Ist Open Source wirklich kostenlos?

Open Source ist gebührenfrei nutzbar — aber nicht bedingungslos. Jede OSS-Lizenz stellt Bedingungen auf: Nennung des Urhebers, Erhalt des Lizenztextes, bei Copyleft-Lizenzen auch die Pflicht, eigene Modifikationen oder davon abgeleitete Werke unter derselben Lizenz offenzulegen. Wer die Bedingungen ignoriert, verliert das Nutzungsrecht und begeht eine Urheberrechtsverletzung.

Was ist der Unterschied zwischen permissiv und copyleft?

Permissive Lizenzen (MIT, BSD, Apache 2.0) erlauben fast jede Nutzung, auch in proprietären Produkten — meist nur mit Auflage zur Nennung von Lizenz und Urheber. Copyleft-Lizenzen (GPL, AGPL, LGPL) verlangen, dass abgeleitete Werke unter derselben Lizenz weitergegeben werden — bei AGPL sogar dann, wenn die Software nur als Server-Dienst läuft. Wer GPL-Code in proprietäre Produkte einbaut, kann gezwungen werden, den eigenen Quellcode offenzulegen.

Müssen wir unseren eigenen Quellcode offenlegen?

Nur wenn Sie GPL-, AGPL- oder ähnliche Copyleft-Komponenten in Ihre Software so integriert haben, dass Ihr eigener Code als abgeleitetes Werk gilt. Die genaue Abgrenzung ist im Einzelfall heikel — dynamisches Linken, Plug-In-Architekturen, Container, Microservices spielen eine Rolle. Wer hier unsicher ist, sollte die Architektur prüfen lassen, bevor das Produkt ausgeliefert wird.

Wie prüfe ich unsere bestehende Codebase auf OSS-Compliance?

Wirtschaftlich sinnvoll ist ein zweistufiges Vorgehen: erstens eine technische Bestandsaufnahme (Software Bill of Materials, kurz SBOM) mit Tools wie ScanCode, FOSSology oder kommerziellen SCA-Lösungen — sie identifizieren OSS-Komponenten und ihre Lizenzen. Zweitens eine rechtliche Bewertung der gefundenen Lizenzkombinationen und der konkreten Verwendung. Aus unserer Praxis liegen die typischen Risiken in fehlenden Lizenz-Hinweisen und in Architekturen, die Copyleft-Komponenten unkritisch mit proprietärem Code kombinieren.

Was passiert bei einer Open-Source-Verletzung?

Erstens entfällt das Nutzungsrecht — die fortgesetzte Verwendung ist eine Urheberrechtsverletzung. Zweitens können Unterlassungs- und Schadenersatzansprüche der Rechteinhaber folgen, einschließlich der Pflicht zur Offenlegung des eigenen Quellcodes bei Copyleft-Verletzungen. Drittens entstehen praktisch oft erhebliche Reputations- und M&A-Schäden. International haben Organisationen wie die Software Freedom Conservancy bereits zahlreiche Verfahren geführt.

Was ist bei M&A-Transaktionen mit Software wichtig?

Käufer prüfen die Codebase auf Open-Source-Komponenten, deren Lizenzen und die Compliance-Situation — meist als eigener Workstream der IT-Due-Diligence. Findet sich nicht erkannte GPL- oder AGPL-Verwendung in einer kommerziell vertriebenen Software, sind Kaufpreis-Reduktionen, Kaufpreis-Einbehalte oder im Extremfall ein Abbruch der Transaktion realistisch. Wer als Verkäufer früh aufräumt, schützt den Deal.

Open Source Software im Unternehmen: Lizenz-Compliance und Risiken

Kaum eine Software-Codebase kommt 2026 noch ohne Open Source aus — und das ist ökonomisch sinnvoll. Was viele Unternehmen unterschätzen: Open Source ist gebührenfrei nutzbar, aber nicht bedingungslos. Wer die Lizenzbedingungen ignoriert, verliert das Nutzungsrecht und begeht eine Urheberrechtsverletzung wie bei jeder anderen unlizenzierten Software-Übernahme. In M&A-Transaktionen ist OSS-Compliance heute ein eigenständiger Audit-Workstream — wer ihn versemmelt, gefährdet den Deal.

Open Source = kostenfrei, nicht bedingungslos

Open-Source-Lizenzen sind privatrechtliche Verträge zwischen Rechteinhabern und Nutzern. Jede Lizenz stellt Bedingungen auf, die einzuhalten sind:

Nennung von Urheber und Lizenz — bei nahezu allen OSS-Lizenzen Pflicht
Mitlieferung des Lizenztextes — typischerweise als Beilage in der Distribution
Erhalt von Copyright-Hinweisen im Quellcode — wer den Code modifiziert, darf bestehende Urheberrechtsvermerke nicht entfernen
Bei Copyleft-Lizenzen zusätzlich: Offenlegung abgeleiteter Werke unter derselben Lizenz

Wer diese Bedingungen verletzt, verwendet die Software ohne Lizenz — und das ist eine Urheberrechtsverletzung im Sinne des UrhG, mit allen damit verbundenen Ansprüchen.

Permissive vs. Copyleft — der Unterschied im Alltag

Die wichtigste praktische Unterscheidung:

Permissive Lizenzen — etwa MIT, BSD, Apache 2.0:

Erlauben praktisch jede Nutzung, auch in proprietären Produkten
Pflicht meist nur: Lizenztext und Urheberhinweise mitliefern
Apache 2.0 zusätzlich: explizite Patentlizenz, Hinweispflicht bei Modifikationen
Geringes rechtliches Risiko, solange die Hinweispflichten eingehalten werden

Copyleft-Lizenzen — die zwei wichtigsten Familien:

GPL (GNU General Public License) — wer GPL-Code in seine Software einbindet und das Produkt vertreibt, muss den gesamten Quellcode unter GPL offenlegen
AGPL (GNU Affero GPL) — verlangt Offenlegung sogar dann, wenn die Software nur als Server-Dienst läuft (kein klassischer Vertrieb erforderlich) — kritisch für SaaS-Anbieter
LGPL — milderer Copyleft, erlaubt Linkung mit proprietärem Code unter bestimmten Bedingungen

Die Einordnung im konkreten Fall ist nicht trivial: Dynamisches vs. statisches Linken, Plug-In-Architekturen, Container, Microservice-Trennung — all das beeinflusst, ob ein „abgeleitetes Werk” vorliegt oder nicht.

Häufige Verstöße in der Praxis

Aus unserer Beratungspraxis und der internationalen OSS-Klagslandschaft lassen sich vier typische Konstellationen ableiten:

Fehlende Lizenz-Hinweise. Auch ein an sich permissiv lizenzierter Code (etwa eine MIT-lizenzierte JavaScript-Library) löst eine Urheberrechtsverletzung aus, wenn der Lizenztext und die Urhebernennung nicht mit dem Endprodukt ausgeliefert werden — typisch in mobilen Apps und in Docker-Images.
GPL-Code in proprietären Produkten. Wer GPL-lizenzierten Code in eine kommerziell vertriebene Software statisch einlinkt und die GPL-Pflichten nicht erfüllt, riskiert die Pflicht zur Offenlegung des eigenen Quellcodes.
AGPL und SaaS. Viele Cloud-/SaaS-Anbieter sind sich nicht bewusst, dass AGPL-Komponenten auch im Server-Betrieb die Offenlegungspflicht auslösen — anders als bei klassischer GPL.
Lizenz-Inkompatibilitäten. Bestimmte OSS-Lizenzen lassen sich rechtlich nicht miteinander kombinieren. Wer naheliegende, aber rechtlich unverträgliche Komponenten mischt, verstößt gegen mindestens eine der beiden Lizenzen.

M&A-Risiko: Was Käufer prüfen

In Software-M&A-Transaktionen ist OSS-Compliance heute ein eigenständiger Workstream der Due Diligence:

SBOM-Erstellung (Software Bill of Materials) mit automatisierten Scanner-Tools
Lizenz-Mapping — welche Lizenzen werden verwendet, in welcher Architektur-Position
Risiko-Bewertung — Copyleft-Pflichten, Lizenz-Inkompatibilitäten, fehlende Hinweise
Remediation-Plan — was muss vor Closing repariert werden, was kann post-Closing folgen

Findet ein Käufer nicht erkannte AGPL- oder GPL-Verwendung in einer kommerziellen Codebase, sind Kaufpreis-Reduktionen, Kaufpreis-Einbehalte oder im Extremfall ein Abbruch der Transaktion realistische Konsequenzen. Wer als Zielgesellschaft frühzeitig aufräumt, vermeidet Last-Minute-Streit am Verhandlungstisch.

Compliance aufbauen — pragmatischer 5-Punkte-Plan

Aus unserer Beratungspraxis empfehlen sich folgende Schritte:

Bestandsaufnahme — automatisiertes Scanning der bestehenden Codebase (ScanCode, FOSSology, Black Duck, FOSSA u. a.) zur Identifikation aller OSS-Komponenten und ihrer Lizenzen
Risiko-Triage — welche Lizenzen sind unkritisch, welche brauchen Aufmerksamkeit, welche sind im aktuellen Einsatz problematisch
Compliance-Hygiene — Lizenztexte mit Endprodukten ausliefern, Urhebernennungen sicherstellen, Distribution-Channels prüfen (auch App-Stores, Container-Images)
OSS-Policy — interne Richtlinie, welche Lizenzen für welche Verwendungsarten zugelassen sind und wer das vor Aufnahme einer neuen Komponente prüft
Continuous Compliance — SBOM-Generation in den CI/CD-Prozess einbinden, statt einmalige Großaktion alle paar Jahre

Unsere Rolle

Tonninger Schermaier & Partner berät Software-Unternehmen zur Open-Source-Compliance — von der präventiven Architektur-Beratung über M&A-Due-Diligence-Begleitung bis zur Verteidigung bei OSS-Verletzungs-Vorwürfen.

Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung im Einzelfall dar.

Open Source Software im Unternehmen: Lizenz-Compliance und Risiken

Open Source = kostenfrei, nicht bedingungslos

Permissive vs. Copyleft — der Unterschied im Alltag

Häufige Verstöße in der Praxis

M&A-Risiko: Was Käufer prüfen

Compliance aufbauen — pragmatischer 5-Punkte-Plan

Unsere Rolle

Was Mandanten dazu wissen wollen

Mag. Dr. Markus Albrecht

Dr. Bernhard Tonninger

Open Source Software im Unternehmen: Lizenz-Compliance und Risiken

Open Source = kostenfrei, nicht bedingungslos

Permissive vs. Copyleft — der Unterschied im Alltag

Häufige Verstöße in der Praxis

M&A-Risiko: Was Käufer prüfen

Compliance aufbauen — pragmatischer 5-Punkte-Plan

Unsere Rolle

Was Mandanten dazu wissen wollen

Mag. Dr. Markus Albrecht

Dr. Bernhard Tonninger

Weitere Beiträge, die für Sie wichtig sind

Abmahnung wegen Urheberrechtsverletzung erhalten – was jetzt?

KI und Urheberrecht – die neuen Risiken für Unternehmen 2026

Bilder und Fotos rechtssicher auf Webseite und Social Media nutzen