Main Menu
Kostenlose Ersteinschätzung
Instagram Phone-alt Envelope

Open-Source-Lizenz: 4 Fehler, die Sie vermeiden müssen

Viele Unternehmen setzen auf Open‑Source‑Software, ohne sich im Detail mit den Lizenzregeln auseinanderzusetzen. Dabei sind diese Lizenzen verbindliche Vereinbarungen. Wer gegen sie verstößt, riskiert Abmahnungen, Auskunftspflichten und im schlimmsten Fall Schadensersatz. Betroffene Produkte müssen oft nachgebessert oder sogar zurückgerufen werden – ein Szenario, das bei Unternehmensverkäufen (M&A) zu Preisabschlägen oder Verzögerungen führen kann.
Open Source Software

Freie Lizenzen rechtssicher nutzen

Das Risiko sinkt, wenn Sie früh festhalten, welche Komponenten und Lizenzen im Einsatz sind, und sicherstellen, dass alle Lizenzhinweise und Quellcodeangebote automatisch mit ausgeliefert werden. Klären Sie unklare technische Verknüpfungen (z. B. dynamisches Linken) rechtzeitig mit fachlicher Unterstützung. Klare, gelebte Prozesse sparen Zeit und Ärger, wenn es später zu Prüfungen oder Auseinandersetzungen kommt.

Inhalt

Was steckt rechtlich hinter „Open Source“?

Open Source“ bedeutet nicht „rechtsfrei“. Die Nutzung ist im Lizenztext geregelt und an bestimmte Bedingungen geknüpft. Bei Verstößen kann der Rechteinhaber verlangen, dass die Nutzung sofort beendet wird. In ernsten Fällen kann auch ein Rückruf oder die Vernichtung ausgelieferter Versionen gefordert werden.

Zusätzlich gibt es Auskunftspflichten über Herkunft und Weitergabe der Software. Meist beginnt es mit einer Abmahnung: Schadensersatz ist möglich, wenn ein Verschulden vorliegt. 

Mehr zu Abmahnung und Unterlassung auf unserer Seite: Abmahnung wegen Urheberrechtsverletzung

Copyleft vs. permissiv – wo liegen die Unterschiede?

Für die Planung Ihres Produktportfolios und Ihrer Verträge ist diese Unterscheidung zentral: Copyleft‑Lizenzen können bei Weitergabe zusätzliche Offenlegungs‑ und Weitergabepflichten auslösen, während permissive Lizenzen meist mit Hinweisen erfüllbar sind. Das wirkt sich auf Time‑to‑Market, Update‑Prozesse, Vertriebskanäle und Due‑Diligence‑Prüfungen aus – und sollte deshalb früh berücksichtigt werden.

Copyleft (GPL/AGPL/LGPL)

Copyleft‑Lizenzen wie die GPL, AGPL und LGPL erlauben die Nutzung, verpflichten bei Weitergabe jedoch zur Einhaltung der Lizenzbedingungen und – je nach Lizenz – zur Veröffentlichung von Änderungen unter derselben Lizenz. Bei der AGPL kann diese Pflicht auch greifen, wenn Nutzer nur über das Netz mit Ihrer Software arbeiten (§ 13 AGPLv3). Für die Praxis heißt das: Prüfen Sie, wie eng Ihr eigener Code mit der Open‑Source‑Komponente verbunden ist, und dokumentieren Sie die Architektur (statisches oder dynamisches Linken, getrennte Prozesse, klare Schnittstellen), damit sich mögliche Copyleft‑Pflichten früh erkennen und steuern lassen.

Permissiv (z. B. Apache‑2.0, MIT)

Permissive Lizenzen gewähren breite Freiheiten, verlangen aber korrekte Urheber‑ und Lizenzhinweise; bei Apache‑2.0 kommt eine Patentlizenz sowie eine NOTICE‑Pflicht hinzu. Legen Sie einmal zentral fest, wo Hinweise erscheinen (NOTICE‑Datei, About‑Dialog, Dokumentation) und sorgen Sie dafür, dass sie bei jedem Release zuverlässig mit ausgeliefert werden. So vermeiden Sie einfache Formfehler mit unnötigem Konfliktpotenzial.

Mini‑Glossar: GNU Affero General Public License (AGPL) – Netzpflicht
Die AGPLv3 (GNU Affero General Public License, Version 3) verpflichtet dazu, Quellcode bereitzustellen, wenn Nutzer über das Netz mit dem Programm interagieren (z. B. bei SaaS); sie erweitert damit Copyleft‑Pflichten auf die Online‑Bereitstellung.

Brauchen Sie rechtliche Unterstützung bei Ihrer Open-Source-Compliance?
Übersehene Lizenzhinweise, fehlende Quellcode-Angebote oder unklare Verknüpfungen können zu Abmahnungen, Release-Stopps oder Verzögerungen bei Transaktionen führen. Senken Sie Ihr Risiko und vermeiden Sie Folgekosten: Lassen Sie SBOM, Auslieferungspflichten und Architektur von uns prüfen und erhalten Sie klare Prioritätenlisten und umsetzbare Maßnahmen.
Kontakt aufnehmen

Typische Stolperfallen in der Praxis

Quellcode‑ und Lizenztextpflichten

Wer Software unter der GPL weitergibt, muss den passenden Quellcode mitliefern oder ein mindestens drei Jahre gültiges Angebot dafür beilegen. Auch der Lizenztext gehört dazu. Fehlender Quellcode oder vergessene Hinweise sind häufige Fehler. Bauen Sie diese Schritte fest in Ihre Abläufe ein und benennen Sie klare Verantwortliche.

Lizenzverlust bei Verstoß

Wer gegen zentrale Lizenzpflichten verstößt, verliert sein Nutzungsrecht. Jede weitere Nutzung ist dann unzulässig. Die GPLv3 bietet die Möglichkeit, das Recht zurückzubekommen, wenn Verstöße innerhalb von 30 Tagen behoben werden. In der Praxis sollten Sie Auslieferungen sofort stoppen, betroffene Versionen identifizieren und die Abhilfe priorisieren (Quellcode nachreichen, Lizenzhinweise ergänzen, Updates bereitstellen). Dokumentieren Sie jeden Schritt und kommunizieren Sie klar mit Kunden und Partnern, damit Unterbrechungen kurz bleiben und sich Nachfragen schnell klären lassen.

Tipp zu GPLv3‑Heilung (gem. § 8): Bei rechtzeitiger Behebung lebt die Lizenz wieder auf.

Haftung und Gewährleistung

Viele Open‑Source‑Lizenzen enthalten pauschale „AS IS“-Hinweise. Darauf sollten Sie sich im B2B nicht verlassen, weil solche Freizeichnungen nach deutschem AGB‑Recht nur begrenzt tragen. Regeln Sie deshalb vertraglich, wer welche Open‑Source‑Pflichten erfüllt (Lizenzhinweise, Quellcode‑Zugang, SBOM), wie schnell Sicherheits‑ und Fehlerkorrekturen umgesetzt werden und wie bei Vorwürfen zusammengearbeitet wird. Vereinbaren Sie angemessene Haftungsgrenzen und klare Freistellungen, die zur Risikolage Ihres Produkts passen, und nehmen Sie Beistandspflichten Ihrer Lieferanten auf (z. B. Unterstützung bei Abmahnungen oder Audits). Legen Sie zudem einen festen Kommunikations‑ und Nachweisweg fest (Kontakt, Fristen, Belege), damit im Ernstfall keine Zeit verloren geht.

„Derivate“ und technische Verknüpfung

Ob Ihre Software als „abgeleitetes Werk“ gilt, hängt vom Einzelfall ab. Kritisch sind enge technische Verbindungen wie statisches oder dynamisches Linken und komplexe Plugin‑Strukturen. Dokumentieren Sie Ihre Systemarchitektur, um im Zweifel Klarheit zu haben.

Classpath‑Exception: Eine Ausnahme, die in bestimmten Fällen erlaubt, mit GPL‑Code zu verlinken, ohne die Copyleft‑Pflichten auszulösen.

Durchsetzung: Rechte, Fristen, Zuständigkeiten

Ansprüche und Beweissicherung

Für Unternehmen wichtig ist der Ablauf: In der Praxis beginnt es häufig mit einer Abmahnung, in der die Gegenseite Unterlassung, Beseitigung und Auskunft verlangt. Die Auskunft kann sich bei gewerblichem Ausmaß auch an Dritte richten (§ 101 UrhG). Entscheidend ist, dass Sie rasch belastbare Informationen liefern können: Führen Sie eine aktuelle Komponentenliste (SBOM), halten Sie Versionsstände, Veröffentlichungsnotizen, Lizenztexte und Quellcode‑Zugänge bereit und dokumentieren Sie, wann und wie Hinweise mitgegeben wurden. Benennen Sie einen internen Ansprechpartner, der Technik, Recht und Produkt koordiniert, und definieren Sie einen kurzen Erstreaktionsplan (Prüfen – Umfang eingrenzen – Abhilfe festlegen – Kommunikation). Gute Nachweise verkürzen Verfahren, erleichtern Vergleiche und verhindern Stillstände im Vertrieb.

Schadensersatz

Schadensersatz setzt Verschulden voraus und wird regelmäßig nach einem von drei Ansätzen berechnet: entgangener Gewinn des Rechteinhabers, Gewinn des Verletzers oder eine fiktive Lizenzgebühr. Welche Methode angewendet wird, hängt vom Einzelfall ab; die Rechtsprechung ist nicht in allen Konstellationen einheitlich. Für die Geschäftsführung zählt daher, früh die wirtschaftlichen Optionen zu vergleichen: Lässt sich durch schnelle Abhilfe und Dokumentation eine einvernehmliche Lösung erreichen, oder ist eine streitige Klärung sinnvoller? Beachten Sie, dass in bestimmten Fällen Ansprüche länger verfolgbar sind (Restschadensersatz). Eine saubere Zahlenbasis (Umsätze, Stückzahlen, Reichweiten) verhindert Fehleinschätzungen.

Verjährung und Gerichtsstände

Typischerweise verjähren Ansprüche innerhalb von drei Jahren ab Kenntnis der maßgeblichen Umstände. Unabhängig davon kann Restschadensersatz in bestimmten Konstellationen bis zu zehn Jahre verlangt werden. Für die Praxis bedeutet das: Halten Sie Unterlagen so vor, dass Vorgänge auch Jahre später nachvollziehbar bleiben (SBOM, Release‑Historie, Nachweise zur Quellcode‑Bereitstellung und zu Lizenzhinweisen), und dokumentieren Sie interne Bewertungen mit Datumsangaben, um Fristläufe belastbar einordnen zu können.

M&A‑Realität: Compliance kann den Deal kippen

Bei Unternehmensverkäufen ist Open‑Source‑Compliance oft ein eigener Prüfpunkt. Fehlen SBOM, Quellcode‑Nachweise oder eine klare Einschätzung zur Lizenzlage, kann das den Preis drücken, den Abschluss verzögern oder die Transaktion sogar ganz verhindern (Deal‑Breaker).

Praxisfall 1 (USA):
Deal‑Breaker bei GPL‑Non‑Compliance

Ein Software‑Startup („Acme“) stand kurz vor dem Exit, als die Käuferseite in der Due‑Diligence Verstöße gegen Pflichten der GNU General Public License (GPL) identifizierte. Die Bereitstellung des Quellcodes war nicht belastbar dokumentiert, Lizenzhinweise fehlten teilweise, und die Architektur ließ einen Copyleft‑Durchgriff nicht verlässlich ausschließen. Die erforderliche Nachbesserung hätte Zeit, Budget und Roadmap gebunden und das Risiko einstweiliger Verfügungen erhöht. Der Käufer bewertete die Unsicherheit höher als den erwarteten Kaufpreisvorteil und brach die Transaktion ab. Das Beispiel zeigt, dass eine vollständige SBOM, klare Prozesse und prüffähige Nachweise vor dem ersten Investorengespräch entscheidend sind.

Quelle: Shockwave Innovations

Praxisfall 2 (USA):
Cisco/Linksys – nachträgliche Offenlegung

Als Cisco 2003 Linksys übernahm, enthielten deren Router‑Firmwares Linux‑Code unter der GPL, was im Transaktionsprozess nicht konsequent adressiert worden war. Nach dem Closing wurde Cisco mit Lizenzpflichten konfrontiert und musste den Router‑Quellcode offenlegen. Neben zusätzlichem Aufwand für Teams und Prozesse entstand ein Reputationsrisiko, weil sichtbar wurde, dass Pflichten übersehen worden waren. Der Fall gilt bis heute als Beispiel dafür, dass technische Due‑Diligence bei Embedded‑/Hardware‑Produkten Open‑Source‑Bestandteile erkennen und Compliance‑Pflichten vertraglich wie operativ absichern sollte. Für Käufer wie Verkäufer empfiehlt sich außerdem ein Plan, wie Offenlegung, Hinweise und Support nach dem Closing zuverlässig erfolgen.

Quelle: Quandary Peak, EETimes

Kurze Checkliste

  • SBOM (Liste aller genutzten Komponenten) aktuell halten: Führen Sie pro Produkt und Version eine zentrale, exportierbare Liste. Benennen Sie Verantwortliche und aktualisieren Sie die SBOM zu jedem Release; halten Sie ein Format bereit, das Kunden und Investoren akzeptieren (z. B. CSV/PDF).
  • Lizenzhinweise und Quellcode‑Angebote in Abläufe integrieren: Verankern Sie vor Auslieferung einen festen Schritt, der Hinweise und Quellcode prüft. Legen Sie einen klaren Bereitstellungsort fest (Kundenportal/URL/Beileger). Bei GPLv2 genügt ein schriftliches Angebot, das mindestens drei Jahre gilt; definieren Sie Zuständigkeiten.
  • Auslieferung der Hinweise (NOTICE, About‑Dialog, Dokumentation) festlegen: Entscheiden Sie einmal zentral, wo Hinweise erscheinen, und erzeugen Sie sie möglichst automatisch aus SBOM/Template. Nehmen Sie eine Sichtprüfung in die Abnahme‑Checkliste auf.
  • Technische Architektur kurz dokumentieren: Halten Sie auf 1–2 Seiten fest, ob statisch oder dynamisch verlinkt wird, welche Prozesse getrennt laufen, wo Schnittstellen liegen und welche Daten tatsächlich ausgetauscht werden. Diese Notiz beschleunigt Bewertungen und Nachfragen.
  • Verantwortlichkeiten klar zuweisen: Benennen Sie eine Ansprechperson für Open‑Source‑Compliance (mit Stellvertretung), definieren Sie einen Eskalationsweg und eine Ziel‑Reaktionszeit bei Anfragen.
  • Verträge um Updates, Sicherheit und Haftung ergänzen: Regeln Sie in Kunden‑ und Lieferantenverträgen Pflichten zur OSS‑Compliance, Nachweise (SBOM), Mitwirkung bei Abhilfe und passende Freistellungen. Vermeiden Sie pauschale „AS IS“-Klauseln ohne tragfähige B2B‑Haftungsregelung.
  • Vor M&A interne Prüfungen durchführen: Führen Sie einen kompakten Pre‑Due‑Diligence‑Check durch und legen Sie SBOM, Lizenztexte, Quellcode‑Zugänge, Architektur‑Notiz und Abnahme‑Checklisten in einen Datenraum. Bestimmen Sie eine verantwortliche Person für Q&A.
Sprechen Sie mit uns: Unsere Kanzlei prüft Ihre Open‑Source‑Compliance (SBOM, Lizenzhinweise, Quellcode‑Zugang), priorisiert akute Risiken und gibt konkrete To‑dos.
Kontaktieren Sie uns

Häufige Fragen (FAQ)

In aller Regel ja. Entweder liefern Sie den passenden Quellcode direkt mit oder Sie legen ein schriftliches Angebot bei, über das der Quellcode für einen festgelegten Zeitraum angefordert werden kann. Prüfen Sie, welche Variante Ihre Release‑Prozesse zuverlässig abdeckt, und dokumentieren Sie, wo der Code abrufbar ist.

Bei der AGPL kann die Pflicht zur Quellcode‑Bereitstellung auch dann greifen, wenn Nutzer nur über das Netz mit der Software arbeiten. Prüfen Sie Ihr Service‑Modell, bevor Sie AGPL‑Module einsetzen, und halten Sie eine eindeutige Strategie zur Code‑Bereitstellung bereit.

Nur, wenn sie kompatibel sind. Einige Lizenzen lassen sich problemlos kombinieren, andere schließen sich faktisch aus. Prüfen Sie die Lizenzkombinationen vorab und vermeiden Sie Konstruktionen, bei denen Pflichten nicht gleichzeitig erfüllbar sind.

Das hängt von der Lizenzversion ab. Bei der GPLv2 ist ein schriftliches Angebot möglich; bei anderen Varianten kann die gleichzeitige Bereitstellung verlangt sein. Entscheidend ist, dass die gewählte Option verlässlich funktioniert und dauerhaft auffindbar ist.

Nur, wenn die jeweilige Lizenz und Ihr Verteilmodell das erfordern. Oft genügt es, den Code über einen definierten Kanal bereitzustellen oder auf Anfrage zu liefern. Wichtig ist, dass die gewählte Lösung stabil, dokumentiert und für Empfänger leicht erreichbar ist.

Nein, nicht pauschal. Entscheidend ist, ob Ihr eigener Code als abgeleitetes Werk der Komponente gilt oder nur lose angebunden ist. Je enger die technische Verbindung, desto eher greifen Copyleft‑Pflichten. Saubere Schnittstellen und getrennte Prozesse senken das Risiko.

Bei Verstößen gegen zentrale Lizenzpflichten gilt die Nutzung als unberechtigt. Bei der GPLv3 gibt es allerdings eine Möglichkeit der Wiederherstellung, wenn Sie innerhalb kurzer Fristen vollständig nachbessern. Wichtig ist, schnell zu reagieren und den Nachweis der Abhilfe sauber zu führen.

Das Risiko landet oft beim Produktanbieter. Regeln Sie in Verträgen Pflichten zur Lizenz‑Compliance, Nachweispflichten (z. B. SBOM) und Mitwirkung bei Abhilfe. Führen Sie stichprobenartige Prüfungen durch, damit Verstöße nicht erst beim Kunden auffallen.

Regelmäßig verjähren Ansprüche nach drei Jahren ab Kenntnis. Für bestimmte Konstellationen kann ein Restschadensersatz länger durchsetzbar sein. Halten Sie deshalb Unterlagen und Nachweise so vor, dass Sie Sachverhalte auch Jahre später belegen können.

Nur eingeschränkt. Im B2B‑Bereich sollten Sie Verträge so gestalten, dass Verantwortlichkeiten, Updates, Sicherheitsfixes und Freistellungen klar geregelt sind. So vermeiden Sie Lücken, die in einem Streitfall zu Stillstand oder unnötigen Kosten führen könnten.

Grundsätzlich ja, solange Sie die jeweiligen Pflichten erfüllen. Bei permissiven Lizenzen geht es vor allem um Hinweise. Bei Copyleft‑Lizenzen müssen Sie je nach Verknüpfung mit eigenem Code zusätzliche Pflichten erfüllen. Eine kurze Architektur‑und Lizenzprüfung vor Release spart später Aufwand.

Bei reiner interner Nutzung ohne Weitergabe greifen viele Pflichten zur Verteilung nicht. Sobald Sie aber an Kunden liefern, Geräte mit Software ausgeben oder Dienste öffentlich bereitstellen, gelten die jeweiligen Lizenzanforderungen. Planen Sie den Wechsel von intern zu extern frühzeitig ein.

Sofort den Umfang klären, betroffene Versionen identifizieren, die Veröffentlichung stoppen und eine Abhilfestrategie festlegen (Quellcode bereitstellen, Hinweise ergänzen, Updates planen). Dokumentieren Sie jeden Schritt, informieren Sie nötigenfalls Kunden und prüfen Sie, ob eine Unterlassungserklärung sinnvoll ist.

Führen Sie eine aktuelle Komponentenliste (SBOM), speichern Sie Build‑Stände, Lizenztexte und Hinweise, und dokumentieren Sie, wann und wo der Quellcode zugänglich war. So können Sie Auskunftsansprüche zügig bedienen und interne wie externe Prüfungen bestehen.

Wenn Nutzer über das Netz mit einer AGPL‑Komponente interagieren, kann Quellcode‑Zugang erforderlich sein. Prüfen Sie, ob der betroffene Service isoliert werden kann oder ob eine alternative Komponente mit geringerem Pflichtenumfang verfügbar ist.

Regeln Sie OSS‑Einsatz, Verantwortlichkeiten, Update‑ und Sicherheitspflichten, Mitwirkung bei Abhilfe, Nachweise (SBOM) und Freistellungen. So vermeiden Sie Lücken zwischen Technik und Recht und können im Ernstfall schnell handeln.

Erstellen Sie eine vollständige SBOM, legen Sie Nachweise für Quellcode‑ und Hinweisbereitstellung bei, halten Sie Architekturentscheidungen fest und dokumentieren Sie Prozesse. Ein interner Vorab‑Audit und klare Verantwortlichkeiten beschleunigen spätere Prüfungen erheblich.

Quellen

ELBKANZLEI Fachanwälte stehen für:

  • Kompetenz, Erfahrung, Präzision und Umsicht im Urheberrecht.
  • Feste Ansprechpartner pro Mandat.
  • Leistungsstarke und zielgerichtete Mandatsbearbeitung.
  • Faire, transparente Honorare.

Bei Bedarf hören wir gern von Ihnen.

Unsere Rechtsanwälte beraten Sie gern hierzu und stehen Ihnen ebenso gern zur Verfügung. 

ELBKANZLEI Direktkontakt:

Telefon: (+49) 040/ 55 43 19 02
E-Mail: rae@elbkanzlei.com

Oder nutzen Sie unser ELBKANZLEI Direktkontakt-Formular:

team-elbkanzlei-hamburg.1.1
team-elbkanzlei-hamburg.1.2
Boris Nolting_1
team-elbkanzlei-hamburg.1.4
elbkanzlei favicon
Rechtsanwälte und Fachanwälte der Elbkanzlei
Rechtsanwalt & Fachanwalt für gewerblichen Rechtsschutz
Vita
Facebook Linkedin Twitter Instagram
Bild von Boris H. Nolting
Boris H. Nolting
Alle Beiträge »

Ihr Ansprechpartner

Boris H. Nolting
Rechtsanwalt & Fachanwalt für gewerblichen Rechtsschutz
Kontakt

Mit Erfahrung, Gründlichkeit & Kompetenz zum Ziel.

Lassen Sie uns jetzt über Ihren Fall sprechen.
uhrheberrecht
040 / 55 43 19 02
Jetzt im Sekretariat anrufen
Kostenlose Ersteinschätzung:

Sie können Ihr Anliegen unverbindlich in einem Telefongespräch mit einem unserer Fachanwälte besprechen:

Sie teilen den Sachverhalt mit, aus dem sich Ansprüche Ihres Falles ergeben könnten. Wir weisen diesen Sachverhalt einem Rechtsgebiet zu, um mitteilen zu können, ob wir Ihre Sache bearbeiten können oder nicht. Zudem erörtern wir Handlungsoptionen, soweit dies ohne weitere Überprüfung Ihres Falles möglich ist.

Sie erhalten diese Ersteinschätzung und erfahren unsere Konditionen für die Bearbeitung Ihres Falles.

Dieser Telefontermin ist für Sie kostenlos und verpflichtet Sie zu nichts.

Rufen Sie in unserem Sekretariat an und vereinbaren den Termin!

HINWEIS: Bei diesem kostenfreien Service handelt es sich um keine kostenpflichtige Erstberatung nach § 34 RVG.

Schritt 1
communication-icon.png
Im Sekretariat anrufen
Schritt 2
services-calender.png
Termin vereinbaren
Schritt 3
mobile-services.png
Telefontermin
Haben Sie Interesse an diesem Thema?

Wenn Sie einmal im Monat Updates über den Schutz Ihrer Rechte und unsere Mandatsarbeit erhalten möchten, abonnieren Sie unseren Mandantenbrief.

Bitte beachten Sie, dass wir Brevo verwenden und Ihre Daten innerhalb der EU verarbeitet werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.