Gehen Unternehmen mit Open-Source-Lizenzrecht leichtfertig um?
Ich komme gerade von einer Unternehmensübernahme, bei der ich die Frage gestellt habe: "Wie sind Ihre Vorkehrungen in diesem Umfeld?" Im Ergebnis gab es keine wirksamen. Wenn aber heute ein Geschäftsführer sagt, dass er sich mit dem Thema noch nicht beschäftigt hat, kommt er mindestens zwei Jahre zu spät.
Lässt sich das an Gerichtsklagen ablesen?
Seit einem dreiviertel Jahr werden die Verfahren mehr. Immer mehr Entwickler arbeiten weltweit verstreut an neuen Programmen. Daraus ergeben sich immense urheberrechtliche Fragen. Bei vielen Firmen ist dieses Problem noch nicht angekommen.
Wozu dient nun OSS-Risiko-Management?
Risiko-Management gibt es in jedem Unternehmen. OS ist nur ein spezieller Fall des Lizenz-Managements. Wichtig ist: Das Problem geht nicht nur Unternehmen an, die OSS verwenden, sondern umso mehr diejenigen, die meinen, keine zu verwenden.
Und was passiert, wenn CIOs ihre Software nicht kontrollieren?
Wer eine Überprüfung des "eigenen" Codes nicht vornimmt, muss davon ausgehen, dass irgendwo OS enthalten ist und der Vertrieb zugleich eine - strafbewehrte - Urheberrechtsverletzung zur Folge haben kann. Ein effizientes Risiko-Management soll in dieser Hinsicht eine Tatsachengrundlage schaffen: Was verwende ich eigentlich in meinem Produkt?
Wie müssen Unternehmen dagegen vorgehen?
Man muss bei der Entwicklungsabteilung ansetzen. Nur dann kann ich davon ausgehen, dass ich mit dem Produkt keine Probleme bekomme. Für die Entwickler ist es heute ein Leichtes, Code aus dem Internet zu beziehen. Die meisten Unternehmen müssen daher davon ausgehen, dass sie bereits OS-Code verwenden.
Gibt es eine hundertprozentige Sicherheit?
Im Hinblick auf das Risiko-Management gilt der Grundsatz: Man kann die Quelle nicht stoppen, man kann sie nur kontrollieren. Für die Prüfung, ob "Fremdcode" im Rahmen der Entwicklung einbezogen wurde, gibt es mittlerweile Tools, die den Prozess unterstützen. Es folgt die Frage: Was bedeutet das rechtlich für uns?
Können Firmen die Verwendung von OS-Code nicht einfach verbieten?
In Entwicklungsrichtlinien und Verträgen finden sich vermehrt entsprechende Regelungen. Doch das ist am Ende völlig irrelevant, da bei Verstoß gegen eine solche Regelung das Unternehmen zwar arbeitsrechtliche Konsequenzen folgen lassen könnte. Es ändert aber nichts daran, dass die durch die Einbeziehung von Open-Source-Code mögliche Urheberrechtsverletzung und die daraus folgenden rechtlichen Konsequenzen für das Produkt bestehen bleiben.
Das klingt hoffnungslos...
Ich empfehle daher, einen Prozess zu implementieren, der für die Entwickler akzeptabel ist. Sie dürfen sich durch die Rechtsabteilung nicht gestört fühlen. Dazu gilt es, einen Juristen mit technischem Verständnis zu finden, der den Entwicklern einen Einblick in die rechtlichen Probleme geben kann und einen Prozess implementiert, der die fortschreitende und rechtlich einwandfreie Überprüfung sicherstellt.
Was blüht Unternehmen, die darauf nicht achten?
Es gibt zahlreiche Firmen, die Teile von OS in einer kommerziellen Lösung verwenden. Da muss man ganz genau hingucken, denn davon hängt oftmals das Business-Modell ab. Finanzinvestoren stellen inzwischen auch Fragen nach Open Source und danach, ob das verwendete Business-Modell überhaupt passt.
Droht Managern sogar der Gang ins Gefängnis?
Es kann theoretisch bis zu fünf Jahre Freiheitsstrafe geben. In der Praxis hat die strafrechtliche Verantwortlichkeit des Managements bislang jedoch noch keine Bedeutung erlangt. Unternehmen erhalten primär einstweilige Verfügungen, in denen ihnen ein Produktionsstopp auferlegt wird.
Wann beschäftigen sich Firmen mit dem Thema?
Viele sagen, "sie müssten da mal was machen", gehen die Sache aber nicht an. In der Regel wird die Frage zu einem großen, ungelegenen Problem, wenn ein Börsengang oder eine Finanzierungsrunde ansteht. Wenn man in Verhandlungen steckt, in denen der Verkauf des Produkts oder des Unternehmen in Frage steht, und sich dann herausstellt, dass man hier keine Strategie hat, ist das sehr schlecht für die eigene Verhandlungsposition. OS-Risiko-Management ist kein extremer Aufwand, aber man muss es halt tun.