Wie Open Source Compliance zum Wettbewerbsvorteil wird

Seite: 2/2

Firmen zum Thema

Der Compliance-Prozess wird zum Wettbewerbsvorteil

Dr. Catharina Maracke, Software Compliance Academy: „Die Bedeutung der Open Source Compliance im Unternehmen steigt stetig. Wenn Sie ihr Unternehmen hier gut aufstellen wollen, dann empfehle ich Ihnen das FOSS-Compliance-Seminar am 9. November 2017 in Würzburg.“
Dr. Catharina Maracke, Software Compliance Academy: „Die Bedeutung der Open Source Compliance im Unternehmen steigt stetig. Wenn Sie ihr Unternehmen hier gut aufstellen wollen, dann empfehle ich Ihnen das FOSS-Compliance-Seminar am 9. November 2017 in Würzburg.“
(Bild: Susumu Ishito)

Die Bedeutung eines Compliance-Prozesses sollte allerdings nicht nur im Kontext der Gefahrenabwehr und Risikominimierung einer persönlichen Haftung verstanden werden, sondern vor allem als echter Wettbewerbsvorteil. Geschäftspartner und Kunden legen zunehmend Wert auf gesetzeskonformes Handeln. Ein funktionierender Compliance-Management-Prozess vermeidet Folgekosten von Verstößen, verbessert den Ruf des Unternehmens und fördert damit letztendlich die Umsätze.

Untersuchungen zeigen, dass die Kosten für Rechtsverstöße höher sind als der Aufwand zur Sicherung der Compliance: Bußgelder und Schadensersatzforderungen können dem besten Jahresumsatz leicht das Genick brechen. Auch Investoren sind eher bereit in Unternehmen mit nachweisbaren Compliance-Prozessen zu investieren, um das Risiko von Sanktionen zu vermeiden. Finanzierungskosten sinken damit ebenso wie die Prämien für Haftpflichtversicherungen der Unternehmensleitung (D&O-Versicherung).

Gleiches gilt für einen wirksamen Compliance-Prozess zum Umgang mit Open-Source-Software. Es geht nicht nur darum, Unternehmen und Unternehmensleitung vor rechtlichen Konsequenzen im Fall einer Lizenzverletzung zu schützen, sondern vor allem darum, einen echten Wettbewerbsvorteil zu schaffen.

Bereits heute werden in Ausschreibungen und Auftragsverhandlungen entsprechende Nachweise zum Umgang mit Open-Source-Software verlangt. Diese reichen vom sogenannten Scanning einzelner Software Komponenten oder ganzer Produkte bis hin zum Nachweis detaillierter Compliance-Prozesse, um die rechts-konforme Nutzung von Open Source Software darzulegen.

Es ist zu erwarten, dass mit der zunehmenden Bedeutung von Open-Source-Software in kommerziellen Produkten zunehmend strengere Anforderungen an den Nachweis einer rechtskonformen Nutzung der jeweiligen Open-Source-Komponenten gestellt werden. Auch hier gilt, dass ein nachvollziehbar funktionierender Compliance-Prozess einen Vertrauensvorsprung und damit eine gegenüber Wettbewerbern verbesserte Stellung bei Ausschreibungen, Verhandlungen mit Investoren oder anderen Geschäftspartnern mit sich bringt.

Ihr Weg zum funktionierenden Open-Source-Compliance-Prozess

Welche Anforderungen sind nun an einen solchen Open-Source-Compliance-Prozess zu stellen? Die Komplexität der Softwareentwicklung und der damit ein-hergehenden rechtlichen Rahmenbedingungen stellt die Umsetzung eines Compliance Prozesses vor große Herausforderungen. Es gilt in einem ersten Schritt die Verwendung von Open-Source-Software zu erkennen und in einem zweiten Schritt die entsprechenden Lizenzpflichten zu erfassen, nachvollziehbar zu verwalten und diese Verwaltung zu dokumentieren.

Der erste Schritt wird vor allem dann erschwert, wenn Software nicht nur im eigenen Unternehmen hergestellt wird, sondern auch durch die Einbettung extern bezogener Software in eigene Produkte und in den nachfolgenden Vertrieb gelangt. Dabei sollte Open-Source-Software erkannt, dokumentiert und einem den Vorgaben des jeweiligen Unternehmens angepassten Arbeitsablauf zugeführt werden. Zur Erkennung der Open-Source-Komponenten werden derzeit verschiedene Programme angeboten, die je nach Ausgestaltung auch bestimmte Funktionen des Lizenzmanagements übernehmen können (sogenannte Scanning Tools).

Der zweite Schritt, in dem die Open-Source-Lizenzen erfasst, verwaltet und dokumentiert werden, sollte über den Einsatz eines einfachen Lizenzmanagement-systems hinausgehen. Erforderlich ist hier ein Compliance-Prozess nach dem Vorbild anderer Compliance-Management-Systeme, wobei vor allem auch die interne Verteilung der Verantwortlichkeiten im Unternehmen, die unternehmensinterne Kommunikation und Dokumentation sowie die Schulung der Mitarbeiter eine tragende Rolle spielen.

Als Vorbild kann der in Zusammenarbeit mit der Linux Foundation entwickelte Standard eines Open-Source-Compliance-Prozesses ‚OpenChain‘ dienen. Gefordert wird dort neben der Kenntnis der Verpflichtungen bei der Nutzung von Open-Source-Software, die durch interne Richtlinien und regelmäßige Schulungen nach-gewiesen werden muss, vor allem auch die nachvollziehbare Zuweisung der Verantwortlichkeiten, inklusive juristischer Expertise, das Bestehen eines internen Prüfungs- und Genehmigungsprozesses bei Produkten, die für den Vertrieb bestimmt sind, und ein Grundverständnis im Umgang und der Zusammenarbeit mit der Open-Source-Software-Entwicklergemeinschaft (Open Source Community).

Festzuhalten bleibt, dass mit dem zunehmenden Einsatz von Open-Source-Software in den unterschiedlichsten Produkten und Vertriebsketten die Bedeutung eines Open-Source-Compliance-Prozesses weiter steigen wird. Langfristig kann die effiziente Umsetzung und Qualitätssicherung solcher Prozesse nur über externe Zertifizierungsaudits erreicht werden.

Bis dahin sollten sich Unternehmen an den Vorgaben des OpenChain-Standards orientieren und vor allem die dort geforderte Kenntnis der unterschiedlichen Open-Source-Software Lizenzen, die Frage der unternehmensinternen Verantwortlichkeit und des Software-Prüfungs- und Dokumentationsprozesses umsetzen. Je effizienter und transparenter diese Vorgaben umgesetzt sind, desto größer sind der Vertrauensvorsprung, die Kostenersparnis und damit der Wettbewerbsvorteil schon heute (www.scompliance.com).

(ID:44943594)