Smart Cities: Rechtsfragen bei Open-Source und Datenstrategien

15. November 2023

Die Bundesregierung fördert 73 „Modellprojekte Smart Cities“ („MPSC“), um die Digitalisierung in der Städteentwicklung zu stärken und Lösungswege zur Verbesserung kommunaler Abläufe und Dienstleistungen zu entwickeln. Auf dem 3. MPSC-Kongress in Mannheim kamen Teilnehmer der geförderten Kommunen zusammen, um sich über neueste Erkenntnisse auszutauschen, gemeinsam neue Lösungsoptionen zu entwickeln und von Erfahrungen der anderen zu profitieren. Aus rechtlicher Sicht bildeten hierbei neben vergaberechtlichen Fragestellungen insbesondere Diskussionen zu Open-Source-Communities und zu Datenstrategien die Schwerpunkte. Juristische Hürden, die dabei auftauchen, lassen sich durch eine gründliche Planung meistern.

Open-Source-Projekte im Kontext von Smart-Cities

Getreu dem Motto „Gemeinsam smart“ ist es ein Kernelement der Modellprojekte, dass die geförderten Kommunen voneinander lernen und von Entwicklungen und Erfahrungen der anderen Kommunen profitieren. Gerade mit Blick auf die Entwicklung von Software entspricht diese Denkweise dem Kerngedanken von Open-Source-Software („OSS“) und deren Entwicklung. Im Smart-City-Kontext profitiert eine Kommune von Softwareentwicklungen, die eine andere Kommune federführend initiiert hat (sogenannte Open-Source-Community). Die jeweilige Kommune kann auf dieser Softwarelösung aufbauen, sie selbst verwenden und auf die eigenen Bedürfnisse anpassen. Auf den ersten Blick eine reine „Win-win“-Situation. Das hat auch die Bundesregierung festgestellt und sich im Koalitionsvertrag zum Ziel gesetzt, Entwicklungsaufträge für öffentliche IT-Projekte künftig als Open-Source auszuschreiben.

Was ist bei der Wahl der Open-Source-Lizenzen zu beachten?

Ganz bedingungsfrei ist die Nutzung von OSS nicht. Die Freigabe zur Nutzung der Open-Source-Software erfolgt oftmals unter sogenannten Copy-Left-Lizenzen. Mit ihnen verpflichtet sich der Nutzer etwa (mal mehr, mal weniger streng) dazu, vorgenommene Änderungen an der OSS ebenfalls den Regelungen der jeweiligen Lizenz zu unterwerfen.

Aufgrund der Vielzahl möglicher Lizenzbedingungen und den darin enthaltenen juristischen Feinheiten besteht die Gefahr, dass sich die jeweilige OSS nicht mit anderen Softwarelösungen (und den Softwarelizenzen, unter denen diese auslizenziert wurden) verbinden oder in diese integrieren lässt (Copy-Left-Effekt). Konkret bedeutet das: Ohne vorherige Prüfung der Lizenzbedingungen kann es passieren, dass OSS nicht wie vorgesehen rechtssicher verwendet werden kann und das Ziel einer effektiven und ressourcensparenden Zusammenarbeit unter den Kommunen erreicht wird. Auf dem MPSC-Kongress wurde hierzu vorgeschlagen, die lange Liste der förderrechtlich als „zulässig“ eingestuften Lizenzen deutlich zu verkürzen und gleichzeitig die Kompatibilität untereinander in den Blick zu nehmen.

Lösen lässt sich dieses Problem aber allein durch eine vorausschauende Planung schon bei der vergaberechtlichen Vorbereitung der Ausschreibung. Bei einem „Community-Management“, sprich der Initiierung und Leitung eines Open-Source-Projekts durch eine Kommune, muss die federführende Kommune bei der Lizenzwahl vor allem auf die Kompatibilität mit anderen Lizenzen achten, um einen größtmöglichen Mehrwert auch für andere Kommunen generieren zu können. Ein nachträglicher Lizenzwechsel ist in der Praxis nahezu unmöglich.

Haftungsrisiken vermeiden

Die richtige Lizenzwahl ist auch für Haftungsfragen von Bedeutung. Die OSS-Softwareentwickler sind als Urheber in der Regel zwar bereit, umfassende Nutzungsrechte an ihren Entwicklungen einzuräumen, eine Haftung soll jedoch weitestgehend ausgeschlossen werden. Auch wenn ein vollständiger Haftungs- beziehungsweise Gewährleistungsausschluss in Lizenzbedingungen regelmäßig nicht mit dem deutschen AGB-Recht vereinbar ist, ist gleichwohl eine stark eingeschränkte Haftung der Softwareentwickler beziehungsweise -anbieter aufgrund des fremdnützigen Charakters von OSS üblich. Trotzdem ist es für die jeweilige Kommune damit von Vorteil, wenn Haftungs- und Gewährleistungsausschlüsse möglichst nicht (oder nur eingeschränkt) in den Lizenzbedingungen enthalten sind. Zudem sind Regelungen zu regelmäßigen Aktualisierungen der entwickelten oder eingesetzten Software wichtig, um Sicherheitslücken und daraus resultierende Folgeschäden zu vermeiden. Freistellungsregelungen bei Ansprüchen Dritter sind ebenfalls elementar.

Mit rechtlicher Expertise lassen sich diese Aspekte vorausschauend in den Prozess eines Open-Source-Projekts integrieren, um die Haftungsrisiken zu minimieren. Insbesondere aus Compliance-Gesichtspunkten sollte eine Strategie entwickelt werden, welche die Einhaltung rechtlicher sowie technischer Vorgaben, Richtlinien und Verhaltensregelungen dauerhaft überwacht. Im Kontext der Lizenzbedingungen spielen hier vor allem die Einhaltung sämtlicher Open-Source-Verpflichtungen und die Berücksichtigung der Immaterialgüterrechte Dritter eine entscheidende Rolle. In technischer Hinsicht müssen insbesondere Sicherheitsrisiken minimiert werden. Wegen mangelnder personeller Ressourcen ist der Einsatz externer Service- und Beratungsdienstleister für eine Kommune meist unumgänglich und gleichzeitig sinnvoll, um insbesondere eine Haftung wegen eines Organisationsverschuldens zu vermeiden.

Datenstrategien auf rechtssicherer Basis erstellen

Gerade im Zusammenhang mit Smart-City-Projekten werden innerhalb der Kommune regelmäßig Daten generiert, gesammelt und möglichst weiterverwendet. Hierbei stellen sich nicht nur Fragen zur rechtssicheren Erhebung von Daten, sondern auch zu deren effektiver und sinnvoller Verwendung, Aufbewahrung und gegebenenfalls auch zum An- oder Verkauf.

Bei der Verarbeitung personenbezogener Daten sind die relevanten Vorschriften der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und länderspezifischer Datenschutznormen zu berücksichtigen. Daneben können aber insbesondere auch bezüglich allgemeiner Daten die gesetzlichen Vorgaben des jeweils geltenden Informationsfreiheitsgesetzes (u.a. Informationsfreiheitsgesetz des Bundes, IFG), des Onlinezugangsgesetzes (OZG) oder des Datennutzungsgesetzes (DNG) zu beachten sein.

Auf dem 3. MPSC-Kongress wurde vielfach angemerkt, dass einzelne Kommunen zwar um ihre Pflichten zum Datenschutz und ihr Potenzial zur effektiven Verwendung der Daten wissen, eine Datenmanagementstrategie jedoch entweder nicht bestehe oder zwar bestehe, aber nicht „gelebt“ werde. Ein Missstand, den es zu beheben gilt, da Daten und der rechtmäßige sowie strategisch sinnvolle Umgang mit ihnen elementar für Digitalisierungsmaßnahmen sind. Zudem können Kommunen auch aus den von ihnen generierten Daten lernen und gewonnene Erfahrungen an andere Kommunen weitergeben. Das Motto „Gemeinsam smart“ steckt also auch in einem guten Datenmanagement.

Ansprechpartner*innen: Dr. Roman Ringwald/Julien Wilmes-Horváth/Lisa Angela Gut

Share
Weiterlesen

22 April

Interviewreihe: Marcel Malcher, BBH-Partner und Vorstand BBH Consulting AG

Am 24.4.2024 findet die BBH-Jahreskonferenz in der Französischen Friedrichstadtkirche in Berlin statt. Im Mittelpunkt steht das Thema Energie in seiner Gesamtheit, seiner systemischen Verknüpfung und seiner Entwicklungsperspektive. „Energie heute & morgen“ ist daher auch der Titel der Veranstaltung. Zu den...

Weiterlesen

18 April

Missbrauchsverfahren nach den Energiepreisbremsengesetzen: Bundeskartellamt nimmt Energieversorger unter die Lupe

Die Energiepreisbremsengesetze sollten Letztverbraucher für das Jahr 2023 von den gestiegenen Strom-, Gas- und Wärmekosten entlasten. Um zu verhindern, dass Versorger aus der Krise auf Kosten des Staates Kapital schlagen, wurden in den dazu erlassenen Preisbremsengesetzen besondere Missbrauchsverbote implementiert, über...

Weiterlesen