Open Source : Haftungsgefahren von Open-Source-Software. Wo Licht ist, ist auch Schatten ? Open-Source-Software ist nicht nur kostenlos, sondern birgt unter Umständen auch manche Gefahren und Risiken. Der dritte Teil der in Heft 33/2005 begonnenen vierteiligen Beitragsreihe setzt sich mit diesen Risiken auseinander, die Entwickler, Nutzer und Distributoren bei der Nutzung von Open-Source-Software berücksichtigen müssen.

Open Source : Haftungsgefahren von Open-Source-Software

Autor: Dr. Jyn Schultze-Melling
Das Grundprinzip von Open-Source-Software ist, dass jeder Zugang zum Source-Code erhält. Damit kann die Software nach eigenen Vorstellungen weiterentwickelt werden und wiederum Dritten zur Verfügung gestellt werden. Dieses Prinzip hat zu einem ungeahnten Siegeszug der Open-Source-Idee geführt. Zur Grundphilosophie gehört aber auch, dass die Entwickler freier Software ihre Software nur dann anderen zur Verfügung stellen, wenn sie selbst nicht für mögliche Fehler ihrer Software zur Verantwortung gezogen werden können. Wer aber ist dann für die Software verantwortlich? Wer haftet, wenn das Programm nicht ordnungsgemäß funktioniert und vielleicht sogar wertvolle Daten zerstört?

Open-Source-Software ist bekanntlich mit vielen Missverständnissen verknüpft. Das am weitesten verbreitete aber ist, dass kostenlose Software ohne Gewähr kommt. Hierbei wird häufig auf die GNU General Public License und ähnlich formulierte Open-Source-Lizenzen verwiesen. Die von Richard Stallman, dem Gründer des GNU-Projektes, und dem Rechtsprofessor Eben Moglen entworfene GPL schließt auch tatsächlich in Art. 11 jegliche Gewährleistung für die Software kategorisch aus. Entgegen der landläufigen Meinung handelt es sich hierbei jedoch nicht um einen effektiven Schutzschild gegen Haftungsansprüche. Solche Formulierungen, die sich auch in vielen EULAs großer Hersteller finden, sind unter deutschem AGB-Recht regelmäßig hinfällig, weil bei einem vollständigen Ausschluss der Gewährleistung der Vertragspartner unbillig benachteiligt wird.

Das Gleiche gilt für den sehr weit reichenden Haftungsausschluss in Art. 12 GPL, da dieser insbesondere auch eine Haftung für Schäden aufgrund von Vorsatz und grober Fahrlässigkeit ausschließt. Derartige Klauseln verstoßen aber sowohl bei Verbraucherverträgen als auch bei Unternehmensgeschäften gegen das geltende Recht.

Folglich bietet der in der GPL enthaltene Gewährleistungs- und Haftungsausschluss bei deutschen Verträgen keinen Schutz. Die entsprechenden Klauseln sind schlicht wirkungslos. Daran ändert übrigens auch der Zusatz in Art. 12 GPL »außer wenn durch geltendes Recht gefordert« nichts ? die Klausel wird dadurch intransparent und der Zusatz hat auch keine Auswirkung auf die rechtliche Unzulässigkeit des Haftungsausschlusses.

Wer Open-Source-Programme einsetzt oder sie für eigene Projekte nutzt, muss sich also darüber bewusst sein, dass die GPL im Zweifel vor einem deutschen Gericht nicht weiterhelfen wird. Welche Bedeutung hat das für den kommerziellen Umgang mit Open-Source-Software?

Grundsätzlich sollten Entwickler, die bei ihren Projekten Open-Source-Software verwenden, davon ausgehen, dass sie für das gesamte Lösungspaket ? also auch für die Open-Source-Bestandteile ? Verantwortung tragen. Anders gesagt: sie haften wie für eigene Software. Das heißt im Ergebnis, dass diese genauso intensiv geprüft und getestet werden muss, wie der eigenhändig programmierte Code.

Gewährleistungsansprüche bestehen vereinfacht gesagt dann, wenn die Software nicht dem entspricht, was mit dem Kunden vereinbart gewesen ist. Eine Möglichkeit zur Beschränkung der eigenen Gewährleistung ist es demnach, diese Vereinbarung so konkret und detailliert wie möglich zu gestalten. Dadurch wird automatisch der Rahmen möglicher Fehler und damit die eigene Gewährleistung beschränkt. Wird gleich ein Individualvertrag mit dem Kunden verhandelt, verzichtet man also auf den Einsatz von AGB, lässt sich die Gewährleistung noch weiter ausschließen. Abgesehen von Fällen von Arglist und im Hinblick auf Garantiezusagen bestehen dann gar keine Gewährleistungsverpflichtungen mehr.

Ähnliches gilt, wenn IT-Dienstleister mit Aufgaben rund um das Thema Open-Source-Software beauftragt werden. Diese haften generell dafür, dass der Auftrag korrekt und vereinbarungsgemäß ausgeführt wird. Der genaue Umfang des Auftrages sollte daher in einem Pflichtenheft festgehalten werden. In diesem Rahmen kann dann eine Gewährleistung geregelt werden, die lediglich die Auswahl einer geeigneten Open-Source-Software, deren korrekte Installation und Betriebssicherheit und gegebenenfalls durchgeführte Anpassungen und Erweiterungen betrifft.

Nicht vergessen werden sollte, dass die übrigen Bestimmungen der GPL nach jüngster Rechtsprechung rechtlich bindend bleiben. Hierzu gehört in erster Linie die Offenlegung des Source-Codes (vgl. auch Teil 1 dieser Serie) ? wird diese unterlassen, riskiert der Nutzer teure Abmahnungen.

Was kann also zur Vermeidung von Haftungsrisiken getan werden? Eine Möglichkeit ist, die Open-Source-Software lediglich als Systemvoraussetzung in die eigenen Projekte zu integrieren und die entsprechenden Programme vom Kunden selbst beschaffen und installieren zu lassen. Dies ist aber natürlich nur dann praktikabel, wenn die Open-Source-Programme auch als externe Komponenten angesprochen werden können. Wird Open-Source-Code aber inhaltlich verändert oder nahtlos in eigene Lösungen integriert, scheidet diese Möglichkeit aus. Dann bleibt nur, die Vorteile von Open-Source-Software sorgfältig gegen die damit verbundenen Risiken abzuwägen.