Open-Source-Lizenzen regeln vor allem die Weitergabe von Quellcode. Geht es um Haftungsfragen, sind sich viele Entwickler aber unsicher: Haften Entwickler von Open Source Software (OSS) für Schäden, welche aus der Anwendung ihrer Software entstehen?
OSS wird massgeblich in zwei Vertriebsformen vermarktet. Zu unterscheiden sind der passive Vertrieb (auch: isolierter Vertrieb) und der aktive Vertrieb, das heisst der Vertrieb durch einen spezialisierten Mehrwertdienstleister.
Die Abgrenzung ist zentral für die anwendbaren Gewährleistungs- und Haftungsregeln. Vorliegend wird die Rechtslage nur für den passiven Vertrieb dargestellt, bei welchem ein Anbieter den Source Code auf einer öffentlich zugänglichen Plattform zum Download anbietet.
Wie bei jedem Vertragsverhältnis stellt sich auch bei OSS-Lizenzen die Frage, wer die Nachteile fehlerhafter Software zu tragen hat. Die Pflicht, einen Mangel zu beheben, wird als Gewährleistung bezeichnet. Wenn jemand wegen des Funktionsausfalls zu Schaden kommt, fragt sich, ob der Entwickler dafür Ersatz leisten muss.
Typisch für die passive Vertriebsform sind die Unentgeltlichkeit der Software-Überlassung sowie die Anonymität der Vertragsbeziehung. Der Anwender wird aus einer OSS-Lizenz nur berechtigt und nicht verpflichtet. Die rechtlichen Lasten liegen einseitig beim Lizenzgeber.
Hier sieht bereits das Gesetz vor, dass Gewährleistung gar nicht geschuldet ist. Der Entwickler muss also einen allfälligen Mangel der Software nicht beseitigen. Der Nutzer kann den Entwickler nur dann zu Hilfeleistungen verpflichten, wenn er einen besonderen Wartungs- oder Pflegevertrag abgeschlossen hat.
Wird der Nutzer wegen des Funktionsausfalls geschädigt, hält ihm das Gesetz kaum Ansprüche gegen den Entwickler bereit. Grund dafür ist wiederum die Unentgeltlichkeit und die einseitige Begünstigung des Nutzers aus der Lizenz. Nur wer den Nutzer absichtlich oder grobfahrlässig schädigt, kann belangt werden. Absichtliche Schädigung liegt z.B. vor, wenn ein Entwickler wissentlich Viren in ein Programm einbaut, dies dem Abnehmer der Software aber verheimlicht. Sollten hierfür Haftungsausschlüsse in einen Vertrag aufgenommen werden, wären sie ungültig. Die massgebliche Gesetzesbestimmung (Art. 100 Abs. 1 OR) lautet: «Eine zum voraus getroffene Verabredung, wonach die Haftung für rechtswidrige Absicht oder grobe Fahrlässigkeit ausgeschlossen sein würde, ist nichtig.»
Hat der Geschädigte die Software nicht selber vom Entwickler bezogen, ist die Haftungslage noch restriktiver. Vermögensschäden, das heisst geschäftliche Einbussen, verlorener Gewinn usw. sind grundsätzlich nicht zu entschädigen.
Besondere Schwierigkeiten macht aber die Abgrenzung der groben zur leichten Fahrlässigkeit.
Die im Gesetz neben der absichtlichen Schädigung genannte Grobfahrlässigkeit ist schwer zu definieren:
- Fahrlässigkeit, auch die grobe, kann nur bejaht werden, wenn Sorgfaltspflichten verletzt sind. Welches ist aber die massgebliche Sorgfalt? Unseres Erachtens wäre es stossend, wenn einem OSS-Entwickler besondere Sorgfaltspflichten auferlegt würden, wenn er die Software isoliert, das heisst über eine öffentliche Plattform vertreibt. Immerhin überlässt er die Software kostenlos, und der Empfänger wird aus der OSS-Lizenz nur begünstigt. Da der Empfänger alle Möglichkeiten hat, die Software selber zu prüfen, muss er dies auch tun. Kann er die Prüfung nicht selber vornehmen, sollte er einen spezialisierten Dienstleister damit beauftragen.
- Nicht jeder Fehler begründet Grobfahrlässigkeit. Was zu den gewöhnlichen Risiken der Software-Entwicklung gehört, ist der leichten Fahrlässigkeit zuzuordnen. Zu berücksichtigen ist insbesondere, dass Software immer fehleranfällig ist, da sich Software stets in ein grösseres Zusammenspiel von Hard- und weiterer Software einordnet. Fehlende Interoperabilität ist unseres Erachtens allerhöchstens der leichten Fahrlässigkeit zuzuordnen, die vertraglich ausgeschlossen werden kann. Das wird soweit ersichtlich durch alle OSS-Lizenzen gemacht, beispielsweise durch Ziff. 12 der GPL 2. Grobe Fahrlässigkeit ist bei OSS kaum vorstellbar, sofern sie nicht für einen bestimmten Zweck oder eine bestimmte Konfiguration entwickelt wurde.
Jedem Entwickler ist aber zu empfehlen, während der Entwicklung und vor der Veröffentlichung die Software präventiv auf naheliegende Fehler zu überprüfen und die Prüfungsschritte nachvollziehbar zu protokollieren.
Um den Konsumenten vor den Gefahren zu schützen, die von den modernen Industriegütern ausgehen, wurde das Produktehaftpflichtgesetz (PrHG) erlassen. Die Haftungsregeln des PrHG sind zwingend, können also vertraglich nicht verändert werden. Sollte das PrHG zur Anwendung kommen, hätten die Haftungsausschlüsse in OSS-Lizenzen keinen Bestand, soweit sie dem PrHG widersprechen würden. Zur Anwendbarkeit des PrHG auf den isolierten Vertrieb ist folgendes zu sagen:
- Will der Nutzer Software selber von einer Plattform herunterladen, kann er unseres Erachtens keine berechtigten Sicherheitserwartungen in die Software haben. Es muss ihm bewusst sein, dass der Entwickler nicht für Fehlerfreiheit einstehen will. Da das PrHG nur berechtigte Sicherheitserwartungen des Publikums schützt, scheidet die Produktehaftung in solchen Fällen von vornherein aus.
- Hat der Nutzer die fehlerhafte Software aber von einem Zwischendienstleister erhalten, weiss er möglicherweise gar nicht, dass er OSS verwendet. Im Falle einer Schädigung könnte er sich theoretisch nicht nur an den Zwischendienstleister, sondern auch an den Entwickler direkt halten wollen. Ein solcher direkter Rückgriff des Geschädigten gestützt auf das PrHG ist unseres Erachtens nicht zuzulassen: Dem PrHG liegt der Zweck zugrunde, dass derjenige für Fehlervermeidung verantwortlich ist, der am besten dafür sorgen kann. Hat der geschädigte Anwender die Software über den Umweg eines Zwischendienstleisters erhalten, ist der Entwickler zu weit entfernt, um auf die Verwendung seiner Software Einfluss nehmen zu können. Als er die Software zum Download zur Verfügung stellte, war unbekannt, in welchem Rahmen sie dereinst verwendet würde. Es bestehen damit zu viele Unbekannte, als dass den Entwickler eine Haftung nach PrHG treffen könnte. Erst die Implementierung auf ein konkretes Zielsystem macht eine Software überhaupt gefährlich. Davon kann nicht gesprochen werden, wo noch irgendwelche Anpassungen vorgenommen werden müssen, damit die Software auf dem Zielsystem ablaufen kann. Wo diese Implementierungen vom Zwischendienstleister vorgenommen werden, dürfte er als Produzent angesehen werden. Die Produzentenhaftung des Entwicklers muss unter diesen Umständen in den Hintergrund treten.
Die in den OSS-Lizenzen enthaltenen Gewährleistungs- und Haftungsausschlüsse entsprechen der Lösung, wie sie bereits das Gesetz für den passiven bzw. isolierten Vertrieb vorsieht. An diesem Resultat dürfte auch die Gesetzgebung zur Produktehaftpflicht nichts ändern, zumindest soweit das Verhältnis zwischen Nutzer und Entwickler betroffen ist.
Etwas anderes gilt für Mehrwertdienstleister, die OSS durch eigene Leistungen veredeln und gegen Entgelt weiterverbreiten. Solche Dienstleister haben in ihrem Geschäftsmodell zu berücksichtigen, dass sie einer strengeren Haftung unterliegen.
Aus Nutzersicht ergibt sich damit die Schlussfolgerung, dass die Haftungs- und Gewährleistungssituation deutlich verbessert werden kann, wenn Open Source über einen Mehrwertdienstleister bezogen wird. Die Vorteile von OSS (verbesserte Wartungsmöglichkeiten, Freiheit bei der Wahl des Vertragspartners) lassen sich auf diesem Weg kombinieren mit den wünschbaren Haftungs- und Gewährleistungszusagen.
Christian Laux (christian.laux@openlaw.ch) ist Rechtsanwalt in einer Wirtschaftskanzlei in Winterthur. Seine Spezialgebiete sind IT-Recht und Immaterialgüterrecht. Jan Widmer (jan.widmer@openlaw.ch) ist Rechtsanwalt in Baden. Seine Spezialgebiete sind Urheberrecht und IT-Recht.
