1.3 Compliance im Hinblick auf das Urheberrecht/ gewerbliche Schutzrechte
Dann gibt es die rechtliche Compliance, die das Urheberrecht und den gewerblichen Rechtsschutz (also Patent, Markenrecht etc.) betrifft. Im Laiendeutsch: Die Kontrolle darüber, dass man die Software auch rechtlich, wie gewünscht, nutzen und weitergeben darf.
Im Falle der Compliance von Open Source bedeutet das einerseits, dass man Ansprüchen wie Schadensersatz, Unterlassung, Auskunft, etc. nicht ausgesetzt sein will.
Denn durch die OSS-Lizenz wird das Recht zur Nutzung der OSS-Software eingeräumt. Entfällt das Nutzungsrecht, darf die betreffende Software nicht mehr genutzt werden, also nicht mehr installiert, in den Arbeitsspeicher geladen, etc.. Ob das nur den ursprünglichen Teil betrifft oder auch den bearbeiteten Teil der Software, ist umstritten, aber das spielt hier erstmal keine Rolle.
1.4 Zielgruppe dieses Blogs
Es gibt nun bereits eine Menge Scanning Tools auf dem Markt und es wird durch den Einsatz von KI noch viel mehr Tools geben. Natürlich fordern Anwälte, dass die Arbeiten der Tools noch einmal händisch überprüft werden sollen, aber das ist am Ende eine Frage der Risikobewertung.
Mit diesen Beiträgen möchte ich den Rahmen für eine grundsätzliche Kontrolle ziehen. Der konkrete Rahmen richtet sich nach den eingesetzten Mitteln (welche Software), sowie dem Einsatzweck und den Risiken und ist deshalb (man ahnt es schon) von den Umständen des Einzelfalls abhängig.
Ich schreibe diese Serie im Bewusstsein darüber, dass manche schon Scans der Software durchführen und ggf. auch schon eine SBOM im Einsatz haben. Da ich die Basics vermitteln will, gibt es vielleicht Punkte, die für den einen oder anderen nicht interessant sind, dann bitte einfach überspringen, ich habe diese Reihe auch für Kunden geschrieben, die noch nicht im Thema sind.
Hier gibt zwei grundlegende Beiträge über die Interessenlage beim Einsatz von OSS, Basics zum CopyLeft-Effekt und Aussagen über die generellen Schwierigkeiten bei der juristischen Auslegung der Lizenztexte.
2. Beispiel für einen möglichen Compliance-Prozess
- Erfassen der Komponenten des Systems;
- Evaluierung der einzelnen Ergebnisse des Scans;
- Prüfung, ob die richtigen Informationen etc. für die einzelnen Dateien vorhanden sind;
- Lizenztexte, „written offer“, Urheberrechtsvermerke
- Verwendungszweck für den Kundenvertrag / das Projekt (Used cases);
- Abgleich der Lizenz mit dem Verwendungszweck;
- Copy Left / andere Beschränkungen;
- Erstellung der erforderlichen Dokumente, ggf. Sourcecode, etc. die weitergegeben werden müssen.
- Geforderte Angaben wie Haftungsausschluss, etc.
