Software Package Data Exchange (SPDX)

Wie SPDX bei der Compliance-Prüfung von OSS-Lizenzen hilft

04.05.2017
Von 
Stefan Haßdenteufel ist Rechtsanwalt und Partner der unter anderem auf IT-Recht und Datenschutz spezialisierten Kanzlei Witzel Erb Backu & Partner Rechtsanwälte in München. Er berät national wie international tätige Unternehmen, darunter auch Start-Ups, in allen Belangen des IT-Rechts. Dabei stehen vor allem die Themen IT-Compliance und IT-Sicherheit regelmäßig im Fokus. Neben seinen juristischen Fachkenntnissen verfügt der Autor über umfassendes technisches Spezialwissen im IT-Bereich und ist als IT-Berater tätig.
Weitere Artikel des Autors

Während auf der dritten Stufe regelmäßig eine juristische Einzelfallprüfung erforderlich sein wird, drehen sich die Stufen eins und zwei vor allem um die (forensische) Code-Analyse, die durch technische Tools unterstützt werden kann.

Deutsche Gerichte gehen von erweiterten Prüfungspflichten aus

Die Einhaltung der lizenzrechtlichen Prüfpflichtenin dem oben vorgestellten Stufenmodell ist wichtig und sollte dokumentiert werden, denn die Rechtsprechung stellt hohe Compliance-Anforderungen an Unternehmen, die OSS-Komponenten (mit) vertreiben.

Das Landgericht Hamburg hat in einem vielbeachteten (aber durchaus umstrittenen) Urteil vom 14.06.2013 zulasten einer beklagten Software-Händlerin festgestellt: "Sie durfte sich […] nicht auf die Zusicherung ihrer Lieferanten verlassen, dass die gelieferte Ware keine Rechte Dritter verletzt. Jedenfalls hätte die Beklagte durch eigene Begutachtung oder unter Zuhilfenahme von sachkundigen Dritten eine Überprüfung der von ihr angebotenen und bereitgehaltenen Software in geeigneter Weise durchführen oder veranlassen müssen, auch wenn das mit zusätzlichen Kosten verbunden ist."

Im konkreten Fall hatte der chinesische Software-Sublieferant gegenüber dem Hauptlieferanten versichert, dass der gelieferte Code keine OSS-Komponenten enthält, was sich im Nachhinein als falsch herausstellte. Das Gericht verurteilte den Hauptlieferanten zu Unterlassung und Schadensersatz; auch die Verfahrenskosten musste er zahlen.

Auch das Landgericht Bochum hat in einem Urteil vom 03.03.2016 – Az. I-8 O 294/15 – die Notwendigkeit der Einhaltung von OSS-Lizenzbedingungen hervorgehoben: "Erforderlich ist danach insbesondere, dass auf die GPL [die Lizenzbedingungen] hingewiesen, der Lizenztext der GPL beigefügt und der Quellcode zugänglich gemacht wird (Ziffern 1 und 3 der GPL). Die Beklagte hat unstreitig diese Bedingungen der GPL nicht eingehalten. Ziffer 4 der GPL bestimmt, dass ein Lizenzverstoß automatisch zu einem Erlöschen der Lizenzrechte führt, so dass eine unberechtigte Nutzung durch die Beklagte vorliegt. Die Beklagte hat die Urheberrechtsverletzung auch zu vertreten, denn sie hat zumindest fahrlässig gehandelt." Die Berufung der Beklagten ist derzeit vor dem Oberlandesgericht Hamm anhängig.

Zur Startseite