsweise einen Compliance Milestone einführen, mit dem vor dem Release von Software die Open Source Compliance geprüft wird. Softwareeinkäufer können beispielsweise einen Open Source Compliance Nachweis verlangen werden, wenn sie die Erstellung von Software in Auftrag geben.

Der Einsatz von Legal Tech ist Teil der Digitalisierungsstrategie von CMS. Im Bereich Open Source Software kann CMS Ihnen eine Legal Tech Lösung anbieten, die eine automatisierte Erkennung der im Unternehmen verwendeten Open Source Software ermöglicht. Die Lösung unterstützt bei der Überwachung von Open Source Richtlinien und hilft bei der erforderlichen Compliance Dokumentation. Weitere Informationen können Sie gerne hier anfordern.

Tags: Abmahnung Compliance GPL open source Open Source Compliance