Freie Lizenzen rechtssicher nutzen
Das Risiko sinkt, wenn Sie früh festhalten, welche Komponenten und Lizenzen im Einsatz sind, und sicherstellen, dass alle Lizenzhinweise und Quellcodeangebote automatisch mit ausgeliefert werden. Klären Sie unklare technische Verknüpfungen (z. B. dynamisches Linken) rechtzeitig mit fachlicher Unterstützung. Klare, gelebte Prozesse sparen Zeit und Ärger, wenn es später zu Prüfungen oder Auseinandersetzungen kommt.
Was steckt rechtlich hinter „Open Source“?
„Open Source“ bedeutet nicht „rechtsfrei“. Die Nutzung ist im Lizenztext geregelt und an bestimmte Bedingungen geknüpft. Bei Verstößen kann der Rechteinhaber verlangen, dass die Nutzung sofort beendet wird. In ernsten Fällen kann auch ein Rückruf oder die Vernichtung ausgelieferter Versionen gefordert werden.
Zusätzlich gibt es Auskunftspflichten über Herkunft und Weitergabe der Software. Meist beginnt es mit einer Abmahnung: Schadensersatz ist möglich, wenn ein Verschulden vorliegt.
→ Mehr zu Abmahnung und Unterlassung auf unserer Seite: Abmahnung wegen Urheberrechtsverletzung
Copyleft vs. permissiv – wo liegen die Unterschiede?
Für die Planung Ihres Produktportfolios und Ihrer Verträge ist diese Unterscheidung zentral: Copyleft‑Lizenzen können bei Weitergabe zusätzliche Offenlegungs‑ und Weitergabepflichten auslösen, während permissive Lizenzen meist mit Hinweisen erfüllbar sind. Das wirkt sich auf Time‑to‑Market, Update‑Prozesse, Vertriebskanäle und Due‑Diligence‑Prüfungen aus – und sollte deshalb früh berücksichtigt werden.
Copyleft (GPL/AGPL/LGPL)
Copyleft‑Lizenzen wie die GPL, AGPL und LGPL erlauben die Nutzung, verpflichten bei Weitergabe jedoch zur Einhaltung der Lizenzbedingungen und – je nach Lizenz – zur Veröffentlichung von Änderungen unter derselben Lizenz. Bei der AGPL kann diese Pflicht auch greifen, wenn Nutzer nur über das Netz mit Ihrer Software arbeiten (§ 13 AGPLv3). Für die Praxis heißt das: Prüfen Sie, wie eng Ihr eigener Code mit der Open‑Source‑Komponente verbunden ist, und dokumentieren Sie die Architektur (statisches oder dynamisches Linken, getrennte Prozesse, klare Schnittstellen), damit sich mögliche Copyleft‑Pflichten früh erkennen und steuern lassen.
Permissiv (z. B. Apache‑2.0, MIT)
Permissive Lizenzen gewähren breite Freiheiten, verlangen aber korrekte Urheber‑ und Lizenzhinweise; bei Apache‑2.0 kommt eine Patentlizenz sowie eine NOTICE‑Pflicht hinzu. Legen Sie einmal zentral fest, wo Hinweise erscheinen (NOTICE‑Datei, About‑Dialog, Dokumentation) und sorgen Sie dafür, dass sie bei jedem Release zuverlässig mit ausgeliefert werden. So vermeiden Sie einfache Formfehler mit unnötigem Konfliktpotenzial.
Mini‑Glossar: GNU Affero General Public License (AGPL) – Netzpflicht
Die AGPLv3 (GNU Affero General Public License, Version 3) verpflichtet dazu, Quellcode bereitzustellen, wenn Nutzer über das Netz mit dem Programm interagieren (z. B. bei SaaS); sie erweitert damit Copyleft‑Pflichten auf die Online‑Bereitstellung.
Typische Stolperfallen in der Praxis
Quellcode‑ und Lizenztextpflichten
Wer Software unter der GPL weitergibt, muss den passenden Quellcode mitliefern oder ein mindestens drei Jahre gültiges Angebot dafür beilegen. Auch der Lizenztext gehört dazu. Fehlender Quellcode oder vergessene Hinweise sind häufige Fehler. Bauen Sie diese Schritte fest in Ihre Abläufe ein und benennen Sie klare Verantwortliche.
Lizenzverlust bei Verstoß
Wer gegen zentrale Lizenzpflichten verstößt, verliert sein Nutzungsrecht. Jede weitere Nutzung ist dann unzulässig. Die GPLv3 bietet die Möglichkeit, das Recht zurückzubekommen, wenn Verstöße innerhalb von 30 Tagen behoben werden. In der Praxis sollten Sie Auslieferungen sofort stoppen, betroffene Versionen identifizieren und die Abhilfe priorisieren (Quellcode nachreichen, Lizenzhinweise ergänzen, Updates bereitstellen). Dokumentieren Sie jeden Schritt und kommunizieren Sie klar mit Kunden und Partnern, damit Unterbrechungen kurz bleiben und sich Nachfragen schnell klären lassen.
Tipp zu GPLv3‑Heilung (gem. § 8): Bei rechtzeitiger Behebung lebt die Lizenz wieder auf.
Haftung und Gewährleistung
Viele Open‑Source‑Lizenzen enthalten pauschale „AS IS“-Hinweise. Darauf sollten Sie sich im B2B nicht verlassen, weil solche Freizeichnungen nach deutschem AGB‑Recht nur begrenzt tragen. Regeln Sie deshalb vertraglich, wer welche Open‑Source‑Pflichten erfüllt (Lizenzhinweise, Quellcode‑Zugang, SBOM), wie schnell Sicherheits‑ und Fehlerkorrekturen umgesetzt werden und wie bei Vorwürfen zusammengearbeitet wird. Vereinbaren Sie angemessene Haftungsgrenzen und klare Freistellungen, die zur Risikolage Ihres Produkts passen, und nehmen Sie Beistandspflichten Ihrer Lieferanten auf (z. B. Unterstützung bei Abmahnungen oder Audits). Legen Sie zudem einen festen Kommunikations‑ und Nachweisweg fest (Kontakt, Fristen, Belege), damit im Ernstfall keine Zeit verloren geht.
„Derivate“ und technische Verknüpfung
Ob Ihre Software als „abgeleitetes Werk“ gilt, hängt vom Einzelfall ab. Kritisch sind enge technische Verbindungen wie statisches oder dynamisches Linken und komplexe Plugin‑Strukturen. Dokumentieren Sie Ihre Systemarchitektur, um im Zweifel Klarheit zu haben.
Classpath‑Exception: Eine Ausnahme, die in bestimmten Fällen erlaubt, mit GPL‑Code zu verlinken, ohne die Copyleft‑Pflichten auszulösen.
Durchsetzung: Rechte, Fristen, Zuständigkeiten
Ansprüche und Beweissicherung
Für Unternehmen wichtig ist der Ablauf: In der Praxis beginnt es häufig mit einer Abmahnung, in der die Gegenseite Unterlassung, Beseitigung und Auskunft verlangt. Die Auskunft kann sich bei gewerblichem Ausmaß auch an Dritte richten (§ 101 UrhG). Entscheidend ist, dass Sie rasch belastbare Informationen liefern können: Führen Sie eine aktuelle Komponentenliste (SBOM), halten Sie Versionsstände, Veröffentlichungsnotizen, Lizenztexte und Quellcode‑Zugänge bereit und dokumentieren Sie, wann und wie Hinweise mitgegeben wurden. Benennen Sie einen internen Ansprechpartner, der Technik, Recht und Produkt koordiniert, und definieren Sie einen kurzen Erstreaktionsplan (Prüfen – Umfang eingrenzen – Abhilfe festlegen – Kommunikation). Gute Nachweise verkürzen Verfahren, erleichtern Vergleiche und verhindern Stillstände im Vertrieb.
Schadensersatz
Schadensersatz setzt Verschulden voraus und wird regelmäßig nach einem von drei Ansätzen berechnet: entgangener Gewinn des Rechteinhabers, Gewinn des Verletzers oder eine fiktive Lizenzgebühr. Welche Methode angewendet wird, hängt vom Einzelfall ab; die Rechtsprechung ist nicht in allen Konstellationen einheitlich. Für die Geschäftsführung zählt daher, früh die wirtschaftlichen Optionen zu vergleichen: Lässt sich durch schnelle Abhilfe und Dokumentation eine einvernehmliche Lösung erreichen, oder ist eine streitige Klärung sinnvoller? Beachten Sie, dass in bestimmten Fällen Ansprüche länger verfolgbar sind (Restschadensersatz). Eine saubere Zahlenbasis (Umsätze, Stückzahlen, Reichweiten) verhindert Fehleinschätzungen.
Verjährung und Gerichtsstände
Typischerweise verjähren Ansprüche innerhalb von drei Jahren ab Kenntnis der maßgeblichen Umstände. Unabhängig davon kann Restschadensersatz in bestimmten Konstellationen bis zu zehn Jahre verlangt werden. Für die Praxis bedeutet das: Halten Sie Unterlagen so vor, dass Vorgänge auch Jahre später nachvollziehbar bleiben (SBOM, Release‑Historie, Nachweise zur Quellcode‑Bereitstellung und zu Lizenzhinweisen), und dokumentieren Sie interne Bewertungen mit Datumsangaben, um Fristläufe belastbar einordnen zu können.
M&A‑Realität: Compliance kann den Deal kippen
Bei Unternehmensverkäufen ist Open‑Source‑Compliance oft ein eigener Prüfpunkt. Fehlen SBOM, Quellcode‑Nachweise oder eine klare Einschätzung zur Lizenzlage, kann das den Preis drücken, den Abschluss verzögern oder die Transaktion sogar ganz verhindern (Deal‑Breaker).
Praxisfall 1 (USA):
Deal‑Breaker bei GPL‑Non‑Compliance
Ein Software‑Startup („Acme“) stand kurz vor dem Exit, als die Käuferseite in der Due‑Diligence Verstöße gegen Pflichten der GNU General Public License (GPL) identifizierte. Die Bereitstellung des Quellcodes war nicht belastbar dokumentiert, Lizenzhinweise fehlten teilweise, und die Architektur ließ einen Copyleft‑Durchgriff nicht verlässlich ausschließen. Die erforderliche Nachbesserung hätte Zeit, Budget und Roadmap gebunden und das Risiko einstweiliger Verfügungen erhöht. Der Käufer bewertete die Unsicherheit höher als den erwarteten Kaufpreisvorteil und brach die Transaktion ab. Das Beispiel zeigt, dass eine vollständige SBOM, klare Prozesse und prüffähige Nachweise vor dem ersten Investorengespräch entscheidend sind.
Quelle: Shockwave Innovations
Praxisfall 2 (USA):
Cisco/Linksys – nachträgliche Offenlegung
Als Cisco 2003 Linksys übernahm, enthielten deren Router‑Firmwares Linux‑Code unter der GPL, was im Transaktionsprozess nicht konsequent adressiert worden war. Nach dem Closing wurde Cisco mit Lizenzpflichten konfrontiert und musste den Router‑Quellcode offenlegen. Neben zusätzlichem Aufwand für Teams und Prozesse entstand ein Reputationsrisiko, weil sichtbar wurde, dass Pflichten übersehen worden waren. Der Fall gilt bis heute als Beispiel dafür, dass technische Due‑Diligence bei Embedded‑/Hardware‑Produkten Open‑Source‑Bestandteile erkennen und Compliance‑Pflichten vertraglich wie operativ absichern sollte. Für Käufer wie Verkäufer empfiehlt sich außerdem ein Plan, wie Offenlegung, Hinweise und Support nach dem Closing zuverlässig erfolgen.
Quelle: Quandary Peak, EETimes
Kurze Checkliste
- SBOM (Liste aller genutzten Komponenten) aktuell halten: Führen Sie pro Produkt und Version eine zentrale, exportierbare Liste. Benennen Sie Verantwortliche und aktualisieren Sie die SBOM zu jedem Release; halten Sie ein Format bereit, das Kunden und Investoren akzeptieren (z. B. CSV/PDF).
- Lizenzhinweise und Quellcode‑Angebote in Abläufe integrieren: Verankern Sie vor Auslieferung einen festen Schritt, der Hinweise und Quellcode prüft. Legen Sie einen klaren Bereitstellungsort fest (Kundenportal/URL/Beileger). Bei GPLv2 genügt ein schriftliches Angebot, das mindestens drei Jahre gilt; definieren Sie Zuständigkeiten.
- Auslieferung der Hinweise (NOTICE, About‑Dialog, Dokumentation) festlegen: Entscheiden Sie einmal zentral, wo Hinweise erscheinen, und erzeugen Sie sie möglichst automatisch aus SBOM/Template. Nehmen Sie eine Sichtprüfung in die Abnahme‑Checkliste auf.
- Technische Architektur kurz dokumentieren: Halten Sie auf 1–2 Seiten fest, ob statisch oder dynamisch verlinkt wird, welche Prozesse getrennt laufen, wo Schnittstellen liegen und welche Daten tatsächlich ausgetauscht werden. Diese Notiz beschleunigt Bewertungen und Nachfragen.
- Verantwortlichkeiten klar zuweisen: Benennen Sie eine Ansprechperson für Open‑Source‑Compliance (mit Stellvertretung), definieren Sie einen Eskalationsweg und eine Ziel‑Reaktionszeit bei Anfragen.
- Verträge um Updates, Sicherheit und Haftung ergänzen: Regeln Sie in Kunden‑ und Lieferantenverträgen Pflichten zur OSS‑Compliance, Nachweise (SBOM), Mitwirkung bei Abhilfe und passende Freistellungen. Vermeiden Sie pauschale „AS IS“-Klauseln ohne tragfähige B2B‑Haftungsregelung.
- Vor M&A interne Prüfungen durchführen: Führen Sie einen kompakten Pre‑Due‑Diligence‑Check durch und legen Sie SBOM, Lizenztexte, Quellcode‑Zugänge, Architektur‑Notiz und Abnahme‑Checklisten in einen Datenraum. Bestimmen Sie eine verantwortliche Person für Q&A.
Häufige Fragen (FAQ)
In aller Regel ja. Entweder liefern Sie den passenden Quellcode direkt mit oder Sie legen ein schriftliches Angebot bei, über das der Quellcode für einen festgelegten Zeitraum angefordert werden kann. Prüfen Sie, welche Variante Ihre Release‑Prozesse zuverlässig abdeckt, und dokumentieren Sie, wo der Code abrufbar ist.
Bei der AGPL kann die Pflicht zur Quellcode‑Bereitstellung auch dann greifen, wenn Nutzer nur über das Netz mit der Software arbeiten. Prüfen Sie Ihr Service‑Modell, bevor Sie AGPL‑Module einsetzen, und halten Sie eine eindeutige Strategie zur Code‑Bereitstellung bereit.
Nur, wenn sie kompatibel sind. Einige Lizenzen lassen sich problemlos kombinieren, andere schließen sich faktisch aus. Prüfen Sie die Lizenzkombinationen vorab und vermeiden Sie Konstruktionen, bei denen Pflichten nicht gleichzeitig erfüllbar sind.
Das hängt von der Lizenzversion ab. Bei der GPLv2 ist ein schriftliches Angebot möglich; bei anderen Varianten kann die gleichzeitige Bereitstellung verlangt sein. Entscheidend ist, dass die gewählte Option verlässlich funktioniert und dauerhaft auffindbar ist.
Nur, wenn die jeweilige Lizenz und Ihr Verteilmodell das erfordern. Oft genügt es, den Code über einen definierten Kanal bereitzustellen oder auf Anfrage zu liefern. Wichtig ist, dass die gewählte Lösung stabil, dokumentiert und für Empfänger leicht erreichbar ist.
Nein, nicht pauschal. Entscheidend ist, ob Ihr eigener Code als abgeleitetes Werk der Komponente gilt oder nur lose angebunden ist. Je enger die technische Verbindung, desto eher greifen Copyleft‑Pflichten. Saubere Schnittstellen und getrennte Prozesse senken das Risiko.
Bei Verstößen gegen zentrale Lizenzpflichten gilt die Nutzung als unberechtigt. Bei der GPLv3 gibt es allerdings eine Möglichkeit der Wiederherstellung, wenn Sie innerhalb kurzer Fristen vollständig nachbessern. Wichtig ist, schnell zu reagieren und den Nachweis der Abhilfe sauber zu führen.
Das Risiko landet oft beim Produktanbieter. Regeln Sie in Verträgen Pflichten zur Lizenz‑Compliance, Nachweispflichten (z. B. SBOM) und Mitwirkung bei Abhilfe. Führen Sie stichprobenartige Prüfungen durch, damit Verstöße nicht erst beim Kunden auffallen.
Regelmäßig verjähren Ansprüche nach drei Jahren ab Kenntnis. Für bestimmte Konstellationen kann ein Restschadensersatz länger durchsetzbar sein. Halten Sie deshalb Unterlagen und Nachweise so vor, dass Sie Sachverhalte auch Jahre später belegen können.
Nur eingeschränkt. Im B2B‑Bereich sollten Sie Verträge so gestalten, dass Verantwortlichkeiten, Updates, Sicherheitsfixes und Freistellungen klar geregelt sind. So vermeiden Sie Lücken, die in einem Streitfall zu Stillstand oder unnötigen Kosten führen könnten.
Grundsätzlich ja, solange Sie die jeweiligen Pflichten erfüllen. Bei permissiven Lizenzen geht es vor allem um Hinweise. Bei Copyleft‑Lizenzen müssen Sie je nach Verknüpfung mit eigenem Code zusätzliche Pflichten erfüllen. Eine kurze Architektur‑und Lizenzprüfung vor Release spart später Aufwand.
Bei reiner interner Nutzung ohne Weitergabe greifen viele Pflichten zur Verteilung nicht. Sobald Sie aber an Kunden liefern, Geräte mit Software ausgeben oder Dienste öffentlich bereitstellen, gelten die jeweiligen Lizenzanforderungen. Planen Sie den Wechsel von intern zu extern frühzeitig ein.
Sofort den Umfang klären, betroffene Versionen identifizieren, die Veröffentlichung stoppen und eine Abhilfestrategie festlegen (Quellcode bereitstellen, Hinweise ergänzen, Updates planen). Dokumentieren Sie jeden Schritt, informieren Sie nötigenfalls Kunden und prüfen Sie, ob eine Unterlassungserklärung sinnvoll ist.
Führen Sie eine aktuelle Komponentenliste (SBOM), speichern Sie Build‑Stände, Lizenztexte und Hinweise, und dokumentieren Sie, wann und wo der Quellcode zugänglich war. So können Sie Auskunftsansprüche zügig bedienen und interne wie externe Prüfungen bestehen.
Wenn Nutzer über das Netz mit einer AGPL‑Komponente interagieren, kann Quellcode‑Zugang erforderlich sein. Prüfen Sie, ob der betroffene Service isoliert werden kann oder ob eine alternative Komponente mit geringerem Pflichtenumfang verfügbar ist.
Regeln Sie OSS‑Einsatz, Verantwortlichkeiten, Update‑ und Sicherheitspflichten, Mitwirkung bei Abhilfe, Nachweise (SBOM) und Freistellungen. So vermeiden Sie Lücken zwischen Technik und Recht und können im Ernstfall schnell handeln.
Erstellen Sie eine vollständige SBOM, legen Sie Nachweise für Quellcode‑ und Hinweisbereitstellung bei, halten Sie Architekturentscheidungen fest und dokumentieren Sie Prozesse. Ein interner Vorab‑Audit und klare Verantwortlichkeiten beschleunigen spätere Prüfungen erheblich.
Quellen
- [1] Gesetz über Urheberrecht und verwandte Schutzrechte (UrhG) — https://www.gesetze-im-internet.de/urhg/
- [2] GNU General Public License (GPL) v2.0 — Free Software Foundation — https://www.gnu.org/licenses/old-licenses/gpl-2.0.html
- [3] GNU General Public License (GPL) v3.0 — Free Software Foundation — https://www.gnu.org/licenses/gpl-3.0.en.html
- [4] GNU Affero General Public License (AGPL) v3.0 — Free Software Foundation — https://www.gnu.org/licenses/agpl-3.0.en.html
- [5] MIT License — Open Source Initiative — https://opensource.org/license/mit/
- [6] Apache License 2.0 — Apache Software Foundation — https://www.apache.org/licenses/LICENSE-2.0
ELBKANZLEI Fachanwälte stehen für:
- Kompetenz, Erfahrung, Präzision und Umsicht im Urheberrecht.
- Feste Ansprechpartner pro Mandat.
- Leistungsstarke und zielgerichtete Mandatsbearbeitung.
- Faire, transparente Honorare.
Bei Bedarf hören wir gern von Ihnen.
