Der kommende Cyber Resilience Act soll die Sicherheit im Netz verbessern. Doch der Vorschlag der EU-Kommission gefährde das gesamte Open-Source-Ökosystem, warnt die Open Source Business Alliance.
Der geplante Cyber Resilience Act (CRA) der EU könnte Open-Source-Software gefährden, warnt die Open Source Business Alliance (OSBA) in einer Stellungnahme zu dem Gesetzentwurf. Demnach scheine der Entwurf „in erster Linie mit Blick auf proprietäre Software geschrieben zu sein“, kritisiert die OSBA. In den anstehenden Verhandlungen rund um das Gesetz müsse unter anderem die Ausnahme für nicht-kommerzielle Open-Source-Hersteller noch verbessert werden, fordert die Interessensvertretung.
Der Cyber Resilience Act wurde mit dem Ziel ins Leben gerufen, die Cybersicherheit zu stärken. Produkte „mit digitalen Elementen“ sollen vom Design über die Herstellung bis hin zur Nutzung höhere Sicherheitsvorgaben erfüllen. Die EU-Kommission schlug den Entwurf im Herbst vergangenen Jahres vor. Im Herbst sollen die Verhandlungen zwischen EU-Kommission, dem Parlament und den EU-Ländern rund um das fertige Gesetz beginnen.
Besserer Fokus nötig
Die Entwicklungs- und Vertriebsmodelle proprietärer Software würden sich von jenen für Offene Software unterscheiden, erklärt die OSBA. Statt geschlossener Ökosysteme zeichne sich Open-Source-Software durch den offenen und kooperativen Ansatz sowie durch freie Softwarelizenzen aus. Damit hätten ihre Hersteller, bei denen es sich teils um Freiwillige ohne kommerzielle Interessen handle, keine direkte Kontrolle auf die Weiterverarbeitung ihrer Software durch Drittnutzer:innen. Durch den aktuellen Entwurf müssten sie damit rechnen, für Handlungen Dritter zu haften.
Zwar versuche der CRA dieses Problem zu umgehen, indem es nicht-kommerzielle Aktivitäten von kommerziellen Aktivitäten unterscheidet. Jedoch sei diese Einteilung der OSBA nach nicht gut gelungen, die Definition von „kommerziell“ sei nicht klar genug. So ergebe sich ein zu großer Deutungsspielraum und kein eindeutiger rechtlicher Geltungsbereich. Zugleich stelle der CRA zu hohe Anforderungen an kleine Unternehmen, die keine Mittel hätten, diese umzusetzen.
Ein mangelhafter rechtlicher Rahmen bei gleichzeitiger Überregulierung von kleinen Unternehmen könne dem Open-Source-Ökosystem schaden und zu einem „Dominoeffekt“ führen, mahnt die OSBA. So könnten sich womöglich nicht-europäische Anbieter aus dem europäischen Markt zurückziehen, während deutsche Unternehmen ihr Engagement in Open-Source-Projekten einstellen könnten. Durch den CRA drohe ein „Chilling-Effekt“, der großen Schaden im gesamten Open-Source-Ökosystem anrichten könnte.
Klare Sprache soll helfen
Um dies abzuwenden, schlägt die OSBA eindeutigere Formulierungen vor, die die Abgrenzung zwischen kommerziell und nicht-kommerziell erleichtern sollen. Beispielsweise sollten wiederkehrende Spenden kommerzieller Organisationen nicht als „kommerzielle Aktivität“ erachtet werden, da viele große und kleine Open-Source-Projekte von Spenden und Stiftungen abhängen würden.
Eine Lösung hat die OSBA auch für die Haftungsfragen parat. So sollte der CRA nicht die Ersteller von Open-Source-Software in die Pflicht nehmen, sondern jene Anbieter, die mit darauf aufbauenden Dienstleistungen ihr Geld verdienen. Hierfür könnte die Definition der „Gewinnerzielungsabsicht“ aus dem deutschen Steuerrecht als Vorlage dienen, um Rechtssicherheit zu schaffen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires