Open Source regiert die digitalisierte Welt. Wie jede Regierung legt auch Open Source dabei bestimmte Rechte und Pflichten fest. Welche das sind, welche Auswirkungen diese haben und wie mit ihnen umzugehen ist, erläutert dieser Artikel.
Trotz gewisser Ähnlichkeiten unterscheiden sich Open-Source-Lizenzen hinsichtlich der spezifischen Verpflichtungen, die mit ihnen einhergehen.
Open Source ist mehr als nur eine Art und Weise, Quelltext bereitzustellen. Es ist einerseits eine Form zur Regulierung, andererseits eine Form der Gemeinschaft. Allem voran ist es aber eine Grundeinstellung. Zusammenarbeit, Geben und Nehmen sowie Transparenz sind die Werte dieser Grundeinstellung.
Zu dieser Open-Source-Gemeinschaft dürfen sich alle zählen, die jemals in irgendeiner Form an einem quelloffenen Projekt mitgewirkt haben. Die Höhe des Beitrags ist dabei irrelevant. Es können eine einfache Problemmeldung sein, ein Beitrag in Form von einem Code-Fragment oder mehrere selbst initiierte Projekte. Die so geleisteten Beiträge stehen allen zur Verfügung.
Die „Open Source Initiative“ definiert für quelloffene Software wiederum bestimmte Prinzipien, etwa den Quellcode offen zu legen oder Veränderungen, Modifikationen, Ableitungen und Kopien zu erlauben. Dabei darf weder eine Nutzungsbeschränkung noch eine Zahlungsverpflichtung entstehen.
Ein sich aus diesen Prinzipien für Open-Source-Software ergebender Vorteil ist, dass Open Source grundsätzlich die Diskriminierung von Personen, Gruppen oder Einsatzzwecken verhindert. Alle dürfen Open-Source-Software für jeden erdenklichen Zweck einsetzen. Letzteres lässt sich allerdings auch als Nachteil verstehen. Denn selbst für an sich diskriminierende oder schädigende, kommerzielle oder militärische Zwecke gilt per se kein Einsatzverbot.
Lizenzen setzen die Prinzipien durch
Lizenzen sollen die Prinzipien von Open Source rechtlich durchsetzen. Wie vieles andere auch unterliegen diese Prinzipien einer Interpretation und je nach Betrachter einer unterschiedlichen Gewichtung. Das ist auch der Grund, warum sich im Laufe der Jahrzehnte viele verschiedene Lizenzen ergeben und entwickelt haben. Sie alle bilden das Grundgerüst und Vertragswerk zur Veröffentlichung von Open Source.
Notwendig sind die Lizenzen für beide Seiten– sowohl für die Open-Source-Beitragenden (Contributors) als auch die Open-Source-Nutzenden. Ohne eine Open-Source-Lizenz gilt nämlich andernfalls der Urheberschutz. Das wäre mitunter nicht nur kompliziert, das könnte sogar fatal enden. Denn jedes Land der Welt regelt den Urheberschutz individuell und unterschiedlich. Der veröffentlichte, fremde Code lässt sich dann nicht mehr beliebig verwenden, ähnlich wie bei einem Kunstwerk oder Schriftstück.
Gleiche und unterschiedliche Verpflichtungen
Drei Lizenzen kommen besonders häufig zum Einsatz: die Apache-Lizenz, die GPL sowie die MIT-Lizenz. Auch wenn Apache-Lizenz, GPL und MIT-Lizenz sehr ähnlich sind und die gleichen Verpflichtungen vorsehen, unterscheiden sie sich doch in einigen der spezifischen, entstehenden Verpflichtungen. Folgende Gemeinsamkeiten bestehen und bilden damit die Grundlinie.
Copyright Notice und Licence Text: Alle drei Lizenzen verpflichten dazu, den vollständigen Lizenztext und den originalen Urheberrechtshinweis bereitzustellen.
Lizenzgebühren: Für die Verschaffung von Nutzungsrechten an der Open-Source-Software dürfen keine Lizenzgebühren erhoben werden.
Disclaimer: Die Autoren des Codes respektive Urheber der Open-Source-Software dürfen nicht für resultierende Schäden verantwortlich oder haftbar gemacht werden. Hier wird es jedoch schon schwierig. Der Haftungsausschluss ist mit dem deutschen Recht nicht vereinbar, weil die dauerhafte Überlassung von Open-Source-Code zwar üblicherweise als Schenkung ausgelegt wird, sich nach deutschem Recht aber dennoch eine Haftung im Falle von Vorsatz oder grober Fahrlässigkeit nach §521 BGB nicht ausschließen lässt.
Use, modify and redistribute: Der Open-Source-Code darf der Apache-Lizenz, GPL und MIT-Lizenz nach beliebig verwendet, verändert oder verteilt werden.
Auf Basis der Gemeinsamkeiten lassen sich die im Folgenden beschriebenen Unterschiede besser nachvollziehen.
MIT-Lizenz
Es hat einen Grund, warum die MIT-Lizenz bei so vielen Open-Source-Komponenten zum Einsatz kommt. Sie ist unter den drei Verbreitetsten schlicht die Genügsamste. Daher eignet sie sich grundsätzlich für alle Open-Source-Komponenten, insbesondere aber für solche mit geringer Schöpfungshöhe. Mit geringer Schöpfungshöhe ist gemeint, dass die Neuentwicklung der Open-Source-Komponente kaum bis geringen Aufwand – sowohl fachlicher als auch technischer Natur – bedeuten würde.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Apache 2.0
Die Apache-Lizenz enthält Vorgaben zur Benennung, die es bei Modifizierung oder Redistribution der Komponente einzuhalten gilt. So darf die sich ergebende Komponente namentlich nicht darauf hindeuten oder suggerieren, dass die Lizenzgebenden University of California oder Apache Software Foundation direkt beteiligt oder anderweitig involviert wären. Ein Präfix wie „Apache“ ist also ausgeschlossen, ein Suffix in Form von „basierend auf Apache Hadoop“ hingegen erlaubt.
Eine weitere Besonderheit der Apache-Lizenz 2.0 ist die Dokumentationspflicht in Form der NOTICE-Datei. Alle Änderungen des Quellcodes müssen notiert und dann in der NOTICE-Datei dokumentiert werden. Die NOTICE-Datei muss der abgeleiteten Komponente beigelegt und mit ausgeliefert werden. Existiert bereits eine solche NOTICE-Datei aus vorherigen Ableitungen, muss sie ergänzt und ausgeliefert werden, falls sich die Inhalte des Dokuments auch auf verwendete Bestandteile des genutzten Codes beziehen.
GPL v3
Die aktuelle GPL v3 zeichnet sich durch ihren starken Copyleft-Effekt aus. Copyleft bedeutet, dass wiederverteilte oder modifizierte Open-Source-Komponenten unter derselben Lizenz stehen müssen, unter der sie auch empfangen wurden, also der GPL v2 oder GPL v3. Stark ist der Copyleft-Effekt in diesem Fall, weil er sich auf das gesamte abgeleitete Werk auswirkt. Dieses muss also unter derselben Copyleft-Lizenz stehen, darauf aufbauender und entstehender proprietärer Source Code offengelegt werden. Es spielt keine Rolle, ob die Open-Source-Komponente dynamisch oder statisch gelinkt wurde.
Eine Ausnahme bilden aggregierte Werke, bei denen unterschiedliche Komponenten als eigenständig und lediglich miteinander kommunizierend betrachtet werden, etwa durch den Einsatz von Pipes, Sockets oder Kommandozeilenaufrufe. Das wäre eine reine interne Distribution oder das reine Ausführen des Codes und führt zum Entfall jeglicher Lizenzverpflichtungen.
Die GPL ist insbesondere für Werke mit wesentlicher Schöpfungshöhe geeignet, also bei Werken, deren Neuentwicklung sowohl fachlicher technischer aufwändig ist.
Weniger kompliziert als gedacht
Trotz der Vielfalt der Lizenzen haben alle dasselbe Ziel: ein rechtliches Gerüst für die Open-Source-Prinzipien schaffen. Die Lizenzen wollen also positiv wirken. Größtenteils kommen die Apache-Lizenz 2.0, die MIT-Lizenz und die GPL v3 zum Einsatz, die viele Gemeinsamkeiten und nur wenig Unterschiede teilen.
Mark Lubkowitz
(Bild: msg)
Für eigene Open-Source-Projekte bieten sich alle drei Lizenzen an, im Zweifelsfall ist die MIT-Lizenz immer eine gute Wahl. Wer auf die Apache-Lizenz stößt, sollte dringendst an die Dokumentationspflicht denken. Und geht es um die GPL v2, GPL v3 oder gar die LGPL, dann gilt es, die Architektur und die Komposition der Komponenten des abgeleiteten Werks auf die Wirkweise des Copyleft-Effekts genau zu prüfen. Schon ein kleiner Umbau kann die Verpflichtungen aus der GPL aufheben.
* Mark Lubkowitz ist Lead IT Consultant bei msg. Er ist Software-Entwickler sowie Journalist und ausgewiesener Experte für die Themen Digitale Souveränität, Open Source, Webtechnologien und Digitale Transformation.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/34/fd/34fdef54803731e87c26c895abe5f9f0/0128873273v1.jpeg "Wenngleich Quantencomputer aktuell noch sehr teuer sind und deren allgemeine Verfügbarkeit derzeit noch Zukunftsmusik ist, wappnet sich das BSI bereits jetzt gegen die Cyberangriffe von morgen. (ec0de - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/f9/7af9bb48ac1b02e6dd9f656a3764eafa/0129089298v1.jpeg "Warum klassische MES-Systeme an Grenzen stoßen und wie Cloud-native MOM-Plattformen für mehr Flexibilität und Effizienz sorgen, zeigt der Gastbeitrag. (Bild: © panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/c4/9bc4fe1cc8c3e949b56c9ecd2fcd2c66/0129143613v1.jpeg "IBM Sovereign Core soll Flexibilität, Konsistenz und Sicherheit für das Hosten und Verwalten traditioneller und KI-Anwendungen bieten. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/dd/67dd21da675be/logo-horizontal-rgb.svg "logo-horizontal-rgb (Hyland)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/0f/0b/0f0bed946f9ec3c0a0c122657383890b/0122803775v1.jpeg "Gemeinschaftliches Daten-Management auf Open-Source-Basis und On-Premises. „OpenCloud“ verspricht einen Beitrag zur digitalen Souveränität. (Bild: Open Cloud)")
:quality(80)/p7i.vogel.de/wcms/cf/b4/cfb4b211d1f189c2c25d976ed92153ca/0128857194v1.jpeg "So optimieren Sie Nextcloud: Zielgerichtete Anpassungen in PHP und Datenbank für schnellere Reaktionszeiten und verbesserte Systemleistung. (Bild: © Olivier Le Moal - stock.adobe.com)")