Praxiswissen auf den Punkt gebracht.
Kundenservice: 0931 4170-472 | Hilfe
logo
  • Meine Produkte
    Bitte melden Sie sich an, um Ihre Produkte zu sehen.
Menu Menu
MyIww MyIww

    • · IT-Compliance, Teil 2

    Notwendigkeit, Anforderungen und Bestandteile eines Open-Source-Compliance-Systems

    Bild: © Rawpixel Ltd. - stock.adobe.com

    von RA, FA für Informationstechnologierecht Michaela Witzel, LL.M., München

    | Aufgabe der IT-Compliance ist es, die Einhaltung der die IT eines Unternehmens betreffenden Regelwerke, Policies und Gesetze zu gewährleisten. Ein wesentlicher Bestandteil ist die Open-Source-Compliance. DR stellt die Notwendigkeit, Anforderungen und Bestandteile eines Open-Source-Compliance-Systems vor. |

    Aufgabe der IT-Compliance

    IT-Compliance reicht von der Einhaltung des Datenschutzes und der IT-Sicherheit über den rechtskonformen Umgang mit Lizenzen bis hin zur gesetzeskonformen E-Mail-Archivierung und Kontrolle der IT-Nutzung der Mitarbeiter. Im Detail geht es dabei u. a. um den Schutz vor Hackerangriffen, die Abwehr von Spam und Malware, die Sicherheit vor Phishing und den Schutz von personenbezogenen Daten, aber auch um Lizenzmanagement. Fehlen Softwarelizenzen oder werden Computerprogramme über die vereinbarte Art und Weise hinaus genutzt, verstößt das Unternehmen gegen die Rechte des Softwareherstellers. Dies kann zu Unterlassungs- und Schadenersatzansprüchen führen und damit teuer werden. Zum Lizenzmanagement gehört ein Prozess zur Open-Source-Compliance. Dieser Bereich wurde bislang nur am Rande thematisiert (Heinzke/Burke, CCZ 17, 56; Ballhausen, DSRITB 15, 635; Schöttle/Steger, CRi 15, 1).

    Notwendigkeit eines Open-Source-Compliance-Systems

    Gesetzliche Grundlage für die Implementierung von Compliance-Maßnahmen sind die §§ 76 Abs. 1, 91 Abs. 2, 93 Abs. 1 AktG, § 43 GmbHG sowie § 130 OWiG. Diese Regelungen bilden auch die Grundlage für Open-Source-Compliance. Open-Source-Lizenzen sind vielfältig und die Lizenzpflichten nicht immer einfach zu durchschauen sowie umzusetzen. Die überwiegende Anzahl der Open-Source-Lizenzen stammt aus dem anglo-amerikanischen Rechtsraum, ist aber nicht von Juristen, sondern von Softwareentwicklern verfasst. Der Auslegungsbedarf ist groß und die Bewertung der Risiken, insbesondere der Reichweite des Copyleft-Effekts, ist komplex. Ziel eines jeden Open-Source-Compliance-Systems muss die Verhinderung von Lizenzverstößen bei der Verwendung von Open Source sein. Daneben dient Open-Source-Compliance dem Schutz der geistigen Schutzrechte eines Unternehmens. Führt etwa der Copyleft-Effekt dazu, dass der Quellcode einer gesamten Anwendung offengelegt werden muss, kann dadurch ein erheblicher Schaden entstehen.

    Bestandteile eines Open-Source-Compliance-Systems

    Zur Open-Source-Compliance gehören technische und organisatorische Maßnahmen. Noch sind Best Practices in der Entwicklung. Folgende Bausteine werden regelmäßig erwähnt (vgl. etwa Heinzke/Burke, CCZ 17, 56):

     

    • Eine Open-Source-Policy als Ausgangspunkt und Mindestanforderung
    • Konzeption und Aufbau von Mitarbeiterschulungen zur Sensibilisierung für etwaige Compliance-Risiken
    • Einsatz von Open-Source-Scannern, um festzustellen, welche Komponenten überhaupt im Unternehmen sind
    • Vertragsklauseln in Einkaufsbedingungen und Rahmenverträgen, die sicherstellen, dass Lieferanten die von ihnen verwendete Open-Source-Software offenlegen und eine nachvollziehbare Dokumentation dazu liefern
    • Erarbeitung von Architekturvorgaben und Anforderungen an die Softwareentwicklung, die u. a. auch Vorgaben zur Vermeidung des Copyleft-Effekts machen
    • Entwicklung von Vorgaben zur Einhaltung von Lizenzpflichten bei der Weiterverbreitung
    • Zusammenstellung von White Lists für unkritische Open-Source-Lizenzen (z. B. MIT und BSD oder Apache) und Black Lists für kritische Open-Source-Lizenzen (z. B. GNU GPL, MPL, EPL)
    • Erarbeitung von FAQs für juristische Mitarbeiter und Entwickler
    • Aufbau eines Open-Source-Office zur Steuerung der Compliance-Prozesse

     

    MERKE | Mehrwert und Stärke eines Open-Source-Compliance-Systems liegen vor allem im verbesserten Risikomanagement. Im jeweiligen Unternehmen wird das Bewusstsein für die mit der Verwendung von Open-Source-Software einhergehenden Risiken geschärft und die Wahrscheinlichkeit von Lizenzverstößen verringert.

     

    Kernaussagen einer Open-Source-Policy

    Zu einer Open-Source-Policy können folgende Kernaussagen gehören:

     

    • Vertragliche Anforderungen bei der Beschaffung: Für die Beschaffung von Open-Source-Software sind ausschließlich die von der Rechtsabteilung freigegebenen Einkaufsbedingungen zu verwenden. Die freigegebenen Einkaufsbedingungen enthalten spezifische Zusicherungen und Verpflichtungen, die der jeweilige Lieferant akzeptieren muss. Ist ein Lieferant nicht bereit, die vorgesehenen Verpflichtungen einzugehen, können diese nur mit ausdrücklicher Zustimmung des zuständigen Verantwortlichen abbedungen werden.

     

    • Technische Anforderungen bei der Beschaffung: Für die Beschaffung von Software wird ein Lastenheft vorgegeben, das spezifische Anforderungen für Open-Source-Software enthält. Bei der Beschaffung ist sicherzustellen, dass diese Inhalte des Lastenhefts wirksam und eindeutig in die vertraglichen Vereinbarungen mit dem Lieferanten einbezogen sind. Sofern die Inhalte des Lastenhefts nicht oder nur teilweise mit dem Lieferanten vereinbart werden können, sind sämtliche Abweichungen nachvollziehbar zu dokumentieren und zu archivieren.

     

    • Organisation: Es wird ein Open-Source-Office aufgebaut, das die Aufgabe hat, die Beschaffung und den Einsatz von Open-Source-Software zu steuern und zu überwachen. Bei der Beschaffung von Open-Source-Software hat die Koordination über das Open-Source-Office zu erfolgen.

     

    • Schulung: Sämtliche mit der Beschaffung von Open-Source-Software befassten Mitarbeiter sollten an Schulungen zu den Risiken bei der Beschaffung und beim Einsatz von Open-Source-Software teilnehmen. Es ist eine initiale Schulungsteilnahme für alle betroffenen Mitarbeiter erforderlich. Eine Auffrischung des Know-hows hat in regelmäßigen Abständen zu erfolgen. Schulungsinhalte der initialen Schulung sind vor allem: Definition von Open-Source-Software, Rechte und Pflichten bei der Nutzung und Verwertung von Open-Source-Software, Lizenzinkompatibilitäten, Voraussetzungen und Möglichkeiten zur Vermeidung der Auslösung des Copyleft-Effekts.

     

    • Einhaltung von Lizenzpflichten: Open-Source-Lizenzen sehen bei der Verbreitung die Einhaltung von Lizenzpflichten vor. Dazu gehört im Regelfall die Verpflichtung zur Weitergabe von Urheberrechtsvermerken und Lizenztexten. Zur praktikablen, aber auch lizenzkonformen Umsetzung solcher Lizenzpflichten werden Vorgaben erarbeitet, die je nach Art der Verbreitung (z. B. Applikation, Service, Embedded System) unterschiedlich sind. Der jeweilige Fachverantwortliche stellt sicher, dass die im konkreten Anwendungsfall relevanten Vorgaben eingehalten werden.

     

    • Durchführung von Codescans: Im Entwicklungsprozess sind Codescans in regelmäßigen Abständen vorzusehen, damit sichergestellt ist, dass die für die Entwicklung verwendete Open-Source-Software die notwendigen Prüfprozesse durchlaufen hat und die erforderlichen Freigaben vorliegen.

     

    • Einhaltung von Architekturanforderungen bei der Entwicklung: Für die Integration von Open-Source-Software in eigene Entwicklungen werden grundsätzliche Anforderungen an die Softwarearchitektur erarbeitet. Zweck dieser Architekturanforderungen ist vor allem die Vermeidung der Auslösung eines Copyleft-Effekts, der dazu führt, dass ein Gesamtprodukt unter einer Open-Source-Lizenz verbreitet werden und der Sourcecode für das Gesamtprodukt offengelegt werden muss. Jede Entwicklungsabteilung hat bei von ihr initiierten Entwicklungen die jeweils aktuellen Anforderungen an die Softwarearchitektur einzuhalten, wenn die Verbreitung der entwickelten Software (und sei dies auch nur zwischen verschiedenen konzerninternen Gesellschaften) vorgesehen ist.

    Fazit: Effektive Open-Source-Compliance ist von großem Nutzen

    Effektive Open-Source-Compliance hat nicht nur präventive Funktion, sondern schafft auch bessere Verteidigungsmöglichkeiten im Verletzerverfahren. Insbesondere lässt sich der Vorwurf der Fahrlässigkeit ausräumen, wenn es einen gut dokumentierten Compliance-Prozess gibt.

     

    Eine Hilfestellung geben Checklisten zu den Lizenzpflichten der am häufigsten eingesetzten Open-Source-Lizenzen, Matrizen zur Kompatibilität und zu Inkompatibilitäten sowie Übersichten zu den etablierten Prüfprozessen. Bei Herstellern wird der Fokus eines Compliance-Prozesses regelmäßig auf der Vermeidung von Lizenzverletzungen beim Vertrieb liegen. Für Erwerber wird der rechtskonforme Umgang mit den erworbenen Produkten im Zentrum des Prüfprozesses liegen. Das größte Haftungsrisiko kann für sie darin liegen, dass kein gutgläubiger Erwerb von Rechten möglich ist (Hören/Sieber/Holznagel/Paul, Multimedia-Recht, Teil 7.4 Rz. 78 ff.).

     

    Weiterführender Hinweis

    Quelle: ID 45222588
    print print email email email_comp email_comp twitter twitter facebook facebook xing xing

    Mehr zum Thema