Open-Source-Software steckt heute in nahezu jedem digitalen Produkt. Sie ist frei verfügbar, aber nicht bedingungslos: Jede Open-Source-Komponente bringt Lizenzpflichten mit sich, deren Missachtung teuer werden kann. Rechtsanwalt Georg Uphoff – Fachanwalt für Informationstechnologierecht und für gewerblichen Rechtsschutz – berät Entwickler, Anbieter und Unternehmen bei der rechtssicheren Nutzung von Open Source, beim Aufbau von Compliance-Prozessen und bei offenen KI-Modellen.
Open-Source-Lizenzen lassen sich in zwei Grundtypen einteilen. Permissive Lizenzen (z. B. MIT, BSD, Apache 2.0) erlauben die Nutzung, Veränderung und Weitergabe auch in proprietären Produkten – meist nur mit der Pflicht zur Nennung von Urheber und Lizenz. Copyleft-Lizenzen verlangen dagegen, dass weitergegebene oder abgeleitete Software wieder unter derselben Lizenz steht:
Hinzu kommt die Frage der Lizenzkompatibilität: Nicht jede Open-Source-Lizenz lässt sich mit jeder anderen kombinieren. Wir ordnen Ihre eingesetzten Komponenten ein und zeigen, welche Pflichten daraus folgen.
Wer Open Source einsetzt, braucht einen belastbaren Prozess. Wir helfen beim Aufbau eines Open-Source-Compliance-Programms: Inventarisierung aller Komponenten samt Abhängigkeiten (Software Bill of Materials, SBOM), Bewertung der Lizenzpflichten, ein Freigabeprozess für zulässige Lizenzen je Einsatzart sowie die korrekte Erfüllung von Nennungs-, Kennzeichnungs- und Quelltext-Pflichten. So vermeiden Sie Verletzungen und bleiben auditierbar – auch gegenüber Kunden und Investoren.
Beim Kauf oder der Finanzierung eines Softwareunternehmens ist der Open-Source-Bestand ein zentraler Prüfpunkt. Unentdecktes starkes Copyleft kann den Wert der proprietären Software mindern, weil es zur Offenlegung zwingen kann. Wir prüfen den Open-Source-Einsatz im Rahmen der Due Diligence und sichern die Ergebnisse über Garantien und Freistellungen im Unternehmenskaufvertrag ab.
Mit dem Cyber Resilience Act (Verordnung (EU) 2024/2847) gelten für Produkte mit digitalen Elementen erstmals verbindliche Cybersicherheitsanforderungen, die vor dem Inverkehrbringen zu erfüllen sind. Rein private oder nicht-kommerzielle Open-Source-Projekte sind ausgenommen; für sogenannte „Open-Source-Stewards“ gelten erleichterte Pflichten. Wer jedoch Open-Source-Komponenten in kommerzielle Produkte integriert und in Verkehr bringt, bleibt als Hersteller verantwortlich. Die Meldepflichten greifen ab dem 11. September 2026, die vollen Anforderungen ab dem 11. Dezember 2027. Wir klären frühzeitig, welche Pflichten Sie treffen.
Viele als „Open Source“ bezeichnete KI-Modelle (etwa Llama, Mistral oder Gemma) sind juristisch „open weight“ und stehen unter eigenen Modelllizenzen mit Nutzungs-, Namens- und teils regionalen Beschränkungen – die multimodalen Llama-Modelle sind für Unternehmen mit Sitz in der EU ausgeschlossen. Hinzu kommen Pflichten aus dem EU AI Act, etwa für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck. Die rechtlichen Einzelheiten behandeln wir auf unserer Seite zur Künstlichen Intelligenz (KI).
Ein Verstoß gegen eine Open-Source-Lizenz ist eine Urheberrechtsverletzung. Deutsche Gerichte haben Open-Source-Lizenzen wie die GPL als wirksam angesehen und durchgesetzt. Folgen können Unterlassungs-, Auskunfts- und Schadensersatzansprüche sein; zudem kann das Nutzungsrecht automatisch entfallen. Wir setzen Ihre Rechte durch und wehren unberechtigte Ansprüche ab – außergerichtlich wie vor Gericht.
Open-Source-Software ist meist kostenlos erhältlich, aber nicht bedingungslos: Es gelten Lizenzpflichten (etwa Namens- und Lizenznennung, bei Copyleft auch Offenlegungspflichten). Gewährleistung und Haftung des Entwicklers sind weitgehend ausgeschlossen – wer die Software in eigene Produkte einbaut, trägt gegenüber seinen Kunden aber selbst die Verantwortung.
Copyleft-Lizenzen (z. B. GPL, AGPL) verlangen, dass abgeleitete oder gemeinsam weitergegebene Software wieder unter derselben Lizenz steht – einschließlich Offenlegung des Quellcodes. Bei starkem Copyleft kann das eigenen, verbundenen Code erfassen und die Geheimhaltung proprietärer Software gefährden.
Bei permissiven Lizenzen (z. B. MIT, Apache) und bei rein interner Nutzung in der Regel nicht. Eine Offenlegungspflicht kann aber bei Weitergabe von Software unter starkem Copyleft (GPL/AGPL) entstehen – bei der AGPL bereits durch Bereitstellung über ein Netzwerk (SaaS).
Der CRA betrifft Hersteller von Produkten mit digitalen Elementen, die in der EU in Verkehr gebracht werden. Rein private oder nicht-kommerzielle Open-Source-Projekte sind ausgenommen; für Open-Source-Stewards gelten erleichterte Pflichten. Wer Open-Source-Komponenten in kommerzielle Produkte integriert, bleibt als Hersteller verantwortlich.
Nicht uneingeschränkt. Viele „Open-Source“-KI-Modelle sind juristisch „open weight“ und stehen unter eigenen Lizenzen mit Nutzungs-, Namens- und teils regionalen Beschränkungen; hinzu kommen mögliche Pflichten aus dem EU AI Act.
Ein Lizenzverstoß ist eine Urheberrechtsverletzung. Möglich sind Unterlassungs-, Auskunfts- und Schadensersatzansprüche; zudem kann das Nutzungsrecht automatisch entfallen, sodass die weitere Verwendung der Software unzulässig wird.
Kontaktieren Sie die Kanzlei Uphoff & Simons in Rosenheim – Ihr Partner im Open-Source-Recht. (Stand: Juli 2026)