WEBVTT

00:00:00.005 --> 00:00:03.345
So, es ist mal wieder Zeit für eine neue Folge Entwicklerleben.

00:00:03.605 --> 00:00:04.845
Herzlich willkommen zurück.

00:00:05.425 --> 00:00:08.165
Ja, wir sind euch eigentlich ein Thema schuldig vom letzten Mal,

00:00:08.305 --> 00:00:14.165
aber wir haben heute spontan einen Gast da und deswegen kleine Änderungen im Fahrplan.

00:00:14.485 --> 00:00:20.285
Wir dachten uns, lass uns doch mal über etwas sehr, sehr Spannendes reden. Thema Jura.

00:00:21.605 --> 00:00:27.725
Jan und ich haben da einen gewissen Background im privaten Sinne und ich glaube,

00:00:27.785 --> 00:00:30.945
es ist ein bisschen so gefährliches Halbwissen angeeignet in den letzten paar Jahren.

00:00:31.965 --> 00:00:33.385
Sehr gefährliches Halbwissen.

00:00:35.425 --> 00:00:40.485
Und ja, aber wir haben jetzt Laurent als Gast, der sich tatsächlich auf IT-Recht

00:00:40.485 --> 00:00:44.205
spezialisiert hat und es gibt eigentlich so mittlerweile einige verschiedene

00:00:44.205 --> 00:00:50.025
Themen, wo ich der Meinung bin als Entwickler, dass man die auch mal im Mittagkopf behalten sollte.

00:00:50.025 --> 00:00:54.505
Heute sicherlich jetzt nicht das tägliche Geschäft, aber ja,

00:00:54.605 --> 00:00:56.905
es hat sich ja doch einiges geändert.

00:00:57.585 --> 00:01:00.445
Stichwort Cookie-Beiner zum Beispiel, was man irgendwie beachten sollte.

00:01:00.625 --> 00:01:03.485
Und ich würde mal sagen, herzlich willkommen, Laurent.

00:01:03.885 --> 00:01:05.685
Hallo, vielen Dank für die Einladung. Freut mich.

00:01:06.225 --> 00:01:07.885
Magst du dich vielleicht mal ganz kurz vorstellen?

00:01:08.645 --> 00:01:10.965
Ja, gerne. Also vielleicht kurz zu mir. Ich bin auch Meister.

00:01:11.025 --> 00:01:16.205
Ich bin Rechtsanwalt bei RSM Ebner-Stolz im Büro in Stuttgart.

00:01:16.205 --> 00:01:20.285
Und wie du schon gesagt hast, Schwerpunkt IT-Recht, Datenschutz,

00:01:20.345 --> 00:01:24.385
alles, was mit Digitalisierung zu tun hat und damit auch, ich sag mal,

00:01:24.445 --> 00:01:28.525
viel mit Softwareentwicklern zu tun und eben bei Unterstützern,

00:01:28.545 --> 00:01:31.105
so geht es, sich eigentlich Themen zu klären oder zu prüfen,

00:01:31.505 --> 00:01:33.885
ist eine Software rechtskonform oder nicht.

00:01:34.105 --> 00:01:39.725
Das sind so meine Schwerpunkt-Themen, die ich so Tag ein, Tag aus tatsächlich bearbeite.

00:01:39.725 --> 00:01:44.485
Ich würde mal das erste Thema anfangen, bevor es nachher vielleicht ein bisschen zu trocken wird.

00:01:44.605 --> 00:01:49.325
Thema Side-Projects. Das betrifft ja auf der einen Seite Open-Source,

00:01:49.445 --> 00:01:55.225
aber dann auch, ja ich sag mal, arbeitsvertragstechnisch etwas.

00:01:55.425 --> 00:01:58.625
Was wäre denn, wenn der Arbeitgeber sagt,

00:01:59.718 --> 00:02:05.158
Man darf keine Projekte nebenbei machen, ist dann trotzdem so ein Open-Source-Projekt trotzdem möglich?

00:02:06.778 --> 00:02:09.218
Wie sieht es dort mit Lizenzen aus?

00:02:11.718 --> 00:02:16.438
Was muss man dabei beachten? Also ich zum Beispiel habe jetzt persönlich meistens

00:02:16.438 --> 00:02:23.558
die MIT-Lizenz benutzt, auch eher so aus Copy-Paste-Sicht, würde ich mal sagen,

00:02:23.618 --> 00:02:26.198
aber ohne jetzt zu überlegen, okay, was hat das für einen Impact?

00:02:26.198 --> 00:02:29.998
Eine kommerzielle Nutzung, nicht kommerzielle Nutzung, muss ich dann selber

00:02:29.998 --> 00:02:32.038
Support anbieten, genau.

00:02:32.378 --> 00:02:37.218
Ja, ich glaube, das sind so ganz typische Fragen, die man sich als Entwickler

00:02:37.218 --> 00:02:42.358
stellt oder die auch Unternehmen haben, die Entwickler in Festanstellung als

00:02:42.358 --> 00:02:45.318
Freelancer oder wie auch immer tatsächlich beschäftigen.

00:02:45.738 --> 00:02:48.498
Da kommt es, wie der Jurist so schön sagt, es kommt drauf an,

00:02:48.558 --> 00:02:53.198
es kommt tatsächlich so ein bisschen drauf an, wie sieht eigentlich die Zusammenarbeit aus?

00:02:54.318 --> 00:02:58.978
Gerade im Bereich der Festanstellung muss man bei Side-Projects natürlich so

00:02:58.978 --> 00:02:59.918
ein bisschen aufpassen.

00:03:00.758 --> 00:03:05.818
Wenn das noch in den Scope der eigentlichen Arbeitstätigkeit fällt,

00:03:05.998 --> 00:03:07.398
dann wird das vielleicht schwierig.

00:03:07.718 --> 00:03:11.398
Ich glaube, alles, was wirklich davon losgelöst ist, ist tatsächlich unkritisch zu sehen.

00:03:12.058 --> 00:03:15.138
Ich glaube, das ist so ein bisschen die Trennlinie. Und ich sage mal,

00:03:15.158 --> 00:03:18.798
je freier und unverbindlicher die Zusammenarbeit ist, Das heißt,

00:03:18.858 --> 00:03:22.138
als Freelancer oder ganz klassisch als Dienstleister,

00:03:22.238 --> 00:03:27.738
dann wird es sowieso unproblematisch, wenn man tatsächlich nebenher noch Themen entwickelt.

00:03:28.338 --> 00:03:31.558
Die Grenzen können aber tatsächlich fließend sein. Insbesondere,

00:03:31.658 --> 00:03:35.358
wenn man sagt, ich habe jetzt aus einem Projekt, aus der alltäglichen Arbeit

00:03:35.358 --> 00:03:37.558
als Softwareentwickler irgendwie Know-how gewonnen und sage,

00:03:37.638 --> 00:03:40.178
ich will auch tatsächlich in dem Bereich tätig werden.

00:03:40.778 --> 00:03:42.918
Genau, dann muss man wahrscheinlich tatsächlich ein bisschen aufpassen,

00:03:43.018 --> 00:03:44.318
ob das nicht tatsächlich die

00:03:44.318 --> 00:03:49.318
geschuldete Entwicklungstätigkeit für den Arbeitgeber oder den Kunden ist.

00:03:49.918 --> 00:03:55.098
Aber ansonsten ist man tatsächlich an der Stelle frei, auch wenn es in einem

00:03:55.098 --> 00:03:57.178
anderen Zusammenhang ist, die Themen abzuschließen.

00:03:57.845 --> 00:04:01.645
Zu entwickeln und zu treiben und möglicherweise auch tatsächlich dann,

00:04:01.785 --> 00:04:05.705
ich glaube, das ist generell ein Thema, Open-Source-Software einzusetzen und

00:04:05.705 --> 00:04:10.165
dann eben das möglicherweise auch unter entsprechenden Lizenzen zu veröffentlichen

00:04:10.165 --> 00:04:12.625
oder auch kostenpflichtig zu veröffentlichen.

00:04:12.645 --> 00:04:16.805
Da muss man natürlich immer noch schauen, tatsächlich, wie ist da der Arbeitseinsatz,

00:04:16.805 --> 00:04:21.085
der dann dahinter steckt und kannabilisiert er möglicherweise die anderen Projekte

00:04:21.085 --> 00:04:24.385
oder die eigentliche Arbeitszeit? Ja, das sollte natürlich nicht passieren.

00:04:25.425 --> 00:04:29.265
Also das ist jetzt so ein bisschen der Hintergrund und ansonsten,

00:04:29.265 --> 00:04:34.725
weil du es eben schon ansprachst, das Thema, gerade wenn man so freie Projekte

00:04:34.725 --> 00:04:38.185
dann macht oder sagt, ich habe so ein Zeitprojekt, ich lanciere dann ein Stück

00:04:38.185 --> 00:04:39.685
Software auch unter einer Open Source Software,

00:04:39.985 --> 00:04:42.025
das spricht per se erstmal nichts dagegen.

00:04:42.025 --> 00:04:45.645
Du musst natürlich tatsächlich dann sehen, was ist da alles eingeflossen,

00:04:45.685 --> 00:04:47.585
was ist dann das Ergebnis möglicherweise auch,

00:04:47.705 --> 00:04:52.385
was die Lizenz tatsächlich dann von dir verlangt, Auflegung des Quellcodes oder

00:04:52.385 --> 00:04:57.005
ähnliches, insbesondere wenn da natürlich welche Know-how anderer reinfließt,

00:04:57.025 --> 00:04:57.925
wird es vielleicht ein bisschen schwieriger,

00:04:58.025 --> 00:05:02.165
aber tatsächlich, du bist natürlich freier, weil jeder kann es verwenden und

00:05:02.165 --> 00:05:06.665
du musst jetzt nicht zwingend da irgendwie großen Support und Pflegeaufwand mitbringen,

00:05:06.785 --> 00:05:09.725
wie das halt bei einem kommerziellen Produkt ist, dass du dann vertreibst,

00:05:09.805 --> 00:05:11.945
lizenzierst, irgendwie ein Entgelt verlangst,

00:05:12.025 --> 00:05:15.645
und dann natürlich immer das doch das thema hast dass du möglicherweise mängel

00:05:15.645 --> 00:05:21.465
beseitigen muss wenn es die software dann doch mal nicht tut in europa wir auch

00:05:21.465 --> 00:05:25.825
bereich der software anders als in den usa doch einen relativ strengen gewährleistungsrahmen

00:05:25.825 --> 00:05:28.945
was welche mängel oder zielfunktionen in,

00:05:30.096 --> 00:05:32.496
Aber das ist halt die größte Ausforderung.

00:05:33.536 --> 00:05:39.656
Was bedeutet jetzt Gewährleistung in dem Sinne auch jetzt im Bereich Open Source

00:05:39.656 --> 00:05:41.196
oder sobald man es kommerziell macht?

00:05:41.276 --> 00:05:44.476
Weil wenn ich jetzt irgendwie an Gewährleistung denke, denke ich an Werkvertrag,

00:05:44.516 --> 00:05:46.656
das ist aber schon wieder im Dienstleistungsbereich.

00:05:46.956 --> 00:05:50.416
Das heißt, wir haben eine gewisse Abnahme oder sind noch irgendwelche Mängel,

00:05:50.416 --> 00:05:52.376
die im Nachhinein da sind.

00:05:52.496 --> 00:05:58.296
Das hat man ja schon eher dann, ich sag mal, früher eher festgelegt als heute,

00:05:58.336 --> 00:06:02.016
wenn man eher agil arbeitet. Das ist halt auch nochmal, glaube ich, so ein Ding.

00:06:03.736 --> 00:06:06.836
Da kann man ja gleich nochmal drauf zurückkommen. Aber wie ist das dann mit

00:06:06.836 --> 00:06:11.096
Gewährleistungen in Open Source? Weil eigentlich ist ja dann Fix doch selbst.

00:06:11.396 --> 00:06:14.276
Genau, also tatsächlich, das ist ja der Vorteil von der Open Source Software.

00:06:14.536 --> 00:06:19.176
Ganz häufig werden sie zumindest mal auch nach diesen amerikanischen Lizenzen

00:06:19.176 --> 00:06:25.776
oder amerikanisch geprägten Lizenzen, Gewährleistungsrechte und Haftungsthemen

00:06:25.776 --> 00:06:27.096
weitestgehend ausgeschlossen.

00:06:27.256 --> 00:06:29.536
Da kann man sich mal überlegen, ist das in Deutschland oder Europa?

00:06:29.616 --> 00:06:32.196
War eigentlich zu wirksam, aber der Charme ist natürlich tatsächlich,

00:06:33.236 --> 00:06:36.756
der Nutzer kriegt das Recht, die Software selbst zu bearbeiten und im Zweifel

00:06:36.756 --> 00:06:42.916
eben hat alle Werkzeuge, er kann die Open-Source-Software selbst verändern.

00:06:43.036 --> 00:06:46.116
Also deshalb tatsächlich da ist das Gewerkschaftsthema nicht ganz so dramatisch,

00:06:46.136 --> 00:06:50.636
eben ich bezog mich da mehr auf die Fälle, wo du sagst, ich lizenziere das gegen

00:06:50.636 --> 00:06:56.336
ein Entgelt, sei es als Kauf, sei es als Miete, aber wie auch immer das dann tatsächlich ist.

00:06:56.416 --> 00:06:59.696
Und da ist natürlich dann immer die Pflicht tatsächlich, wenn die Software eben

00:06:59.696 --> 00:07:03.336
tatsächlich nicht tut oder bei einem Software-as-a-Service-Dienst,

00:07:03.336 --> 00:07:08.436
der Server irgendwie steigt und das Tool irgendwie nur zwei Stunden am Tag statt,

00:07:09.216 --> 00:07:12.176
acht oder was auch immer erreichbar ist, dann hat man natürlich tatsächlich

00:07:12.176 --> 00:07:16.216
irgendwie die Verpflichtung da, ich sag mal, aufzuräumen und zu sehen,

00:07:16.236 --> 00:07:17.776
dass der Fehler möglicherweise beseitigt wird.

00:07:18.602 --> 00:07:21.962
Das ist möglicherweise dann zeitaufwendiger, als man eigentlich beabsichtigt.

00:07:21.962 --> 00:07:27.222
Du hattest gerade schon angeschnitten, dass Open Source,

00:07:27.462 --> 00:07:32.702
die sagen wir mal aus Europa oder Deutschland kommt und unter einer amerikanisch

00:07:32.702 --> 00:07:37.082
angehauchten Lizenz, also MIT oder Apache oder sowas, dass das vielleicht gar

00:07:37.082 --> 00:07:40.062
nicht unbedingt so passen könnte.

00:07:40.242 --> 00:07:42.882
Habe ich das richtig verstanden? Also, dass es tatsächlich Fälle gibt,

00:07:42.962 --> 00:07:46.822
wo darüber gesprochen wird, ob denn die Veröffentlichung aus Deutschland unter

00:07:46.822 --> 00:07:49.042
so einer Lizenz richtig ist?

00:07:49.622 --> 00:07:52.082
Richtig würde ich gerne nochmal sagen. Ich glaube, richtig ist sie im Zweifel

00:07:52.082 --> 00:07:56.302
schon. Die Frage ist nur tatsächlich, ob das, was in den Lizenzen so drinsteht,

00:07:56.322 --> 00:07:59.822
insbesondere selbst wenn man so eine kurze Lizenz wie die MIT nimmt,

00:08:00.402 --> 00:08:06.022
irgendwo steht natürlich drin, die Software wird, es ist, bereitgestellt.

00:08:06.022 --> 00:08:10.522
Das heißt, ohne oder ausschluss jeglicher Gewährleistung und Garantie.

00:08:10.522 --> 00:08:15.182
Für den Juristen sind solche Bedingungen natürlich allgemeine Geschäftsbedingungen,

00:08:15.322 --> 00:08:19.762
weil die vorformuliert sind, weil die massenhaft verwendet werden und dementsprechend

00:08:19.762 --> 00:08:26.142
sind da hohe Anforderungen nach deutschem Recht geknüpft in anderen Ländern.

00:08:26.142 --> 00:08:31.082
Und es gibt wenig Rechtsprechung, gewisse Gründe zur Open-Source-Software,

00:08:31.162 --> 00:08:36.642
aber zumindest mal die GPL ist schon mal eindeutig als AGB eingestuft worden

00:08:36.642 --> 00:08:39.362
und wo auch schon wirklich Teile einfach nach deutschem Recht,

00:08:39.502 --> 00:08:42.302
ich sage mal in Anführungszeichen, für unwirksam erklärt wurden.

00:08:42.302 --> 00:08:47.182
Also das ist so ein gewisses Risiko, wenn man Open-Source-Software veröffentlicht.

00:08:47.182 --> 00:08:50.562
Auf der anderen Seite, man verdient damit ja im Zweifel kein Geld oder man nicht

00:08:50.562 --> 00:08:51.822
durch die Lizensierung zumindest.

00:08:52.702 --> 00:08:56.242
Und damit sind auch die Risiken de facto relativ gering.

00:08:56.802 --> 00:09:00.762
Das ist auch der Grund, warum es tatsächlich wenig Rechtsprechung dazu gibt, weil...

00:09:01.441 --> 00:09:05.461
Eine MIT-Lizenz landet am Ende des Tages ganz selten vor Gericht.

00:09:05.841 --> 00:09:09.101
Bei einer GPL oder einer Copy-Left-Lizenz schon eher, weil jemand sagt,

00:09:09.301 --> 00:09:12.221
hey, ich will aber auch die Quellcode haben, obwohl du die nicht veröffentlicht hast.

00:09:12.761 --> 00:09:18.281
Da kann das schon eher mal ein Thema sein. Nein, aber deshalb de facto,

00:09:18.341 --> 00:09:21.621
also aus der einen juristischen Brille, würde man bei vielen der Lizenzen sagen,

00:09:21.721 --> 00:09:24.181
ob das alles so hält, ob das alles so wirksam ist,

00:09:24.301 --> 00:09:28.341
wäre eben in Europa, anders als in den USA, eher fraglich.

00:09:29.221 --> 00:09:33.061
Aber rein praktisch spielt es im Zweifel keine Rolle. Und da ist tatsächlich,

00:09:33.241 --> 00:09:36.701
glaube ich, auch aus der Open-Source-Sicht, oder wenn man mal die Open-Source-Denke

00:09:36.701 --> 00:09:41.821
sich vornimmt, eher wirklich der Fokus auf den Nutzungsmöglichkeiten.

00:09:41.821 --> 00:09:43.321
Also was kann ich denn damit machen?

00:09:43.421 --> 00:09:46.721
Was habe ich denn für Einschränkungen? Und sind die eben tatsächlich wirksam?

00:09:46.721 --> 00:09:50.261
Ja, ich glaube, da geht aber auch der Weg tatsächlich sehr stark,

00:09:50.321 --> 00:09:54.441
dass immer mehr Projekte unter MIT auch veröffentlicht werden.

00:09:55.641 --> 00:09:59.721
Wahrscheinlich, weil es am angenehmsten für alle ist. Da kann nicht viel passieren.

00:09:59.841 --> 00:10:03.401
Diese Datei hat, weiß ich nicht, vier Zeilen oder so. Das ist überschaubar,

00:10:03.401 --> 00:10:08.501
wenn man sich GPL oder Apache 2.0 oder sowas nimmt. Da muss man ja schon mal

00:10:08.501 --> 00:10:11.661
eigentlich erstmal alles komplett durchlesen, weil man gar nicht weiß,

00:10:11.741 --> 00:10:12.901
was da so großartig drin steht.

00:10:14.221 --> 00:10:17.561
Klar, wenn man natürlich ein Projekt hat, was man sagt, ich will das mit allen

00:10:17.561 --> 00:10:21.021
teilen, aber ich will halt nicht, dass das nachher in kommerzieller Software

00:10:21.021 --> 00:10:25.081
eingesetzt wird, weil das wird MIT halt am laufenden Band. Ich kenne das ja

00:10:25.081 --> 00:10:26.081
auch aus dem täglichen Geschäft.

00:10:26.301 --> 00:10:29.341
Wir brauchen irgendeine Bibliothek oder sowas. Dann habe ich zwei Stück zur Wahl.

00:10:29.421 --> 00:10:32.601
Einmal MIT ist nicht ganz so gut, aber MIT und die andere ist,

00:10:32.661 --> 00:10:35.921
weiß ich nicht, GPL, da brauche ich gar nicht lange drüber nachdenken.

00:10:36.241 --> 00:10:39.741
MIT, zack, gezogen. Ich brauche das nicht mal nachweisen.

00:10:39.861 --> 00:10:43.721
Ich gebe das vielleicht irgendwo nochmal an, welche Bibliotheken ich habe und

00:10:43.721 --> 00:10:44.761
dass die unter MITs Ende.

00:10:44.761 --> 00:10:48.261
Ende, während bei allem anderen, man ja nochmal gucken muss,

00:10:48.261 --> 00:10:52.321
darf ich das verwenden, ist das okay, muss ich meine eigene Software dann unter

00:10:52.321 --> 00:10:55.721
einer bestimmten Lizenz veröffentlichen oder wie sieht's da aus,

00:10:56.395 --> 00:11:00.175
Und zumindest ist mein Gefühl, dass in der Web-Welt, Web-Entwicklungswelt,

00:11:00.835 --> 00:11:03.195
sehr, sehr, sehr, sehr, sehr viel MIT ist.

00:11:03.635 --> 00:11:06.055
Und das Gefühl ist, dass das immer mehr wird.

00:11:06.395 --> 00:11:10.035
Also ich glaube auch insgesamt ist die MIT-Lizenz oder die BSD,

00:11:10.195 --> 00:11:14.135
je nachdem, welche Ausgestaltung man wieder hat, sind die weit verbreitetsten

00:11:14.135 --> 00:11:15.155
Open-Source-Lizenzen.

00:11:15.575 --> 00:11:18.895
Und auch das ist tatsächlich genau der Punkt, vielleicht auch das,

00:11:18.955 --> 00:11:22.875
wo wir aus rechtlicher Sicht immer wieder die Berührungspunkte haben.

00:11:23.115 --> 00:11:25.415
Ganz häufig ist es ja so, ich habe kein...

00:11:26.415 --> 00:11:31.635
Rein rassiges Open-Source-Projekt, sondern ich habe im Zweifel einen Auftraggeber,

00:11:31.735 --> 00:11:36.695
der sagt, ich will irgendwie ein Tool haben, das eine bestimmte Funktion ausführt,

00:11:37.535 --> 00:11:41.535
möglicherweise kombiniert mit proprietärem Code, der möglicherweise eine Maschine

00:11:41.535 --> 00:11:44.735
steuert oder irgendwelche Funktionen als Treiber,

00:11:44.875 --> 00:11:49.975
als was auch immer, und dann eben kombiniert mit anderen Softwarekomponenten,

00:11:49.975 --> 00:11:52.615
die dann meistens einfach aus Kostengründen Open-Source sind.

00:11:52.775 --> 00:11:56.815
Und wenn man dann natürlich an der Stelle zwischen dieser Kombination aus einem

00:11:56.815 --> 00:12:03.775
proprietären Code und einem Source-Komponent dann auf einmal in den Copy-Left-Effekt reinlaufen,

00:12:03.875 --> 00:12:07.535
dann wird es natürlich kritisch, weil dann auf einmal die Gefahr da ist,

00:12:07.635 --> 00:12:11.975
dass dieser eigentlich schützenswerte, proprietäre Code dann auf einmal möglicherweise

00:12:11.975 --> 00:12:13.175
veröffentlicht werden müsste.

00:12:13.295 --> 00:12:20.135
Und das ist ja immer der große Knackpunkt, warum tatsächlich dann man tunlichst

00:12:20.135 --> 00:12:25.895
aufpassen sollte, eben, will man wirklich ja, Copyleft-Lizenzen wie GPL,

00:12:26.035 --> 00:12:27.755
LGPL ja auch immer nutzen.

00:12:27.875 --> 00:12:32.775
Ah, schwierig wird es natürlich immer, genau dann, wenn ich irgendwelche Bibliotheken

00:12:32.775 --> 00:12:36.075
oder Treiber habe, die es halt nur in der Form gibt, ja.

00:12:37.389 --> 00:12:41.289
Und es ist mittlerweile extrem schwer nachzuverfolgen, wenn ich jetzt irgendwie

00:12:41.289 --> 00:12:46.949
an NPM oder irgendeinen anderen Packet-Manager denke, der halt 20.000 Dependencies

00:12:46.949 --> 00:12:48.169
mittlerweile reinlädt.

00:12:48.229 --> 00:12:52.749
Also es ist ja wirklich, man kann es ja eigentlich gar nicht mehr nachvollziehen.

00:12:53.249 --> 00:12:56.969
Mir ist das aber auch, glaube ich, kein Tool bewusst. Ich weiß nicht,

00:12:56.989 --> 00:13:00.389
also es gibt sicherlich Anbieter, aber die kosten wahrscheinlich auch wieder

00:13:00.389 --> 00:13:03.029
nachher ein Schweinegeld, weil das ja in Richtung Enterprise geht,

00:13:03.469 --> 00:13:05.609
die diese komplette Kette ja nachvollziehen.

00:13:05.609 --> 00:13:08.509
Weil man kann es theoretisch einmalig machen.

00:13:08.769 --> 00:13:12.289
So, dann updatet sich aber hier ein Paket, da ein Paket. Ist es immer noch die

00:13:12.289 --> 00:13:14.949
gleiche Lizenz und so weiter? Ich meine, man hat das gleiche Problem auch aus

00:13:14.949 --> 00:13:15.989
Security-Perspektive.

00:13:16.969 --> 00:13:21.629
Aber moderne Softwareentwicklung ist so, da gibt es 20.000 Dinge.

00:13:21.709 --> 00:13:24.629
Ich weiß gar nicht, was da alles mittlerweile drin ist, was ich mir ziehe,

00:13:24.709 --> 00:13:27.029
wenn ich sage, ja, ich hätte nur dieses eine kleine Paket.

00:13:27.809 --> 00:13:32.809
Das ist gar nicht mehr möglich und auch wahrscheinlich machen sich da auch viele

00:13:32.809 --> 00:13:37.429
gar keine Gedanken, so das heißt, nicht jede Lizenz ist ja mit jeder kompatibel,

00:13:37.469 --> 00:13:40.369
in der Theorie natürlich, aber es kann ja nicht geprüft werden, ne?

00:13:40.369 --> 00:13:48.369
So, wie kann ich mich davor als Unternehmen schützen oder auch als Entwickler natürlich,

00:13:48.609 --> 00:13:52.309
wobei der Entwickler selbst, der wird ja sicherlich nicht vom Arbeitgeber haftbar

00:13:52.309 --> 00:13:56.309
gemacht werden, wenn er jetzt irgendwas einsetzt, müssen ja theoretisch ja andere

00:13:56.309 --> 00:14:02.569
Prozesse da sein, dass dieses Problem halt ja nicht auftritt.

00:14:03.249 --> 00:14:06.409
Genau, also das ist tatsächlich, glaube ich, eine, das ist die größte Herausforderung,

00:14:06.409 --> 00:14:10.149
die wir im Bereich der Open-Source-Nutzung eigentlich haben.

00:14:10.289 --> 00:14:16.029
Ich sage mal, die Dokumentation nach dem Motto, welche Open-Source-Komponenten

00:14:16.029 --> 00:14:19.089
habe ich eigentlich verwendet oder wie wurden die denn eigentlich oder auch

00:14:19.089 --> 00:14:22.189
möglicherweise zu welchem Zeitpunkt habe ich sie eigentlich möglicherweise in

00:14:22.189 --> 00:14:23.409
das Projekt mit einbezogen,

00:14:23.489 --> 00:14:25.969
um das irgendwie nachvollziehen zu können.

00:14:26.469 --> 00:14:29.729
Ich glaube, der Arbeitgeber, der muss im Zweifel von seinem Direktionsrecht

00:14:29.729 --> 00:14:32.689
Gebrauch machen und seinen Angestellten, den Entwicklern sagen,

00:14:32.769 --> 00:14:39.229
hey, ihr dürft an der Stelle oder in der Art und Weise Open Source verwenden oder eben nicht.

00:14:40.409 --> 00:14:46.229
Da muss man irgendwo in der Projektentwicklung sich immer mal wirklich die Glaubensfrage

00:14:46.229 --> 00:14:51.829
stellen, was sind wirklich die schützenswerte Teile, die quasi nicht Open Source

00:14:51.829 --> 00:14:54.049
sein sollen, die auch nicht Open Source werden dürfen,

00:14:54.649 --> 00:14:59.849
um sich dann zu überlegen, wie kombiniere ich die mit dem Rest und was sind das für Konsequenzen.

00:14:59.849 --> 00:15:03.249
Das heißt, habe ich möglicherweise Themen, die ich ausschließen muss?

00:15:03.369 --> 00:15:04.829
Und wenn ja, dann muss ich eben...

00:15:05.939 --> 00:15:11.339
Versuchen, möglichst sauber vorzugehen und zu vermeiden, dass eben dann bei

00:15:11.339 --> 00:15:15.859
der GPL als Beispiel Komponenten, die unter der GPL lizenziert sind,

00:15:15.979 --> 00:15:17.299
dann mit in das Projekt einrutschen.

00:15:17.799 --> 00:15:20.119
Und das ist, glaube ich, tatsächlich die größte Herausforderung,

00:15:20.119 --> 00:15:25.459
weil das Problem ist, der berühmte Black-Duck-Scan, der deckt quasi nur hinterher

00:15:25.459 --> 00:15:29.479
auf, was denn am Ende des Tages alles in das Produkt reingerutscht ist.

00:15:30.279 --> 00:15:32.619
Und dann ist das Kind theoretisch auch noch in den Boden gefallen.

00:15:34.219 --> 00:15:38.659
Gibt es auch Fälle, Also du hast gerade gesagt, welche Komponenten sind schützenswert

00:15:38.659 --> 00:15:41.739
und welche nicht. Und da denke ich jetzt aus technischer Perspektive an Microservices.

00:15:42.619 --> 00:15:46.359
Ist das durch eine Microservice-Architektur halt auch abgedeckt?

00:15:46.439 --> 00:15:49.279
Das heißt, ich habe jetzt einen Service, der kann Open Source sein,

00:15:49.319 --> 00:15:51.739
wie auch immer, aber der kommuniziert dann über eine REST-API.

00:15:51.919 --> 00:15:56.439
Ist es ausreichend genug, dass ja diesen Copyright-Verstoß dann quasi schützt,

00:15:56.459 --> 00:15:59.619
obwohl es eigentlich damit sehr eng miteinander verbunden ist,

00:15:59.659 --> 00:16:03.039
weil über ein Protokoll, aber nicht mehr in einem einzelnen Repository?

00:16:03.579 --> 00:16:08.099
Das ist tatsächlich ein guter Punkt, weil tatsächlich das sehr stark auf die

00:16:08.099 --> 00:16:09.499
einzelnen Lizenzen ankommt.

00:16:09.659 --> 00:16:14.199
Und da sind auch tatsächlich, wir haben jetzt nur über den drei,

00:16:14.299 --> 00:16:19.879
vier großen Lizenzen gesprochen, aber da gibt es tatsächlich wahnsinnig viele

00:16:19.879 --> 00:16:21.459
Varianten, Variationen.

00:16:21.459 --> 00:16:27.759
Also die, bleiben wir mal bei der GPL, die geht ja immer von einer funktionalen

00:16:27.759 --> 00:16:34.179
und einer inhaltlichen Verknüpfung.

00:16:34.459 --> 00:16:39.499
Das heißt, habe ich ein Executable, dann klar, habe ich ein Copy-Left-Effekt,

00:16:39.639 --> 00:16:42.879