1. Open Source als Chance und Bremse
Open-Source-Software (OSS) treibt als integraler Bestandteil moderner Fahrzeugarchitekturen die digitale Transformation voran - von Steuergeräte-Software über Connectivity-Stacks bis hin zu KI-gestützten Fahrerassistenzfunktionen. Ihre Nutzung verkürzt Entwicklungszyklen und senkt Kosten, findet aber nicht in einem rechtsfreien Raum statt; Open-Source-Lizenzen sind rechtlich bindende Bedingungen, deren Missachtung zum Wegfall von Nutzungsrechten und damit zu Urheberrechtsverstößen führen kann.
Im Automotive-Sektor hat sich Open Source Compliance zu einer zentralen Lieferkettenmetrik entwickelt: OEMs und Systemintegratoren verlangen von Zulieferern den lückenlosen Nachweis einer rechtssicheren Software-Governance - mit unmittelbaren Auswirkungen auf Vergabe, Vertragsstrafen und Marktzugang.
2. Urheberrechtliche Einordnung und regulatorische Differenzierung im Fahrzeugkontext
Open-Source-Lizenzen sind Lizenzverträge, die Nutzungsrechte nur unter Einhaltung klar definierter Bedingungen gewähren; Verstöße lassen Nutzungsrechte z.T. entfallen und bergen urheberrechtliche Risiken bei weiterer Verwendung.
In der automobilen Praxis wirken die Open Source Bedingungen in ein dichtes Typgenehmigungs- und Sicherheitsregime hinein: Änderungen am Fahrzeugcode (einschließlich OSS-Komponenten) können Typgenehmigungsparameter berühren und unterliegen zusätzlichen prozessualen Anforderungen, insbesondere bei Software-Updates und Over-the-Air (OTA) Kampagnen.
3. Aktuelle Stolpersteine: Eine Auswahl
- (a) Ansprüche wegen fehlender Compliance mit spezifischen Vertriebsvorgaben aus den Open Source Lizenzen
Ähnlich wie bei Verstößen gegen Lizenzpflichten in anderen Branchen, können ggf. auch im Automotive-Bereich die Rechtsfolgen von Verstößen erheblich sein. Rechteinhaber am Open Source Code können bei Lizenzverstößen Unterlassung verlangen – bis hin zu Verkaufsstopp oder Rückruf ausgelieferter Hardware (z. B. Fahrzeuge/ECUs mit eingebetteter Software).
Ob auch andere Personen als Rechteinhaber Ansprüche haben, wenn spezifische Bedingungen in den Lizenzen zwischen Rechteinhabern und Herstellern nicht eingehalten werden – insbesondere Kunden, die Fahrzeuge erwerben und regelmäßig „nur fahren“ – steht dagegen auf einem anderen Blatt. Hier dürfte es regelmäßig u.a. darauf ankommen, ob der Kunde konkrete Nachteile erlitten hat und ob spezifische Lizenzbedingungen Dritten gegenüber Schutzwirkung entfalten Zu berücksichtigen ist in diesem Zusammenhang auch, dass die jeweiligen lizenzrechtlichen Vorgaben ggf. unter dem Blickwinkel der für Automotive-Hersteller geltenden regulatorischen Vorgaben und Sicherheitsanforderungen ausgelegt werden müssen.
- (b) Ansprüche auf Offenlegung eigenen Codes
Darüber hinaus kann der sog. „Copyleft-Effekt“ auch die Offenlegung proprietärer Algorithmen verlangen und damit den Kernwert der Software der OEMs und Zulieferer als Asset treffen - mit erheblichen Wettbewerbsfolgen in SDV-Plattformen, ADAS-Stacks und Infotainment-Ökosystemen.
- (c) Generelle Governance-Anforderungen
In Due-Diligence-Prüfungen führen unklare Open-Source-Lizenzlage regelmäßig zu Kaufpreisabschlägen, Garantien (Indemnities) oder Transaktionsabbrüchen - ein zentrales Risiko angesichts komplexer Software-Lieferketten im Automotive.
Die meisten OEMs fordern auditierbare Open-Source-Governance einschließlich SBOM und Update-Nachweisen; Nichterfüllung kann zu Ausschluss aus Lieferketten, Vergabeverfahren oder Vertragsstrafen führen. Damit wird Open Source Compliance zur Eintrittsvoraussetzung in die Fahrzeuglieferkette.
4. Fazit und strategische Handlungsempfehlungen
Open Source Compliance ist im Automotive Sektor ein integraler Bestandteil des unternehmerischen Risikomanagements und unmittelbar mit Cybersecurity- und Update-Regimen verknüpft. Unsere konkreten Empfehlungen and Tier-Supplier aller Stufen und OEMs:
- (a) Führen Sie ein Baseline-Audit Ihrer typgenehmigungsrelevanten Softwareprodukte und Lieferkettenartefakte durch, insbesondere mit Blick auf:
- (i) Lizenzanalyse und Architekturberatung (Permissive vs. Copyleft) in SDV-, ADAS-, Infotainment- und Connectivity-Plattformen, inkl. IP-Schutz und Typgenehmigungskonformität.
- (ii) Gestaltung und Auditierung von Open Source Policies und Prozessen im Einklang mit SUMS/CSMS, inkl. RXSWIN- und Update-Dokumentation für Behördenaudits.
- (b) Etablieren Sie eine interdisziplinäre Governance-Struktur und verknüpfen Sie Open-Source-Prozesse mit SUMS/CSMS-Anforderungen (Threat/Risk-Analysen, Update-Validierung, RXSWIN-Verwaltung) für Audit- und Marktzugangssicherheit.
- (c) Implementieren Sie kontinuierliche SBOM- und Konfigurationskontrollprozesse und sichern Sie Integrität/Authentizität von Updates (OTA-fähig, roll-back-fähig, Nutzerinformation) gemäß R156.
- (d) Sensibilisieren und schulen Sie Ihre Entwicklerteams regelmäßig zu Lizenzpflichten und Sicherheitsanforderungen (Security by Design, Compliance by Design), einschließlich Copyleft-Risiken in eingebetteten Systemen.
- (e) Prüfen Sie eine OpenChain ISO/IEC 5230 Konformität, um Lieferkettenvertrauen zu erhöhen und Audit-/Zertifizierungsprozesse (R155/R156) effizient zu flankieren.
Open-Source-Compliance, Cybersecurity und Update-Engineering bilden im Automotive eine wechselseitig verstärkende Governance-Trilogie. Wir unterstützen Sie mit kombinierter Expertise aus IT‑Recht, IP‑Strategie, technischer Umsetzung und unserer langjährigen Erfahrung im Automotive-Sektor, um Innovationen rechtssicher und nachhaltig zu gestalten.
