Legal Open Source Handling und Compliance

Written on 20 Feb 2020

Osborne Clarke hat langjährige Erfahrung in der umfassenden rechtlichen und technischen Beratung zu Open Source und bietet Lösungen im Bereich Open Source Software (OSS) Compliance und Contributions.

Menu

FOSSmatrix. Das Legal Tech Add-On für OSS-Compliance

Standardisierte, rechtliche Bewertung von proprietären und OSS-Lizenzen und
Komponenten. Rechtssicher und voll dokumentiert. Auch bei rechtlich komplexen Detailfragen.
Open Source Compliance Report

Aktuelle Zahlen zu Compliance-Prozessen und konkreten Maßnahmen in Deutschland
Detaillierte Auswertung des BITKOM Open Source Monitors
Open Source: Unser weiteres Angebot
Unsere Erfahrung

Warum Compliance?

 

Ansprechpartner

FOSSmatrix. Das Legal Tech Add-On für OSS-Compliance

Der Faktor Recht im Compliance-Prozess – messbar, automatisierbar und auditierbar

 

Basis ist eine standardisierte, rechtliche Bewertung von proprietären und OSS-Lizenzen und -Komponenten. Rechtssicher und voll dokumentiert. Auch bei rechtlich komplexen Detailfragen.

Features

  • Mapping individuell abgestimmter Use Cases gegen Lizenzen mit übersichtlicher Anzeige von Konflikten, Angabe von Risiken und Verweis auf einzelne Quellen auf der Ebene einzelner Lizenzpflichten
  • Parametrisierbarkeit einzelner Faktoren, daher unterschiedliche Wertungen möglich (konservativer Ansatz vs. risikofreudiger Ansatz)
  • Risikoabschätzung mit Prozentangaben: nicht nur ja/nein, sondern teils feine Abstufungen im Prozentbereich, Erfassung, Visualisierung und Nachvollziehbarkeit von Zweifelsfällen

Wir fangen da an, wo die herkömmlichen Tools aufhören: rechtliche Klassifizierung und Bewertung der Lizenzen. Mehr als „nur“ Erstellung einer Bill of Materials und der Erfüllung von Informationspflichten

Was wir tun

  • Use Case-Entwicklung: Wir erstellen maßgeschneiderte Use Cases. Basierend auf unserer Erfahrung beschreiben wir gemeinsam mit unseren Mandanten, wie Software eingesetzt wird
  • Lizenzprüfung: Basierend auf den identifizierten Lizenzen (falls nötig, unterstützen wir bei der Identifizierung), prüfen wir die Rechte und Pflichten dieser Lizenzen
  • Matching: Wir prüfen Use Cases auf Konflikte mit den Rechten und Pflichten der identifizierten Lizenzen
    Unsere Leistungspakete

Unsere Leistungspakete

  • Standard Package: Ergebnis des Use Case Matching, welches die Compliance/Non-Compliance der Use Cases mit Lizenzen übersichtlich aufzeigt
  • Extended Package: Zusätzliche, vertiefte Erläuterung der Rechte und Pflichten der einzelnen Lizenzen bezüglich der Use Cases – ein rechtliches Memo in Tabellenform

Optional

  • Prüfung konkreter Software: Etwa für ein Verständnis des Lizenzgebers von der Lizenz notwendig – dieses kann vom allgemeinen Verständnis der Lizenz abweichen
  • Grafische Auswertung der Prüfungsergebnisse

Open Source Compliance Report

Die erste detaillierte, repräsentative Studie zu Open Source Compliance in Deutschland

  • Detaillierte Übersicht über die Verbreitung einzelner, konkreter Compliance-Maßnahmen
  • Unterscheidung von Unternehmen nach Anzahl der Beschäftigten in Größenklassen und nach Art des Einsatzes von Open-Source-Software
  • Umfangreicher, kommentierter Studienbericht mit übersichtlicher Auswertung der Zahlen

Lange Zeit gab es keine Zahlen zum Thema Open Source Compliance. Wer als Unternehmen Orientierung suchte und sich mit seiner Peer Group vergleichen wollte, tappte im Dunkeln und konnte allenfalls durch Ausfragen eigener Kontakte ein ungefähres Bild bekommen. Welche Maßnahmen muss ich ergreifen? Soll ich das Thema ignorieren und hoffen, dass der Kelch an mir vorübergeht, oder lieber proaktiv tätig werden? Wenn ja, in welcher Form? Wo stehe ich im Vergleich zu anderen? Statistisch belegte Antworten auf diese Fragen gab es nicht.

Diese Lücke wurde mit einer im Auftrag des BITKOM erstellten und von Osborne Clarke sowie anderen Studienpartnern finanzierten Studie geschlossen: Im Zuge des BITKOM Open Source Monitors wurden 804 Unternehmen mit Sitz in Deutschland, die ab 100 MitarbeiterInnen beschäftigen und aus verschiedenen Branchen stammen, zum Umgang mit OSS befragt. Osborne Clarke hat an der Studiengestaltung mitgewirkt.

Der Open Source Compliance Report basiert auf den Rohdaten des BITKOM Open Source Monitors, enthält aber Zahlen, die sich im Studienbericht des BITKOM Open Source Monitors selbst nicht finden. In dem Open Source Compliance Report findet sich insbesondere eine detaillierte Übersicht über die Verbreitung einzelner, konkreter Compliance-Maßnahmen.

Mit dem Open Source Compliance Report haben Unternehmen erstmalig die Möglichkeit, zu sehen, wie sie selbst bei Open Source Compliance abschneiden – und zwar nicht nur im Hinblick auf die allgemeine Frage, ob Compliance-Prozesse existieren, sondern detailliert und ganz konkret in Bezug auf einzelne Compliance-Maßnahmen. Auch ist ein direkter Vergleich zur eigenen Peergroup möglich, denn die befragten Unternehmen werden in der Darstellung nach Anzahl der Beschäftigten in Größenklassen unterschieden.

Klingt spannend? Sneak Preview des Reports hier herunterladen:

Download (Deutsch)

Download (Englisch)

Übrigens: Alle Teilnehmer unserer Open Source Compliance Webinare erhalten eine Kopie des vollständigen Open Source Compliance Reports!

An einer Einladung zu einem Webinar interessiert? Einfach unter oss@osborneclarke.com melden.

Open Source: Unser weiteres Angebot

FOSSmatrix. Das Legal Tech Add-On für OSS-Compliance

  • Der Faktor Recht im Compliance-Prozess – messbar, automatisierbar und auditierbar
  • Basis ist eine standardisierte, rechtliche Bewertung von proprietären und OSS-Lizenzen und -Komponenten. Rechtssicher und voll dokumentiert. Auch bei rechtlich komplexen Detailfragen.
  • Details

Schulungen

  • Inhouse-Schulungen zu OSS-Compliance und zum Lizenzmanagement
  • Aufbau von Know-how im Unternehmen
  • Überblick über die Grundprinzipien von OSS, die wichtigsten Lizenzen und ihre Pflichten sowie grundlegende Compliance-Anforderungen

Compliance-Policies, Prozessimplementierung

  • Aufsetzen und Implementieren von Compliance-Policies und Prozessen
  • Erstellen eines konkreten Risikoprofils
  • Festlegung der erforderlichen Prozessschritte, Aufsetzen einer Open-Source-Policy und Unterstützung bei der konkreten Implementierung dieser Policy
  • Erstellung standardisierter Checklisten

Software-Clearing

  • Scannen einzelner Komponenten
  • Zusammenstellung der erforderlichen Informationen und Dokumente für diese Komponenten
  • Rechtliche Prüfung einzelner Lizenzen, Komponenten und Verwendungsarten von Komponenten

Muster- Dokumentation, Quick Check

  • Unterstützung bei der Einhaltung entsprechender Lizenzpflichten durch eine Musterdokumentation
  • Ob Embedded Software, Internet of Things, Geräte ohne Benutzerschnittstelle: Unterstützung der Umsetzung der Compliance-Anforderungen in Spezialfällen

Contributions und eigene Open-Source-Projekte

  • Unterstützung bei Wahl einer Open-Source- Lizenz für die Auslizenzierung eigener Werke als Open Source
  • Strategische Beratung beim Aufsetzen eigener Open-Source-Projekte
  • Erstellung und Prüfung von Contributor License Agreements und Contribution Policies

Unterstützung bei Verfahren wegen OSS-Lizenzverletzungen

  • Begleitung von streitigen Auseinandersetzungen
  • Unterstützung bei kurzfristiger Umsetzung von Compliance-Maßnahmen im Rahmen streitiger Auseinandersetzungen

Wir helfen, den Compliance-Aufwand in wirtschaftlich sinnvolle Tranchen aufzuspalten, erstellen ein maßgeschneidertes Konzept und unterstützen bei der Umsetzung.

Die Nutzung von OSS selbst ist fast unvermeidbar, eine Risikokontrolle hingegen realisierbar. Langfristig kann ein Unternehmen durch die Einführung und Umsetzung von Compliance-Maßnahmen Kosten vermeiden und Effizienz gewinnen.

Unsere Erfahrung

  • Wir haben langjährige Erfahrung im Umgang mit OSS. Mehrere Kollegen haben selbst Software entwickelt und als Softwareentwickler gearbeitet.
  • Unser Team hat zahlreiche OSS-Komponenten überprüft und bewertet. Wir kennen branchenübliche Scanning Tools und auch die gängigen Lizenzen.
  • Wir haben umfangreiche Erfahrung mit der Einführung von OSS-Compliance-Prozessen bei privaten und öffentlichen Unternehmen.
  • Wir sind OpenChain-Partner und unterstützen gern bei einer OpenChain-Zertifizierung.
  • Inhouse-Schulungen in Unternehmen, Seminare und Workshops zu Rechtsfragen rund um OSS führen wir seit Jahren durch.
  • Die Pflichten, die sich aus den gängigen Lizenzen ergeben, kennen wir. Für deren Umsetzung haben wir mit FOSSmatrix eine praktikable Lösung entwickelt.
  • Für die Anforderungen beim Vertrieb von OSS als Embedded Software und als Bestandteil von Hardware können wir wirtschaftliche Lösungen anbieten.
  • Wir beraten regelmäßig zu rechtlichen Aspekten der Integration von OSS-Komponenten in proprietäre Software. Aufgrund unserer technischen Expertise können wir auch zu Auswirkungen und Reichweite des Copyleft-Effekts unterstützen.
  • Wir haben Unternehmen in mehreren Fällen erfolgreich in Verfahren gegen OSS-Entwickler wegen Urheberrechtsverletzungen vertreten.
  • Regelmäßig unterstützen wir bei der Vertragsgestaltung und -verhandlung von Softwarelizenzverträgen, Support- und Wartungsverträgen.
  • Unsere Anwälte beraten regelmäßig und standortübergreifend bei M&A-Transaktionen im Hinblick auf OSS als Teil des Softwareportfolios. Wir sind in der Lage, grenzüberschreitende Fälle ohne Reibungsverlust zu bearbeiten.

Warum Compliance?

Warum ist gerade unser Unternehmen betroffen? 

Open-Source-Software (OSS) steckt in nahezu allen Produkten, die IT enthalten – ob im Auto, in der internetfähigen Heizungssteuerung oder im digitalen Messgerät. In klassischen Bereichen wie bei Desktop-Computern oder auch bei Smartphones ist OSS fest etabliert. Viele Unternehmen wissen allerdings noch immer nicht, dass und in welchem Umfang sie OSS in eigenen Produkten einsetzen.

Was sind die Herausforderungen von OSS-Lizenzen?

Viele OSS-Lizenzen enthalten komplexe Regelungen und Bedingungen, die eingehalten werden müssen. Nicht nur deutsche Gerichte haben mehrfach festgestellt, dass diese Regelungen verbindlich und wirksam sind. Bereits ein fehlender Lizenztext bei Auslieferung von OSS genügt für eine Lizenzverletzung.

Die Compliance-Anforderungen sind in den letzten Jahren gestiegen: In vielen Fällen werden inzwischen Verletzungen einzelner OSS-Lizenzbedingungen gerügt, die vor Kurzem noch keine Beachtung fanden.

Bei einer Lizenzverletzung drohen unter anderem die folgenden Ansprüche:

  • Unterlassung: Ein sofortiger Verkaufsstopp für sämtliche Produkte
  • Rückruf: Entfernung der Produkte aus den Vertriebswegen
  • Produktänderung: Kurzfristige Entfernung bzw. Austausch von OSS-Komponenten aus Produkten
  • Schadensersatz: Kann grundsätzlich auch bei kostenloser OSS verlangt werden
  • Aufwendungserstattung: Anwaltskosten und Vertragsstrafen, soweit vereinbart
  • Patentleft-Effekt: Verlust softwarebezogener Patente

Warum Compliance?

  • Entwickler mahnen gezielt Unternehmen wegen Lizenzverstößen ab und machen Unterlassungs- und Zahlungsansprüche geltend.
  • Beim Produkteinkauf wird vermehrt die Einhaltung von OSS-Compliance verlangt – insbesondere die Vorlage der dazu erforderlichen Dokumentation.
  • Beim Verkauf des Unternehmens führt eine unklare Situation bezüglich Drittsoftware, insbesondere OSS, nicht selten zu Preisabschlägen, in Einzelfällen sogar zum Scheitern der Verhandlungen.
  • Kunden von Softwareunternehmen, aber auch Konkurrenten nutzen Besonderheiten von OSS- Lizenzen (etwa den Copyleft-Effekt und den Patentleft-Effekt), um kostenlos Software oder Patente zu erlangen.
  • Wer sich frühzeitig kümmert, spart Geld: Wird ein Compliance-Prozess während der Software-Entwicklung aufgesetzt, spart dies sowohl Zeit als auch Kosten. Die Einführung eines solchen Prozesses im Nachhinein ist meist teurer und aufwändiger.

Was können wir für Sie tun?

  • Wir helfen, den Compliance-Aufwand in wirtschaftlich sinnvolle Tranchen aufzuspalten, erstellen ein maßgeschneidertes Konzept und unterstützen bei der Umsetzung.
  • Die Nutzung von OSS selbst ist fast unvermeidbar, eine Risikokontrolle hingegen realisierbar. Langfristig kann ein Unternehmen durch die Einführung und Umsetzung von Compliance-Maßnahmen Kosten vermeiden und Effizienz gewinnen.

Ansprechpartner

> Dr. Hendrik Schöttle berät im IT- und Datenschutzrecht.