Software Package Data Exchange (SPDX)
Wie SPDX bei der Compliance-Prüfung von OSS-Lizenzen hilft
Die Herausforderung, vor der alle Unternehmen stehen, deren Vertriebsmodell auf der Verbreitung von OSS-Komponenten basiert beziehungsweise basieren könnte, lautet deshalb: Wie kann durchCompliance-MaßnahmenCompliance-Maßnahmen ein Höchstmaß an lizenzrechtlicher Verlässlichkeit erreicht werden, ohne dass die Kosten für diese Überprüfung den Rahmen der Wirtschaftlichkeit übersteigen? OSS-Komponenten spielen inzwischen in fast allen Software-Bereichen (von Embedded Software in Fahrzeugen und Hausgeräten bis zu ERP-Software und Webshop-Lösungen) eine unverzichtbare Rolle für KMUs bis zu DAX-Konzernen, sodass die Investitionen in OSS-LCM steigen (müssen). Alles zu Compliance auf CIO.de
Was bei der Beschaffung von Software zu beachten ist
Bei Beschaffung von Fremdsoftware (-komponenten) durch externe Lieferanten ist es üblich, dass der Erwerber – sofern er genügend Verhandlungsmacht hat – in die vertragliche Vereinbarung eine Regelung aufnimmt, wonach der Lieferant den Erwerber von etwaigen Ansprüchen Dritter aufgrund lizenzrechtlicher Verstöße freistellt. Zunehmend wird geregelt, dass der Lieferant zusichert, dass die gelieferte Software keine OSS enthält.
Solche Regelungen haben im Innenverhältnis zwischen Lieferant und Erwerber ihre Berechtigung und erleichtern den Regress, sofern der Lieferant nicht insolvent ist. Die Insolvenz ist vor allem bei kleinen Lieferanten ein typisches Risiko, vor allem weil im Falle von Lizenzverstößen hohe Schadensersatzkosten drohen können. Bei ausländischen Lieferanten (vor allem aus dem EU-Ausland) ist die Rechtsdurchsetzung gegenüber dem Lieferanten häufig schwierig und/oder zeitaufwendig.
Das Hauptproblem solcher Regelungen zwischen Erwerber und Lieferant ist, dass sie den Erwerber bei (unbemerktem) OSS-Lizenzverstoß nicht davor schützen, durch den Rechteinhaber der OSS-Komponente in Anspruch genommen zu werden, wie das Urteil des LG Hamburg aus 2013 gezeigt hat (siehe oben). Vertragliche Regelungen mit dem Lieferanten entbinden den Erwerber also nicht von eigenem OSS-LCM, denn eine vertragliche Vereinbarung zwischen Erwerber und Lieferant kann nicht zulasten eines Dritten, wie hier etwa dem OSS-Lizenzgeber, gehen.
Kumulativer Einsatz verschiedener Compliance-Tools sinnvoll
Auf dem Markt sind verschiedene OSS-Scanner verfügbar, die die Code-Analyse automatisiert durchführen und als Ergebnis unter anderem eine Übersicht der relevanten OSS-Lizenzen auswerfen, wobei teilweise durch Ampelfarben markiert ist, wo Lizenzkonflikte drohen und wo nicht.
Es gibt auch kostenlose OSS-Varianten solcher Tools (zum Beispiel fossology). Wichtig ist, dass jedes dieser Tools naturgemäß eine (im Regelfall geringe) spezifische Fehlerrate hat. Durch Kombination mehrerer Tools lässt sich die Fehlerrate weiter reduzieren. Daher ist es sinnvoll, kumulativ verschiedene Identifizierungs- und Ermittlungsmaßnahmen zu ergreifen, wobei im Einzelfall – auch unter Berücksichtigung von Bedeutung und Gefährdungslage des Software-Einsatzes – abzuwägen ist, was mit Blick auf Aufwand und Kosten als angemessen und ausreichend eingestuft werden kann. Häufig ist eine individuelle/händische Analysetätigkeit jedoch nicht zu vermeiden.