Unterschieden werden muss zunächst das Vertragsverhältnis zwischen dem Nutzer und demjenigen, von dem er die OS-Software bezieht und demjenigen, der sie weitergibt. Zudem muss die Frage geklärt werden, ob die Software nur intern in der eigenen Firma eingesetzt oder, ob sie an Dritte weitergegeben wird. Mit Hilfe eines Software- und Lizenz-Managements können diese Unterscheidungen praktisch umgesetzt werden.
Der Analyse zufolge werden Inhalte und Wirksamkeit vertraglicher Regelungen nach der jeweiligen nationalen Rechtsordnung beurteilt. So richtet sich beispielsweise die rechtliche Beurteilung bei Vertragspartnern mit Sitz im Ausland nach ausländischem Recht. Das gilt allerdings auch, wenn ausländisches Recht vereinbart worden ist.
Auch ohne eine ausdrückliche Regelung im Vertrag kann die Rechtsordnung am Sitz des Anbieters angewendet werden, so die Studie. Das Problem dabei ist, dass der Sitz bei Downloads von Open-Source-Software aus dem Internet nicht hundertprozentig bestimmt werden kann. Das hat zur Folge, dass dem Anwender erst beim Auftreten von Schwierigkeiten klar wird, nach welcher Rechtsordnung sich sein Vertrag richtet. Aus diesem Grund sollte die Software möglichst von Anbietern bezogen werden, deren Sitz bekannt ist.
Laut der Untersuchung stellt der Bezug von Open Source aus dem Ausland unter ausländischem Recht ein weiteres Risiko dar. Wird die Software vom deutschen Vertragspartner deutschen Anwendern zur Verfügung gestellt, gilt deutsches Recht. Ein vollständiger Gewährleistungs- und Haftungsausschluss wird daher gegenüber den Anwendern unwirksam sein. Weil es auch noch zu weiteren Problemen kommen kann, sollte in Fällen mit Auslandsbezug eine fachkundige rechtliche Beratung hinzugezogen werden.
Standardisierte Verträge
Vertragliche Vereinbarungen mit einem Standardtext vom Vertragspartner unterliegen nach deutschem Recht der Wirksamkeitskontrolle. Dabei wird eine mögliche unangemessene Benachteiligung des anderen Vertragspartners geprüft. Die Regelungen schränken den Gestaltungsspielraum für standardisierte Vereinbarungen deutlich ein.
Der Untersuchung zufolge entscheiden die Regelungen über die Rechte und Pflichten des Kunden und Anbieters. So beispielsweise bei Mängeln von Open Source Software. Aus Sicht des Anbieters gibt es hauptsächlich vier Vertragstypen.
1. Kauf: Die Software wird gegen eine Vergütung auf Dauer überlassen. Nach einem Denkmodell soll die Vergütung dann zwar nicht für die Open-Source-Software selbst, sondern nur für ergänzende Leistungen des Anbieters bezahlt werden. Liegt allerdings der Fall vor, dass die Anbieter die Software und ergänzende Leistungen dem Kunden als Einheit anbieten, wird regelmäßig Kaufrecht für das einheitliche Angebot angewendet.
2. Schenkung: Die Software wird ähnlich wie beim Kauf auf Dauer zur Nutzung überlassen. Der Unterschied ist jedoch, dass der Kunde dafür nicht zahlen muss, beispielsweise beim kostenlosen Download im Internet.
3. Miete: Die Software wird gegen Bezahlung dem Kunden auf Zeit überlassen. So etwa bei kostenpflichtigen Downloads mit zeitlich begrenzter Nutzung.
4. Leihe: Die Software wird ohne Bezahlung nur zeitlich beschränkt überlassen.
Neben den Formen der Überlassung vereinbaren Kunden und Anbieter häufig auch weitere Leistungen. Dazu gehören unter anderem die Installation und Einrichtung, die Anpassung an die Bedürfnisse des Anwenders oder die Ergänzung von neuen Komponenten. Für die rechtliche Einordnung dieser Leistungen muss zuerst geklärt werden, ob sie mit der Überlassung der Software vereinbart worden sind oder rechtlich voneinander getrennt gesehen werden können. Beide Vertragspartner sollten darauf achten, dass in diesem Fall eindeutige vertragliche Vereinbarungen getroffen werden.
Grundsätzlich gilt, dass Verträge über Leistungen im Zusammenhang mit OS-Software denselben gesetzlichen Regelungen wie Verträge über sonstige ITK-Leistungen unterliegen. Auch hier rät der Bundesverband zu einer fachkundigen Rechtsberatung.
Nachhaltiges Risk-Management
Doch nicht nur rechtlich müssen Unternehmen beim Einsatz von Open-Source-Software einiges beachten. Für ein nachhaltiges Risk-Management hat die Studie einige Handlungstipps zusammengestellt.
-
Erfassung und Verwaltung: Firmen sollten sich einen kompletten Überblick über die im Unternehmen intern oder in den vertriebenen Produkten verwendete OS-Software verschaffen. Dabei müssen relevante Mitarbeiter befragt werden. Wichtig ist auch eine IT-gestützte Datenbank zu führen. Sie sollten unter anderem Informationen wie Name und Version der Software, Lizenzart und Beginn der Nutzung enthalten.
-
Interne Regeln: Bei Verwendungsregeln und Leitlinien muss die Firma berücksichtigen, ob sie unveränderte oder veränderte OS-Software verwendet. Dabei ist es wichtig, ob die Software nur zur internen oder auch zur externen Verwendung dient. Kann die verwendete Software vorab bestimmten Lizenzarten zugeordnet werden, insbesondere hinsichtlich von Copyleft-Bestimmungen, so hat das auch einen wesentlichen Einfluss auf die Einschätzung des Risikos. Im Allgemeinen gilt beispielsweise, dass die Rahmenbedingungen kurz und verständlich beschrieben werden müssen. Außerdem sollten Bescheinigungen oder Garantien über Bestandteile von OS-Software bei der Beschaffung eingeholt werden und die Richtlinien müssen regelmäßig anhand der sich ändernden Lizenzbedingungen aktualisiert werden.
-
Überprüfung der Verträge: Alle Vertragsmuster und laufenden Verträge sollten auf die Einhaltung der unternehmensinternen festgelegten Regeln überprüft werden.
-
Information und Schulung: Als Bestandteil der Aktivitäten zur Erfassung und Steuerung der Nutzung von Open Source sollten Firmen ihre Mitarbeiter regelmäßig informieren und schulen.
Der Leitfaden des Bundesverbandes Bitkom ist unter dem Titel "Open Source Software" erschienen.