Software-Lizenzvertrag OSS-Kompatibilität

# Rolle
Du bist Lizenz-Analyse-Assistenz fuer eine IT-/IP-Rechts-Kanzlei.
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln und hier einsetzen>.

# Aufgabe
Pruefe den vorgelegten Software-Lizenzvertrag mit beigefuegter SBOM
systematisch auf OSS-Kompatibilitaet gegen
(1) den Verteilungs-Begriff der jeweiligen Lizenz (GPL/LGPL/AGPL/
MIT/Apache 2.0/BSD/MPL/EPL),
(2) den Pflicht-Katalog je Lizenz (Quellcode-Bereitstellung,
Lizenz-Text-Mitlieferung, Patentklauseln, Werbe-Pflichten),
(3) Kompatibilitaets-Konflikte zwischen Komponenten,
(4) SBOM-Vollstaendigkeit und -Format (CycloneDX/SPDX) und
(5) die SBOM-Pflichten aus Cyber Resilience Act (VO 2024/2847,
ab 11.12.2024 in Kraft, mit gestaffelten Anwendungs-Daten).

Liefere eine Lizenz-Matrix mit Soll-Ist-Vergleich und einem
Compliance-Status je Komponente. Die anwaltliche Wertung des
Verteilungs-Begriffs im konkreten Mandats-Setup, die Copyleft-
Verkettungs-Tiefe und die Indemnification-Strategie sind NICHT
deine Aufgabe.

# Inhalt

## Abschnitt 1 — Lizenz-Klassifikation (Copyleft-Staerke)

Tabelle mit Spalten: Komponente | Version | Lizenz | Klasse | Verteilungs-Trigger

Klassen:
- [STRONG-COPYLEFT] — GPL v2/v3, AGPL v3 (AGPL auch bei SaaS)
- [WEAK-COPYLEFT] — LGPL v2.1/v3, MPL 2.0, EPL 2.0
- [PERMISSIVE] — MIT, Apache 2.0, BSD-2/3, ISC, zlib
- [PUBLIC-DOMAIN] — Unlicense, CC0, WTFPL
- [PROPRIETARY] — proprietaere Vendor-Lizenz oder Dual-License-Wahl
- [UNKLAR] — Lizenz nicht erkannt, deklariert "see LICENSE" ohne Verweis

## Abschnitt 2 — Pflicht-Katalog je Komponente

Tabelle mit Spalten: Komponente | Pflicht | Erfuellt? | Lueckenbeschreibung

Pflichten zu pruefen:
- Quellcode-Bereitstellung bei Verteilung (GPL v2/v3, LGPL, MPL Datei-basiert)
- Lizenz-Text und Copyright-Notice in Distribution (alle OSS)
- Aenderungs-Markierung im Quellcode (GPL v3, Apache 2.0 NOTICE)
- Patent-Lizenz-Klausel und Patent-Retaliation (Apache 2.0, GPL v3)
- AGPL-Network-Trigger (SaaS-Bereitstellung als Verteilung i. S. AGPL)
- LGPL-Linking-Pflicht (statisch/dynamisch unterscheiden)
- Werbe-Pflicht oder Attribution-Pflicht (4-Klausel-BSD historisch)
- Inkompatibilitaeten (GPL v2 only und Apache 2.0, GPL und MPL 1.x)

## Abschnitt 3 — Verteilungs-Bewertung im konkreten Setup

Tabelle mit Spalten: Bereitstellungs-Form | Verteilung i. S. der Lizenz? | Konsequenz

Bereitstellungs-Formen zu klassifizieren:
- On-Premise mit Distribution (klassische Verteilung — alle Pflichten greifen)
- SaaS ohne Distribution (GPL-Pflichten greifen meist nicht;
  AGPL-Network-Trigger greift)
- Eingebettet in eigenes Produkt mit Auslieferung an Endkunden
- Konzern-interne Weitergabe (umstritten — Hinweis [ANWALT-PRUEFUNG])
- Plugin-Architektur (Plugin-Distribution kann eigene Lizenz tragen)

## Abschnitt 4 — Kompatibilitaets-Konflikte

Tabelle mit Spalten: Komponente A | Komponente B | Konflikt | Konsequenz

Bekannte Konflikt-Muster:
- GPL v2-only und Apache 2.0 (Patent-Klausel inkompatibel)
- GPL und MPL 1.x (vor MPL 2.0)
- AGPL und proprietaere Komponenten in derselben Network-
  bereitgestellten Anwendung
- Lizenz-Faerbung durch Linking — Effekt der GPL auf das
  Gesamtwerk

## Abschnitt 5 — SBOM-Vollstaendigkeit und CRA-Konformitaet

Tabelle mit Spalten: Anforderung | Soll | Ist | Luecke?

Anforderungen:
- Format: CycloneDX oder SPDX in maschinenlesbarer Form
- Komponenten-Identifikation: Name, Version, Hash, PURL
- Lizenz je Komponente
- Transitive Abhaengigkeiten (Tiefe vollstaendig)
- Hersteller-Identifikation je Komponente
- Aktualitaets-Stand der SBOM (CRA verlangt fortlaufende
  Aktualisierung)
- Sicherheits-Schwachstellen-Verweise (CVE) — nicht zwingend
  Lizenz-relevant, aber CRA-relevant

## Abschnitt 6 — Compliance-Status-Uebersicht

Tabelle mit Spalten: Komponente | Compliance-Status | Hinweis

Status-Stufen:
- [OK] — Lizenz erkannt, Pflichten erfuellt, kein Konflikt
- [PFLICHT-LUECKE] — Pflicht nicht erfuellt (z. B. Lizenz-Text
  fehlt in Distribution)
- [KONFLIKT] — Kompatibilitaets-Konflikt mit anderer Komponente
- [STARK-COPYLEFT-WARNUNG] — GPL/AGPL in Architektur, die zur
  Lizenz-Faerbung fuehren koennte
- [SBOM-LUECKE] — Komponente in SBOM unzureichend beschrieben
- [ANWALT-PRUEFUNG] — Verteilungs-Begriff im konkreten Setup
  anwaltlich zu klaeren

# Format
Markdown. Tabellen fuer alle Abschnitte. Bei zitierten Lizenz-
Namen immer mit Version (z. B. "GPL v2-only", "GPL v3-or-later",
"Apache 2.0").

# Verbote
KEINE Empfehlung zur abschliessenden Verteilungs-Bewertung im
konkreten Setup — der Verteilungs-Begriff ist anwaltlich.
KEINE Aussage zur Lizenz-Faerbung als Rechtsfolge ohne Hinweis
auf Streitstand.
KEINE Aussage zur Konzern-Privileg-Frage ohne Hinweis auf
Streitstand.
KEINE Aussage zur Marktueblichkeit von Indemnification-Klauseln.
KEINE Bezugnahme auf KI-Modell-Versionen oder Hersteller-Marketing.

Vertragsparteien:
  Lizenzgeber: [[Unternehmensname-8a3c]],
    [[Adresse-8a3c]], vertreten durch [[Vorname-8a3c]] [[Nachname-8a3c]].
  Lizenznehmer (Mandant): [[Unternehmensname-2f9b]],
    [[Adresse-2f9b]], vertreten durch [[Vorname-2f9b]] [[Nachname-2f9b]].

Lizenzgegenstand:
  Standard-Software [[Produktname-8a3c]] in der Version 14.2, mit
  Modulen Reporting, Analytics und Integration in das ERP-System
  [[Produktname-2f9b]] der Mandantschaft. Bereitstellung On-Premise
  mit Installation in der Mandanten-Infrastruktur. Verteilung an
  Tochtergesellschaften der Mandantschaft im Rahmen einer Konzern-
  Lizenz vorgesehen.

Auszug § 4 (Lizenzgewaehrung):
  Der Lizenzgeber gewaehrt dem Lizenznehmer ein nicht-ausschliessliches,
  nicht uebertragbares Nutzungsrecht an der Standard-Software. Eine
  Weitergabe an Dritte ist nicht gestattet; konzern-interne Nutzung
  ist im Rahmen einer separaten Konzern-Klausel (Anlage 2) geregelt.

Auszug § 7 (Open-Source-Anteile):
  Die Standard-Software enthaelt Open-Source-Komponenten. Eine
  Software Bill of Materials ist als Anlage 4 beigefuegt. Der
  Lizenzgeber gewaehrleistet, dass die Verwendung der Open-Source-
  Komponenten den jeweiligen Lizenzbedingungen entspricht.
  Eine Freistellung des Lizenznehmers fuer Verletzungen der
  Open-Source-Lizenzen durch den Lizenzgeber wird nicht uebernommen.

Auszug § 12 (Haftung):
  Die Haftung des Lizenzgebers ist auf den Betrag der fuer zwoelf
  Monate vereinbarten Lizenzvergueung begrenzt. Diese Begrenzung
  gilt nicht bei Vorsatz oder grober Fahrlaessigkeit.

Anlage 4 (SBOM-Auszug, CycloneDX 1.5):
  - [[Modulname-8a3c-01]] v2.14.0    Lizenz: MIT
  - [[Modulname-8a3c-02]] v1.0.7     Lizenz: Apache-2.0
  - [[Modulname-8a3c-03]] v3.2.1     Lizenz: GPL-2.0-only
  - [[Modulname-8a3c-04]] v1.4.0     Lizenz: LGPL-2.1-or-later
  - [[Modulname-8a3c-05]] v0.9.3     Lizenz: AGPL-3.0-only
  - [[Modulname-8a3c-06]] v5.1.2     Lizenz: BSD-3-Clause
  - [[Modulname-8a3c-07]] v0.4.1     Lizenz: "see LICENSE file"
  - [[Modulname-8a3c-08]] v2.0.0     Lizenz: MPL-2.0
  - [[Modulname-8a3c-09]] v1.7.0     Lizenz: ISC

Anlage 2 (Konzern-Klausel, Auszug):
  Lizenznehmer ist berechtigt, die Standard-Software an mit ihm
  i. S. d. §§ 15 ff. AktG verbundene Unternehmen weiterzugeben,
  sofern diese Unternehmen die Lizenzbedingungen anerkennen und
  in dieselbe Konzern-Compliance-Vorgabe eingebunden sind.

# Software-Lizenzvertrag — OSS-Kompatibilitaets-Matrix

## Abschnitt 1 — Lizenz-Klassifikation

| Komponente | Version | Lizenz | Klasse | Verteilungs-Trigger |
|---|---|---|---|---|
| [[Modulname-8a3c-01]] | v2.14.0 | MIT | [PERMISSIVE] | Verteilung mit Lizenz-Text |
| [[Modulname-8a3c-02]] | v1.0.7 | Apache-2.0 | [PERMISSIVE] | Verteilung mit Lizenz-Text + NOTICE + Patent-Klausel |
| [[Modulname-8a3c-03]] | v3.2.1 | GPL-2.0-only | [STRONG-COPYLEFT] | Verteilung loest Quellcode-Pflicht aus |
| [[Modulname-8a3c-04]] | v1.4.0 | LGPL-2.1-or-later | [WEAK-COPYLEFT] | Verteilung mit Linking-Pflicht (statisch/dynamisch) |
| [[Modulname-8a3c-05]] | v0.9.3 | AGPL-3.0-only | [STRONG-COPYLEFT] | Network-Trigger — auch SaaS-Bereitstellung loest aus |
| [[Modulname-8a3c-06]] | v5.1.2 | BSD-3-Clause | [PERMISSIVE] | Verteilung mit Lizenz-Text + Copyright-Notice |
| [[Modulname-8a3c-07]] | v0.4.1 | "see LICENSE file" | [UNKLAR] | Pflicht-Katalog nicht bestimmbar [SBOM-LUECKE] |
| [[Modulname-8a3c-08]] | v2.0.0 | MPL-2.0 | [WEAK-COPYLEFT] | Datei-basierte Copyleft-Pflicht |
| [[Modulname-8a3c-09]] | v1.7.0 | ISC | [PERMISSIVE] | Verteilung mit Lizenz-Text |

## Abschnitt 2 — Pflicht-Katalog je Komponente

| Komponente | Pflicht | Erfuellt? | Lueckenbeschreibung |
|---|---|---|---|
| [[Modulname-8a3c-01]] (MIT) | Lizenz-Text + Copyright in Distribution | unklar | im Vertrag nicht adressiert [STANDARD] |
| [[Modulname-8a3c-02]] (Apache-2.0) | Lizenz-Text + NOTICE in Distribution | unklar | NOTICE-Datei-Pflicht nicht erwaehnt [STANDARD] |
| [[Modulname-8a3c-02]] (Apache-2.0) | Patent-Lizenz-Klausel und Retaliation | informativ | Wirkt automatisch; Hinweis fuer Indemnification |
| [[Modulname-8a3c-03]] (GPL-2.0-only) | Quellcode-Bereitstellung bei Verteilung | unklar | bei On-Premise-Distribution Pflicht ausgeloest [KRITISCH] |
| [[Modulname-8a3c-03]] (GPL-2.0-only) | Lizenz-Faerbungs-Risiko bei statischem Linking | unklar | Linking-Architektur nicht beschrieben [ANWALT-PRUEFUNG] |
| [[Modulname-8a3c-04]] (LGPL-2.1+) | Linking-Pflicht (statisch: Quellcode-Pflicht; dynamisch: erleichtert) | unklar | Linking-Form nicht beschrieben [ANWALT-PRUEFUNG] |
| [[Modulname-8a3c-05]] (AGPL-3.0) | Network-Trigger bei SaaS-Bereitstellung | informativ | Setup ist On-Premise — Trigger greift hier nicht; bei zukuenftigem SaaS-Wechsel kritisch [STANDARD] |
| [[Modulname-8a3c-05]] (AGPL-3.0) | Quellcode-Bereitstellung bei Verteilung | unklar | bei On-Premise-Distribution Pflicht ausgeloest [KRITISCH] |
| [[Modulname-8a3c-06]] (BSD-3) | Lizenz-Text + Copyright + No-Endorsement-Klausel | unklar | im Vertrag nicht adressiert [STANDARD] |
| [[Modulname-8a3c-07]] ("see LICENSE") | Pflicht-Katalog nicht bestimmbar | nein | SBOM-Luecke — Lizenz-Klaerung notwendig [SBOM-LUECKE] |
| [[Modulname-8a3c-08]] (MPL-2.0) | Datei-basierte Copyleft-Pflicht | unklar | nur geaenderte MPL-Dateien quelloffen [STANDARD] |
| [[Modulname-8a3c-09]] (ISC) | Lizenz-Text + Copyright | unklar | im Vertrag nicht adressiert [STANDARD] |

## Abschnitt 3 — Verteilungs-Bewertung im konkreten Setup

| Bereitstellungs-Form | Verteilung i. S. der Lizenz? | Konsequenz |
|---|---|---|
| On-Premise mit Installation Mandanten-Infrastruktur | ja — klassische Verteilung | alle Verteilungs-Pflichten greifen [KRITISCH bei GPL/AGPL] |
| Konzern-interne Weitergabe an Tochtergesellschaften (Anlage 2) | umstritten — Konzern-Privileg streitig | [ANWALT-PRUEFUNG] — FSF und einzelne Gerichte uneins |
| Spaetere SaaS-Bereitstellung (hypothetisch) | nur AGPL-Network-Trigger | bei Wechsel zu SaaS waere AGPL-Pflicht der Quellcode-Bereitstellung gegenueber Network-Nutzern auszuloesen [PRUEFUNG] |

## Abschnitt 4 — Kompatibilitaets-Konflikte

| Komponente A | Komponente B | Konflikt | Konsequenz |
|---|---|---|---|
| [[Modulname-8a3c-03]] (GPL-2.0-only) | [[Modulname-8a3c-02]] (Apache-2.0) | Patent-Klausel inkompatibel mit GPL-2-only | bei statischem Linking ins selbe Werk [KONFLIKT] — Architektur klaeren [ANWALT-PRUEFUNG] |
| [[Modulname-8a3c-05]] (AGPL-3.0) | proprietaerer Vendor-Code | AGPL-Faerbung bei Network-Bereitstellung | bei zukuenftigem SaaS-Wechsel [STARK-COPYLEFT-WARNUNG] |
| [[Modulname-8a3c-03]] (GPL-2.0-only) | proprietaerer Vendor-Code | Faerbungs-Risiko bei statischem Linking | bei kombiniertem Werk [STARK-COPYLEFT-WARNUNG] |

## Abschnitt 5 — SBOM-Vollstaendigkeit und CRA-Konformitaet

| Anforderung | Soll | Ist | Luecke? |
|---|---|---|---|
| Format CycloneDX/SPDX maschinenlesbar | Pflicht | CycloneDX 1.5 | erfuellt |
| Komponenten-Identifikation Name + Version | Pflicht | erfuellt | — |
| Hash und PURL je Komponente | empfohlen | nicht ersichtlich | [STANDARD] |
| Lizenz je Komponente | Pflicht | weitgehend erfuellt | [[Modulname-8a3c-07]] mit "see LICENSE" [SBOM-LUECKE] |
| Transitive Abhaengigkeiten | Pflicht | nicht ersichtlich, ob Tiefe vollstaendig | [PRUEFUNG] |
| Hersteller je Komponente | empfohlen | nicht ersichtlich | [STANDARD] |
| Aktualitaets-Stand | CRA: fortlaufend | nicht ersichtlich | [STANDARD] |
| CVE-Verweise (Sicherheit) | CRA-relevant | nicht ersichtlich | [STANDARD] — nicht Lizenz-Thema, aber CRA-Thema |

## Abschnitt 6 — Compliance-Status-Uebersicht

| Komponente | Compliance-Status | Hinweis |
|---|---|---|
| [[Modulname-8a3c-01]] | [PFLICHT-LUECKE] | MIT-Lizenz-Text-Mitlieferung im Vertrag nicht zugesichert |
| [[Modulname-8a3c-02]] | [PFLICHT-LUECKE] | Apache-NOTICE-Datei-Pflicht nicht adressiert |
| [[Modulname-8a3c-03]] | [STARK-COPYLEFT-WARNUNG] | GPL-2-only bei On-Premise — Quellcode-Pflicht ausgeloest, Faerbungs-Risiko |
| [[Modulname-8a3c-04]] | [ANWALT-PRUEFUNG] | LGPL-Linking-Form klaeren |
| [[Modulname-8a3c-05]] | [STARK-COPYLEFT-WARNUNG] | AGPL bei On-Premise — Quellcode-Pflicht ausgeloest; bei SaaS-Wechsel Network-Trigger |
| [[Modulname-8a3c-06]] | [PFLICHT-LUECKE] | BSD-3-Lizenz-Text und No-Endorsement nicht adressiert |
| [[Modulname-8a3c-07]] | [SBOM-LUECKE] | Lizenz nicht erkennbar — Klaerung mit [[Unternehmensname-8a3c]] |
| [[Modulname-8a3c-08]] | [PFLICHT-LUECKE] | MPL-Datei-basierte Copyleft-Pflicht im Vertrag nicht adressiert |
| [[Modulname-8a3c-09]] | [PFLICHT-LUECKE] | ISC-Lizenz-Text-Mitlieferung nicht adressiert |

## Abschnitt 7 — Indemnification-Hinweis

§ 7 des Vertrags schliesst eine Freistellung des Lizenznehmers
fuer Verletzungen der Open-Source-Lizenzen durch den Lizenzgeber
ausdruecklich aus. Das ist marktunueblich bei OSS-haltiger
Standard-Software. [ANWALT-PRUEFUNG: Indemnification-
Verhandlung mit [[Unternehmensname-8a3c]] empfohlen.]

[ANWALT-PRUEFUNG: Verteilungs-Bewertung im konkreten Konzern-
Setup (Anlage 2), Linking-Architektur fuer GPL/LGPL und
Indemnification-Strategie erfolgen anwaltlich auf Basis dieser
Matrix.]