Open Source Software – Aktuelle Herausforderungen und Best Practices

Interview mit Rechtsanwältin Marieke Luise Merkle

Alexandra Stojek, davit: Liebe Marieke, 
du bist nicht nur Rechtsanwältin bei der der zweitgrößten Wirtschaftskanzlei Europas, sondern auch noch Lehrbeauftragte für IT-Recht an der LMU München. Marieke, was begeistert dich denn an IT-Recht?

Marieke Merkle, Referentin ITRT KA: Mich begeistert es, an der Schnittstelle zwischen Recht und Technik zu arbeiten, das Gefühl am Puls der Zeit zu sein! Dieses Gefühl versuche ich auch den Studierenden, die meine Vorlesungen besuchen, zu vermitteln. Unsere Mandant:innen kommen mit unglaublich spannenden Entwicklungen zu uns, die häufig dem Recht voraus sind. Wir arbeiten beispielsweise viel mit Anbietern von KI-basierten Softwareentwicklungen sowie mit Mandant:innen aus dem Bereich Data Economy zusammen. Hier ist noch vieles ungeklärt, etwa die IP-Rechte an Trainingsdaten und Arbeitsergebnissen. Gleichzeitig sind in nächster Zeit eine Reihe von Neuerungen in der europäischen Gesetzgebung zu erwarten (z.B. AI Act, Data Governance Act und Data Act). Es ist also immer etwas los. Das gefällt mir.

Alexandra Stojek, davit: Am IT-Rechtstag wirst du über das Thema Open Source Software – Aktuelle Herausforderungen und Best Practices sprechen. Ohne jetzt schon zu viel zu verraten, gib uns doch mal einen kleinen Vorgeschmack auf das, was uns erwartet.

Marieke Merkle, Referentin ITRT KA: 


Der Fall Log4j hat gezeigt, wie wichtig das Thema Open Source Compliance ist. Er rückt Fragen der Qualitätskontrolle sowie der aktiven Beteiligung von Unternehmen bei der Entwicklung von Open Source Software im Rahmen von Open-Source-Projekten in den Vordergrund. Neben Themen der Inbound-Compliance wird sich mein Vortrag daher auch mit der Outbound-Compliance, d.h. mit der Compliance im Zusammenhang mit Beiträgen zu Open-Source-Projekten beschäftigen. Ein Thema, dass m.E. bis dato viel zu wenig Beachtung gefunden hat.

Alexandra Stojek, davit: Meinem Eindruck nach wird das Thema Open Source Compliance in vielen Unternehmen immer noch stiefmütterlich behandelt. Was sind deine Tipps, wie überwindet man den Schweinehund und geht das Thema an?

Marieke Merkle, Referentin ITRT KA:Häufig wissen Unternehmen schlichtweg nicht, wo sie anfangen sollen. In diesem Fall kann ein Risk Mapping helfen. Bei einem solchen werden die Risken identifiziert, welche mit dem konkreten im Unternehmen bereits erfolgenden oder geplanten Einsatz von Open Source Software verbunden sind. Auf dieser Grundlage kann ein Compliance-Prozess zunächst für denjenigen Einsatzbereich aufgebaut werden, bei welchem die größten Risiken bestehen. Im Anschluss kann die Compliance-Struktur sodann auf weitere Einsatzbereiche von Open Source Software ausgedehnt werden. Weiterhin ist klar: Open-Source-Compliance lebt – wie alle anderen Compliance-Prozesse – maßgeblich von der Akzeptanz der Mitarbeiter. Diese müssen „mitgenommen“ werden. Neben einer Vermittlung des entsprechenden Knowhows bedeutet dies vor allem: Je benutzer-freundlicher die Prozesse ausgestaltet sind, desto eher kann mit ihrer Einhaltung gerechnet werden.

Alexandra Stojek, davit: Plauder doch mal aus dem Nähkästchen, welcher Fall auf dem Gebiet ist dir besonders in Erinnerung geblieben?

Marieke Merkle, Referentin ITRT KA: Einen einzelnen Fall hervorzuheben ist schwierig. Etwas Besonderes sind jedoch Konstellationen, in denen Softwareanbieter auf uns zukommen, nachdem eine Entwicklung schon abgeschlossen ist, und die eine OSS-Compliance noch nachträglich umsetzen möchten. In diesen Fällen ist eine enge Zusammenarbeit von „Entwicklung“ und „Legal“ erforderlich. Anhand der Softwarearchitektur und den zugrundeliegenden Lizenzen der eingesetzten OSS-Softwarekomponenten gilt es sodann zu untersuchen, inwiefern die Lizenzbedingungen hinsichtlich der einzelnen Bestandteile eingehalten werden, und ob die Lizenzen untereinander kompatibel sind.

Alexandra Stojek, davit: Danke liebe Marieke, für das Interview und deine Zeit. Ich freue mich schon, dich am 
IT-Rechtstag zu sehen!