laforge
/
laforge-slides
1
0
Fork 0
Code Pull Requests Releases Wiki Activity
laforge-slides/2017/gpl_enforcement-clt2017/gpl_enforcement-clt2017.adoc

430 lines
16 KiB
Plaintext
Raw Permalink Blame History

Wie man die GNU GPL rechtlich durchsetzen kann
==============================================
:author: Harald Welte <laforge@gnumonks.org>
:copyright: gpl-violations.org (License: CC-BY-SA)
:backend: slidy
:max-width: 45em
== Über den Vortragenden
Software- und Elektronik-Entwickler, *kein Jurist*
* Seit 1991 in Datennetzen unterwegs
* 1993 erste Kontakte mit Linux (als Anwender)
* 1999-2005 im netfilter/iptables-Projekt aktiv
* Open Hardware Projekte (RFID, SIM card tracer, ...)
* Open Source Projekte, das letzte Jahrzehnt Mobilfunk
** 2006: OpenEZX (Linux auf Motorola Telefonen
** 2007: Openmoko
** 2008: OpenBSC
** 2010: OsmocomBB
** seitdem: Jede menge Osmocom-Unterprojekte
* von 2003-2013: gpl-violations.org zur GPL-Durchsetzung
== Überblick
* Freie Software, Copyleft und GPL
* Lizenzbedingungen: Wer, wann, was?
* Folgen des Lizenzverstosses
* Schritte zur Durchsetzung
* Anekdoten, Ausblicke
== Freie Software
Definition, Frei nach der Free Software Foundation:
* Freiheit, das Programm für jeden Zweck ausführen zu dürfen
* Freiheit, die Funktionsweise zu untersuchen und es anzupassen
* Freiheit, das Programm weiterzuverbreiten um anderen zu Helfen
* Freiheit, das Programm zu verbessern
== Freie Software und Lizenzen
* Freie Software kann unter Vielzahl von Lizenzen stehen (oder in
einigen Ländern gar **public domain** sein)
* Grundlegend gibt es zwei klassen:
** **permissive**: Proprietäre Veränderungen erlaubt
** **copyleft**: Veränderungen nur unter gleicher Lizenz
Es gibt wie immer (vi/emacs, anyone?) unterschiedliche Auffassungen.
Historisch ist das *BSD Lager permissive, und GNU/Linux Copyleft.
== Das Copyleft
Das Copyleft ist die Idee, die Freiheiten der Software abzusichern
* unter Benutzung des Urheberrechts
* unter Verwendung einer Lizenz, die die Freiheiten garantiert
* Aber: Einführung einiger Pflichten
** Sicherstellung, dass der Quellcode immer zugänglich sein wird
** Sicherstellung, dass niemand jemals die Freiheiten entfernen kann
== Copyleft als Interessenausgleich
Das Copyleft
* schützt Autoren vor einseitiger Ausbeutung durch spätere Weiterentwicklungen
* stellt für mich einen Fairen Interessenausgleich dar:
** jeder gibt seinen Teil zur Entwicklung bei
** jene, die das nicht verstehen werden nicht zur aktiven Teilnahme am
Entwicklungsprozess gezwungen, aber zumindest zur Herausgabe des
Quellcodes etwaiger Veränderungen
Die GNU GPL gilt als *starkes Copyleft*
== Die GNU GPL (v2)
* Knüpft Bedingungen nur an die Verbreitung des Programms, *nicht*
an die Nutzung!
* Gestattet Verbreitung des (veränderten oder unveränderten) Quellcodes, wenn
** Die Lizenz genannt wird
** Eine vollständige Kopie des Lizenztexts beigefügt ist
* Gestattet Verbreitung des (veränderten oder unveränderten) ausführbaren Programms, wenn
** Die Lizenz genannt wird
** Eine vollständige Kopie des Lizenztexts beigefügt ist
** Der Quellcode beiliegt, oder ein **schriftliches Angebot zur Quellcodeabgabe** gemacht wird.
== Die GNU GPL: Verbreitung
Was ist Verbreitung?
* Vertrieb auf Datenträger
** CD-ROM, DVD-ROM, USB-Drive, ...
** Flash-Chip in Embedded Devices (Smartphone)
* Download ("öffentliche Zugänglichmachung")
* Kurioser: Ausstrahlung über Satellit (Receiver-Firmware-Update)
* es ist egal, ob es um Verkauf oder Verleih geht, oder ob Geld
gezahlt wurde
** Merke: Im falle nicht-kommerzieller Verbreitung darf das
schriftliche Angebot zur Quellcodeabgabe von anderen weitergereicht
werden, ohne dass man selbst den Quellcode anbieten müsste.
== Vollständiger Korrespondierender Quellcode
* GPL spricht von **vollständigem korrespondierenden Quellcode**
** um Sicherzustellen, dass der Empfänger wirklich genau jene Version des Programms untersuchen, kompilieren und verändern kann, die er als Executable erhalten hat
* z.B. für ein in C geschriebenes Programm heisst dies
** Quellcode (C-Dateien)
** Header-Files (H-Dateien)
** Makefiles ("scripts to control compilation and installation")
** compile-time Konfiguration (z.B. Kernel .config)
* Prinzip / Intention:
** Alles was man jenseits des Compilers braucht, um das Programm zu übersetzen
== GPLv2 vs GPLv3
* GPLv3 wurde in 2007 veröffentlicht
* genaue Analyse der Unterschiede sprengt den Vortrag
** Anpassungen / Konkretisierungen 15 Jahre alten GPLv2
* Unterschiede im Detail, Prinzip das gleiche:
** Pflichten greifen beim Verbreiten der Software
** Quellcode muss bei veränderter und unverändertem Programm zur
Verfügung gestellt werden
== GNU Lesser GPL (LGPL)
* LGPL erlaubt das verlinken eines LGPL-lizenzierten Programmes mit
einem Programm unter anderer Lizenz (z.B. proprietär)
* copyleft-Bestimmungen beziehen sich nur auf den unter LGPL
lizenzierten Teil, nicht auf andere Teile
* LGPL v2.1 im Text oft konkreter als GPL v2
** z.B. klarstellung, wie inline-Funktionen zu handhaben sind
LGPL = GPL--
== GNU Affero GPL (AGPL)
* AGPL erweitert die Pflichten über jene der GPL hinaus.
* Pflichten (zur Quellcodeabgabe)
** nicht nur bei Verbreitung des Programms (GPL/LGPL), sondern
** auch bei Interaktion mit dem Programm über ein Netzwerk
* Deckt damit den immer wichtigeren Bereich Software-as-a-Service ab
AGPL = GPL++
== GPL-Verletzungen / Folgen
Wird unter der GPL lizenzierte Software verbreitet, ohne dass alle Bedingungen der Lizenz eingehalten werden,
* erlischt die Lizenz
* Verletzung des Urheberrechts der Autoren an dem Programm
** zivilrechtliche Ansprüche
** strafrechtliche Ansprüche
* möglicherweise andere rechtliche Folgen
** Wettbewerbsrecht (unlauterer Wettbewerb)
** Rückgaberecht der Kunden (Produkt mit Rechtsmangel)
== GPL-Verletzung / zivilrechtliche Folgen
* Unterlassungsanspruch
** Schutz vor weiteren Verletzungshandlungen
* Schadenersatz
** für den wirtschaftlichen Schaden der Verletzungshandlung
* Aufwandserersatz für Kosten
** der rechtlichen Durchsetzung (Anwaltskosten)
** des Nachweises des Rechtsverstosses (Testkäufe, Re-Engineering, ggfs. Gutachten)
* Auskunftanspruch
** z.B. Namen aller gewerblichen Abnehmer der verletzenden Produkte
== Wer kann Anspüche geltend machen?
Für Ansprüche aus dem Urheberrecht:
* Jeder, der Urheberrechte an dem Programm geltend machen kann
** Der urprüngliche Autor
** Jeder, der Bearbeiterurheberrecht an Weiterentwiclungen hält
ggfs. weitere Ansprüche durch Wettbewerber, Kunden, aber diese
deutlich weniger ausgeprägt und weniger sanktioniert.
== Wo kann man Anspüche geltend machen?
* Bei jedem zuständigen Gericht
* Wenn Produkt Online vertrieben wird, beliebiger Gerichsstand in
Detuschland
* Was ist bei ausländischen Verursachern?
** ohne Niederlassung in Deutschland erstmal nicht greifbar
** Deutsche Importeure, Distributoren, Händler können in Deutschland
belangt werden
** rechtlicher Druck auf diese transformiert sich in wirtschaftlichen
Druck den Zulieferern gegenüber
== Meine persönliche Erfahrung
* Jahrelange Mitarbeit an Linux Kernel und anderen unter GPL
veröffentlichten Programmen
* grosse persönliche Investition von Zeit und Energie, im "Glauben"
an das kollaborative Entwicklungsmodell
* in 2003 werden erste Geräte bekannt, die Linux (mit
netfilter/iptables) ausliefern, ohne dass die Lizenz eingehalten
wird.
* zaghafte Versuche zur Lösung auf dem Verhandlungsweg durch die FSF
brauchen zu viel Zeit
* Idee: Eigene Ansprüche nach Deutschem Recht durchsetzen
** (exzellente) Anwaltliche Beratung durch Dr. Till Jaeger
== Durchsetzung / Zeitlicher Ablauf (0)
Schritt 0: Feststellung des Verstosses
* Testkauf der Software (ggfs. Teil eines Embedded Device)
* Ist ein Lizenzhinweis und der Lizenztext enthalten?
** Anleitung (gedruckt, CD) oder Benutzerinterface?
* Ist der Quellcode enthalten?
** Wenn ja, ist er *vollständig und Korrespondierend*?
** Wen nein, ist ein schriftliches Angebot zur Quellcodeabgabe enthalten?
*** Anforderung des Quellcodes und anschliessende Prüfung auf Vollständigkeit
* Dokumentation sämtlicher Schritte
Am Ende wird feststehen, ob die Lizenzbedingungen eingehalten
wurden, oder ob es nennenswerte Verstöße gegen die Lizenzbedingungen
gibt.
== Durchsetzung / Zeitlicher Ablauf (1)
Schritt 1: Kommunikation im Vorfeld
* Man kann versuchen, den Verletzer auf das Problem aufmerksam zu
machen
* Erfahrung zeigt: Bringt in der Regel keine Abhilfe, schon gar nicht
schnell oder angemessen :(
* Auch wenn man bei Produktmanager oder anderen Verantwortlichen
landet, und auf konkrete rechtliche Folgen hinweist oder damit
droht, interessiert das i.d.R. niemanden
* Ausnahme in den letzten Jahren: Grosse Firmen mit eigener interner
"Open Source Compliance Abteilung"
== Durchsetzung / Zeitlicher Ablauf (2)
Schritt 2: Abmahnung
* weist Geschäftsführer des Verletzers auf konkreten Verstoss hin
* macht Ansprüche geltend, z.B.
** Abgabe einer Unterlassungserklärung
** Auslagenerstattung
* setzt Frist
** muss sehr kurz gefasst sein, wenn ggfs. einstweilige Verfügung beantragt werden soll
== Durchsetzung / Zeitlicher Ablauf (3a)
Schritt 3a: Unterlassungserklärung abgegeben
* Programm darf ab sofort nur Lizenzkonform verbreitet werden
** Vertrieb muss demnach komplett umgestellt sein
** je nach Verstoss teils aufwändig, da z.B. Beipackzettel in alle lagernden Geräte gelegt werden müssen
== Durchsetzung / Zeitlicher Ablauf (3b)
Schritt 3b: Einstweilige Verfügung
* Verletzer gibt keine Unterlassungserklärung ab
** jetzt bleibt nur der Gang vor Gericht
* Gerichtsverfahren dauern oft Jahre
** Produkt ist ggfs. bis zur Verhandlung nicht mehr im Handel
* Abhilfe: Einstweilige Verfügung
** wird vor Gericht beantragt
** wird i.d.R. binnen Tagen oder wenigen Wochen erteilt
* Untersagt dem Verletzer sofort den weiteren Vertrieb ohne Einhaltung
der Lizenz
Beklagter kann Widerspruch einlegen -> mündliche Verhandlung
== Durchsetzung / Zeitlicher Ablauf (3a-1)
Schritt 3a-1: Erneuter Verstoss
* Erneute Zuwiderhandlung ist
** erneuter Urheberrechtsverstoss, *und*
** verwirkt die Vertragsstrafe
Aber: Eine Unterlassungserklärung ist in Deutschland nur dann
rechtlich zulässig, wenn sie strafbewehrt ist. Es geht also nicht
ohne. Höhe kann dem Ermessen eines Gerichts überlassen werden.
== Erfolge gpl-violations.org (2004-2013)
Nach ersten Erfolgen mit netfilter/iptables bei Routern, Aktivitäten
mit mehreren Freiwilligen unter gpl-violations.org gebündelt:
* Mehrere Hundert Verletzungen nachgewiesen und verfolgt
** einige ohne rechtliche Durchsetzung beigelegt
** viele nie über das Stadium der Abmahnung / Unterlassungserklärung hinausgekommen
** einige Fälle mussten vor Gericht
*** manche davon nur bis zur einstweiligen Verfügung, andere durch Widerspruch/Instanzen
*** alle davon erfolgreich / gewonnen
Fazit: Die GPL kann in Deutschland durch Urheber erfolgreich durchgesetzt werden!
== Erfolge gpl-violations.org (2004-2013)
Allnet GmbH, Siemens AG, Fujitsu-Siemens Computers GmbH, Axis A.B.,
Securepoint GmbH, U.S.Robotics Germany GmbH, Belkin Components GmbH,
ASUS GmbH, Gateprotect GmbH, Sitecom GmbH / B.V., TomTom B.V.,
Gigabyte Technologies GmbH, Sun Deutschland GmbH, Deutsche Telekom AG,
Hitachi Inc., Tecom Inc. ARP Datacon GmbH, Conceptronc B.V., D-Link
GmbH, Adaptec Deutschland GmbH, TARGA GmbH, Medion AG, naviflash mbH,
Maxtor Inc., Cisco Deutschland GmbH, Fortninet, iRiver Europe GmbH,
Acer Deutschland GmbH, SMC Networks GmbH, Samsung, Thecus, Western
Digital, Avocent, Canyon, Digital Data, Cowon, DGStation, Smartlink,
Sphairon, DeviceVM, Kenwood, Telegent, Barracuda Networks, Ovislink,
Assmann, Gamepark Holdings, Hermstedt, Longshine, Motorola, Skype,
Agfeo, ...
== Warum ist GPL-Durchsetzung wichtig?
* Jede sanktionierte Regel muss auch in der Praxis immer wieder
durchgesetzt werden, damit die Regel wahrgenommen wird
** vgl. Geschwindigkeitskontrollen im Verkehr: Es würde sich kaum
jemand dran halten, gäbe es keine Kontrollen.
* Eine 100%ige Kontrolle ist weder nötig noch gewollt. Kein "Poilzeistaat"!
* gerade [auch, grosse] Firmen sollen lernen, dass FOSS keine Einbahnstrasse ist
* Frage der Fairness: Keine Kontrollen heisst, dass Lizenzverletzer
einen wirtschaftlichen Vorteil gegenüber jenen haben, die sich
korrekt verhalten.
== Warum ist GPL-Durchsetzung wichtig?
Business Risk
* Unternehmen treffen Entscheidungen basierend auf dem damit
verbundenen Risiko
* Aufwand wird (oft nur) dort betrieben, wo es ein Risiko abzuwenden gilt
* Je mehr GPL-Durchsetzung, desto höher das Risiko negativer Folgen
bei GPL-Verstössen
== Warum machen das so wenige?
* Nicht jeder Entwickler ist Urheber
* Lästiges Thema, benötigt viel Zeit und hält von der (technischen)
Arbeit ab
* Rechtliches und finanzielles Risiko, wie bei allen
Rechtsstreitigkeiten
* Nichts für schwache Nerven, was man sich da alles für Lügen
und Unterstellungen der Gegenseite anhören muss :/
== Schreckt GPL-Enforcement ab?
These: GPL-Durchsetzung verängstigt Firmen -> Abwendung von Linux
* Lizenzverträge sind bei jeder Software einzuhalten, egal ob GPL
oder nicht.
* zu verstehen, was in eigenen Produkten für Software ist, und
übersetzbaren Quellcode zu haben, ist auch für Hersteller +
Lieferkette ein Vorteil
* Praktisch oft schwierig, da Hardware-Unterstützung und Entwickler
für andere Betriebssysteme oft fehlen
* Wen die Einhaltung weniger Pflichten schon so abschreckt, der wird auch
sonst nicht viel zur Freien Software beitragen?
== Schwierigkeiten der Hersteller
* Das Verständnis dafür, dass es Pflichten gibt, die man nicht
finanziell abgelten kann ;)
* **complete corresponding source** muss für jede jemals ausgelieferte
Software-Version jedes einzelnen Geräts zur Verfügung gestellt werden.
** Es reicht nicht, einmal irgendeine Version zu veröffentlichen
** Source Code Release muss Teil des (hoffentlich automatisierten)
Build-Prozesses werden
* Probleme in der Lieferkette
** Zu viele Produkte werden einfach weiterverkauft (auch unter eigenem
Namen), ohne dass je ein Techniker mal "hineinschaut" :/
** Verträge mit Zulieferern, die keine FOSS Lizenzen berücksichtigen
== Kuriositäten
* dieser Herr Welte ist garnicht der Autor, nur jemand der so heisst
* "Bestreiten durch Nichtwissen"
* "Herr Welte ist eine Rechteverwertungsgesellschaft (sowas wie die
GEMA) und bedarf der Genehmigung durch das DPMA."
* "Linux ist der kleine gelbe Kasten rechts unten"
* "ein Router ist kein Computer, wo ist denn da die Tastatur"
* "Wir verwenden gar kein Linux"
* "Die GPL Verstösst gegen Kartellrecht"
* "Dieses Produkt enthält die Software "netzfilter/ip-tabellen" die
unter der allgemeinen öffentlichen GNU-Lizenz steht"
== GPL-Verletzungen heute
13 Jahre nach dem ersten Gerichtsurteil...
* Man würde meinen, Firmen hätten das inzwischen längst im Griff
* Realität leider anders
** Erfolge bei einigen (grossen) Firmen, die wirklich dazugelernt haben
** Aber: Es gibt immer mehr Produkte mit Freier Software
*** von Firmen, die nicht aus der klassischen IT kommen, oder die nichts mit FOSS zu tun haben
** Verlust des Wissen über GPL-Compliance durch Mitarbeiterfluktuation
** Grosse Firmen sind oft Komplex, nur weil Abteilung A das Problem
verstanden hat, heisst das nichts für Abteilung B, C und D.
* Das praktische Risiko bei bewussten oder fahrlässigen
Lizenzverstössen ist immernoch niedrig, dazu wenig Durchsetzung.
** **Software Freedom Conservancy** (USA) leistet gute Arbeit, aber
ist (wie auch gpl-violations.org früher) nur ein Tropfen auf dem
heissen Stein.
== Ausblick
* Es gibt Pläne, gpl-violations.org zu reaktivieren
** Arbeit von mir (ich skaliere schlecht) auf mehr Leute Verteilen
*** geht nur, wenn ich nicht mehr persönlich das rechtliche Risiko
Trage
** Form: Eingetragener Verein nach Deutschem Recht
** Entwickler sollen Rechte in den Verein einbringen können
** Verein kümmert sich dann um Durchsetzung
== Fragen
Alle Anwesenden haben jetzt **eine Lizenz, Fragen zu stellen**
Danke für die Aufmerksamkeit.
Viel Spass beim restlichen CLT 2017.
View Git Blame Copy Permalink