Bis zum 17. Oktober 2024 müssen die EU-Mitgliedsstaaten die Richtlinie „über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ (NIS-2-Richtlinie) umgesetzt haben. Mit der Umsetzung kommen neue umfangreiche Pflichten auf Unternehmen zu und es sind Unternehmen betroffen, die bisher von derartigen Anforderungen nicht betroffen waren. Die Europäische Union reagiert mit der NIS-2-Richtlinie und dem ebenfalls in den Startlöchern stehenden Cyber Resilience Act auf die fortschreitende Bedrohungslage und setzt verbindliche Standards zur Cybersicherheit.

Wer ist betroffen?

Dem Anwendungsbereich der NIS-2-Richtlinie unterfallen alle Unternehmen, die über 50 Personen beschäftigen, einen Jahresumsatz bzw. eine Jahresbilanz von über 10 Mio. EUR haben und einem der in der Richtlinie genannten kritischen Sektoren unterfallen. Und hier zeigt sich bereits die erste deutliche Erweiterung, den es wurden sowohl neue wesentliche Sektoren wie z.B. die Verwaltung von IKT-Diensten eingeführt, als auch Ergänzungen der bisherigen Sektoren vorgenommen. Auch bei den wichtigen Sektoren gab es deutliche Erweiterungen. So fällt künftig die Herstellung von Waren in allen Bereichen in diese Sektoren.

Was ist zu tun?

Art. 21 der NIS-2-Richtlinie regelt, ähnlich der DSGVO, dass die betroffenen Einrichtungen „geeignete und verhältnismäßige technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die diese Einrichtungen für ihren Betrieb oder für die Erbringung ihrer Dienste nutzen, zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten“. Die Richtlinie sieht dazu in Art. 21 Absatz 2 Mindestmaßnahmen vor, zu denen auch „Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme“ sowie „Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit“ gehören. Unternehmen müssen daher über ein funktionierendes Incident Response Management verfügen, welches zum einen Präventionsmaßnahmen und zum anderen angemessene Notfallmaßnahmen und einen gesicherten Prozess für den Umgang mit Sicherheitsvorfällen sicherstellt.

Der NIS-2-Richtlinie unterliegende Einrichtungen müssen zudem zukünftig Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Erbringung der Dienste hat melden. In besonders schweren Fällen müssen auch die Nutzer und ggfs. sogar die Öffentlichkeit informiert werden. Betroffene Einrichtungen müssen daher prüfen, ob die Krisenkommunikation die gesetzlichen Pflichten erfüllen kann.

Chefsache Cybersecurity

Nach der NIS-2-Richtlinie trägt die Geschäftsführung des Unternehmens die zentrale Verantwortung für das Risikomanagement und die Umsetzung von Cybersicherheitsmaßnahmen. Sie muss daher verpflichtend an Cybersicherheits-Schulungen und sicherstellen, dass Awareness-Maßnahmen durchgeführt und auch allen Mitarbeitenden entsprechende Schulungen angeboten werden. In Fällen der Nichteinhaltung droht eine persönliche Haftung der Geschäftsführung.

Kontroll- und Sanktionsmaßnahmen

Mit der NIS-2-Richtlinie erhalten die nationalen Behörden eine Vielzahl an Kontroll- und Sanktionsmöglichkeiten. Darüber hinaus werden die nationalen Behörden auch befugt sein, Warnungen über Verstöße herauszugeben. So haben Behörden auch das Recht öffentliche Warnungen über Verstöße zu Einrichtungen herauszugeben. Bei Verstößen drohen Unternehmen zudem Bußgelder von bis zu 10 Mio. EUR oder 2% des gesamten weltweiten Jahresumsatzes.

Sie wollen wissen, ob Sie von der NIS-2-Richtlinie betroffen sind oder haben Fragen? Benötigen Sie Unterstützung bei der Umsetzung von Maßnahmen? Wir unterstützen Sie gern. Sprechen Sie uns an.

Die EU-Kommission hat am 10.07.2023 die auch als „Trans-Atlantic-Data-Privacy-Framework“ (TADPF) bezeichnete Adäquanzentscheidung für den sicheren Datenverkehr zwischen der EU und den USA verabschiedet. Nach „Safe Harbor“ und „Privacy Shield“ soll dieser dritte Anlauf nun auch die Anforderungen des EuGH erfüllen und transatlantische Datentransfers sind wieder relativ unbürokratisch möglich. Es ist aber davon auszugehen, dass auch dieses Abkommen wieder vor dem EuGH landen wird.

Das TADPF führt für US-amerikanische Datenempfänger neue verbindliche Sicherheitsvorkehrungen ein. Dazu gehören die Beschränkung des Zugangs zu Daten von EU-Bürgern durch US-Geheimdienste auf das Notwendige und Angemessene sowie die Einrichtung des Data Protection Review Court – DPRC, also einer Prüfungsinstanz, zu der Betroffene auch dann Zugang haben, wenn sie keine US-Bürger sind. Das DPRC kann bei Verstößen auch die Löschung der Daten anordnen.

Das TADPF soll regelmäßig von der Europäischen Kommission gemeinsam mit Vertretern der europäischen Datenschutzbehörden und der zuständigen US-Behörden überprüft werden. Die erste Überprüfung soll innerhalb eines Jahres nach Inkrafttreten des TADPF stattfinden.

Wie und wann wirkt das TADPF?

Das TADPF ist ein Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 1 DSGVO und gilt im Grunde ab sofort. Für Datenexport an US-amerikanische Empfänger sind daher keine zusätzlichen Legitimationsinstrumente, wie zum Beispiel Standard-Vertragsklauseln (SCC), mehr erforderlich, da die USA nun wieder als sicheres Drittland gelten. Allerdings müssen Unternehmen in den USA eine Selbstzertifizierung vornehmen und sich damit verpflichten, bestimmte Datenschutzverpflichtungen einzuhalten, um von den Wirkungen des TADPF profitieren zu können. Die Selbstzertifizierung gab es schon beim Vorgänger Privacy Shield und es wird sicher noch einige Tage dauern, bis die ersten Unternehmen zertifiziert sind. Der aktuelle Stand kann ab dem 17.07.2023 unter https://www.dataprivacyframework.gov/s/ eingesehen werden.

Es gilt hier also zunächst abzuwarten und bei Neuverträgen zu prüfen, ob der Datenempfänger bereits zertifiziert ist. Nur wenn dies der Fall ist, wirkt das TADPF.

Was passiert mit Verträgen, welche die SCC nutzen?

Bei bestehenden Verträgen sollte dann, wenn der Datenempfänger unter TADPF zertifiziert ist, geprüft werden ob eine Anpassung des Vertrages notwendig ist. Oft wird eine Anpassung gar nicht notwendig sein, weil die SCC nur nachrangig für den Fall gelten, dass ein Datenempfänger in einem Staat ohne Angemessenheitsbeschluss seinen Sitz hat. Wenn nun der Datenempfänger in den USA sitzt und eine TADPF Zertifizierung vorweisen kann, gelten bei dieser Konstellation die „normalen“ Regeln des Data Processing Agreements (DPA) und die SCC kommen schlicht nicht mehr zur Anwendung. Eine Anpassung des Vertrages ist dann nicht nötig.

Hat der Datenempfänger seinen Sitz in den USA und unterzieht sich nicht einer Zertifizierung nach TADPF, bleibt es bei den bisherigen Regelungen, also der Verwendung von SCC und der Durchführung eines Transfer Impact Assessment (TIA). Die Nutzung solcher Anbieter wird aber nicht allein dadurch ausgeschlossen, dass keine Selbstzertifizierung erfolgt.

Weiterer Anpassungsbedarf durch das TADPF

Das TADPF bzw. die Nutzung von Datenempfängern, welche dem TADPF unterliegen und die damit verbundene Umstellung des Transferinstruments von SCC auf TADPF, macht unter Umständen Anpassungen an Datenschutzhinweisen (Art. 13, 14 DSGVO), in AV-Verträgen, bei Datenschutz-Folgenabschätzungen und im Verarbeitungsverzeichnis notwendig. Hier müssen die Verantwortlichen ihre Dokumentation auf entsprechenden Anpassungsbedarf prüfen.

Start des Hinweisgeberschutzgesetzes – TCI unterstützt mit Lösung für Meldestelle

Mit einiger Verspätung wird die EU-Whistleblower-Richtlinie nun auch in Deutschland umgesetzt, nachdem nach einer weiteren Runde durch den Bundestag das überarbeitete Hinweisgeberschutzgesetz (HinSchG) am 02.07.2023 in Kraft treten wird. Betroffen sind zunächst Unternehmen mit mehr als 250 Beschäftigten, für die es keine weiteren Übergangsfristen gibt. Für Unternehmen mit mehr als 50 Beschäftigten gelten die neuen Regelungen dann ab dem 17.12.2023. Nach § 12 Abs. 1 Satz 2 und 3 HinSchG gilt die Verpflichtung auch für öffentliche Stellen und auch Unternehmen, die nicht von der gesetzlichen Verpflichtung betroffen sind, sollten über die Einrichtung einer Meldestelle nachdenken, da diese natürlich auch eine Alternative zu Meldungen an öffentliche Stellen darstellen kann.

Das Hinweisgeberschutzgesetz schützt Hinweisgeber. Dies sind Personen, “die im Zusammenhang mit ihrer beruflichen Tätigkeit oder im Vorfeld einer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese an die nach diesem Gesetz vorgesehenen Meldestellen melden oder offenlegen“. Des Weiteren werden “Personen geschützt, die Gegenstand einer Meldung oder Offenlegung sind, sowie sonstige Personen, die von einer Meldung oder Offenlegung betroffen sind“.

Betroffene Unternehmen müssen eine interne Meldestelle einrichten, die mündliche oder schriftliche Meldungen ermöglicht. Personen, die Meldungen entgegennehmen und bearbeiten, müssen unabhängig sein und über die erforderliche Fachkunde verfügen. Da diese Anforderungen gerade für kleinere Unternehmen oft nicht leicht umzusetzen sind, können sich Unternehmen eines Ombudsmanns bedienen, also beispielsweise einen Rechtsanwalt mit der Einrichtung und dem Betrieb einer Meldestelle beauftragen.

TCI Rechtsanwälte unterstützt daher Unternehmen bei der Einrichtung eines Whistleblower-Systems und diese können die interne Meldestelle an uns delegieren. Wir kümmern uns dann um die Entgegennahme und fristgerechte Bearbeitung der Meldungen. Im Rahmen unseres Angebotes stellen wir Unternehmen auch Mustertexte zur Information der Mitarbeitenden über die Meldestelle und weitere Pflichtinformationen nach HinSchG und DSGVO sowie eine Musterdokumentation für das Verarbeitungsverzeichnis nach Art. 30 DSGVO zur Verfügung.

Gerne zeigen wir Ihnen anhand einer Demoversion, wie diese einfache und intuitive Lösung in Zusammenarbeit mit Whistleblower Software funktioniert. Im Fokus unserer Lösung stehen Benutzerfreundlichkeit, höchste Sicherheit und Konformität mit dem Hinweisgeberschutzgesetz in Deutschland sowie DSGVO-Konformität. Die Lösung ist mehrsprachig, so dass auch internationale Unternehmensteile abgebildet werden können. Den Link zu unserem eigenen System finden Sie hier.

Bei Interesse nehmen Sie bitte Kontakt mit uns auf.

davit Mitglieder wählen TCI Partner in Geschäftsführenden Ausschuss

Die Mitgliederversammlung der Arbeitsgemeinschaft IT-Recht im Deutschen Anwaltverein (davit) hat am 27.04.2023 den Mainzer TCI Partner Stephan Schmidt in den Geschäftsführenden Ausschuss gewählt. Der Geschäftsführende Ausschuss besteht aus sieben Mitgliedern und führt die Geschäfte der davit. Er wird alle zwei Jahre gewählt.

Stephan Schmidt engagiert sich bereits seit vielen Jahren als Gebietsleiter der davit und damit für die ideellen und wirtschaftlichen Interessen der IT-Anwaltschaft. Gemeinsam mit Dr. Thomas Lapp organsiert er den Frankfurter IT-Rechtstag, der eine feste Institution unter den bundesweit stattfindenden IT-Rechtstagen ist und sich insbesondere durch seinen interdisziplinären Ansatz auszeichnet.

Wir wünschen Stephan Schmidt viel Spaß und Erfolg bei seiner neuen Aufgabe.

Wie kommt man eigentlich zum IT-Recht?

Diese Frage hat unser Mainzer Partner Stephan Schmidt im Rahmen einer Interviewreihe den Gastgebern der Reihe Michael Rohrlich und Marc Oliver Thoma beantwortet. Er hat dabei über seine Ausbildung und was er eigentlich in San Diego gemacht hat, aber auch über den Beginn seiner Tätigkeit als selbstständiger Rechtsanwalt und aktuelle Themen gesprochen. Herausgekommen ist ein kurzweiliges Gespräch, mit dem einen oder anderen Einblick in die Tätigkeit eines IT- und Datenschutzrechtlers.

Das Gespräch ist hier bei YouTube abrufbar.

Die Europäische Kommission veröffentlichte am 23. Februar 2022 den Entwurf des Data Act. Der Data Act-Entwurf regelt die Bereitstellung von Daten durch den Dateninhaber für den Nutzer, für Dritte und für öffentliche Stellen und beinhaltet rechtliche Rahmenbedingungen für den Datenzugang und die Datennutzung. Hintergrund der Regelung ist, dass es bisher keine gesetzliche Regelung zur Datenhoheit gibt und alle Beteiligten auf einen freiwilligen Austausch angewiesen sind.

Mit dem Data Act-Entwurf will die Europäische Kommission nun klarstellen, wer Daten wirtschaftlich verwerten darf und unter welchen Bedingungen dies erfolgt. Zudem werden Sonderregelungen für Kleinst-, Klein- und mittlere Unternehmen sowie sog. „Gatekeeper“ getroffen.

Grundlegender Inhalt des Data Act-Entwurfs

Der Entwurf regelt den Austausch nutzergenerierter Daten zwischen Unternehmen und zwischen Verbrauchern und Unternehmen. Große Teile der von Unternehmen und von Verbrauchern im Zusammenhang mit vernetzten Geräten und digitalen Diensten gesammelten Daten muss zukünftig technisch und rechtlich den Nutzern zugänglich gemacht werden, welche die Daten anschließend an Dritte weitergeben können.

Die Regelungen des Entwurfs umfassen zum Beispiel Produktanforderungen für einen leichten und sicheren Datenzugang („access by design and by default“), vorvertragliche Informationspflichten und die Notwendigkeit einer Nutzungsvereinbarung zwischen Dateninhaber und Nutzer, Datenzugangsansprüche und -bereitstellungspflichten sowie Regelungen zur Datenübermittlung durch den Dateninhaber an Dritte auf Veranlassung des Nutzers. Geregelt werden aber auch Anforderungen an entsprechende Gegenleistungen (z.B. Fairness, Angemessenheit) und Kriterien für missbräuchliche Vertragsklauseln um kleinere Unternehmen zu schützen.

Ergänzend soll es Regelungen für die Übermittlung von Daten an öffentliche Stellen und Organe, Einrichtungen und sonstige Stellen der EU in Notsituationen geben. Der Entwurf sieht darüber hinaus vor, dass die Europäische Kommission unverbindliche Mustervertragsbedingungen für Datenzugang und Datennutzung bereitstellen soll. Über Sanktionen bei Verstößen sollen die Mitgliedstaaten dann entsprechende Vorschriften erlassen.

Adressaten des Data Act-Entwurfs

Der Data Act-Entwurf gilt für

  • alle Hersteller von Produkten und Erbringer verbundener Dienste, die in der EU in Verkehr gebracht werden, und die Nutzer solcher Produkte oder Dienste;
  • Dateninhaber, die Empfängern in der EU Daten bereitstellen;
  • Datenempfänger in der EU, denen Daten bereitgestellt werden;
  • öffentliche Stellen und Organe, Einrichtungen und sonstige Stellen der EU.

Ähnlich der DGSVO sollen die Regelungen auch auf Unternehmen mit Sitz außerhalb der EU Anwendung finden, wenn diese Kunden in der EU entsprechende Dienste anbieten.

Ausblick

Europäisches Parlament und der Rat haben ihre Positionen zum Entwurf beschlossen und fordern ebenso wie die Mitgliedsstaaten diverse Änderungen. In den weiteren Verhandlungen wird es insbesondere um den Anwendungsbereich des Data Act, die Sicherstellung des Schutzes von Geschäftsgeheimnissen, Vergütungsfragen und Regelungen zum Anbieter-Wechsel bzw. des Schutzes vor missbräuchlichen Vertragsklauseln gehen. Am 29. März 2023 fand der erste Trilog statt. Da die Positionen von Rat und Parlament jedoch nicht allzu weit auseinanderliegen, wird allgemein mit einer Einigung noch vor der Sommerpause oder kurz nach dieser gerechnet.

Abmahnungen wegen der Nutzung von Google Fonts – Beitrag von Stephan Schmidt im DATENSCHUTZ-BERATER 02/2023

In den letzten Wochen und Monaten schwappte eine Welle von Abmahnungen durch Deutschland, die aufgrund der Vielzahl der abgemahnten Unternehmen für Aufsehen gesorgt hat. Abgemahnt wurde die, nach Ansicht der Abmahner datenschutzrechtswidrige, Nutzung von Google Fonts auf Webseiten. Betroffene sollten unter Verweis auf ein Urteil des LG München vom 20. Januar 2022 niedrige dreistelle Beträge als Schmerzensgeld zahlen. Doch sind diese Abmahnungen begründet und wie soll man mit diesen umgehen?

Diese Fragen beantwortet Stephan Schmidt in der aktuellen Ausgabe des DATENSCHUTZ-BERATER (Heft 02/2023). Mit freundlicher Genehmigung des Verlages können Sie den Beitrag hier herunterladen.

Gesetze (Verordnungen) über digitale Märkte und Dienste in Kraft getreten

Das Europäische Parlament hat einem umfassenden Regulierungspaket für Online-Plattformen zugestimmt. Es umfasst zwei Verordnungen: das Gesetz über digitale Märkte (Digital Markets Act) welches bereits teilweise ab dem 2. Mai 2023 (alle Regelungen greifen ab dem 25. Juni 2023) gilt und das Gesetz über digitale Dienste (Digital Services Act) welches ab dem 17. Februar 2024 in allen EU-Staaten gilt. Beide Verordnungen sind aber bereits in Kraft getreten, so dass nun für die betroffenen Unternehmen die Umsetzungsphase läuft. Sobald die Verordnungen jeweils gelten, wird es keine weiteren Übergangsfristen geben. Diesen zeitlichen Ablauf sollten Unternehmen ja bereits von der DSGVO kennen.

Gesetz über digitale Märkte

Das Gesetz über digitale Märkte (Digital Markets Act) enthält einen Verhaltenskodex für große Digitalkonzerne, ergänzt das Wettbewerbsrecht und soll die Macht von Digitalkonzernen wie Suchmaschinen, sozialen Netzwerke, Nachrichtendienste und Video-Sharing-Plattformen begrenzen. Bei einem Verstoß gegen das Gesetz über digitale Märkte drohen empfindliche Geldbußen in Höhe von bis zu 10% des jährlich weltweit erzielten Gesamtumsatzes des betroffenen Konzerns.

Für Unternehmen mit erheblicher Marktmacht (sogenannte Gatekeeper), also die großen Digitalkonzerne Google, Apple, Meta und Amazon, gelten dann künftig strengere Regeln: So dürfen sie zum Beispiel im Ranking nicht mehr eigene Angebote bevorzugen. Vergleichbare Regelungen hatte es in Deutschland bereits mit dem GWB-Digitalisierungsgesetz von 2021 gegeben. Gewerbliche Nutzer der großen Digitalkonzerne werden insbesondere dann geschützt, wenn sie auf die Leistungen der Plattformen angewiesen sind. So soll eine unfaire Behandlung verhindert werden. Aber auch Verbraucher sollen von den neuen Regelungen profitieren, indem sie z.B. einfacher zwischen verschiedenen Anbietern wechseln und direkten Zugang zu den Leistungen fordern können.

Gesetz über digitale Dienste

Das Gesetz über digitale Dienste (Digital Services Act) wird die inzwischen 20 Jahre alte E-Commerce-Richtlinie ergänzen und Teile von ihr aktualisieren. Es sieht einheitliche horizontale Regeln zu Sorgfaltspflichten und Haftungsausschlüssen für Vermittlungsdienste (wie etwa Online-Plattformen) vor und soll damit zu einem sicheren, vorhersehbaren und vertrauenswürdigen Online-Umfeld und einem reibungslosen Funktionieren des EU-Binnenmarkts für Vermittlungsdienste beitragen.

Die Regelungen richten sich allgemein an Anbieter von (online) Vermittlungsdiensten, die ihre Dienste in der EU anbieten, wobei es Ausnahmeregelungen für Kleinst- und Kleinunternehmen gibt und je nach Geschäftsmodell und Größe des Vermittlungsdienstes, strengere Verpflichtungen gelten. Zu den Sorgfaltspflichten gehört u.a. auch, dass Verfahren zur Meldung und unverzüglichen Entfernung illegaler Inhalte europaweit einheitlich ausgestaltet werden müssen. Darüber hinaus sind z.B. Regelungen zu Dark Patterns und Kennzeichnungspflichten von Werbung auf Online-Plattformen enthalten. Das Gesetz über digitale Dienste wird das derzeit geltende Netzwerkdurchsetzungsgesetz (NetzDG) in weiten Teilen ablösen.

WirtschaftsWoche kürt zwei TCI Partner zu Top-Anwälten IT-Recht 2022

Die WirtschaftsWoche zeichnet TCI Rechtsanwälte in ihrer Ausgabe vom 5.8.2022 erneut als „TOP Kanzlei IT-Recht“ aus und empfiehlt Dr. Michael Karger und Stephan Schmidt jeweils als „TOP Anwalt IT-Recht 2022“.

Die WirtschaftsWoche hat die TOP Kanzleien für IT-Recht 2022 und 31 TOP Anwältinnen und Anwälte für IT-Recht 2022 ermittelt. Zum wiederholten Mal wurde TCI Rechtsanwälte als TOP Kanzlei und Dr. Michael Karger und Stephan Schmidt als TOP  Anwälte ausgezeichnet.

Das Handelsblatt Research Institute (HRI) fragte über 1250 Juristen aus 152 Kanzleien nach ihren renommiertesten Kollegen aus dem IT-Recht und Datenschutzrecht. Nach Bewertung der Jury (Philipp Haas (Bosch), Stefan Hanloser (ProSiebenSat.1), Achim Schunder (C.H. Beck), Claas Westermann (RWE)) setzten sich für das IT-Recht 25 Kanzleien mit 31 Anwälten durch.

Das vollständige Ranking ist hier abrufbar: https://www.wiwo.de/erfolg/management/wiwo-top-kanzleien-die-renommiertesten-kanzleien-und-anwaelte-fuer-it-recht/28572740-3.html

Open Source Compliance

Sowohl in der eigenen Softwareentwicklung als auch beim Fremdbezug von Software sehen sich Unternehmen mehr und mehr mit dem Einsatz von Open Source Software konfrontiert.

Der Einsatz von Open Source Software oder auch „Free und Open Source Software“ ist in der Softwareentwicklung mittlerweile Standard. Open Source Software ist frei im Internet verfügbar, spart Zeit und erlaubt typische Standardfunktionen ohne eigenen Entwicklungsaufwand einzubinden.

Der Begriff Free und Open Source Software legt nahe, wenn die Software in jeder Hinsicht „frei“ ist. Die Nutzung der Software setzt aber die Akzeptanz und Einhaltung der zugrundeliegenden Lizenzbedingungen voraus. Häufig werden diese jedoch wenig bis gar nicht beachtet, was zu erheblichen wirtschaftlichen Risiken (u.a. Unterlassungsansprüche, Schadensersatzansprüche) führen kann.

Daher ist es gerade für Softwareentwicklungsunternehmen essentiell, auch die mit dem Einsatz von Open Source Software verbundenen Verpflichtungen vollständig einzuhalten. Um nicht von den negativen Folgen einer Nichteinhaltung überrascht zu werden, empfiehlt es sich interne Prozesse zur Überwachung der Compliance im Rahmen eines Open Source Compliance Managements einzuführen.

Was versteht man unter Open Source Software?

Open Source Software ist frei verfügbar, aber nur unter Einschränkungen verwendbar, die eine weitere freie Nutzung ermöglichen sollen. So verbindet die Open Source Initiative (https://opensource.org/) Voraussetzungen an die Einordnung als Open Source Software. Unter anderem muss der Source-Code verfügbar sein oder verfügbar gemacht werden. Änderungen der Software müssen erlaubt sein. Die verwendeten Lizenzbedingungen dürfen die Distribution nicht einschränken, es darf für die Open Source Software keine Lizenzgebühr verlangt werden und es muss erlaubt sein, Änderungen auch unter denselben Bedingungen vermarktet zu dürfen.

Hierbei sind Open Source Entwickler verschiedene Wege gegangen. Ein Teil verwendet Lizenzen, die eine Nutzung in Verbindung mit kommerziellen Produkten erlauben. Teilweise verpflichten sie den Nutzer die Open Source Software nur in Verbindung mit kompatiblen Lizenzen zu kombinieren bzw. sehen vor, dass die eigenen Lizenzbedingungen auf Weiterentwicklungen oder verbundene Werke durchgreifen müssen. Man nennt dies auch „Copyleft“ oder viralen Effekt.

Welche Auswirkungen hat dies auf die kommerzielle Nutzung?

Für Unternehmen, die Open Source Software lediglich intern für eigene Zwecke einsetzen, bestehen kaum Beschränkungen, die die Nutzung verhindern. Gelegentlich sind jedoch bestimmte Nutzungsarten ausgenommen.

Wird die Open Source Software jedoch Dritten zur Verfügung gestellt oder baut man diese in kommerzielle Software ein, muss geprüft werden, ob Einsatz und Vertrieb in der geplanten Form von der zugrundeliegenden Lizenz abgedeckt ist.

Einerseits gibt es viele Lizenzen, die dies ermöglichen und sogar für das Gesamtwerk die Verwendung kommerzieller Lizenzbedingungen erlauben. Im Gegensatz zu kommerziellen Drittprodukten sind die Nutzungsmöglichkeiten hier meist flexibler.

Andererseits kann – je nach Lizenz – die Verwendung von Open Source Software zu Einschränkungen führen. Ist zum Beispiel eine Open Source Software unter GNU General Public License (GNU GPL) integriert, kann das Gesamtwerk nicht kommerziell und ohne Offenlegung des Source Codes vermarktet werden.

Hierbei spielt aber auch die Art der Nutzung eine Rolle. Einzelne Lizenzen (z.B. Affero General Public License) schränken die kommerzielle Nutzung sogar soweit ein, dass eine Verwendung in Verbindung mit kommerziellen SaaS-Leistungen eingeschränkt ist.

Weitere Verpflichtungen

Neben der grundsätzlichen Frage der Zulässigkeit der Verwendung sehen manche Lizenzen auch weitere Verpflichtungen vor, z.B. Durchreichen der Lizenzbedingungen, Offenlegung der Verwendung, Zurverfügungstellung des Source Codes der Open Source Software, Nennung des Urheber.

Häufig kennen die Entwickler zwar das Konzept von Open Source Software, nicht jedoch die damit verbundenen Einschränkungen und Pflichten. Die Folgen sind in der Regel ein Verstoß gegen die Lizenzbedingungen und ein daraus resultierendes Verbot die Open Source Software zu verwenden.

Wie reduziere ich meine Risiken?

Zunächst sollte eine Bestandsaufnahme gemacht werden. Hierzu bieten sich Open Source Audits an, bei denen der Source Code der eigenen Software sowie aller verwendeter Open Source Komponenten gescannt wird. Hierdurch kann man sowohl offensichtlich verwendete Open Source Software als auch sogenannte Snipits finden, die in den eigenen Code kopiert wurden. Dabei sollte man auch die Open Source Software vollständig scannen, um eventuell hierein enthaltene Dritt-Komponenten zu finden.

Auf dem Markt gibt es verschiedene Tools, die den Scan unterstützen. Diese lassen sich teilweise auch in den eigenen Entwicklungsprozess einbinden. Hierdurch können problematische Entwicklungen frühzeitig entdeckt und beseitigt werden. Zudem erleichtern die Tools die Erstellung einer Bill of Materials (BoM), eine Aufstellung aller Übereinstimmungen mit Codeteilen, der Version der Open Source Software, der jeweiligen Downloadquelle und die anwendbaren Lizenzbedingungen.

Es bietet sich an unproblematische Lizenzen in Whitelists und problematische in Blacklists festzuhalten. Alle nicht aufgeführten Lizenzen müssten dann bei Bedarf überprüft werden.

Die zuständigen Mitarbeiter sollten sensibilisiert werden und bei externen Entwicklern entsprechende vertragliche Regelungen geschlossen werden.

Zudem sollte man die Maßnahmen zur Dokumentation in einem Compliance-Programm zusammenfassen.

Fazit

Die Verwendung von Open Source Software bringt Vorteile und Herausforderungen mit sich. Bei Auswahl der richtigen Komponenten und bedingungskonformen Einsatz ist sie jedoch häufig interessanter als kommerzielle Drittprodukte oder Eigenentwicklungen.