Open Source Software -Teil 3: Worauf kommt es bei der Compliance an?
Im letzten Teil unserer Serie über Open Source Software (OSS) widmen wir uns dem Thema „Compliance“. Diese bildet das Herzstück der rechtlichen Beratung im Bereich OSS, da erst sie einen rechtskonformen Umfang mit OSS ermöglicht und bestehende rechtliche Risiken ausschließt bzw. auf ein Minimum reduziert. Ziel ist es, ein Compliance-System einzurichten, mit dem die Beschaffung, Entwicklung und der Vertrieb von (OSS-) Produkten rechtssicher gestaltet werden kann.
OSS-Compliance als Aufgabe der Geschäftsführung
Grundsätzlich sind es im Unternehmen zunächst die einzelnen Softwareentwickler, die im Rahmen ihrer Tätigkeit OSS-Komponenten verwenden und dabei die Einhaltung der einschlägigen OSS-Lizenzpflichten beachten müssen. Dies darf jedoch nicht zu dem Irrtum führen, dass eine OSS-Compliance im Unternehmen nur die konkret damit befasste Fachabteilung betrifft und somit rein auf der Fachebene behandelt werden kann. Vielmehr handelt es sich bei der OSS-Compliance um eine Aufgabe, die aus rechtlicher Sicht unmittelbar der Geschäftsführung obliegt. Konkret lässt sich dies an § 130 Abs. 1 OWiG festmachen. Dieser sieht eine ordnungswidrigkeitsrechtliche Haftung für Unternehmensinhabern vor, die keine Aufsichtsmaßnahmen zur Verhinderung von strafbewehrten Rechtsverletzungen im Unternehmen ergreifen. Hierunter fallen auch Lizenzverstöße mit Blick auf §§ 106 ff. UrhG. Damit ist das Thema OSS-Compliance auf oberster Geschäftsführungsebene zu verorten und darf infolgedessen nicht einfach dem einzelnen Softwareentwickler überlassen werden.
OSS-Compliance erfordert individuelles Konzept
Die OSS-Compliance besteht aus drei Schwerpunkten: Die Etablierung von Prozessen zum Umgang mit OSS im Unternehmen, die Schulung der Mitarbeiter und die tatsächliche Prüfung der durch das Unternehmen eingesetzten OSS. Wie die konkrete Ausgestaltung von OSS-Compliance-Maßnahmen im Unternehmen zu erfolgen hat, lässt sich nicht pauschal beantworten und hängt stark vom Einzelfall ab. Dabei sind verschiedene Faktoren maßgeblich wie beispielsweise der Umfang der verwendeten OSS-Software im Unternehmen, die Anzahl der damit befassten Mitarbeiter sowie die Art der Verwendung, z.B. ob das Unternehmen die OSS-Software nur intern nutzt oder aber auch an Dritte, vor allem Kunden, weitergeben möchte.
Auch die Art der vorliegenden OSS-Lizenzen macht oftmals einen erheblichen Unterschied. So sind im Regelfall die Lizenzbedingungen von permissiven Lizenzen deutlich weniger komplex und damit sowohl leichter umzusetzen als beispielsweise die Lizenzbedingungen einer Lizenz mit Copyleft-Effekt (vgl. dazu Teil 1 unserer Serie). Hinzu kommt, dass manche OSS-Lizenzen (wie etwa der GNU Lesser General Public License) von der Fachwelt unterschiedlich interpretiert werden und es damit an allgemeingültigen Aussagen fehlt. In der Praxis bereitet insbesondere der Einsatz von OSS in sog. „Embedded Systems“ besondere Schwierigkeiten.
Eines lässt sich in jedem Fall festhalten: Je größer das Unternehmen ist und je mehr OSS-Software in verschiedensten Konstellationen darin zum Einsatz kommt, desto umfassender sind auch die entsprechenden Compliance-Maßnahmen zu gestalten.
Best Practices
In der Praxis haben sich sogenannte „Best Practices“ etabliert, die bei der Erstellung individueller OSS-Compliance-Maßnahmen helfen können. Einige dieser Best Practices sollen im Folgenden kurz dargestellt werden:
OSS-Richtlinien: Für jedes Unternehmen ist es essenziell, Richtlinien zum Umfang mit OSS zu erarbeiten. In diesen ist festzulegen, ob bzw. unter welchen Umständen OSS verwendet werden darf und welche Anforderungen hierbei erfüllt werden müssen. In diesem Zusammenhang gibt es zahlreiche Punkte, die Berücksichtigung finden müssen, so z.B. der Umgang mit dem „Copyleft-Effekt“ und die Vermeidung von Lizenzinkompatibilitäten.
Analyse der OSS im Unternehmen: Weitere Grundlage der OSS-Compliance stellt die Analyse der im Unternehmen eingesetzten OSS dar. Dabei muss festgestellt werden, in welchen Produkten des Unternehmens welche Art von OSS verwendet wird und ob diese Produkte Dritten überlassen und damit im urheberrechtlichen Sinne verbreitet werden. In der Praxis werden dabei häufig Scanning-Tools herangezogen, die eine Analyse des Sourcecode auf das Vorliegen von OSS ermöglichen. Hieran schließt sich die Dokumentation der verwendeten OSS an, die u.a. auch für die Erstellung der „Third Party Notices“ bzw. der „Urheberrechtshinweise Dritter“ bedeutend ist.
Dokumentation: Aufgrund der Komplexität der OSS-Thematik ist eine umfassende Dokumentation der entwickelten und etablierten Unternehmensabläufe von essenzieller Bedeutung. Neben einer späteren Nachvollziehbarkeit der Vorgänge, kann damit auch die Einhaltung der Verpflichtungen aus § 130 Abs. 1 OWiG nachgewiesen werden.
Fortentwicklung und Kontrolle: Da OSS einer konstanten Entwicklung unterliegt, sowohl technisch wie auch tatsächlich, ist eine regelmäßige Überprüfung und Überarbeitung der im Unternehmen vorhandenen Richtlinien und Prozesse entscheidend. Dabei ist auch zu prüfen, ob die Vorgaben der Geschäftsführung auch tatsächlich gelebt werden.
Integration in Unternehmenspraxis
Neben der Ausarbeitung der dargestellten OSS-Compliance-Maßnahmen, ist ein weiterer Aspekt von entscheidender Bedeutung, der in der Praxis jedoch häufig übersehen wird: Die eigentliche Integration der OSS-Compliance in die Unternehmenspraxis.
Es genügt nicht, wenn Unternehmen umfangreiche OSS-Compliance-Maßnahmen wie etwa die Erstellung von Richtlinien zur Vermeidung von Copyleft-Effekten ausarbeiten, diese Maßnahmen aber nicht an die mit OSS befassten Mitarbeiter in ausreichendem Maße kommuniziert werden. Zudem müssen konkrete Ansprechpartner bereitstehen, die Fragen zum Umgang mit OSS beantworten können. Wichtig ist es, das Thema OSS-Compliance im Unternehmen regelmäßig zu adressieren, um bei den mit OSS befassten Mitarbeitern ein Problembewusstsein zu schaffen. Dabei haben sich die Durchführung von Mitarbeiterschulungen und die Bereitstellung von jederzeit abrufbaren Informationen, z.B. in Form von internen Wikis, in der Praxis als sinnvoll erwiesen. Ebenfalls wichtig ist es, dass sich die Geschäftsführung ein Bild von der tatsächlichen Umsetzung der Maßnahmen macht.
Fazit
Das Thema „OSS-Compliance“ ist komplex und muss für jedes Unternehmen individuell angegangen werden. Aufgrund der unmittelbaren Verantwortung der Geschäftsführung, Rechtsverletzungen im Unternehmen durch entsprechende Maßnahmen zu vermeiden, sollte dieses Thema aber keinesfalls vernachlässigt werden, auch wenn diese Maßnahmen mit Kosten verbunden sind. Wir beraten Unternehmen beim Identifizieren und Minimieren von rechtlichen Risiken im Rahmen der Verwendung von OSS und unterstützen in diesem Zusammenhang bei der Ausarbeitung und Integration eines individuellen OSS-Compliance-Konzepts.
Weitere Folgen unserer Serie:
• Open Source Software - Teil 1: Welche Geschäftsmodelle stehen dahinter? – 20.10.2020
• Open Source Software -Teil 2: Welche rechtlichen Risiken drohen? 24.11.2020
Stefan Haßdenteufel
hassdenteufel@web-partner.de
Eva Ametsbichler
ametsbichler@web-partner.de