Software Package Data Exchange (SPDX)

Wie SPDX bei der Compliance-Prüfung von OSS-Lizenzen hilft

Stefan Haßdenteufel ist Rechtsanwalt und Partner der unter anderem auf IT-Recht und Datenschutz spezialisierten Kanzlei Witzel Erb Backu & Partner Rechtsanwälte in München. Er berät national wie international tätige Unternehmen, darunter auch Start-Ups, in allen Belangen des IT-Rechts. Dabei stehen vor allem die Themen IT-Compliance und IT-Sicherheit regelmäßig im Fokus. Neben seinen juristischen Fachkenntnissen verfügt der Autor über umfassendes technisches Spezialwissen im IT-Bereich und ist als IT-Berater tätig.

Gerichtsurteile zum Umgang mit OSS-Dokumentationstools sind, soweit ersichtlich, bislang nicht ergangen. Jedenfalls bei Anhaltspunkten für etwaige Widersprüche, Ungenauigkeiten oder Unkorrektheiten entbindet die Verwendung von SPDX-Dateien den Nutzer nicht von einer weitergehenden lizenzrechtlichen (Detail-)Prüfung.

Selbst wenn solche nach außen erkenntlichen Anhaltspunkte für fehlerhafte Angaben in der SPDX-Datei nicht ersichtlich sind und infolgedessen der Verwender einer OSS-Komponente die tatsächlich geltenden Lizenzbedingungen nicht kennt (und gegebenenfalls auch nicht erfüllt), führt dies nicht zu einem Sanktionsschutz. Wie hoch der Aufwand zur Überprüfung der Richtigkeit von vorgefundenen OSS-Dokumentationsdaten sein muss, ist eine bislang unbeantwortete Frage. Hier wird es aber wohl auch jeweils auf den konkreten Einzelfall ankommen.

Somit kann Einsatz von SPDX oder ähnlichen Formaten (etwa unternehmensinterne Eigenentwicklungen) zwar eine Erleichterung bei der OSS-Compliance bieten, ist aber allein nicht ausreichend.

Erst mit dem Einsatz der richtigen Werkzeuge im Rahmen des License-Compliance können die Risiken minimiert werden.
Erst mit dem Einsatz der richtigen Werkzeuge im Rahmen des License-Compliance können die Risiken minimiert werden.
Foto: Volodymyr Krasyuk - shutterstock.com

Einsatz von SPDX und Compliance-Tools in Unternehmen

Der Verbreitungsgrad von SPDX und damit arbeitenden Compliance-Tools wird mit Blick auf die große und stetig steigende Bedeutung des OSS-LCM voraussichtlich weiter ansteigen. Gerade für kleine und mittelständische Unternehmen, die ohne eigenständige Compliance-Abteilung auskommen müssen, dürfte der Rückgriff auf das standardisierte SPDX-Format eine erste Option sein. Bei größeren Unternehmen und Konzernen mit eigenständiger Compliance-Abteilung wird erfahrungsgemäß ein internes, individualisiertes OSS-Compliance-Modell aus Gründen der Effektivität und Passgenauigkeit präferiert, aber auch hier sind Kenntnisse im Umgang mit dem SPDX-Spezifikationen hilfreich.

Entscheidend für jedes Unternehmen, das mit OSS in Berührung kommt, ist der Aufbau entsprechender Compliance-Strukturen. Mit technischer Expertise, juristischem Know-how und dem Rückgriff auf verschiedene Compliance-Tools aus dem skizzierten "OSS-Werkzeugkasten" kann es Unternehmen gelingen, diese lizenzrechtlichen Herausforderungen zu meistern.

Zur Startseite