Herr Barth, im Juli hat die Open Source Business Alliance ein Statement zum europäischen Cyber Resilience Act (CRA) veröffentlicht, in dem Sie einige Passagen kritisch sehen. Wie blickt die Open Source Community allgemein auf die Regelungen des CRA?
Rico Barth: Grundsätzlich ist der Cyber Reslience Act eine wichtige Regulierung. Die Absicht, Software sicherer zu machen und von europäischer Seite Sicherheitsanforderungen in der Software-Produktionskette zu verankern, ist absolut zu begrüßen. Es ist wichtig, dass Software sozusagen ein CE-Kennzeichen erhält und wir als Verband stehen auch dahinter.
Dennoch befürchten Sie negative Auswirkungen auf die Open-Source-Landschaft, warum?
Die Problemlage ergibt sich aus einzelnen Formulierungen im aktuellen Entwurf des Cyber Resilience Acts. Insbesondere geht es um Formulierungen, in denen es um kommerzielle Interessen, bzw. die kommerziellen Aspekte von Open Source-Software geht. Diese Formulierungen sind derzeit sehr nachteilig für die Open Source-Industrie.
Was stört Sie daran?
Die Formulierung ist zu schwammig. Denn so kann der CRA zum einen für Organisationen gelten, die Open Source-Software herstellen, in einer Community entwickeln und Spenden bekommen – schon das kann einen kommerziellen Aspekt darstellen. Dieser kann aber auch gegeben sein, wenn eine Software auf Dienstleistungsbasis genutzt wird. Das heißt, ein Unternehmen ist gar nicht selbst Hersteller der Software oder Teil der Entwicklungs-Community, bietet aber Dienstleistungen auf Basis der Software an. Auch dann würde nach der jetzigen Lesart ein kommerzieller Aspekt greifen. Auf der anderen Seite haben wir natürlich Software, die von vielen freien Entwicklern, die beispielsweise in ihrer Freizeit zum Quellcode beitragen, entwickelt wird. Auch sie wären betroffen. Wenn die Formulierung so kommt, bekommen wir eine maximale Rechtsunsicherheit.
Was würde das für die Community bedeuten?
Das, was momentan aufgebaut wird, nämlich ein digital souveränes Europa mit eigenen Softwarelösungen, von europäischen Unternehmen entwickelt und durch europäische Organisationen auditiert, würden wir quasi wieder einreißen und somit den großen Software-Anbietern in die Hände spielen. Aber gerade diese Abhängigkeiten wollen wir ja auflösen. Der europäische Open Source-Software Markt ist sehr mittelständisch geprägt. Das heißt, die Beteiligten sind, bis auf wenige Ausnahmen, kleine bis mittelständische Softwareunternehmen, die mit der Regulierung überfordert wären. Daher fordern wir als Open Source Business Alliance, zusammen mit anderen Verbänden, dass die Definition der kommerziellen Nutzung konkreter gefasst wird.