Ja, hallo und herzlich willkommen zur 149. Ausgabe des E-Government Podcast. Ich bin Thorsten Frenzel und heute geht es mal wieder um eins meiner Lieblingsthemen, Open Source, und zwar ganz speziell um Lizenzen. Und weil ich das Ganze nicht so alleine bewerkstelligen kann, habe ich mir einen Experten eingeladen. Hallo Falk, ich grüße dich.
Hallo, schön, dass ich da sein darf.
Ja, sehr schön, dass du da bist. Und vielleicht stellst du dich noch mal ganz kurz vor.
Ja, mache ich gerne. Ich habe zwei Herzen in meiner Brust. Also zum einen bin ich seit über 25 Jahren Softwareentwickler und Consultant und habe ganz schön viel IT-Erfahrung damit gesammelt. Und auf der anderen Seite berate ich als Rechtsanwalt und mache da vor allem agile Projekte, Open Source, Datenschutz, Vertragsgestaltung und dergleichen.
Also du bist Entwickler und Jurist? Genau.
Das ist die Schnittstelle zwischen beiden.
Wunderbar, also es ist eine tolle Kombination.
Dankeschön.
Wir wollen uns heute mit dem Thema Open-Source-Lizenzen beschäftigen. Und bevor wir damit anfangen, erst mal die Frage, was sind denn überhaupt Lizenzen, wozu sind die überhaupt gut?
Ja, das führt uns so ein bisschen zurück zum Urheberrecht. Also du hast ja grundsätzlich das Problem, dass Software und auch egal, was du eben geistig schaffst, erstmal keine Sache ist im Sinne vom Gesetz. Also Sachen, sowas wie ein Notebook beispielsweise oder was auch immer, sind ja über sogenanntes Sachenrecht geschützt. Und genau so etwas, in der Art zumindest, bekommst du über das Urheberrecht.
Da werden dir quasi für deine geistigen Rechte, für dein geistiges Guter Leben so eigentumsähnliche Rechte geschaffen. Und diese Rechte, die sich daraus dann ergeben, die wiederum entstehen dann automatisch, wenn du ein Werk erschaffst, also wenn du eben anfängst, deinen Programmcode zu schreiben, und zwar dann, wenn du die sogenannte Schöpfungshöhe erreichst, überschreitest.
Also sprich, wenn dein Code quasi so etwas Unverwechselbares, beziehungsweise, ne, bestreiten wir es mal anders, so etwas Eigenständiges eben mit drin hat. Also sprich, so ein Hello World oder dergleichen ist es noch nicht. Aber sobald du halt eben dann bei If-Clauses oder sowas halt eben schon mit drin hast, kommst du schon durchaus in diese Richtung.
So, und wenn nun also dein Code geschützt ist, dann wiederum hast du ja entsprechende Rechte drauf, also halt eben die Nutzungsrechte, Vervielfältigungsrechte, welcher Art auch immer. Und damit nun andere das nutzen können oder nutzen dürfen von dir, musst du anderen diese Rechte erteilen. Das tust du über eine Lizenz.
Genau, das ist das, was dann auch immer von Softwareherstellern mitverkauft wird, die Lizenz.
Ja, genau so ist es. Also die Lizenzbedingungen, die du ja dann halt eben typischerweise auch akzeptieren musst.
Genau, und wir wollen uns ja generell um das Thema Open Source und Open Source-Lizenzen kümmern. Da ist ja ein Stück weit was anders als bei den Lizenzen, die man so kaufen kann. Open Source-Lizenzen kann man ja nicht kaufen. Oder ist das auch falsch, oder? Nein, das ist richtig.
Könnte es theoretisch. Also viele Open-Source-Lizenzen sind diesbezüglich ja gar nicht eingeschränkt. Das heißt also prinzipiell könnte man auch zum Beispiel als Teil eines anderen Werkes so ein Open-Source-Produkt dann mitkaufen. Also das ist tatsächlich keine Einschränkung, die die Lizenzen mitbringen. Die ist ganz häufig.
Und welche Arten gibt es von Open-Source-Lizenzen?
Bei Open-Source-Lizenzen, also die haben ja erstmal so ganz grundsätzlich einen großen Gedanken gemeinsam, also per Definition sind die ja offen für jede Verwendung und für jede Technologie, und du sollst halt eben auch tatsächlich die Nutzungsrechte typischerweise sehr umfassend halt eben erhalten, etwa Gepflichten, also zum Beispiel Copyright-Angaben drin lassen oder Dinge zurückspielen, wenn man halt eben Änderungen vornimmt, und dann sind vor allem
eben auch umfassende Haftungsausschlüsse normalerweise enthalten. Wie gesagt, das haben die tatsächlich normalerweise eben alle so an sich, egal welche Lizenz, mal mehr, mal weniger ausführlich. Und jetzt gibt es da aber noch eine Unterteilung, die ganz wesentlich ist, nämlich die in sogenannte permissive Licenses und sogenannte copyleft Licenses. Und bei den copyleft Lizenzen wiederum gibt es dann halt eben auch die Einstufung nach mehr oder weniger streng.
Und was heißt copyleft?
Das Copy Left steht so ein bisschen, ich weiß gar nicht, ob ich es Gegensatz nennen möchte, aber jedenfalls so rein wörtlich zumindest zum Copyright. Das Copyright, also das Urheberrecht, das ist ja das Recht an dem Werk selbst, also sprich halt eben so diese Lizenzbedingungen, beziehungsweise die Nutzungsrechte, die du damit erhältst.
Und das Copy Left setzt dem quasi noch eins drauf, das gibt nämlich so bestimmte Pflichten mit, die du erfüllen musst, wenn du das auf eine bestimmte Art und Weise nutzt. Das ist ganz grob erklärt.
Sind solche sogenannte Share-alike-Lizenzen, Copy-Left-Lizenzen, das heißt, dass du mit der gleichen Lizenz wieder lizenzieren musst, das Produkt, was du da draus gemacht hast?
Ja, zum Beispiel. Also Copy-Left kennt man vor allem vor dem Hintergrund, dass man sich fürchtet, wenn man Open-Source-Software einsetzt, dass man seinen eigenen Code, den man noch zusätzlich schreibt, dann auch opensourcen oder veröffentlichen muss. Das steht so in Verbindung damit.
Okay, also das heißt, wenn ich jetzt eine Software schreibe unter einer Copy-Left-Lizenz, dann bleibt das eine Copy-Left-Lizenz für immer?
Kann, genau. Also, lass uns mal folgendes Beispiel nehmen. Ich glaube, dann wird es auch für alle klarer. Nehmen wir mal an, du schreibst eine proprietäre Software. Als Unternehmen, als Verwaltung, wie auch immer. Und bei dieser proprietären Software, für die du vielleicht Geld verlangen möchtest oder was auch immer, da nimmst du ein entsprechendes Open-Source-Produkt rein,
vielleicht auch mehrere Open-Source-Produkte. Spielt dir jetzt erstmal keine Rolle. So. Wenn nun eines dieser Open-Source-Produkte, die du reinnimmst, eine Bibliothek zum Beispiel, eine sogenannte Copy-Left-Lizenz hat und dieser Copy-Left-Effekt auch ausgelöst wird, kann ich gerne noch was dazu sagen nachher, dann bedeutet das, dass auch das Werk, das damit zusammenhängt, also das darauf aufbaut und das wird dann normalerweise halt eben deine Software sein, die du eigentlich proprietär
weitergeben wolltest, auch unter diese Copy-Left-Lizenz fallen muss. Und weil das dann normalerweise eben die gleiche Lizenz ist von der Bibliothek oder zumindest eine kompatible, bedeutet das halt im Umkehrschluss, dass du den kompletten Sourcecode, also auch den proprietären, veröffentlichen müsstest.
Ah, das sind diese sogenannten infektiösen Lizenzen.
Ja, genau. Ja, genau.
Ah, okay. Ah, okay. Das heißt zu deutsch, aus einer proprietären Software kann ich durch unbedachtes Das heißt zu deutsch, aus einer proprietären Software kann ich durch unbedachtes Verwenden einer Bibliothek eine Open Source Software machen. Verwenden einer Bibliothek eine Open Source Software machen.
Das kann dir passieren, ganz genau. Das kann dir passieren, ganz genau.
Dann macht ihr das ganze Thema. Dann macht ihr das ganze Thema. Kontrolle meiner Lizenzen oder Kontrolle der eingesetzten Softwarekomponenten einen großen Sinn. Kontrolle meiner Lizenzen oder Kontrolle der eingesetzten Softwarekomponenten einen großen Sinn. Gibt es da Möglichkeiten, die mich irgendwie technisch unterstützen, Gibt es da Möglichkeiten, die mich irgendwie technisch unterstützen, also sowas wie Lizenz-Scanner oder ähnliches? also sowas wie Lizenz-Scanner oder ähnliches?
Das macht total Sinn. Und zwar deswegen, weil du ja, wenn du Open Source Software Das macht total Sinn. Und zwar deswegen, weil du ja, wenn du Open Source Software einsetzt, häufig gar nicht einschätzen kannst, welche Software, einsetzt, häufig gar nicht einschätzen kannst, welche Software, welche Lizenzen du dir da mit an Bord holst. welche Lizenzen du dir da mit an Bord holst.
Wenn man jetzt in Entwickler-Augen schaut und dann beispielsweise mit Package-Managern Wenn man jetzt in Entwickler-Augen schaut und dann beispielsweise mit Package-Managern wie MPM oder dergleichen arbeitet und dann sich zum Beispiel eine Bibliothek reinholt, wie MPM oder dergleichen arbeitet und dann sich zum Beispiel eine Bibliothek reinholt, wie Angular, React oder dergleichen, dann hast du ja häufig Abhängigkeiten und
wie Angular, React oder dergleichen, dann hast du ja häufig Abhängigkeiten und Unabhängigkeiten von, was weiß ich, 500.000, 1.500.000, Unabhängigkeiten von, was weiß ich, 500.000, 1.500.000, Bibliotheken, die natürlich alle auch eigene Lizenzen dann mitbringen können. Bibliotheken, die natürlich alle auch eigene Lizenzen dann mitbringen können.
Und da kann es durchaus passieren, dass eben nicht nur sogenannte Permissive-Licenses Und da kann es durchaus passieren, dass eben nicht nur sogenannte Permissive-Licenses dabei sind, sondern eben auch Copy-Left-Lizenzen. dabei sind, sondern eben auch Copy-Left-Lizenzen.
Jetzt kann man natürlich hergehen und kann versuchen, von jedem einzelnen Paket Jetzt kann man natürlich hergehen und kann versuchen, von jedem einzelnen Paket halt eben die Lizenz herauszufinden, ist aber tatsächlich oft nicht so einfach. halt eben die Lizenz herauszufinden, ist aber tatsächlich oft nicht so einfach.
Und die Alternative dazu ist dann, wie du gerade gesagt hast, Und die Alternative dazu ist dann, wie du gerade gesagt hast, sogenannte Lizenz-Scanner zu verwenden, die dann dir letzten Endes eine Übersicht sogenannte Lizenz-Scanner zu verwenden, die dann dir letzten Endes eine Übersicht machen, welche Lizenzen du im Einsatz hast. machen, welche Lizenzen du im Einsatz hast.
So ein Scanner muss ja irgendwas haben, wo er angreifen kann. So ein Scanner muss ja irgendwas haben, wo er angreifen kann. Also das heißt, ich muss auch in meine Software irgendwo die Lizenz mit reinschreiben, oder? Also das heißt, ich muss auch in meine Software irgendwo die Lizenz mit reinschreiben, oder?
Die Scanner machen das auf unterschiedliche Art und Weise. Es gibt ja teilweise Die Scanner machen das auf unterschiedliche Art und Weise. Es gibt ja teilweise recht teure kommerzielle Produkte. recht teure kommerzielle Produkte. Die machen das zum einen über die Lizenzen, die dann in dem Source Code mit drinstehen. Die machen das zum einen über die Lizenzen, die dann in dem Source Code mit drinstehen.
Zum anderen aber eben auch tatsächlich durch tatsächliches Source-Code-Scanning Zum anderen aber eben auch tatsächlich durch tatsächliches Source-Code-Scanning und versuchen das dann halt eben durch Abgleich mit einer Datenbank herauszufinden, und versuchen das dann halt eben durch Abgleich mit einer Datenbank herauszufinden, ob das Produkt halt eben unter einer bestimmten Lizenz steht, ob das Produkt halt eben unter einer bestimmten Lizenz steht,
auch wenn der Lizenztext nicht mit dabei ist. Das ist die eine Variante. auch wenn der Lizenztext nicht mit dabei ist. Das ist die eine Variante. Und die zweite Variante, die deutlich einfachere, ist dann tatsächlich, Und die zweite Variante, die deutlich einfachere, ist dann tatsächlich, dass einfach die Lizenzen verwendet werden, die bei dem jeweiligen Produkt, dass einfach die Lizenzen verwendet werden, die bei dem jeweiligen Produkt,
zum Beispiel in der Package-Json oder dergleichen, halt eben mit angegeben sind. Ja, genau. zum Beispiel in der Package-Json oder dergleichen, halt eben mit angegeben sind. Ja, genau.
Und wenn man, wenn ich das so gescannt habe und es solche infektiösen Lizenzen Und wenn man, wenn ich das so gescannt habe und es solche infektiösen Lizenzen gibt, habe ich ja auch ein Thema der Kompatibilität. gibt, habe ich ja auch ein Thema der Kompatibilität. Sind Lizenzen untereinander kompatibel Sind Lizenzen untereinander kompatibel oder gibt es da noch mehr Abhängigkeiten außer dieses Copy Left? oder gibt es da noch mehr Abhängigkeiten außer dieses Copy Left?
Die können, müssen aber nicht kompatibel sein. Ja, völlig richtig. Die können, müssen aber nicht kompatibel sein. Ja, völlig richtig. Das ist tatsächlich ein großes Problem. Das ist tatsächlich ein großes Problem.
Die sogenannten Permissive Licensers, und wenn man da jetzt einfach mal Beispiele nimmt, Die sogenannten Permissive Licensers, und wenn man da jetzt einfach mal Beispiele nimmt, damit es auch klarer wird, also sowas wie eine BSD-License, damit es auch klarer wird, also sowas wie eine BSD-License, Apache-License, ganz klassische Permissive License, Apache-License, ganz klassische Permissive License, die, oder MIT ist so auch so ein Klassiker, die sind normalerweise weitgehend
die, oder MIT ist so auch so ein Klassiker, die sind normalerweise weitgehend kompatibel und zwar deswegen, weil die wenig Einschränkungen, kompatibel und zwar deswegen, weil die wenig Einschränkungen, wenig Pflichten vorsehen. wenig Pflichten vorsehen.
Wenn man jetzt aber sich in dem Bereich von Copy-Left-Lizenzen begibt, Wenn man jetzt aber sich in dem Bereich von Copy-Left-Lizenzen begibt, dann hängt es meistens zumindest davon ab, ob der Copy-Left-Effekt als solcher dann hängt es meistens zumindest davon ab, ob der Copy-Left-Effekt als solcher ausgelöst wird oder nicht. ausgelöst wird oder nicht.
Wenn er nicht ausgelöst wird, wie gesagt, sage ich gleich noch gerne was dazu, Wenn er nicht ausgelöst wird, wie gesagt, sage ich gleich noch gerne was dazu, dann sind diese Lizenzen normalerweise auch verhältnismäßig kompatibel, dann sind diese Lizenzen normalerweise auch verhältnismäßig kompatibel, weil es eben Open-Source-Lizenzen sind. weil es eben Open-Source-Lizenzen sind.
Sobald aber der Copy-Left-Effekt ausgelöst wird, Sobald aber der Copy-Left-Effekt ausgelöst wird, muss man wiederum typischerweise zumindest dafür sorgen, muss man wiederum typischerweise zumindest dafür sorgen, dass die Lizenz, die über dem neuen Werk, also sprich über der neuen Software, dass die Lizenz, die über dem neuen Werk, also sprich über der neuen Software, die ich da programmiert habe, drüberliegt, dass die damit kompatibel ist,
die ich da programmiert habe, drüberliegt, dass die damit kompatibel ist, was ich quasi an Copy Left Lizenz send oder Lizenz drunter habe. was ich quasi an Copy Left Lizenz send oder Lizenz drunter habe.
Jetzt hast du es schon zweimal angesprochen mit dem Auslösen des Copy Left Effekts. Was ist das konkret? Jetzt hast du es schon zweimal angesprochen mit dem Auslösen des Copy Left Effekts. Was ist das konkret?
Also bei Copy Left. Also bei Copy Left. Das ist ja ein Thema, das ursprünglich kam mit der GPL-Lizenz. Das ist ja ein Thema, das ursprünglich kam mit der GPL-Lizenz.
GPL-Lizenz ist zu einer Zeit entstanden, als man davon ausgegangen ist, GPL-Lizenz ist zu einer Zeit entstanden, als man davon ausgegangen ist, dass es böse, große Softwarekonzerne gibt, die sich möglicherweise so eine Open-Source-Software dass es böse, große Softwarekonzerne gibt, die sich möglicherweise so eine Open-Source-Software zunutze machen und dann aber die Open-Source-Entwickler unter Druck setzen und zunutze machen und dann aber die Open-Source-Entwickler unter Druck setzen und
ihnen dann quasi die Freiheiten nehmen, ihre Software ihnen dann quasi die Freiheiten nehmen, ihre Software so weiterentwickeln zu können, wie sie es halt eben wollen. so weiterentwickeln zu können, wie sie es halt eben wollen. Wie gesagt, das war so der Gedanke dahinter. Und deswegen war die Überlegung,
Wie gesagt, das war so der Gedanke dahinter. Und deswegen war die Überlegung, dass man, sobald ein anderer Softwareentwickler, dass man, sobald ein anderer Softwareentwickler, zum Beispiel der böse große Konzern, diese Software einsetzt, zum Beispiel der böse große Konzern, diese Software einsetzt, trotzdem der ursprüngliche Entwickler der Open Source Bibliothek noch die vollen trotzdem der ursprüngliche Entwickler der Open Source Bibliothek noch die vollen
Rechte haben muss, diese Software weiterentwickeln zu können. Rechte haben muss, diese Software weiterentwickeln zu können. Wenn man sich dieses Konstrukt merkt, dann kann man mit Copy Left auch tatsächlich Wenn man sich dieses Konstrukt merkt, dann kann man mit Copy Left auch tatsächlich ganz gut umgehen und versteht auch, was so der Gedanke dahinter ist. ganz gut umgehen und versteht auch, was so der Gedanke dahinter ist. Ich mache mal ein paar Beispiele dazu.
Ich mache mal ein paar Beispiele dazu.
Wenn ich ein neues Werk programmiere und in dieses Werk copy-paste ich Code Wenn ich ein neues Werk programmiere und in dieses Werk copy-paste ich Code rein von einer Bibliothek und kompiliere das dann, rein von einer Bibliothek und kompiliere das dann, habe dann ein neues Binary, dann kann ich als ursprünglicher Entwickler der habe dann ein neues Binary, dann kann ich als ursprünglicher Entwickler der Open Source Bibliothek meine Bibliothek aber in dem neuen Werk nicht mehr tauschen,
Open Source Bibliothek meine Bibliothek aber in dem neuen Werk nicht mehr tauschen, weil das Binary ist ja da, da kann ich nichts mehr dran tun. weil das Binary ist ja da, da kann ich nichts mehr dran tun. Sowas löst typischerweise ein Copy Left Effekt aus. Wenn ich jetzt aber beispielsweise
Sowas löst typischerweise ein Copy Left Effekt aus. Wenn ich jetzt aber beispielsweise mein neues Werk nur benutze, mein neues Werk nur benutze, um ein Open Source Produkt, eine Open Source Bibliothek zum Beispiel per API um ein Open Source Produkt, eine Open Source Bibliothek zum Beispiel per API Call oder per Kommandozeilen Call aufzurufen, Call oder per Kommandozeilen Call aufzurufen, ist es kein Problem, weil dann kann ich als Open Source Entwickler mein Open
ist es kein Problem, weil dann kann ich als Open Source Entwickler mein Open Source Produkt beliebig austauschen, weil es ja unabhängig ist von der neuen Software. Source Produkt beliebig austauschen, weil es ja unabhängig ist von der neuen Software.
Okay, also wenn ich den Code copy-paste, dann löst es den Effekt nicht aus. Okay, also wenn ich den Code copy-paste, dann löst es den Effekt nicht aus. Doch, typischerweise nicht. Und wenn ich das aber so, wie man es eigentlich Doch, typischerweise nicht. Und wenn ich das aber so, wie man es eigentlich machen sollte, anbinde, sodass das auch jederzeit austauschbar ist, dann löst es nicht aus. machen sollte, anbinde, sodass das auch jederzeit austauschbar ist, dann löst es nicht aus.
Normalerweise nicht, ganz genau. So, und jetzt kommen wir aber halt eben zu Normalerweise nicht, ganz genau. So, und jetzt kommen wir aber halt eben zu dem Problem, das man in der Praxis halt eben ganz häufig hat, dem Problem, das man in der Praxis halt eben ganz häufig hat, nämlich, was machst du denn, wenn du linken musst eine Bibliothek? nämlich, was machst du denn, wenn du linken musst eine Bibliothek?
Und das ist ja tatsächlich so im Fall von Java, C++ oder was auch immer halt Und das ist ja tatsächlich so im Fall von Java, C++ oder was auch immer halt eben ganz klassischerweise der Fall. eben ganz klassischerweise der Fall. Und da hängt es eben wiederum davon ab, ob du statisch oder dynamisch linkst. Und da hängt es eben wiederum davon ab, ob du statisch oder dynamisch linkst. Bei statischem Linking ist es typischerweise so, dass der Copy Left Effekt auch ausgelöst wird.
Bei statischem Linking ist es typischerweise so, dass der Copy Left Effekt auch ausgelöst wird. Bei dynamischem Linking, also wie es Java ja zum Beispiel macht, Bei dynamischem Linking, also wie es Java ja zum Beispiel macht, da hängt es davon ab, welche Lizenz du hast. da hängt es davon ab, welche Lizenz du hast. Bei GPL wird davon ausgegangen, dass auch bei dynamischem Linking der Copy Left Effekt ausgelöst wird.
Bei GPL wird davon ausgegangen, dass auch bei dynamischem Linking der Copy Left Effekt ausgelöst wird.
Vielleicht sagst du noch mal ganz kurz, was statisches und dynamisches Linking ist. Vielleicht sagst du noch mal ganz kurz, was statisches und dynamisches Linking ist.
Für Nichtentwickler, du kannst dir dynamisches Linking so vorstellen, Für Nichtentwickler, du kannst dir dynamisches Linking so vorstellen, dass du quasi von deiner Software, die du hast, nochmal ein getrenntes Programm hast. dass du quasi von deiner Software, die du hast, nochmal ein getrenntes Programm hast.
Dieses getrennte Programm wird dann quasi einfach verknüpft, Dieses getrennte Programm wird dann quasi einfach verknüpft, das heißt also, du kannst das getrennte Programm dann tatsächlich eigentlich das heißt also, du kannst das getrennte Programm dann tatsächlich eigentlich auch beliebig austauschen, solange deine Aufrufe gleich bleiben. auch beliebig austauschen, solange deine Aufrufe gleich bleiben.
Bei statischem Linking geht das tatsächlich nicht, weil du da auch wieder so Bei statischem Linking geht das tatsächlich nicht, weil du da auch wieder so ein bisschen Copy-Pasting betreibst. ein bisschen Copy-Pasting betreibst.
Okay. Das wäre auch dynamisches Linking, wenn du quasi die Bibliothek aus der Okay. Das wäre auch dynamisches Linking, wenn du quasi die Bibliothek aus der Originalquelle quasi anbindest. Originalquelle quasi anbindest.
Könntest du machen, genau. Könntest du machen, genau.
Also zum Beispiel aus dem GitHub. Also zum Beispiel aus dem GitHub.
Ich könnte es genau. Also so ein Beispiel, wenn jemand mal bei sich solche .dll-Dateien, Ich könnte es genau. Also so ein Beispiel, wenn jemand mal bei sich solche .dll-Dateien, bei einem Windows-Rechner gesehen hat, das sind solche Bibliotheken, bei einem Windows-Rechner gesehen hat, das sind solche Bibliotheken, die normalerweise dann auch dynamisch eingelinkt sind mit dem Produkt. die normalerweise dann auch dynamisch eingelinkt sind mit dem Produkt.
Also muss nicht zwangsläufig, aber bei denen ist das regelmäßig der Fall. Also muss nicht zwangsläufig, aber bei denen ist das regelmäßig der Fall. Oder wie gesagt, Java, da wird auch normalerweise da habe ich gelähmt. Oder wie gesagt, Java, da wird auch normalerweise da habe ich gelähmt.
Du hattest vorhin noch was von Pflichten, die aus Lizenzen entstehen können, gesagt. Du hattest vorhin noch was von Pflichten, die aus Lizenzen entstehen können, gesagt. Also jetzt haben wir die ganze Zeit über Copy Left gesprochen. Also jetzt haben wir die ganze Zeit über Copy Left gesprochen. Welche Pflichten können denn da noch entstehen? Welche Pflichten können denn da noch entstehen?
Das hängt von den Lizenzen ab. Also jetzt allgemein muss man sagen, Das hängt von den Lizenzen ab. Also jetzt allgemein muss man sagen, dass was wir jetzt hier gerade besprechen, ist tatsächlich immer sehr, dass was wir jetzt hier gerade besprechen, ist tatsächlich immer sehr, sehr, sehr, sehr umfassend oder sehr, sehr high level. sehr, sehr, sehr umfassend oder sehr, sehr high level.
Bei solchen Lizenzen an sich ist es wichtig, dass man den Lizenzinhalt gesehen Bei solchen Lizenzen an sich ist es wichtig, dass man den Lizenzinhalt gesehen und verstanden hat, also sprich, es ist nicht so, dass man halt eben für alle und verstanden hat, also sprich, es ist nicht so, dass man halt eben für alle Open Source Lizenzen sagen kann, es ist so und so, sondern man muss tatsächlich Open Source Lizenzen sagen kann, es ist so und so, sondern man muss tatsächlich
die einzelnen Lizenzen sich dann entsprechend anschauen, die man in sein Produkt mit reinnimmt. die einzelnen Lizenzen sich dann entsprechend anschauen, die man in sein Produkt mit reinnimmt. Aber es gibt natürlich trotzdem so übergreifende Dinge, die typischerweise solche Aber es gibt natürlich trotzdem so übergreifende Dinge, die typischerweise solche Open Source Lizenzen als Pflichten mitbringen. Open Source Lizenzen als Pflichten mitbringen.
Ganz häufig ist es so, wenn nicht gar regelmäßig der Fall, Ganz häufig ist es so, wenn nicht gar regelmäßig der Fall, dass man die Lizenzbedingungen weitergeben muss, also sprich, dass man die Lizenzbedingungen weitergeben muss, also sprich, wenn man halt eben den Source-Code von dem neuen Werk veröffentlicht, wenn man halt eben den Source-Code von dem neuen Werk veröffentlicht, dass man auch dort die jeweiligen Lizenz-Texte und halt eben Lizenz-Hinweise drin lassen muss.
dass man auch dort die jeweiligen Lizenz-Texte und halt eben Lizenz-Hinweise drin lassen muss. Typischerweise müssen auch Urheberrechtsangaben, also zum Beispiel diese Software Typischerweise müssen auch Urheberrechtsangaben, also zum Beispiel diese Software wurde programmiert von Thorsten oder sowas halt eben drin lassen. wurde programmiert von Thorsten oder sowas halt eben drin lassen.
Manchmal gibt es solche Pflichten, wie wenn man Änderungen an der Open-Source-Bibliothek vornimmt, Manchmal gibt es solche Pflichten, wie wenn man Änderungen an der Open-Source-Bibliothek vornimmt, dass man diese dann entsprechend markieren muss, dass man diese dann entsprechend markieren muss, Also sprich, dass man ein Remark in die Software reinschreiben muss oder dass Also sprich, dass man ein Remark in die Software reinschreiben muss oder dass
man vielleicht eben auch die Änderungen dann zurückspielen muss an den ursprünglichen man vielleicht eben auch die Änderungen dann zurückspielen muss an den ursprünglichen Urheber, also zum Beispiel halt eben dann auf dessen Git-Repo pushen oder dergleichen. Urheber, also zum Beispiel halt eben dann auf dessen Git-Repo pushen oder dergleichen. So was sind so ganz typische Pflichten, die damit einhergehen. So was sind so ganz typische Pflichten, die damit einhergehen.
Das heißt, wenn ich Open Source einsetze oder wenn ich mit Open Source Teilen Das heißt, wenn ich Open Source einsetze oder wenn ich mit Open Source Teilen programmiere, dann muss ich zwingend eine sogenannte SBOM, also Software Bill programmiere, dann muss ich zwingend eine sogenannte SBOM, also Software Bill of Materials, mitliefern, oder? of Materials, mitliefern, oder? Das zu weit gegriffen. Das zu weit gegriffen.
Das hängt davon ab, wie ich die Software dann vertreibe. Das hängt davon ab, wie ich die Software dann vertreibe.
Wenn man die Software herausgibt aus, Wenn man die Software herausgibt aus, auch da hängt es wieder von den jeweiligen Lizenzen ab, auch da hängt es wieder von den jeweiligen Lizenzen ab, aber gehen wir mal davon aus, dass man halt eben sowas wie eine GPL oder sowas mit drin hat, aber gehen wir mal davon aus, dass man halt eben sowas wie eine GPL oder sowas mit drin hat, die von den Pflichten da recht umfassend ist, dann hat man regelmäßig die Pflicht,
die von den Pflichten da recht umfassend ist, dann hat man regelmäßig die Pflicht, dass man angeben muss, welche Lizenzen man verwendet hat, was man ja meistens dass man angeben muss, welche Lizenzen man verwendet hat, was man ja meistens in irgendwelchen About-Screens oder dergleichen sieht. in irgendwelchen About-Screens oder dergleichen sieht.
Und wenn man den Quellcode, also das Produkt als solches, dann halt eben vertreibt, Und wenn man den Quellcode, also das Produkt als solches, dann halt eben vertreibt, dann eben dann durchaus dort auch nochmal eben so eine komplette Lizenzübersicht dann eben dann durchaus dort auch nochmal eben so eine komplette Lizenzübersicht plus halt eben die jeweiligen Produkte mit den Lizenzen drin. Ja, das ist richtig. plus halt eben die jeweiligen Produkte mit den Lizenzen drin. Ja, das ist richtig.
Das wird ja auch immer mehr, findet man es ja in Apps zum Beispiel, Das wird ja auch immer mehr, findet man es ja in Apps zum Beispiel, dass da nochmal eine Liste ist, diese Open-Source-Produkte sind im Einsatz. dass da nochmal eine Liste ist, diese Open-Source-Produkte sind im Einsatz. Also das hängt auch tatsächlich mit den Lizenzen zusammen, oder? Also das hängt auch tatsächlich mit den Lizenzen zusammen, oder?
Ja, ganz genau. Und ja, zum Beispiel, wenn man irgendwelche Windows, Ja, ganz genau. Und ja, zum Beispiel, wenn man irgendwelche Windows, Apple-Programme oder sowas benutzt, völlig richtig, genau. Apple-Programme oder sowas benutzt, völlig richtig, genau.
Oder mach dein Fernseher an, mach dein Handy an, da hast du ja normalerweise Oder mach dein Fernseher an, mach dein Handy an, da hast du ja normalerweise auch solche About-Screens, in denen dann auch die jeweiligen Lizenzen genannt auch solche About-Screens, in denen dann auch die jeweiligen Lizenzen genannt sind, weil halt eben, nimm Android, ist ein Linux drunter. Oder halt eben Smart-TVs
sind, weil halt eben, nimm Android, ist ein Linux drunter. Oder halt eben Smart-TVs ist normalerweise auch ein Linux drunter. ist normalerweise auch ein Linux drunter. Ergo halt eben ganz, ganz viel Open-Source-Software, die da wiederum genannt ist. Ergo halt eben ganz, ganz viel Open-Source-Software, die da wiederum genannt ist.
Jetzt lebt ja Open Source nicht nur davon, dass ich es verwende, Jetzt lebt ja Open Source nicht nur davon, dass ich es verwende, sondern es lebt ja auch davon, dass ich hier mitarbeite. Das heißt, ich kontribuiere. sondern es lebt ja auch davon, dass ich hier mitarbeite. Das heißt, ich kontribuiere. Fangen wir einfach mal mit dem Einfachsten an. Welche Vorteile hat das, Fangen wir einfach mal mit dem Einfachsten an. Welche Vorteile hat das, wenn ich da mitkontribuiere?
wenn ich da mitkontribuiere?
Das kommt drauf an, aus welcher Sicht. Das kommt drauf an, aus welcher Sicht. Hast du gerade irgendeine Sicht, die du gerne besprechen würdest? Hast du gerade irgendeine Sicht, die du gerne besprechen würdest?
Naja, also ich arbeite ja für einen Softwarehersteller und auch die öffentliche Naja, also ich arbeite ja für einen Softwarehersteller und auch die öffentliche Verwaltung wird ja Software einkaufen bzw. Verwaltung wird ja Software einkaufen bzw.
Auch selbst herstellen und Sinn macht ja, dass die auch entsprechend die Bestandteile, Auch selbst herstellen und Sinn macht ja, dass die auch entsprechend die Bestandteile, die sie verwenden oder die Software, die sie verwenden, auch mit weiterentwickeln. die sie verwenden oder die Software, die sie verwenden, auch mit weiterentwickeln.
Nicht unbedingt durch Beauftragung des Originalherstellers, sondern vielleicht Nicht unbedingt durch Beauftragung des Originalherstellers, sondern vielleicht auch selbstständig Teile upstream geben. auch selbstständig Teile upstream geben.
Genau, also da gibt es ja verschiedene Blickwinkel drauf, worum Contribution Sinn macht. Genau, also da gibt es ja verschiedene Blickwinkel drauf, worum Contribution Sinn macht. Wenn du ein Unternehmen bist, dann stellt sich also die ganz grundsätzliche Wenn du ein Unternehmen bist, dann stellt sich also die ganz grundsätzliche Frage, warum soll ich meine Entwickler bezahlen dafür, dass sie eben eine freie Software entwickeln.
Frage, warum soll ich meine Entwickler bezahlen dafür, dass sie eben eine freie Software entwickeln. Das ist tatsächlich auch eine neuere Entwicklung, die sich eben erst über die letzten. Das ist tatsächlich auch eine neuere Entwicklung, die sich eben erst über die letzten. Jahre, vielleicht auch über das letzte Jahrzehnt ergeben hat. Jahre, vielleicht auch über das letzte Jahrzehnt ergeben hat. Davor war das tatsächlich eher nicht so umfassend oder üblich wie heutzutage.
Davor war das tatsächlich eher nicht so umfassend oder üblich wie heutzutage. Der Gedanke bei Unternehmen ist, zum einen, sich nach außen besser sichtbar Der Gedanke bei Unternehmen ist, zum einen, sich nach außen besser sichtbar zu machen, also sprich halt eben um diesen high zu kämpften Markt an Entwicklern zu machen, also sprich halt eben um diesen high zu kämpften Markt an Entwicklern auf die Weise eben auch noch besser abgreifen, besser beherrschen zu können.
auf die Weise eben auch noch besser abgreifen, besser beherrschen zu können. Das andere ist, um für Softwareentwickler auch dann tatsächlich so eine Art Das andere ist, um für Softwareentwickler auch dann tatsächlich so eine Art Incentive zu bieten, also sprich halt eben sich halt eben auch verwirklichen Incentive zu bieten, also sprich halt eben sich halt eben auch verwirklichen zu können außerhalb etwaiger interner Projekte. zu können außerhalb etwaiger interner Projekte.
Es gibt ja durchaus viele Softwareentwickler, die Produkte entwickeln, Es gibt ja durchaus viele Softwareentwickler, die Produkte entwickeln, die gar nicht so wirklich an die Öffentlichkeit kommen, sondern auf irgendwelchen die gar nicht so wirklich an die Öffentlichkeit kommen, sondern auf irgendwelchen Geräten stecken und man nie wirklich halt eben dann die Leute halt in der Hand Geräten stecken und man nie wirklich halt eben dann die Leute halt in der Hand
haben und aber dann dort die Möglichkeit haben, halt ihren Namen halt eben auch haben und aber dann dort die Möglichkeit haben, halt ihren Namen halt eben auch im Internet kundzutun, eben auch sich selber dadurch halt eben dann besser kundzutun. im Internet kundzutun, eben auch sich selber dadurch halt eben dann besser kundzutun.
Sehr wohl aber auch, um gerade von dem Kontakt zur zur Community zu profitieren, Sehr wohl aber auch, um gerade von dem Kontakt zur zur Community zu profitieren, also sprich halt eben dann ein bestimmtes Framework oder sowas halt eben einzustellen also sprich halt eben dann ein bestimmtes Framework oder sowas halt eben einzustellen und dann aber auch wieder etwas zurückzuerhalten, also sprich halt eben noch und dann aber auch wieder etwas zurückzuerhalten, also sprich halt eben noch
mehr, noch neuere Ideen. mehr, noch neuere Ideen. Also das ist für Unternehmen tatsächlich ein ganz wesentlicher Punkt auch und Also das ist für Unternehmen tatsächlich ein ganz wesentlicher Punkt auch und für Verwaltung halt eben genau das Gleiche. für Verwaltung halt eben genau das Gleiche.
Eine Verwaltung, die ja ohnehin inzwischen ja eben durch Nachnutzung halt eben angehalten ist, Eine Verwaltung, die ja ohnehin inzwischen ja eben durch Nachnutzung halt eben angehalten ist, ihre Software halt eben so zu entwickeln, dass sie also mindestens halt eben ihre Software halt eben so zu entwickeln, dass sie also mindestens halt eben von anderen genutzt werden kann, von anderen genutzt werden kann, Freeware, sei es eben auch Open Source, dann halt eben wiederum auch tatsächlich
Freeware, sei es eben auch Open Source, dann halt eben wiederum auch tatsächlich nicht nur sie an andere Verwaltungen abgeben zu können, das war es bei sich, nicht nur sie an andere Verwaltungen abgeben zu können, das war es bei sich, verschiedene Gemeinden, verschiedene Länder oder sowas, sondern eben tatsächlich verschiedene Gemeinden, verschiedene Länder oder sowas, sondern eben tatsächlich auch wieder von der Community halt eben dann Dinge zurückzuerhalten.
auch wieder von der Community halt eben dann Dinge zurückzuerhalten. Ganz wesentlicher Punkt. Ganz wesentlicher Punkt.
Wir sprechen ja jetzt die ganze Zeit über Lizenzen und jetzt überlege ich mir gerade, Wir sprechen ja jetzt die ganze Zeit über Lizenzen und jetzt überlege ich mir gerade, Ich finde irgendeine Lösung für ein Problem in einer Open Source Software und Ich finde irgendeine Lösung für ein Problem in einer Open Source Software und ich entwickle diese Lösung und gebe die Upstream. ich entwickle diese Lösung und gebe die Upstream.
Jetzt entstehen ja daraus auch Jetzt entstehen ja daraus auch rechtskonstrukte hat das rechtskonstrukte hat das irgendwelche gefahren für mich als entwickler wenn ich jetzt da beitrage muss irgendwelche gefahren für mich als entwickler wenn ich jetzt da beitrage muss ich mich jetzt dann sklavisch der lizenz unterwerfen des originalprodukt zu ich mich jetzt dann sklavisch der lizenz unterwerfen des originalprodukt zu dem ich beitrage oder trete ich alles komplett ab was ich was ich da gemacht
dem ich beitrage oder trete ich alles komplett ab was ich was ich da gemacht habe oder kann ich da eigene lizenzen also fragen überfragen. habe oder kann ich da eigene lizenzen also fragen überfragen.
Wenn ich als Entwickler zu einem Produkt beitrage, dann werde ich unter der Wenn ich als Entwickler zu einem Produkt beitrage, dann werde ich unter der Lizenz gemessen werden, ja, von dem Produkt, zu dem ich beitrage. Lizenz gemessen werden, ja, von dem Produkt, zu dem ich beitrage. Das ist tatsächlich so. Da kann ich auch nicht wirklich viel dagegen tun. Das ist tatsächlich so. Da kann ich auch nicht wirklich viel dagegen tun.
Nehmen wir mal an, ich mache keine Contribution zu einem anderen Produkt, Nehmen wir mal an, ich mache keine Contribution zu einem anderen Produkt, sondern ich selber entwickle etwas und gebe das erstmal raus. sondern ich selber entwickle etwas und gebe das erstmal raus. Beispielsweise, indem ich es Beispielsweise, indem ich es halt eben in Git einstelle und anderen zur Verfügung stelle auf die Weise. halt eben in Git einstelle und anderen zur Verfügung stelle auf die Weise.
Und nehmen wir mal an, ich sitze da in Deutschland als Entwickler und habe da Und nehmen wir mal an, ich sitze da in Deutschland als Entwickler und habe da keine Lizenz drauf, dann wird halt eben nach deutschem Recht davon ausgegangen, keine Lizenz drauf, dann wird halt eben nach deutschem Recht davon ausgegangen, dass das halt eben eine Schenkung ist. dass das halt eben eine Schenkung ist.
Also tatsächlich ich halt eben, dass dann irgendwelchen anderen Personen, Also tatsächlich ich halt eben, dass dann irgendwelchen anderen Personen, die es dann halt eben wieder benutzen, tatsächlich schenke. die es dann halt eben wieder benutzen, tatsächlich schenke.
Es steht tatsächlich auch im Schenkungsvertrag, brauche ich auch keine Lizenz dafür, Es steht tatsächlich auch im Schenkungsvertrag, brauche ich auch keine Lizenz dafür, sondern das wird halt eben dann einfach per Gesetz dann halt eben geregelt, sondern das wird halt eben dann einfach per Gesetz dann halt eben geregelt, dass du dann als Lizenznehmer oder besser gesagt als Benutzer halt eben dann dass du dann als Lizenznehmer oder besser gesagt als Benutzer halt eben dann
zum Beispiel ein einfaches Nutzungsrecht darauf erhält, sofern das nicht weiter zum Beispiel ein einfaches Nutzungsrecht darauf erhält, sofern das nicht weiter irgendwie angegeben ist. irgendwie angegeben ist.
So, wenn ich jetzt aber tatsächlich ein Produkt habe, auf das schon eine Lizenz So, wenn ich jetzt aber tatsächlich ein Produkt habe, auf das schon eine Lizenz drauf ist, dann wird man davon ausgehen müssen, dass ich mich halt eben dieser drauf ist, dann wird man davon ausgehen müssen, dass ich mich halt eben dieser Lizenz dann auch zu unterwerfen hätte. Lizenz dann auch zu unterwerfen hätte.
Ja, es sei denn, ich baue irgendein Modul, was die Software quasi mitverwendet, oder? Ja, es sei denn, ich baue irgendein Modul, was die Software quasi mitverwendet, oder?
Das könntest du machen. Also, nehmen wir mal an, du hast, nimm Wordpress, Das könntest du machen. Also, nehmen wir mal an, du hast, nimm Wordpress, nimm Typo3 oder sowas in der Richtung. Das sind ja Open-Source-Produkte. nimm Typo3 oder sowas in der Richtung. Das sind ja Open-Source-Produkte. Und ja, richtig, für die kannst du ja dann etwaige Plug-Ins zum Beispiel entwickeln. Und ja, richtig, für die kannst du ja dann etwaige Plug-Ins zum Beispiel entwickeln.
Und ja, völlig richtig, sofern du da nicht an einem bereits bestehenden Produkt, Und ja, völlig richtig, sofern du da nicht an einem bereits bestehenden Produkt, vielleicht sogar an bestehendem Code halt eben dann etwas änderst, vielleicht sogar an bestehendem Code halt eben dann etwas änderst, etwas änderst, sondern halt eben dann ein davon unabhängiges Plug-in, etwas änderst, sondern halt eben dann ein davon unabhängiges Plug-in,
das halt nur damit verbunden ist, einstellst, dann kannst du da tatsächlich das halt nur damit verbunden ist, einstellst, dann kannst du da tatsächlich eine völlig eigene Lizenz halt eben drauf vergeben. Ganz genau. eine völlig eigene Lizenz halt eben drauf vergeben. Ganz genau.
Und jetzt betrachten wir mal die andere Seite. Ich stelle eine Software her,
Und jetzt betrachten wir mal die andere Seite. Ich stelle eine Software her, stelle die unter einer bestimmten Lizenz open source und ich bekomme ganz viele stelle die unter einer bestimmten Lizenz open source und ich bekomme ganz viele Beiträge aus der Community, Beiträge aus der Community, die ich auch gewillt bin anzunehmen, weil ich bin ja auch nicht verpflichtet, die ich auch gewillt bin anzunehmen, weil ich bin ja auch nicht verpflichtet,
jeden Beitrag anzunehmen, sondern ich kann ja selber als Eigentümer der Software, jeden Beitrag anzunehmen, sondern ich kann ja selber als Eigentümer der Software, was ich ja weiterhin bleibe, kann ich ja entscheiden, welche Beiträge ich annehme. was ich ja weiterhin bleibe, kann ich ja entscheiden, welche Beiträge ich annehme. Was kommt auf mich zu als Software-Eigentümer? Was kommt auf mich zu als Software-Eigentümer?
Wenn du Beiträge annimmst, dann bist du nicht mehr alleiniger Urheber von der Wenn du Beiträge annimmst, dann bist du nicht mehr alleiniger Urheber von der Software, sondern du hast noch weitere Mit-Urheber mit drin. Software, sondern du hast noch weitere Mit-Urheber mit drin.
Per se erstmal kein Problem ist, aber ist halt eben nur mal so, Per se erstmal kein Problem ist, aber ist halt eben nur mal so, ähm, bedeutet eben auch, dass diese Mieturheber, ähm, zumindest an dem, ähm, bedeutet eben auch, dass diese Mieturheber, ähm, zumindest an dem, was sie beigetragen haben, eben, was sie beigetragen haben, eben, ähm, eigene Rechte halten, was ja völlig legitim und auch gut so ist. ähm, eigene Rechte halten, was ja völlig legitim und auch gut so ist.
Ähm, wenn du ein Unternehmen beispielsweise bist und, Ähm, wenn du ein Unternehmen beispielsweise bist und, ähm, nehmen wir gerade wieder diesen Fall, du hast ein Framework von dir entwickelt, ähm, nehmen wir gerade wieder diesen Fall, du hast ein Framework von dir entwickelt, hast es open-sourced, ähm, und möchtest dieses Framework dann zum Beispiel auch hast es open-sourced, ähm, und möchtest dieses Framework dann zum Beispiel auch
bei Kunden einsetzen, dann wirst du darauf achten müssen, dass das, bei Kunden einsetzen, dann wirst du darauf achten müssen, dass das, was du da einsetzt, eben tatsächlich auch rechtssicher eingesetzt werden kann. was du da einsetzt, eben tatsächlich auch rechtssicher eingesetzt werden kann.
Also sprich, dass halt eben die Contributions, die da vorhanden sind, Also sprich, dass halt eben die Contributions, die da vorhanden sind, dass die auch praktisch nicht irgendwie lizenzwidrig mit reinkommen oder irgendwelche dass die auch praktisch nicht irgendwie lizenzwidrig mit reinkommen oder irgendwelche anderen Rechte oder dergleichen verletzen. anderen Rechte oder dergleichen verletzen.
Wenn du selber aber tatsächlich der quasi Entwickler bist und setzt diese Software Wenn du selber aber tatsächlich der quasi Entwickler bist und setzt diese Software sonst irgendwie ein, sehe ich jetzt gerade nicht, welche größeren Probleme da sonst irgendwie ein, sehe ich jetzt gerade nicht, welche größeren Probleme da auf dich zukommen könnten. auf dich zukommen könnten.
Also es wird tatsächlich immer erst dann ein Problem, wenn du die Software dann Also es wird tatsächlich immer erst dann ein Problem, wenn du die Software dann auch tatsächlich einsetzt. auch tatsächlich einsetzt.
Wie ist das jetzt mit der Haftung? Also ich bin Softwarehersteller und ich nehme Wie ist das jetzt mit der Haftung? Also ich bin Softwarehersteller und ich nehme einen ziemlich coolen Beitrag an. einen ziemlich coolen Beitrag an. Und es stellt sich irgendwann im Laufe des Betriebes raus, dass der eine dicke, Und es stellt sich irgendwann im Laufe des Betriebes raus, dass der eine dicke, fette Backdoor drin hat. fette Backdoor drin hat.
Wie sieht es da mit der Haftung an? Ist da Sorgfaltspflicht beim Hersteller Wie sieht es da mit der Haftung an? Ist da Sorgfaltspflicht beim Hersteller oder ist dann die Haftung bei dem, der beigetragen hat? oder ist dann die Haftung bei dem, der beigetragen hat?
Das ist ein Thema, das mit den jeweiligen Abhängigkeiten zusammenhängt. Das ist ein Thema, das mit den jeweiligen Abhängigkeiten zusammenhängt. Derjenige, der dazu beiträgt, trägt ja entweder bei unter der Lizenz, Derjenige, der dazu beiträgt, trägt ja entweder bei unter der Lizenz, die man halt eben da vereinbart hatte für das Produkt, also eine MIT oder sowas in der Richtung. die man halt eben da vereinbart hatte für das Produkt, also eine MIT oder sowas in der Richtung.
Und wenn er das nicht tut, nehmen wir mal an, das wäre halt eben ein deutsches Und wenn er das nicht tut, nehmen wir mal an, das wäre halt eben ein deutsches Produkt, dann halt eben über eine Schenkung. Bei einer Schenkung bist du als Produkt, dann halt eben über eine Schenkung. Bei einer Schenkung bist du als Schenkenwert tatsächlich in der Haftung sehr, sehr begünstigt. Schenkenwert tatsächlich in der Haftung sehr, sehr begünstigt.
Also da haftest du quasi nicht, also selbst bei Federn oder dergleichen haftest du im Regelfall nicht. Also da haftest du quasi nicht, also selbst bei Federn oder dergleichen haftest du im Regelfall nicht. Nur einen Fall, der aber in der Praxis kaum Relevanz hat. Nur einen Fall, der aber in der Praxis kaum Relevanz hat.
Wenn du als Unternehmen das dann weiterverwendest, also sprich diese Software Wenn du als Unternehmen das dann weiterverwendest, also sprich diese Software entsprechend rausgibst, dann entsprechend rausgibst, dann kommt es darauf an, was du mit deinem Kunden wiederum vereinbart hast. kommt es darauf an, was du mit deinem Kunden wiederum vereinbart hast. Also ob du ihm halt eben Sachmangel, Rechtsmangel, Freiheit eben dann zugesichert hast.
Also ob du ihm halt eben Sachmangel, Rechtsmangel, Freiheit eben dann zugesichert hast. Wenn ja, dann bist du halt eben sehr wohl dafür eben in der Haftung in diesem Wenn ja, dann bist du halt eben sehr wohl dafür eben in der Haftung in diesem Verhältnis. Dann kannst du dich aber halt eben dann normalerweise nicht mehr Verhältnis. Dann kannst du dich aber halt eben dann normalerweise nicht mehr guthalten an dem ursprünglichen Entwickler. Ist auch so ein bisschen das Risiko bei Open Source.
guthalten an dem ursprünglichen Entwickler. Ist auch so ein bisschen das Risiko bei Open Source.
Ja, weil es sorgt ja dafür, dass ich jede Kontribution mir anschauen muss, Ja, weil es sorgt ja dafür, dass ich jede Kontribution mir anschauen muss, damit meine Software auch sicher und rechtssicher bleibt. damit meine Software auch sicher und rechtssicher bleibt.
Das ist so. Ich muss dazusagen, in der Praxis halte ich es auch für ein überschaubares Risiko,
Das ist so. Ich muss dazusagen, in der Praxis halte ich es auch für ein überschaubares Risiko, also insbesondere eben auch, wenn man jetzt so ganze Frameworks einsetzt, also insbesondere eben auch, wenn man jetzt so ganze Frameworks einsetzt, also nimm gerade ein Angular oder React, wo du halt eben dann zwar theoretisch also nimm gerade ein Angular oder React, wo du halt eben dann zwar theoretisch dir solche Risiken reinholen kannst, aber halt eben bedingt durch die riesige
dir solche Risiken reinholen kannst, aber halt eben bedingt durch die riesige Entwicklergemeinschaft zum einen und halt eben häufig auch durch die Möglichkeit, Entwicklergemeinschaft zum einen und halt eben häufig auch durch die Möglichkeit, irgendwelche Bibliotheken durch andere ersetzen zu können, irgendwelche Bibliotheken durch andere ersetzen zu können, du dann trotzdem immer noch Möglichkeiten offen hast normalerweise. du dann trotzdem immer noch Möglichkeiten offen hast normalerweise.
Das ist zwar ein theoretisches Risiko, aber immer wieder Argumente, Das ist zwar ein theoretisches Risiko, aber immer wieder Argumente, wenn ich mit Leuten diskutiere über Open Source, weil da könnte ja jeder böse wenn ich mit Leuten diskutiere über Open Source, weil da könnte ja jeder böse Hacker beitragen zum Code. Das ist immer schwierig, da was entgegenzusetzen. Hacker beitragen zum Code. Das ist immer schwierig, da was entgegenzusetzen.
Das kannst du auch nicht vom Tisch wischen. Also ich meine, wenn du dir anschaust, Das kannst du auch nicht vom Tisch wischen. Also ich meine, wenn du dir anschaust, LockJ war ja so ein Problem, OpenSSL war so ein Problem, das ist schon richtig, das hast du. LockJ war ja so ein Problem, OpenSSL war so ein Problem, das ist schon richtig, das hast du. Also nicht, dass da jetzt irgendwelche Hacker beigetragen hätten, Also nicht, dass da jetzt irgendwelche Hacker beigetragen hätten,
dazu ganz und gar nicht. Das halte ich für eher unwahrscheinlich, dazu ganz und gar nicht. Das halte ich für eher unwahrscheinlich, aber dass eben tatsächlich Backdoors vorhanden sind, weil man halt einfach nicht aber dass eben tatsächlich Backdoors vorhanden sind, weil man halt einfach nicht dran gedacht hat, ist ja möglich. dran gedacht hat, ist ja möglich.
Dann aber auch die natürlich dann halt eben auch, Dann aber auch die natürlich dann halt eben auch, offen einsehbar sind und wenn man halt eben dann weiß, okay, offen einsehbar sind und wenn man halt eben dann weiß, okay, OpenSSL in der Version 1.2.5 oder sowas ist angreifbar, wird halt eben danach OpenSSL in der Version 1.2.5 oder sowas ist angreifbar, wird halt eben danach gesucht und dann halt eben alle, die das einsetzen, halt eben dann versucht anzugreifen.
gesucht und dann halt eben alle, die das einsetzen, halt eben dann versucht anzugreifen. Also die Möglichkeit besteht zumindest. Auf der anderen Seite wird aber halt Also die Möglichkeit besteht zumindest. Auf der anderen Seite wird aber halt eben auch zum einen relativ schnell gefixt, typischerweise, sofern die Software eben auch zum einen relativ schnell gefixt, typischerweise, sofern die Software noch in Entwicklung ist. noch in Entwicklung ist.
Und zum anderen schauen halt eben auch trotzdem normalerweise ganz viele Leute Und zum anderen schauen halt eben auch trotzdem normalerweise ganz viele Leute schon mal drauf auf die Software. Von daher ist diese Gefahr, sie ist vorhanden, ja. schon mal drauf auf die Software. Von daher ist diese Gefahr, sie ist vorhanden, ja.
Aber auch die Vorteile, die du halt eben durch Open Source Software hast, Aber auch die Vorteile, die du halt eben durch Open Source Software hast, wiegen das trotzdem absolut aus, meine ich. wiegen das trotzdem absolut aus, meine ich.
Naja, bei proprietärer Software kannst du gar nicht reingucken und da weißt Naja, bei proprietärer Software kannst du gar nicht reingucken und da weißt du überhaupt nicht, ob irgendwelche Backdoors drin sind. du überhaupt nicht, ob irgendwelche Backdoors drin sind. Die findet dann irgendwann mal einer durch Zufall und nutzt es aus, Die findet dann irgendwann mal einer durch Zufall und nutzt es aus, weil es keiner nachvollziehen kann. weil es keiner nachvollziehen kann.
Du, ich meine, schau dir die OWASP-Listen oder sowas an. Du, ich meine, schau dir die OWASP-Listen oder sowas an. Ich meine, diese Security-Listen sind ja tatsächlich voll mit solchen Fällen Ich meine, diese Security-Listen sind ja tatsächlich voll mit solchen Fällen und zwar eben sehr wohl auch von proprietärer Software, die dann halt eben schon und zwar eben sehr wohl auch von proprietärer Software, die dann halt eben schon
vielleicht halt eben auch gefixt wird. Aber ja, genau so ist es ja tatsächlich. vielleicht halt eben auch gefixt wird. Aber ja, genau so ist es ja tatsächlich.
Genau. Jetzt haben wir, glaube ich, die Basics schon so weit durch. Genau. Jetzt haben wir, glaube ich, die Basics schon so weit durch. Vielleicht machen wir noch mal eine grobe Zusammenfassung. Vielleicht machen wir noch mal eine grobe Zusammenfassung. Wie ist denn ein rechtssicherer Einsatz von Open-Source-Software überhaupt möglich? Wie ist denn ein rechtssicherer Einsatz von Open-Source-Software überhaupt möglich?
Wenn du Unternehmen bist, oder auch Verwaltung, spielt das erstmal keine Rolle, Wenn du Unternehmen bist, oder auch Verwaltung, spielt das erstmal keine Rolle, dann ist es wichtig, dass du entsprechende Prozesse bei dir eingeführt hast. dann ist es wichtig, dass du entsprechende Prozesse bei dir eingeführt hast.
Mit Prozesse meine ich, dass du nicht nur Software, die du halt eben zukaufst, Mit Prozesse meine ich, dass du nicht nur Software, die du halt eben zukaufst, entsprechend inventarisierst, sondern eben auch die Open Source Software im Griff hast. entsprechend inventarisierst, sondern eben auch die Open Source Software im Griff hast.
Das können dann solche Sachen sein, dass du Mitarbeiter entsprechend schulst, Das können dann solche Sachen sein, dass du Mitarbeiter entsprechend schulst, wie sie mit Open Source Software umzugehen haben, zum Beispiel auch, wie sie mit Open Source Software umzugehen haben, zum Beispiel auch, dass sie halt eben beachten müssen, dass es bestimmte Lizenzen gibt, dass sie halt eben beachten müssen, dass es bestimmte Lizenzen gibt, die halt eben dann viral infizieren können, beispielsweise.
die halt eben dann viral infizieren können, beispielsweise.
Copy-Left-Probleme beispielsweise eben auch, oder allgemein halt eben solche Copy-Left-Probleme beispielsweise eben auch, oder allgemein halt eben solche urheberrechtlichen Fragestellungen einfach mal beigetragen hast dazu, urheberrechtlichen Fragestellungen einfach mal beigetragen hast dazu, beziehungsweise halt eben den Kolleginnen und Kollegen halt eben gesagt hast, beziehungsweise halt eben den Kolleginnen und Kollegen halt eben gesagt hast,
welche es da grundsätzlich halt eben halt Probleme geben könnte. welche es da grundsätzlich halt eben halt Probleme geben könnte. Zum anderen eben aber auch dann tatsächlich zum Beispiel Lizenz-Scanner einzuführen, Zum anderen eben aber auch dann tatsächlich zum Beispiel Lizenz-Scanner einzuführen, die ja teilweise eben auch schon solche Security-Scans eben mitbringen können, die ja teilweise eben auch schon solche Security-Scans eben mitbringen können,
um eben tatsächlich eine solche Inventarisierung zu ermöglichen. Das ist so ein Thema. um eben tatsächlich eine solche Inventarisierung zu ermöglichen. Das ist so ein Thema.
Und das andere größere Thema ist dann eben auch tatsächlich zum einen sauber zu dokumentieren, Und das andere größere Thema ist dann eben auch tatsächlich zum einen sauber zu dokumentieren, was du verwendest und drittens dann eben auch zu prüfen, wie du im Außenverhältnis was du verwendest und drittens dann eben auch zu prüfen, wie du im Außenverhältnis auftrittst, also sprich zum Beispiel Verträge mit Kunden zu prüfen, auftrittst, also sprich zum Beispiel Verträge mit Kunden zu prüfen,
ob du halt eben etwaige Mangelfreiheiten halt eben zusicherst, was häufig der Fall ist. ob du halt eben etwaige Mangelfreiheiten halt eben zusicherst, was häufig der Fall ist. Ob du dann deinen Kunden auch Open-Source-Listen geben kannst, solche Dinge eben. Ob du dann deinen Kunden auch Open-Source-Listen geben kannst, solche Dinge eben.
Okay, also rechtssicherer Einsatz ist natürlich möglich, muss man ein paar Sachen beachten. Okay, also rechtssicherer Einsatz ist natürlich möglich, muss man ein paar Sachen beachten.
Ja, genau. Also ich möchte es tatsächlich auch gar nicht zu weit fassen. Ja, genau. Also ich möchte es tatsächlich auch gar nicht zu weit fassen. Also rechtssicher ist nicht hundertprozentig, aber du kannst es gut in den Griff Also rechtssicher ist nicht hundertprozentig, aber du kannst es gut in den Griff kriegen, sagen wir es mal so. Ich meine, jeder setzt Open-Source-Software ein, kriegen, sagen wir es mal so. Ich meine, jeder setzt Open-Source-Software ein, im Übrigen auch zu Recht.
im Übrigen auch zu Recht. Wenn du aber das dann tatsächlich sauber prozessualisierst und halt eben zum Wenn du aber das dann tatsächlich sauber prozessualisierst und halt eben zum Beispiel mit Lizenzgängern oder dergleichen arbeitest, dann kriegt man das im Beispiel mit Lizenzgängern oder dergleichen arbeitest, dann kriegt man das im Regelfall auch ganz gut gelöst, ja. Regelfall auch ganz gut gelöst, ja.
Ja, Falk, vielen Dank, dass du bei mir warst. Vielen Dank, dass du mich und Ja, Falk, vielen Dank, dass du bei mir warst. Vielen Dank, dass du mich und die Hörerinnen und Hörer des eGarmin-Podcasts zum Thema Open-Source-Lizenzen die Hörerinnen und Hörer des eGarmin-Podcasts zum Thema Open-Source-Lizenzen so umfassend abgeholt hast. so umfassend abgeholt hast. Und schön, dass du da warst. Und schön, dass du da warst.
Ja, danke, dass ich dabei sein durfte. Und ja, den Hörerinnen und Hörern, Ja, danke, dass ich dabei sein durfte. Und ja, den Hörerinnen und Hörern, ich hoffe, es hat Ihnen und euch was gebracht. ich hoffe, es hat Ihnen und euch was gebracht.
Gibt es irgendeine Webseite oder ähnliches wo man dich erreichen kann wenn man Fragen hat? Gibt es irgendeine Webseite oder ähnliches wo man dich erreichen kann wenn man Fragen hat?
Nein, tatsächlich nicht. Aber ich werde in Zukunft Teil von der Kanzlei Planet Nein, tatsächlich nicht. Aber ich werde in Zukunft Teil von der Kanzlei Planet in Hamburg sein. Das heißt also prinzipiell da und ansonsten per E-Mail. in Hamburg sein. Das heißt also prinzipiell da und ansonsten per E-Mail.
Genau, per E-Mail und ihr könnt natürlich auch in die Kommentare zur Sendung Genau, per E-Mail und ihr könnt natürlich auch in die Kommentare zur Sendung reinschreiben und da wird Falk auch antworten, wenn er darauf antworten kann. reinschreiben und da wird Falk auch antworten, wenn er darauf antworten kann.
Genau, absolut, sehr gerne. Genau, absolut, sehr gerne.
Vielen Dank euch allen fürs Zuhören. Wir wünschen euch einen schönen Tag, Vielen Dank euch allen fürs Zuhören. Wir wünschen euch einen schönen Tag, schönen Abend und bis zum nächsten Mal. schönen Abend und bis zum nächsten Mal.