AGB für kleine Unternehmen – notwendig oder verzichtbar?
2. April 2026
Open Source Software (OSS) ist das Rückgrat moderner Softwareentwicklung. Nahezu jedes Startup nutzt Bibliotheken, Frameworks oder Container-Images aus offenen Quellen. Juristisch betrachtet ist das jedoch keine unverbindliche Gefälligkeit, sondern ein Lizenzverhältnis mit klaren Rechten und Pflichten.
Dass ein Großteil der Startups keine strukturierte OSS-Compliance betreibt, ist deshalb kein bloß organisatorisches Defizit – sondern ein rechtliches Risiko mit potenziell erheblichen Folgen.
Was bedeutet OSS-Compliance?
OSS-Compliance meint die Einhaltung aller rechtlichen, technischen und organisatorischen Anforderungen beim Einsatz von Open-Source-Software.
Im Einzelnen fallen darunter insbesondere folgende Aspekte:
• Korrekte Einhaltung von Lizenzvorgaben (z. B. MIT, Apache, GPL) und Verständnis der damit zusammenhängenden Pflichten (z.B. Copyleft-Effekt, Auslieferung von Notices)
• Dokumentation von Abhängigkeiten (Software Bill of Materials, kurz: SBOM)
• Überwachung von Sicherheitsrisiken
Die 6 Hauptgründe, warum Startups OSS-Compliance ignorieren
1. Fokus auf Geschwindigkeit statt Governance
Startups leben von Geschwindigkeit. Compliance wirkt dabei wie ein Bremsklotz. Niemand möchte gleich zu Beginn über Lizenzmodelle diskutieren.
Doch das Problem ist: Technische Schulden werden zu rechtlichen Schulden.
2. Fehlendes Bewusstsein
Open-Source-Lizenzen liegen genau zwischen zwei Welten. Sie sind zu juristisch für Entwickler und zu technisch für viele Juristen. Dadurch entsteht eine Wissenslücke, die erstaunlich groß ist.
Häufig fehlt in der technischen Welt fundiertes Wissen zu Open-Source-Lizenzen.
Beispiele für typische Irrtümer:
• Open Source bedeutet kostenlos und frei nutzbar.
• Wir modifizieren die Software ja nicht.
• OSS-Compliance betrifft nur große Konzerne.
Falsch. Besonders Copyleft-Lizenzen können erhebliche Verpflichtungen auslösen, auch wenn man selbst keine Änderungen an der Software vornimmt. Die Lizenzpflichten treffen jeden, der Open-Source-Software in sein Produkt integriert.
3. Es fehlt eine klare Zuständigkeit
In frühen Phasen von Startups gibt es:
• keinen Legal Counsel
• keinen Compliance Officer
• keinen CTO mit Governance-Fokus
OSS-Compliance fällt damit durch jedes Raster.
4. Abhängigkeiten sind nicht transparent
Moderne Projekte nutzen:
• Paketmanager
• Container-Images
• KI-Modelle
• Transitive Dependencies (Abhängigkeiten von Abhängigkeiten)
Viele Entwickler-Teams wissen haben keinen Überblick darüber, welche Lizenzen sie tatsächlich im Produkt haben. Ohne automatisierte Scans ist das kaum manuell zu kontrollieren.
5. Fehlende Tooling-Integration
Es gibt zwar Scan-Tools, aber sie sind oft nicht in den Entwicklungsprozess integriert, nicht konfiguriert oder liefern zu viele False Positives.
Ohne sauberen Prozess wird OSS-Compliance daher häufig als zu aufwendig wahrgenommen.
6. Unterschätztes Haftungsrisiko
Das mit Lizenzverletzungen einhergehende Risiko wird durchgehend unterschätzt. Open-Source-Lizenzen sind urheberrechtliche Nutzungsrechte (§§ 31 ff. UrhG) – kein „rechtsfreier Raum“.
Ohne Einhaltung der Lizenzbedingungen besteht keine wirksame Rechteübertragung. Wer Lizenzbedingungen verletzt, verliert das Nutzungsrecht – und nutzt die Software urheberrechtswidrig.
Es drohen:
• Unterlassungsansprüche
• Beseitigungsansprüche
• Schadensersatz
• Auskunftsansprüche
• Abmahnkosten
In Deutschland haben Gerichte mehrfach bestätigt, dass Open-Source-Lizenzen voll wirksam sind. International ist die Rechtslage ebenfalls gefestigt.
Lizenzverletzungen entstehen beispielsweise durch:
• Verstöße gegen Copyleft-Effekte: Wird GPL-Code falsch in proprietäre Software integriert, führt dies zur Offenlegungspflicht.
• Fehlende Attribution: Selbst bei permissiven Lizenzen sind Lizenzhinweise Pflicht.
• Lizenzinkompatibilitäten: Zwei Open-Source-Lizenzen passen rechtlich nicht zusammen, sodass Code nicht ohne Lizenzkonflikt kombiniert werden kann.
Was Startups konkret tun sollten
Das eigentliche Problem ist nicht Nachlässigkeit – sondern Struktur. Compliance kommt fast immer zu spät.
Folgende Maßnahmen dürfen daher auch in Startups nicht fehlen:
1. OSS-Policy definieren (auch wenn sie kurz ist):
• Wer ist für das Thema verantwortlich?
• Welche Lizenzen sind erlaubt?
• Wer übernimmt die juristische Prüfung neuer Dependencies?
2. Automatisierte Scans im Entwicklungsprozess integrieren:
• SCA-Tools nutzen
• SBOM automatisch generieren
3. Dokumentation von Anfang an führen
Fazit
Wer OSS-Compliance vollständig ignoriert, geht nicht nur rechtliche, sondern auch technische Risiken ein – mit direkten und ggf. indirekten Auswirkungen auf den Unternehmenswert.
Haben Sie Fragen dazu?