Wer haftet beim Einsatz von Open Source-Software?

Open Source-Software (OSS) ist aus unserer heutigen Software-Welt nicht mehr wegzudenken. Gerade die Entwicklung moderner Cloud-, Embedded- und Mobile-Computing-Technologien basiert zu großen Teilen auf OSS-Lösungen. Immer mehr Software-Anbieter bedienen sich der Komponenten mit offenem Quellcode. Microsoft zum Beispiel, das mit seinem traditionellen Windows-Geschäft eine wichtige Einnahmequelle für kostenpflichtige Software hat, ist inzwischen zu einem aktiven Player im OSS Markt geworden und hat selbst Teile seines Codes offen zugänglich gemacht, darunter das .NET Framework und Visual Studio Code. Auch GitHub, die größte Sammelstelle für die Infrastruktur von Open-Source-Projekten, wurde im Jahr 2018 von Microsoft übernommen, was der Popularität dieses Dienstes keinen Abbruch tat.

Komplexe Gemengelage

Bei vielen kommerziellen Software-Anbietern ist OSS ein wichtiger Bestandteil. Software-Anbieter bedienen sich dazu einzelner Komponenten, die von OSS-Rechteinhabern programmiert wurden. Anschließend wird das Produkt – zumeist kostenpflichtig – vertrieben. Das Ermitteln und Beheben von Schwachstellen in Softwareprodukten ist oft ein kostspieliger und zeitraubender Prozess. Der große Anteil an OSS stellt die Hersteller vor die Aufgabe, für effiziente Möglichkeiten beim Erkennen, Analysieren und dem Mindern des Risikos zu sorgen. Doch selbst bei der sorgfältigsten Prüfung sind Fehler in der Programmierung nie auszuschließen.

Welches Recht ist anwendbar?

Das wirft die Frage auf: Wer ist für Sicherheitslücken und Schwachstellen in der Software verantwortlich? Um es gleich vorwegzunehmen: Der in zahlreichen OSS-Lizenzen vereinbarte (vollständige) Haftungsausschluss darf einen Anbieter hier nicht in falscher Sicherheit wiegen. Er verleitet zu der Annahme, dass für Fehler nicht eingestanden werden muss. Nach deutschem Recht ist ein so weitgehender Haftungsausschluss regelmäßig unwirksam.

Besonders misslich ist die Lage, wenn der Rechteinhaber seinen gewöhnlichen Aufenthalt in den USA hat und im Rechtsverhältnis US-amerikanisches Recht anwendbar ist. Fehlt es an einer expliziten Rechtswahl durch die Parteien, ist bei OSS-Lizenzverträgen das Recht des Staates anwendbar, in dem Vertragspartner mit der charakteristischen Leistung seinen gewöhnlichen Aufenthalt hat. Bei OSS-Lizenzverträgen wird diese charakteristische Leistung in der (kostenlosen) Einräumung von Nutzungsrechten zu sehen sein, so dass bei Streitigkeiten das Recht des Staates anwendbar ist, in dem der Lizenzgeber seinen Aufenthalt hat. Deutsches Recht wird also nur dann relevant sein, wenn der Rechteinhaber in Deutschland seinen gewöhnlichen Aufenthalt hat.

Dies hat unmittelbare Auswirkungen auf die Gewährleistungs- und Haftungsansprüche des Lizenznehmers. Während die Haftung damit z.B. aufgrund der Grundlage US-amerikanischen Rechts tatsächlich ausgeschlossen sein kann, wäre ein solcher Ausschluss im Verhältnis zwischen dem Ver-wender und dem Nutzer regelmäßig unwirksam. Dies gilt insbesondere bei Verträgen mit Verbrauchern.

Welche Ansprüche haben Verwender und Nutzer?

Ob und in welcher Form dem Verwender bzw. dem Nutzer Gewährleistungs- und weitere Haftungsansprüche zustehen, hängt von den Vereinbarungen zwischen den Parteien ab. Allerdings führen vor allem die Bestimmungen des BGB für Allgemeine Geschäftsbestimmungen (AGB) dazu, dass zu weitreichende Begrenzungen der gesetzlich vorgesehenen Ansprüche unwirksam sind. Die charakteristische Vertragsleistung bei OSS liegt in der kostenlosen Überlassung von Software und der gleichzeitigen Einräumung von umfangreichen einfachen Nutzungsrechten. Der OSS-(Lizenz)-Vertrag wird demnach von der herrschenden Meinung als Schenkungsvertrag verbunden mit einem Lizenzvertrag mit schenkungsrechtlichen Elementen angesehen. Der Vertrieb einer proprietären Software, die (auch) OSS des Rechteinhabers beinhaltet, ist bei einer kostenpflichtigen Überlassung dem Kaufrecht und bei der Überlassung auf Zeit dem Mietrecht zuzuordnen, bei Überlassung etwa im Rahmen von Implementierungsprojekten liegt gegebenenfalls ein Werkvertrag vor.

Bei einer Schenkung ist die Haftung des Schenkenden stark eingeschränkt. Grundsätzlich haftet er nur für grobe Fahrlässigkeit und Vorsatz. Wenn Software mangelbehaftete OSS-Komponenten beinhaltet, haften der Rechteinhaber als auch der Verwender nur im Falle der Arglist. Ein Fall der Arglist könnte vorliegen, wenn der Rechteinhaber/Verwender in bewusster Kenntnis (schwerwiegender) Sicherheitslücken seine Software weiter unter Verwendung dieser Komponente entwickelt oder aber die Software vertreibt und den Nutzer nicht über diesen Umstand informiert.

Bei welchen Fehlern haftet der Urheber?

Die Besonderheit bei Software ist, dass sie als komplexes Werk fast nie absolut fehlerfrei im technischen Sinne sein wird. Eine Sicherheitslücke hingegen wird in der Regel einen Sachmangel darstellen. Dies wird insbesondere dann relevant, wenn der Kunde einen Telemediendienst anbietet (vgl. § 13 Abs. 7 TMG ), eine sogenannte kritische Infrastruktur betreibt (vgl. § 8a Abs. 1 BSIG) oder in Zukunft als „Anbieter digitaler Dienste“ anzusehen ist (vgl. § 8c BSIG-E ) und dem Softwareanbieter die Sicherheitslücke bekannt ist. Sofern die Software beim Kauf einen Sachmangel in Form einer Sicherheitslücke aufweist, stehen dem Nutzer Gewährleistungsrechte zu. Der OSS-Nutzer hat bei Vorliegen eines Sachmangels zunächst einen Nachbesserungsanspruch auf Beseitigung der Sicherheitslücke. Daneben stehen ihm Schadensersatzansprüche für solche Schäden zu, die im Zusammenhang mit dem Mangel eingetreten sind, etwa bei einem Betriebsausfall.

Schadensersatz bei Gefahr für Leib und Leben

Die entscheidende Frage ist nun, wie der Urheber und der Verwender der OSS auf Sicherheitslücken reagieren müssen. Wenn das Leib, Leben, Gesundheit, Eigentum oder ein sonstiges absolutes Rechtsgut durch die mit Sicherheitslücken belastete Software verletzt wird, besteht ein Schadensersatzanspruch des Geschädigten nach dem sog. „Deliktsrecht“. Auch der Datenverlust beim Nutzer kann als Eigentumsverletzung angesehen werden. Hier reicht eine fahrlässige Verletzung aus.

Den Hersteller treffen sogenannte Verkehrssicherungspflichten. Sowohl bei Konstruktion, Produktion als auch Instruktion muss sich der Hersteller nach dem erkennbaren und ermittelbaren Stand von Wissenschaft und Technik richten. Hat der Hersteller einer Software erkannt, dass die Verwendung dieser, z.B. aufgrund vorhandener Sicherheitslücken, zu einer Gefährdung von Leib, Leben, Gesundheit, Eigentum oder eines sonstigen absoluten Rechtsguts führen kann, so müssen entsprechende Schritte zur Abwendung der Gefahr eingeleitet werden.

Der Rechteinhaber hat bei einer Schenkung in der Regel nur für Arglist bei Schäden aufgrund eines Sachmangels, ansonsten für grobe Fahrlässigkeit einzustehen. Im Kaufrecht gibt es keine vergleichbare Haftungserleichterung (siehe Schenkungsrecht nach §§ 521 ff. BGB). Im Rahmen des Produkthaftungsgesetz (kurz: ProdHaftG) ist der Hersteller eines fehlerhaften Produktes zum Schadensersatz verpflichtet, wenn durch den Fehler jemand getötet, sein Körper oder seine Gesundheit verletzt wird oder eine Sache beschädigt wird. Relevant kann dies vor allem beim Einsatz von FOSS in „embedded systems“ werden, z.B. im Flugzeug, im Auto etc.

Besondere Anforderungen an Kritische Infrastruktur

Neben dem allgemeinen ProdHaftG gibt es noch spezielle Gesetze, die bestimmten Personen besondere Pflichten im Bereich der IT-Sicherheit auferlegen. Dazu zählt insbesondere das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Nach § 8a Abs. 1 BSIG müssen Betreiber Kritischer Infrastrukturen „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse“ treffen. Zur kritischen Infrastruktur zählen die Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen sowie solche Infrastrukturen von „von hoher Bedeutung für das Funktionieren des Gemeinwesens“. Darunter können auch Telemedien- und Cloud-Anbieter fallen. Die Verpflichtungen nach dem BSIG richten sich zwar nicht direkt an die Software-Hersteller, jedoch kann das Bundesamt für Sicherheit in der Informations-technik (BSI) von den Herstellern bei Sicherheitslücken Abhilfe verlangen (vgl. § 8b Abs. 6 BSIG).

Vertragliche Rahmenbedingungen bei OSS genau prüfen

Die Verwendung von OSS in kommerziellen Produkten wirft zahlreiche juristische Fragestellungen auf, die von erheblicher Brisanz für Unternehmen sein können. Dies gilt insbesondere auch bei der Verwendung von OSS, die Schwachstellen – z.B. in Form von Sicherheitslücken – aufweisen. In diesen Fällen stellt sich die Frage nach der Haftung für Schäden, die aufgrund fehlerhafter OSS eingetreten sind. Zudem hat der Hersteller von Software in Hinblick auf sein Produkt zahlreiche Verpflichtungen, insbesondere zur Instruktion, Produktbeobachtung und Gefahrenabwendung. Wir beraten Unternehmen beim Gestalten der vertraglichen Rahmenbedingungen speziell für die Verwendung von OSS und vertreten sie in außergerichtlichen wie gerichtlichen Angelegenheiten.

Stefan Haßdenteufel
hassdenteufel@web-partner.de