Het Landesgerichtof Hamburg (Duitsland) heeft in een belangrijk vonnis hardwareleverancier Fantec op de vingers getikt vanwege het schenden van een open source licentie. De open source licentie GNU General Public License v2 (GPLv2) wordt in deze zaak rechtsgeldig geacht. Ook blijkt dat een afnemer van software zich niet kan verschuilen achter de leverancier: de afnemer is zelf aansprakelijk voor schendingen van intellectuele eigendomsrechten – ongeacht of de leverancier heeft ingestaan voor de rechten of niet.
Auteursrecht op Netfilter/iptables
De eiser in deze zaak is Harald Welte, een bekende open source programmeur en IT-consultant. Welte heeft onder meer het team geleid voor de ontwikkeling van de open source software netfilter/iptables. Iptables wordt bijvoorbeeld gebruikt voor firewalls in het Linux besturingssysteem.
Welte is auteursrechthebbende op deze software. Dat is van groot belang, aangezien de auteursrechthebbende op grond van de (in dit geval Duitse) auteurswet gerechtigd is om derden het recht te geven de software (verder) te verspreiden en te kopiëren, en om daar voorwaarden aan te verbinden. Licentieovereenkomsten regelen deze voorwaarden. Vaak zijn deze overeenkomsten beperkend in wat wel en niet mag, maar een tegenhanger daarop zijn de meeste open source licenties. Zo heeft Welte er voor gekozen de netfilter/iptables software in licentie te geven onder de GPLv2.
Welke voorwaarden stelt de GPLv2 licentie?
De GNU GPLv2 stelt iedereen het gebruik van de daaronder in licentie gegeven software toe. Ieder gebruik is toegestaan, en ook het verspreiden en kopiëren van de software is vrijelijk toegestaan. Maar om die vrijheid te kunnen waarborgen, zijn daar wel een aantal voorwaarden aangesteld. Zo ben je als licentienemer wel verplicht om aan de verdere distributie van de in licentie gegeven software dezelfde licentievoorwaarden te verbinden. Dus als iets onder GPLv2 onder licentie is gegeven, mag je het (meestal) ook alleen onder de GPLv2 verder distribueren. Ook eventuele kopieën of wijzigingen aan die software moeten onder de GPLv2 vrij blijven. Daarnaast stelt de GPLv2 het verplicht dat ook de broncode van die software vrij beschikbaar moet zijn voor de volgende licentienemer.
Fantec overtreedt de GPLv2
Fantec GmbH is een bedrijf dat handelt in computerhardware en consumentenelektronica. Eén van haar producten is de Fantec 3DFHDL Media Player.
De mediaspeler maakt gebruik van firmware, welke Fantec via een Chinese leverancier heeft verkegen. Deze firmware, welke onder meer gebruikmaakt van een besturingssysteem gebaseerd op Linux, is op de website van Fantec te downloaden.
Tijdens een hacking-workshop van de Free Software Foundation Europe controleren diverse vrijwilligers een aantal verschillende apparaten op compliance met veelgebruikte open source licenties. Daaruit blijkt dat de firmware zoals beschikbaar is gesteld door Fantec niet overeenstemt met de gebruikte software in de mediaspeler. Zo blijkt de broncode van iptables niet beschikbaar te zijn.
Pijnlijk, want daarmee overtreedt Fantec de GPLv2 licentie. Uit het vonnis blijkt dat dat niet de eerste keer was: in 2010 is Fantec al eens aangesproken door Welte op schendingen van de GPLv2 in andere producten van Fantec. Partijen hebben toen afgesproken dat Fantec bij een volgende schending een contractuele boete zou verbeuren.
Fantec werd daarom wederom aangesproken door Welte op schendingen van de GPLv2, en werd daarbij ook gesommeerd om de contractueel overeengekomen boete te betalen. Fantec was echter van mening dat de broncode niet onvolledig zou zijn, omdat de Chinese leverancier haar de integriteit van de broncode had verzekerd. Fantec zou de broncode niet zelf kunnen onderzoeken. De zaak is vervolgens voor de Duitse rechter gekomen.
Wat is de inzet van de rechtszaak?
Welte stelt dat Fantec de mediaspeler heeft aangeboden en heeft verkocht terwijl de firmare niet voldeed aan de GPLv2 licentie. Meer in het bijzonder stelt Welte dat de aangeboden broncode onvolledig was, omdat het iptables component ontbrak. Dat terwijl uit een vergelijking met de objectcode bleek dat de software iptables versie 1.3.7 werd gebruikt. Ook blijkt uit een analyse van de beschikbaar gestelde firmware dat deze code pas later is gecompileerd dan de code die werd gebruikt in de mediaspeler. Ook dat vormt een schending van de GPLv2. Ten slotte stelt Welte dat Fantec door een schending van de GPL geen geschikte gebruiksrechten had voor de distributie van de software: en dus heeft Fantec het auteursrecht van Welte geschonden.
Wat oordeelt de rechtbank?
De rechtbank oordeelt dat er zowel sprake is van een schending van de vaststellingsovereenkomst die tussen partijen in 2010 was overeengekomen, als van een schending van de GPLv2. De broncode van de software werd namelijk niet op dezelfde locatie onder de GPLv2 beschikbaar gesteld, terwijl deze wel in de objectcode was opgenomen.
De rechter oordeelt daarbij dat Fantec zich niet kan verschuilen achter de Chinese leverancier: Fantec dient zelf een eigen beoordeling te vormen, al dan niet met behulp van een derde, of de software dezelfde inhoud heeft als hoe deze aan haar werd aangeboden.
Fantec wordt aldus veroordeeld tot onder meer het betalen van de contractueel overeengekomen boete, het verstrekken van gegevens over de verkoop van de media spelers, en het vergoeden van de proceskosten van Welte.
Wat betekent dit vonnis voor de praktijk?
Voor de praktijk is dit een belangrijk vonnis. Allereerst blijkt hier maar weer eens uit dat het gebruik van open source software niet betekent dat je zomaar alles mag doen: je moet de voorwaarden van de licentie wel in acht nemen, net als bij iedere andere 'gewone' (proprietary) softwarelicentie.
Bovendien blijkt ook weer uit dit vonnis dat afnemers van software zich niet kunnen verschuilen achter hun leveranciers: ze zijn zelf volledig aansprakelijk voor eventuele inbreuken op intellectuele eigendomsrechten. Ook het respecteren van open source licenties, zoals de GPL, valt onder die verantwoordelijkheid.
Als je zelf als afnemer niet in staat bent om een controle van de software uit te voeren, dan dien je daar een derde voor in te schakelen. Niet iedere afnemer zal daar echter het geld voor over hebben. In die gevallen is het des te belangrijker om dus goede afspraken te maken met de leverancier van de software: zorg ervoor dat de leverancier in staat voor het naleven van intellectuele eigendomsrechten van derden. Dat kan aan de hand van garanties, maar denk ook aan vrijwaringen voor het geval derden (zoals een open source ontwikkelaar) je aanspreekt op schending van intellectuele eigendomsrechten in de software die jij distribueert. Je zult daar namelijk zelf op aangesproken kunnen worden, ongeacht wat je hebt afgesproken met je leverancier.
Dit bericht is tevens gepubliceerd op ITenRecht.nl (IT1215).
Meer weten over open source licenties in de praktijk? Schrijf je dan in voor onze workshop "open source in de praktijk" van 7 augustus 2013. Gedurende die workshop zal ik nader in gaan op de juridische aandachtspunten bij het gebruik van open source licenties. Welke eisen stellen de meest voorkomende open source licenties? Welke knelpunten komen daarbij kijken? En hoe kan daar in de praktijk mee worden omgegaan. Vanuit het juridisch kader worden die dag handvatten voor de praktijk gegeven.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.