Die Neuerungen von Linux 4.14
Seite 8: Lizenz-Statement gegen Trolle & SPDX-Kennzeichnungen
Lizenz-Klarstellung gegen "Copyright-Trolle"
In den Linux-Quellen findet sich jetzt ein "Linux Kernel Enforcement Statement" genanntes Dokument. Mit ihm versucht eine Reihe von Linux-Entwicklern klarzustellen, wie sich ein Verstoß gegen die Lizenz des Linux-Kernels auf das Vertriebsrecht auswirkt. Was zunächst vielleicht nach langweiligem Juristen-Zeug klingt, hat größere Bedeutung – insbesondere für Firmen, Institutionen oder Personen in Deutschland, die GPL-lizensierte Software vertreiben. In die letzte Gruppe gehört auch der Linux-Kernel, der unter Version 2 der verbreiteten Open-Source-Lizenz steht.
Mit dem Dokument versuchen die Kernel-Entwickler, Bestrebungen von gemeinhin als "Copyright-Trollen" bezeichneten Firmen oder Individuen zu unterminieren. Diese versuchen sich zu bereichern, indem sie Verletzungen der GPL vor den Kadi bringen. Das Ganze ist vor allem eine Reaktion auf Aktivitäten des früheren Kernel-Entwicklers Patrick McHardy. Der soll seit mindestens vier Jahren über 50 Lizenzverletzungen angemahnt und zum Teil vor Gericht gebracht haben, was Zahlungen von mehreren Millionen Euro nach sich gezogen haben soll. Das geht unter anderem aus Recherchen von opensource.com respektive Greg Kroah-Hartman hervor, laut denen diese Rechtsstreitigkeiten vornehmlich in Deutschland stattfinden.
Unterlassungserklärung als Hebel für Vertragsstrafen
Laut Informationen, die öffentlich oder hinter vorgehaltener Hand kursieren, bereichern sich Copyright-Trolle unter anderem mit Vertragsstrafen. Sie weisen beispielsweise Firmen oder Institutionen auf eine Lizenz-Verletzung hin, um parallel zur Beseitigung des Problems zum Unterzeichnen einer Unterlassungserklärung zu drängen. Später unterstellt der Troll dann eine weitere Copyright-Verletzung und macht die in der Unterlassungserklärung vereinbarte Vertragsstrafe geltend.
Gegen derlei Vorgehen sollen zwei im Enforcement Statement des Linux-Kernels enthaltene Passagen helfen, die aus der GPLv3 übernommen wurden. Diese stellen klar, dass Unternehmen den Linux-Kernel nach Beseitigung der Lizenzverpflichtung erneut vertreiben dürfen. Außerdem geben sie den Unternehmen ein Zeitfenster von 30 Tagen, um die Verletzung aus der Welt zu schaffen. Laut einer gängigen Interpretation erlischt das Vertriebsrecht von GPLv2-lizenzierter Software bei einem Lizenzverstoß sofort; Copyright-Trolle nutzen das offenbar als Hebel, um Unternehmen unter Druck zu setzen.
Die beiden Passagen sind allerdings keine Ergänzung der Lizenz des Kernels. Sie sind vielmehr eine Absichtserklärung jener Linux-Programmierer, die das Dokument für sich oder für ihr Unternehmen unterzeichnet haben. Beim Entstehen dieser Textzeilen hatten 105 Entwickler das Dokument signiert, darunter viele bekannten Größen wie Linus Torvalds, Greg Kroah-Hartman, David S. Miller oder Ingo Molnar. Die Autoren des Dokuments hoffen anscheinend, dass sich die Erklärung auf Gerichtsverfahren auswirkt. Eine offizielle Lizenz-Ergänzung wäre dabei natürlich ein besserer Hebel. Eine solche wäre aber schon allein durch die vielen Copyright-Halter wohl nur schwer umsetzbar, selbst wenn McHardy nicht einer von ihnen wäre.
Hintergründe
McHardy ist keineswegs ein kleines Licht unter den Kernel-Programmierern; er war einer der Hauptentwickler hinter dem für Firewalls zentralen Netfilter-Code und wird daher sogar in der Credits-Datei genannt, die einige der wichtigsten Linux-Entwickler und ihre Beiträge nennt. Das Netfilter-Core-Team hat McHardy aufgrund seiner Aktivitäten im Sommer 2016 suspendiert und zugleich ein Statement veröffentlicht, wie ihrer Ansicht nach mit Lizenzverletzungen umzugehen sei. Die Entwickler haben der Problematik zudem einen längeren Abschnitt in ihrer FAQ gewidmet. Dieser rät Firmen unter anderem, Lizenzverletzungsanschuldigungen von McHardy nicht als informelle Verhandlung zu betrachten, weil solche letztlich mehrfach vor Gericht gelandet seien.
Die vorangegangenen Absätze beschreiben die wichtigsten Eckdaten der seit einer Weile köchelnden Lizenz-Troll-Problematik lediglich im Groben; eine detaillierte Beschreibung würde den Rahmen des Kernel-Logs sprengen – unter anderem auch, weil Lizenztexte ab einem gewissen Punkt schlicht Auslegungssache von Juristen und Gerichten werden. Hintergründe zum Vorgehen McHardys erläutert ein im August bei opensource.com erschienener Artikel. Die im Juli 2016 respektive Mai 2017 erschienenen LWN.net-Artikel "On the boundaries of GPL enforcement" und "The rise of copyright trolls" liefern weitere Details zur Problematik.
Was sich die unterzeichnenden Kernel-Entwickler vom Linux Kernel Enforcement Statement erhoffen, umreißt Greg Kroah-Hartman in einem Blog-Beitrag und einer begleitenden FAQ. Diese hat er Mitte Oktober freigegeben – letztlich also kurz bevor das Statement in den Hauptentwicklungszweig von Linux einfloss, aus dem Linux 4.14 hervorgeht.
Lizenz-Auszeichnung im Quellcode
Apropos Lizenzen: Rund ein Fünftel der in den Linux-4.14-Quellen steckenden Dateien enthält jetzt einen SPDX-License-Identifier, der die Lizenz der jeweiligen Datei im Kopfbereich in einem Einzeiler explizit ausweist. Compliance-Analyse-Werkzeuge für das Software Package Data Exchange (SPDX) genannte Format können dadurch die Lizenz der verwendeten Dateien eindeutig bestimmen. Das ist vor allem für Firmen interessant, die beim Kombinieren unterschiedlich lizenzierter Open-Source-Software sicher gehen wollen, nicht gegen Verpflichtungen einer der involvierten Lizenzen zu verstoßen.
Die Kernel-Entwickler haben die SPDX-Auszeichnung jetzt bei Dateien hinzugefügt, die im Kopfbereich bislang keine Lizenz ausweisen. Diese stehen automatisch unter der GPLv2, der Linux unterliegt. Einige Dateien von Linux stehen allerdings auch unter der MIT- oder BSD-Lizenz, denn darunter liegender Code kann in GPLv2-Projekte einfließen, weil die Lizenzen in der Richtung als kompatibel gelten.
Beim den in include/uapi/ liegenden Header-Dateien, die das Userspace-API definieren, lautet die SPDX-Kennzeichnung "GPL-2.0+ WITH Linux-syscall-note". Diese Auszeichnung weist damit explizit auf die ganz oben in der Copyright-Datei von Linux stehende Klarstellung hin, dass die Lizenz nicht auf Userspace-Programme übergreift, die Linux-Kernel-Funktionen über Syscalls ansprechen.
