Open Source Compliance Teil II

1.3 Compliance im Hinblick auf das Urheberrecht/ gewerbliche Schutzrechte

Dann gibt es die rechtliche Compliance, die das Urheberrecht und den gewerblichen Rechtsschutz (also Patent, Markenrecht etc.) betrifft. Im Laiendeutsch: Die Kontrolle darüber, dass man die Software auch rechtlich, wie gewünscht, nutzen und weitergeben darf.

Im Falle der Compliance von Open Source bedeutet das einerseits, dass man Ansprüchen wie Schadensersatz, Unterlassung, Auskunft, etc. nicht ausgesetzt sein will.

Denn durch die OSS-Lizenz wird das Recht zur Nutzung der OSS-Software eingeräumt. Entfällt das Nutzungsrecht, darf die betreffende Software nicht mehr genutzt werden, also nicht mehr installiert, in den Arbeitsspeicher geladen, etc.. Ob das nur den ursprünglichen Teil betrifft oder auch den bearbeiteten Teil der Software, ist umstritten, aber das spielt hier erstmal keine Rolle.

1.4 Zielgruppe dieses Blogs

Es gibt nun bereits eine Menge Scanning Tools auf dem Markt und es wird durch den Einsatz von KI noch viel mehr Tools geben. Natürlich fordern Anwälte, dass die Arbeiten der Tools noch einmal händisch überprüft werden sollen, aber das ist am Ende eine Frage der Risikobewertung.

Mit diesen Beiträgen möchte ich den Rahmen für eine grundsätzliche Kontrolle ziehen. Der konkrete Rahmen richtet sich nach den eingesetzten Mitteln (welche Software), sowie dem Einsatzweck und den Risiken und ist deshalb (man ahnt es schon) von den Umständen des Einzelfalls abhängig.

Ich schreibe diese Serie im Bewusstsein darüber, dass manche schon Scans der Software durchführen und ggf. auch schon eine SBOM im Einsatz haben. Da ich die Basics vermitteln will, gibt es vielleicht Punkte, die für den einen oder anderen nicht interessant sind, dann bitte einfach überspringen, ich habe diese Reihe auch für Kunden geschrieben, die noch nicht im Thema sind.

Hier gibt zwei grundlegende Beiträge über die Interessenlage beim Einsatz von OSS, Basics zum CopyLeft-Effekt und Aussagen über die generellen Schwierigkeiten bei der juristischen Auslegung der Lizenztexte.

2. Beispiel für einen möglichen Compliance-Prozess

Erfassen der Komponenten des Systems;
Evaluierung der einzelnen Ergebnisse des Scans;
Prüfung, ob die richtigen Informationen etc. für die einzelnen Dateien vorhanden sind;
Lizenztexte, „written offer“, Urheberrechtsvermerke
Verwendungszweck für den Kundenvertrag / das Projekt (Used cases);
Abgleich der Lizenz mit dem Verwendungszweck;
Copy Left / andere Beschränkungen;
Erstellung der erforderlichen Dokumente, ggf. Sourcecode, etc. die weitergegeben werden müssen.
Geforderte Angaben wie Haftungsausschluss, etc.

More contributions

Begiff des KI Systems 1/ 3

Was ist eigentlich KI? Was eigentlich ein KI System nach dem Gesetz ist und welche Schwächen die Legaldefinition aufweist, zeigt diese Blogserie. KI ist allgegenwärtig, jeder benutzt sie oder verwendet den Begriff. Künstliche Intelligenz steht auf Produktbroschüren, in Förderprogrammen, in

Cyberversicherung: Wann zahlt sie wirklich?- Die Obliegenheiten im Kleingedruckten, die Ihre Deckung kosten können – Teil II

III. Die gefährlichsten Obliegenheiten in der Praxis 1. Vorvertragliche Anzeigepflichten: Die Zeitbombe beim Vertragsschluss Versicherer stellen im Rahmen des Antrags detaillierte Risikofragen zu IT-Sicherheitsmaßnahmen, bspw.: Das Problem: Viele Unternehmen beantworten diese Fragen unvollständig, zu optimistisch oder ohne hinreichende interne Überprüfung.

Kauf- oder Werkvertrag? Die richtige Einordnung von IT-Verträgen in der Praxis – Teil II

4. Individualsoftware Verträge über die Erstellung von Individualsoftware unterfallen regelmäßig dem Werkvertragsrecht. Der Auftragnehmer schuldet nicht bloß die Programmierarbeit, sondern die Herstellung eines konkreten, den Anforderungen des Auftraggebers entsprechenden Werkes, das abnahmefähig ist. Dies ist oft der Fall, wenn eine