Das Internet der Dinge (Internet-of-Things oder kurz “IoT“) kennzeichnet einen hohen Grad an Automatisierung und Vernetzung physischer wie digitaler Gegenstände und Prozesse in allen Teilen unseres gesellschaftlichen Lebens – von der hoch-automatisierten Produktionsstätte und dem digitalisierten Warenlager im Unternehmensumfeld bis hin zu alltäglich Vorgängen im privaten Umfeld wie der automatischen Bestückung des hauseigenen Kühlschranks. Um den hierfür erforderlichen Grad an Vernetzung der jeweiligen Systeme zu erreichen, wird zukünftig eine schier unüberschaubare Menge an vernetzten Geräten, Sensoren und entsprechender Netztechnik wie Router, Gateways und Data-Server benötigt.

Schon aus Gründen der Effizienz, Interoperabilität und des Kostendrucks im Markt für IoT-Produkte wird der Einsatz standardisierter Software- und Hardware-Produkte sowie entsprechender Entwicklungsumgebungen und -plattformen für Anbieter zur zwingenden Voraussetzung. Bereits heute greifen IoT-Hersteller für die Entwicklung ihrer Produkte deshalb vielfach auf Free and Open Source Software (kurz „FOSS“) zurück. So operieren derzeit viele IoT-Geräte u.a. auf Basis des bekannten Linux Operating Systems, einer der ersten FOSS Betriebssysteme aus den 90er Jahren.

Dabei bietet der Einsatz von FOSS im Bereich der Entwicklung von IoT Produkten erhebliche Vorteile:

Erstens ist entsprechende Software leicht zu beschaffen und zu verarbeiten, da der Quellcode der Produkte in der Regel veröffentlicht ist, was die Weiterentwicklung und Integration in eigene Produkte vereinfacht.

Zweitens ist FOSS oftmals kostenlos verfügbar, wodurch der Einsatz in der Produktentwicklung für Hersteller besonders attraktiv ist.

Drittens gilt FOSS als vergleichsweise sicher, da aufgrund des notwendigerweise offengelegten Quellcodes die regelmäßige Kontrolle auf Schwachstellen und etwaige Backdoors ermöglicht wird.

Zuletzt ermöglicht der Einsatz von FOSS im branchenübergreifenden und/oder internationalen Umfeld bereits heute ein hohes Maß an Standardisierung von IoT-Produktion.

Verschiedene internationale Organisationen wie die AllSeen Alliance (u. a. mit Microsoft und ca. 120 weiteren Unternehmen) sowie das Open Internet Consortium (OIC, gegründet im Jahr 2014, u. a. mit Unternehmen wie Samsung und Cisco) pushen den verstärkten Einsatz von FOSS- Produkten im Bereich des Internet of Things. Genutzt werden schon heute verschiedene standardisierte Protokolle wie MQTT (Message Queuing Telemetry Transport), COAP (Constrained Application Protocol) oder das XMPP (Extensible Messaging and Presence Protocol), die die wachsende Standardisierung im Markt für IoT-Produkte weiter vorantreiben. Verstärkt wird der Einsatz von FOSS-Produkten zudem durch Brancheninitiativen z.B. für den Smart Home-Markt wie die Home Gateway Initiative (HGI), ein Zusammenschluss von Telekommunikations- und Consumer-Electronic Herstellern.

FOSS & IoT … und was IoT-Unternehmen dabei oftmals übersehen

So attraktiv der Einsatz von FOSS-Produkten im IoT-Markt auf den ersten Blick erscheint, so oft übersehen Hersteller die teils harschen rechtlichen Restriktionen für ihre Nutzung. Denn auch wenn deren Einsatz in der Regel kostenlos ist, heißt dies noch lange nicht, dass damit alles getan wäre. So werden dieseProdukte durch den jeweiligen Urheber (z. B. ein Software-Programmierer) unter einer bestimmten FOSS-Lizenz veröffentlicht. Die Nutzung wird insoweit unter gewissen Einschränkungen gestattet, die in der jeweiligen FOSS-Lizenz genauer beschrieben werden. Prominentestes und sicher am weitesten verbreitetes Beispiel hierfür dürften gegenwärtig die verschiedenen Lizenzversionen der sogenannten General Public License (GPL) sein, die teils erhebliche Restriktionen beim Einsatz und Weitervertrieb von unter der GPL lizenzierten FOSS-Produkten beinhalten. So führt der Verstoß gegen die Lizenzbedingungen in der Regel zum Wegfall der Nutzungsberechtigung auf Seiten des Anwenders, sodass ein Rechte-Inhabersogar den Einsatz entsprechender Software in einem IoT-Produkt komplett untersagen könnte. Im Ernstfall muss das IoT-Unternehmen bereits verkaufte Produkte, in denen FOSS unter Verletzung der jeweiligen Lizenzbedingungen verbaut wurde, vom Markt nehmen bzw. zurückrufen. Schon dieses Beispiel zeigt, dass der Einsatz von FOSS in IoT-Produkten bei Verletzung der jeweiligen Lizenzbedingungen mit enormen kommerziellen Risiken verbunden sein kann.

Darüber hinaus haben Unternehmen, die FOSS-Produkte unter Verletzung der jeweiligen Lizenzbedingungen einsetzen, aktuell noch mit einem anderen Phänomen, nämlich den sogenannten FOSS-Trollen zu kämpfen. Hierbei handelt es sich um (vermeintliche) FOSS-Entwickler, die oftmals unklare Regelungen in den jeweiligen Lizenzbedingungen ausnutzen und Unternehmen mit Ansprüchen auf Unterlassung und Schadensersatz zu konfrontieren, um hieraus (persönliche) wirtschaftliche Vorteile zu erlangen.

Um oftmals langwierige, kostspielige und im worst case auch öffentlichkeitswirksame Streitigkeiten vor und außerhalb des Gerichtssaals zu vermeiden, müssen IoT-Anbieter deshalb frühzeitig ein funktionierendes System der FOSS-Compliance aufbauen. Um alle geltenden Vorgaben möglichst effektiv in ein neu zu gestaltendes Produkt und dessen Vertrieb zu implementieren, gilt es, bereits im Entwicklungsprozess die jeweils erforderlichen Vorgaben zu betrachten und zwischen den beteiligten Fachabteilungen (R&D, Sales, Legal, Complicance etc.) abzustimmen.

FOSS & IoT – eine zumindest rechtlich nicht ganz einfache Kombination

Welche Vorgaben beim Einsatz von FOSS zu beachten sind, lässt sich nicht abstrakt bestimmen, sondern bedarf einer genauen Analyse der jeweils eingesetzten FOSS-Produkte, dem Umfang ihrer Nutzung und der hierfür relevanten Lizenztypen. Aufgrund der praktischen Bedeutung von FOSS für IoT-Produktentwicklungen ist es deshalb für Hersteller besonders wichtig, sich einen zumindest groben Überblick über die für die jeweils relevanten FOSS-Produkte eingesetzten Lizenztypen zu verschaffen, da einzelne Lizenztypen wie die zuvor genannte GPL im IoT-Umfeld schwieriger zu handhaben sind als andere.

So schreibt die GPL für die Weitergabe von Produkten, die FOSS beinhalten, u.a die Weitergabe der jeweiligen Lizenzbedingung, Urheberrechtsvermerke sowie die Offenlegung durch Mitlieferung des Source Codes des der GPL unterfallenden Produktbestandteils bzw. die Abgabe einer sogenannten written offer zur Bereitstellung des Source Codes vor.

Aufgrund der technischen Besonderheiten von IoT-Produkten lassen sich insbesondere die zuvor genannten formalen Voraussetzungen der GPL in der Praxis nur schwer umsetzen. Denn einerseits besitzen viele IoT-Produkte keinen eigenen Bildschirm oder ein gesondertes User Interface, über die mit dem Nutzer kommuniziert werden und so beispielsweise Lizenztexte oder rechtliche relevante Details ausgetauscht werden könnten. Zum anderen werden in IoT-Produkten je nach Einsatzgebiet oft nur kleine Speichereinheiten verbaut, sodass die Speicherung großer Datenmengen wie z. B. des Source Codes ausscheidet.

Deshalb geben Anbieter von IoT-Technik Pflichtinformationen z.B. auf dem Produkt beiliegenden CD-ROMS weiter, was jedoch oft wenig praktikabel und z.B. in mehrgliedrigen Vertriebsketten nur schwer zu realisieren ist. Erschwert wird die Umsetzung zudem dadurch, dass viele der einschlägigen Vorgaben der FOSS-Lizenzen (insbesondere der GPL) unklar formuliert sind. Mangels kaum verfügbarer Rechtsprechung zu den einschlägigen Fragestellungen entsteht so ein erhöhtes Maß an Rechtsunsicherheit für die betroffenen Anwender.

FOSS & IoT – was Unternehmen tun können (und müssen)

Gerade im IoT-Sektor erfordert die Nutzung von FOSS-Produkten ein Höchstmaß an weitreichender Umsicht, um diese strikten Vorgaben zu erfüllen. Nicht zuletzt aufgrund des Risikos der Inanspruchnahme durch FOSS-Entwickler müssen sich IoT-Unternehmen frühzeitig mit den einschlägigen Voraussetzungen befassen, um tragfähige Lösungsansätze zu entwickeln. Dabei helfen oft schon wenige Vorkehrungen, um die Risiken signifikant zu senken.

Erstens sollte stets eine genaue Betrachtung der in der Entwicklung eines IoT-Produktes eingesetzten FOSS-Produkte und deren einschlägigen Lizenzvorgaben erfolgen. Denn ohne Kenntnis des Lizenztyps und der konkreten Art der Verwendung lassen sich keine belastbaren Lösungsansätze entwickeln.

Zweitens müssen Entwicklungsabteilungen frühzeitig die Abstimmung mit den für die Produkt-Compliance zuständigen Fachabteilungen (Legal, Compliance etc.) suchen, um sinnvolle Lösungsansätze zu entwickeln und zu implementieren, bevor es „zu spät“ ist („Compliance-By-Design“).

Drittens muss frühzeitig die Abstimmung mit B2B-Kunden beim (Weiter-)Vertrieb von Produkten mit FOSS erfolgen. So können Unternehmen in Kooperationen und Vertriebsketten effizient, weil gemeinsam, praktikable Lösungen zur Umsetzung der FOSS-Lizenzvorgaben entwickeln.

Viertens und letztens sollten IoT-Unternehmen die aktuellen rechtlichen Entwicklungen aufmerksam verfolgen. Nicht zuletzt aufgrund des verstärkten Einsatzes von FOSS im IoT-Markt dürfte in den kommenden Jahren mit einer Vielzahl von gerichtlichen Entscheidungen zu entsprechenden Fragestellung zu rechnen sein. Nur bei Kenntnis der jeweiligen Entwicklungen können IoT-Unternehmen ihre Produkte frühzeitig an neue Vorgaben anpassen und soWettbewerbsvorteile im Markt um IoT-Produkte sowohl schaffen als auch verteidigen…

… damit der Einsatz von FOSS im IoT-Umfeld zum Treiber der Innovation und nicht zum rechtlichen Stolperstein wird!