3. GPL Verletzung - Was kann eigentlich eine Firma gegen interne Mitarbeiter tun, wenn die sich nicht an die Regeln der

GPL Verletzung - Was kann eigentlich eine Firma gegen interne Mitarbeiter tun, wenn die sich nicht an die Regeln der


  • Gibt es überhaupt Fälle in denen eine Firma verurteilt wurde, weil gerichtlich nachgewiesen wurde dass ein closed-Source Produkt Open-Source code enthielt?
    Ich meine das Produkt ist per definition closed Source? Woher will man wissen wie der Source aussah. Das kann doch dann nur von Whistleblowern innerhalb der Firma kommen, oder? Wie sieht die Beweisaufnhamen in so einem Verfahren aus? Vergleicht ein Experte Original und Kopie??

    Mal abgesehen davon und zurück zum Fallbeispiel. Ich denke die Verantwortung trägt letztlich in der Tat immer die Firma.
    Konkrete Möglichkeiten solche Sachen zu verhindern sind Code Reviews, Pair Programming, agile Methoden, oder allgemein ein intensiverer Austausch zwischen den Proggern mit gegenseitiger Kontrolle. Die Bildung von Inseln (jeder Coder seinen genau abgesteckten Aufgabenbereich) ist da selten förderlich.

    0
  • K

    nur ein einziger Programmierer ist ein schwarzes Schaf

    Ich denke das schwarze Schaf hat es richtig gemacht.

    bei den Kommilitonen die Hausübungen abgeschrieben

    Das hat nichts mit dem Problem zu tun.

    0

  • Schwarze Schaf finden schrieb:

    Die Fragen die sich hierbei nun ergeben sind folgende:

    1. Wer Haftet nun für den entstandenen Schaden der durch den Produktrückruf und den verspäteten erneuten Release der korrigierten SW entstanden ist?

    Die Firma kann versuchen den Mitarbeiter zu verklagen, allerdings schließt die GPL das "Abschreiben" in dem Sinne ja nicht aus, sondern nur das Benutzen/Kopieren.

    Abschreiben bedeutet in der Regel ja auch eine Anpassung an das eigene Problem, zum Beispiel an die eigene API, womit durchaus ein neuer Quelltext entsteht, der ein ähnliches Problem wie der GPL-Quelltext löst, aber eben nicht die Nutzung des Originalcodes ist.
    Kurz: Man verläuft sich langsam in einer Grauzone.

    Schwarze Schaf finden schrieb:

    2. Der eine Programmierer, der ein schwarzes Schaf war, hat 5 Jahre lang Lohn und Gehalt kassiert und eigentlich nur wenig für die Firma eigenen verwertbaren Code beigesteuert.
    Hat die Firma also ein Anrecht darauf, dass bereits ausgezahlte Geld wieder zurückzuerstatten, schließlich lag keine "legale" Arbeitsleistung des Mitarbeiters vor?
    Und wer zahlt nun die Arbeitszeit der 39 anderen Programmierer, die nun die entstandenen Lücken im SW Produkt auffüllen müssen?

    Ich würde vermuten, dass das unter Haftungsrisiko der Firma fällt.

    Wenn ein Busfahrer während der Fahrt einschläft und den Bus schrottet, ist der Chef nicht glücklich, bleibt aber auf der Rechnung für den neuen Bus sitzen.

    Schwarze Schaf finden schrieb:

    3. Wenn die Firma selbst nichts verschuldet hat, also der Codeklau nicht der Firmenführung anzulasten ist, muss die Firma dann im Schadensfall an die OpenSource Programmierer überhaupt Schadensersatz leisten und wenn ja, kann die Firma dann den einen Programmierer, der den Schaden verursacht hat, in Regress nehmen? Also das Geld wieder von ihm einfordern?

    Hatte der OpenSource-Programmierer denn einen Schaden? Verdienstausfall? Niedrigere Verkaufszahlen? Eine Schadenersatzforderung basiert auf einem realen, bezifferbaren Schaden. Der Schaden für den Programmierer wird in Euro genau 0 sein.

    Schwarze Schaf finden schrieb:

    4. Wie kann so etwas eigentlich prinzipiell verhindert werden, dass kein schwarzes Schaf kopierten gestohlenen Code in die Firmensoftware einbaut?

    Ich bin mal so frei zu behaupten, dass nahezu jede aktuelle kommerzielle Software geklaute OpenSource-Software-Zeilen/Algorithmen enthält - oder, um einen Fachbegriff zu nutzen, Entwickler sich durch OSS "inspirieren" lassen.

    Mein Lieblingsfall war mal, dass man mir eine Routine auf den Tisch legte, die nicht so gut funktionierte, wie gewünscht. Auf die Frage, warum der Autor die Routine nicht korrigiert, wurde mir unter der Hand erklärt, dass derjenige sie aus dem Internet kopiert hat und nun keine "Zeit" hat, den Fehler zu finden.

    Sagen wir mal so - jetzt ist die Routine keine Kopie mehr, dafür funktioniert sie.
    Im Gespräch mit besagtem Kollegen hörte ich damals aber durchaus heraus, dass seine sehr gute Produktivität nicht mit einem guten Verständnis der Funktionsweise des von ihm committeten Code korreliert, weswegen ich davon ausgehe, dass er sich auch in anderen Teilen "inspirieren" ließ, bzw. den Part mit der Inspiration auf das Minimum verkürzt hat.

    Diese Art der Inspiration ist nicht unüblich, wie ich das überblicke und ich sage Dir ganz offen, dass ich mir gelegentlich auch fremde OSS-Codes ansehe. Meistens jedoch nachdem ich eine Lösung gefunden habe, eventuell verbessere ich dann meine Lösung weiter, wenn ich mir da was abguckt habe. Dass ich kopiere habe ich noch gehört, regelmäßig höre ich aber, dass ich mir die Arbeit doch umsonst mache, weil es doch schon OSS gibt. Da ich aber meistens zu faul bin "Inspiration" zu suchen und meistens eigene Ideen für eigene Probleme umsetze, erfahre ich von der Existenz anderer Lösungen meistens erst während ich meine Lösung implementiere.
    Andere Sachen sind mir zu aufwendig, dann suche ich vorher und nutze dann die OSS-Lösung aber auch direkt, wenn ich drüber stolpere, sofern möglich. Oder lasse mich eben davon inspirieren.

    Im aktuellen Unternehmen war die Nennung der (legal!) genutzten OSS Komponenten durchaus schonmal Thema in einem Meeting, als es darum ging, wo die Nennung der genutzten OSS-Komponenten aufgeführt werden soll.

    Schwarze Schaf finden schrieb:

    den ganzen Code gegen den ganzen in der Welt frei verfügbaren Code nach Gleichheit ...
    Hier stellt sich die Frage der Realisierbarkeit, wie soll eine Firma so etwas leisten?

    Entweder der Programmierer halten sich dran, oder sie tun es nicht.

    Das ist eine moralische Frage, gerade bei kleinen Unternehmen, die effektiv arbeiten müssen, die wenig Lizenzen verkaufen, wird auch keiner Fragen stellen.

    0
  • R

    scrontch schrieb:

    Gibt es überhaupt Fälle in denen eine Firma verurteilt wurde, weil gerichtlich nachgewiesen wurde dass ein closed-Source Produkt Open-Source code enthielt?

    bei heise standen schon einige, die free software foundation oder so verklagt solche firmen. kurz googlen wirst du sowas wohl finden.

    Ich meine das Produkt ist per definition closed Source? Woher will man wissen wie der Source aussah. Das kann doch dann nur von Whistleblowern innerhalb der Firma kommen, oder? Wie sieht die Beweisaufnhamen in so einem Verfahren aus? Vergleicht ein Experte Original und Kopie??

    sowas findet man oft durch eigenheiten der algorithmen heraus oder wenn es spezielle bugs gibt. z.b. wenn eine finanzsoftware etwas auf die falsche stelle rundet, oder eine wegfindungssoftware bei zwei exakt gleich langen strecken immer dieselbe bevorzugt wie die open source version oder wenn ein video codec dieselben artefakte produziert bzw problembilder hat. etc etc.
    es sind natuerlich nur 'hints' aber bei genuegend davon wird halt anklage eingereicht.

    beweisaufnahme ist bei sowas einfach, es gibt mehrere gutachter die beide sourcen vergleichen, auch den checkin verlauf usw usw.

    Mal abgesehen davon und zurück zum Fallbeispiel. Ich denke die Verantwortung trägt letztlich in der Tat immer die Firma.
    Konkrete Möglichkeiten solche Sachen zu verhindern sind Code Reviews, Pair Programming, agile Methoden, oder allgemein ein intensiverer Austausch zwischen den Proggern mit gegenseitiger Kontrolle. Die Bildung von Inseln (jeder Coder seinen genau abgesteckten Aufgabenbereich) ist da selten förderlich.

    ich denke nicht, dass die firma immer die verantwortung traegt. natuerlich wrid sie aus image gruenden usw ihr bestes tun, aber wenn z.b. in einem krankenhaus eine krankenschwester mit absicht den leuten falsche dosen spritzt oder desgleichen, dann wird sich der betreiber distanzieren von der person, mit dem klaeger zusammenschliessen um diese person zu ueberfuehren und alles dafuer tun (zumindestens sagen sie das aus iamge gruenden) damit das nicht nochmal passiert, aber 100% ausschliessen kann man solche individuen nicht.

    am ende sind halt alles menschen, manche sind 20jahre verheiratet und finden dinge raus die sie nie gedacht haetten und da wird eine firma mit zig mitarbeitern keine chance haben jemand boeswillig handelnden herausfiltern zu koennen.

    0
  • ?

    [quote="Xin"]
    Hatte der OpenSource-Programmierer denn einen Schaden? Verdienstausfall? Niedrigere Verkaufszahlen? Eine Schadenersatzforderung basiert auf einem realen, bezifferbaren Schaden. Der Schaden für den Programmierer wird in Euro genau 0 sein.
    [/QOUTE]

    Nun, er könnte Kosten für entgangene Lizenzgebühren verlangen, denn die freie kostenlose Lizenz wurde ja nicht durch Einhaltung akzeptiert, also hätte die Firma keine Lizenz und müßte diese vom Programmierer erwerben.

    0
  • ?

    [quote="Schwarze Schaf finden"]

    Xin schrieb:

    Hatte der OpenSource-Programmierer denn einen Schaden? Verdienstausfall? Niedrigere Verkaufszahlen? Eine Schadenersatzforderung basiert auf einem realen, bezifferbaren Schaden. Der Schaden für den Programmierer wird in Euro genau 0 sein.
    [/QOUTE]

    Nun, er könnte Kosten für entgangene Lizenzgebühren verlangen, denn die freie kostenlose Lizenz wurde ja nicht durch Einhaltung akzeptiert, also hätte die Firma keine Lizenz und müßte diese vom Programmierer erwerben.

    Also die klassische Raubkopiererhochrechnung.

    Wenn man keine Lizenz hat, was bei der GPL Verletzung ja zutrifft, dann greift nur das Urheberrecht und da hat man dann gar nichts, außer SW illegal raubkopiert.
    GPL ist ja genau deswegen Copyleft, das Fundament ist das Urheberrecht bzw. das Copyright und durch die Lizenz werden Rechte des Nutzers erweitert, nicht eingeschränkt.
    Wenn man also die Lizenz nicht hat, dann fallendie Erweiterungen raus und übrig bleibt herkömmlicher Raubkopiediebstahl.

    0

  • @Schwarze Schaf finden
    Ich dachte es geht dir um Fälle wo keine Lizenz gekauft werden kann, weil eine closed-source Lizensierung gar nicht mehr möglich ist.

    Und jetzt auf einmal soll in solchen Fällen ein Schaden argumentiert werden, der entstanden ist weil jmd. die Lizenz nicht gekauft hat, die er gar nie hätte kaufen können?

    Oder hab ich was verpasst?

    0
  • S

    Er hätte ja jederzeit fragen können. Im Umfeld des Linux-Kernels haben einige Entwickler schon geäußert, dass sie ihren Anteil des Codes für xk$ lizensieren würden. Wird halt (je nach Projekt) beliebig kompliziert, alle Devs zu erreichen und beliebig teuer - aber einfach zu sagen "auf der Webseite stand nicht, dass auch andere Lizenzmodelle möglich sind, also gibt es auch keine." ist zu einfach.

    0
  • ?

    hustbaer schrieb:

    @Schwarze Schaf finden
    Ich dachte es geht dir um Fälle wo keine Lizenz gekauft werden kann, weil eine closed-source Lizensierung gar nicht mehr möglich ist.

    Es gibt Programme die nur an den Staat lizensiert werden, z.B. Militärsimulationen
    und selbst wenn ich die nicht kaufen kann und ich diese mir daher kopiere, bleibt es eine Raubkopie.

    Daraus folgt, dass die Kaufbarkeit einer SW Lizenz unabhängig von einer etwaigen Raubkopie ist.

    Und ja, ich gehe davon aus, dass niemand der Open Sourcler eine Lizenz ihres Produkts verkaufen wollen und dennoch wurde eine illegale Raubkopie hergestellt, wenn die GPL nicht mehr greift.

    Und jetzt auf einmal soll in solchen Fällen ein Schaden argumentiert werden, der entstanden ist weil jmd. die Lizenz nicht gekauft hat, die er gar nie hätte kaufen können?

    Ja, wie schon gesagt, Militärsimulationen kann ich als Privatbürger auch nicht kaufen, aber mit entsprechendem Zugriff könnte ich sie mir illegal kopieren.

    0
  • ?

    SG1 schrieb:

    Er hätte ja jederzeit fragen können. Im Umfeld des Linux-Kernels haben einige Entwickler schon geäußert, dass sie ihren Anteil des Codes für xk$ lizensieren würden. Wird halt (je nach Projekt) beliebig kompliziert, alle Devs zu erreichen und beliebig teuer - aber einfach zu sagen "auf der Webseite stand nicht, dass auch andere Lizenzmodelle möglich sind, also gibt es auch keine." ist zu einfach.

    Exakt, dieser Punkt kommt auch noch hinzu.

    0

  • Schwarze Schaf finden schrieb:

    hustbaer schrieb:

    @Schwarze Schaf finden
    Ich dachte es geht dir um Fälle wo keine Lizenz gekauft werden kann, weil eine closed-source Lizensierung gar nicht mehr möglich ist.

    Es gibt Programme die nur an den Staat lizensiert werden, z.B. Militärsimulationen
    und selbst wenn ich die nicht kaufen kann und ich diese mir daher kopiere, bleibt es eine Raubkopie.

    Daraus folgt, dass die Kaufbarkeit einer SW Lizenz unabhängig von einer etwaigen Raubkopie ist.

    Ja nur lieber Freund kann ich dann nicht auf Schadenersatz klagen, weil die Gerichte der ideologische ideelle Schaden oder dass die Open-Sourcer jetzt voll traurig sind überhaupt nicht interessiert.
    Und kohlemässig gibt's ja keinen Schaden.

    0
  • B

    hustbaer schrieb:

    Ja nur lieber Freund kann ich dann nicht auf Schadenersatz klagen, weil die Gerichte der ideologische Schaden oder dass die Open-Sourcer jetzt voll traurig sind überhaupt nicht interessiert.

    Doch, tut es. Und das Wort ist ideell, nicht ideologisch.

    0
  • A

    Schwarze Schaf finden schrieb:

    1. Wer Haftet nun für den entstandenen Schaden der durch den Produktrückruf und den verspäteten erneuten Release der korrigierten SW entstanden ist?

    Im ersten Schritt die Firma, bei grob fahrlässigen Verhalten (was ich hier als gegeben ansehe) kann diese den Betrag einklagen.

    Das ist auch der Grund warum ich einige mündliche Vorgaben von Seite meines damaligen Chefs abgelehnt habe, weil es hier um eine wissentlich falsche Implementierung ging (Die richtige Implementierung war dem Chef zu teuer, und er meinte das es in der Gewährleistung nicht auffalle...). Ich habe ihm damals gesagt, das ich dies so nur dann umsetze, wenn er mir schriftlich dazu die Aufforderung gibt [Und nein, ich wurde nicht herausgeworfen, ich habe etwa 1-2 Jahre später selbst gekündigt].

    Als ich es ablehnte gab es erst einige lautere Diskussionen, und dann hat es wohl jemand anderes implementiert (keine Ahnung, ich selbst habe jedenfalls nichts mehr davon mitbekommen).

    Schwarze Schaf finden schrieb:

    2. ...Hat die Firma also ein Anrecht darauf, dass bereits ausgezahlte Geld wieder zurückzuerstatten, schließlich lag keine "legale" Arbeitsleistung des Mitarbeiters vor?

    Hier kann ich ehrlich gesagt nicht viel mutmaßen, ich glaube aber das der Entwickler durchaus auf die durch ihn verursachten Unkosten verklagt werden kann, auf das Gehalt wiederum keine Ahnung.

    Schwarze Schaf finden schrieb:

    3. Wenn die Firma selbst nichts verschuldet hat, also der Codeklau nicht der Firmenführung anzulasten ist, muss die Firma dann im Schadensfall an die OpenSource Programmierer überhaupt Schadensersatz leisten...

    Ja, selbst wenn sie Geld vom Entwickler einklagen kann. Ich habe mal von einem Fall mitbekommen, in dem eine Firma einen Entwickler wegen fahrlässigen Verhalten in Regress nehmen konnte (Ging um 6-7 Stellige Beträge). Ging aber nicht um GPL, sondern war noch vor der Zeit (Soviel mitbekommen waren einige Abrechnungssysteme davon betroffen und es entstand Millionenschaden wegen Fehlbuchungen).

    Schwarze Schaf finden schrieb:

    4. Wie kann so etwas eigentlich prinzipiell verhindert werden, dass kein schwarzes Schaf kopierten gestohlenen Code in die Firmensoftware einbaut?

    Das halte ich für fast unmöglich. Ich glaube nicht das es irgendwo eine Art "Codedatenbank" gibt, nach der man seinen Code analysieren kann.

    0
  • ?

    das erste Post in diesem Thread ist nicht nur wirr und setzt OpenSource mit der GPL gleich,
    es konstruiert künstlich ein Problem für einen Fall der so wie er beschrieben wird kein Problem darstellt.

    es ist ein Unterschied ob ein Hersteller ganze Libraries oder Componenten verwendet und die GPL einfach ignoriert, wie es schon passiert ist, und für eintsprechende negative Publicity gefürt hat,
    oder sich ein Entwickler für in paar Zeieln einer Software sich inspirationen von vorhandenen Code holt, wie im OP beschrieben und noch nie ein Problem darstellte.

    0
Anmelden zum Antworten