Softwareentwicklung könnte nicht einfacher sein. Schnell ein neues git Reporsitory erzeugt, fröhlich Coden, vielleicht austesten ob’s auch funktioniert, nach git pushen und auf die Github-Sterne und die MR warten, und ein paar Bugs fixen. Ok, manchmal verschwendet man auch ein paar Momente an die Open Source Lizenz die man verwenden will, aber wen interessiert das wirklich?
Wenn’s um Code eines Unternehmens geht, dann möchte man vielleicht sein Intellectual Property schützen, aber wenn es darum geht ein Softwareprodukt auf den Markt zu bringen, gibt es keine große Fallhöhe. Einfach Copyright-Hinweis und Haftungsauschlußklauseln hinzufügen, fertig!
Dies könnte sich in naher Zukunft für immer ändern. Es wird an einer Reihe von bemerkenswerten Gesetzen gearbeitet, meist auf EU-Ebene.
Cyber Resilience Act (CRA)
Der CRA verpflichtet Hersteller von Software und digitalen Geräten, sicherzustellen, dass ihr Produkt keine bekannten Sicherheitslücken hat. Ausserdem hat der Hersteller eines “Digitalen Produkts” dafür zu sorgen, dass Sicherheitsupdates über die gesamte Lebenszeit eingespielt werden können. Auch werden ihm zusätzliche Sorgfaltspflichten auferlegt, bevor er das Produkt auf den Markt bringt. Falls eine Lücke enddeckt wird, besteht eine Anzeigepflicht durch bestimmte behördliche Kanäle der EU. Man möchte also das “unter den Teppich kehren” und Vernächlässigen Geräten die weit weg draussen beim Kunden sind, abstellen.
Wer jemals den Build-Prozess einer nicht-trivialen Software basierend auf Java oder Javascript weiss, dass dutzende oder sogar hunderte Fremd-Bibliotheken herangezogen werden. Das nennt sich die “Software Supply Chain”, meistens bestehend aus Open Source. Es ist schier unmöglich, all diese Bibliotheken anzuschauen und zu analysieren. Manche Build-Tools geben sogar aus, ob es bekannte Schwachstellen in diesen Produkten gibt. Aber es ist dem durchschnittlichen Nutzer kaum möglich, diese zu beheben.
Rechtlich wird der CRA für viele bestehende Open Source und kommerzielle Software relevant. Plötzlich hört es sich gar nicht mehr so naiv und unschuldig an, Software zu veröffentlichen.
Data Governance Act
Mit dem Data Governance Act soll das Teilen von Daten innerhalb der EU vereinfacht und gefördert werden.
Dem öffentlichen Sektor wird abverlangt, mehr Daten öffentlich zur Verfügung zu stellen als es heute der Fall ist. Für jeden, der für Behörden und Ämter IT-Systeme herstellt, könnte betroffen sein.
Ausser dem Teilen von Daten geht es bei diesem Gesetz um die sogenannten “Data Spaces”. (Für das Thema “Data Spaces” sind wir Experten, bitte kontaktieren Sie uns gerne.)
Jedes Software- oder IT-Service-Unternehmen das mit “Data Spaces” in Berührung kommt sollte darauf vorbereitet sein, eine völlig neue Welt vorzufinden, in der Daten nicht einfach über das HTTP-Protokoll oder FTP-Server ausgetauscht werden, sondern Contracts geschlossen werden müssen und spezielle Protokolle verwendet werden. Es ist auf jeden Fall zu empfehlen, einen Business Process Analysten oder Enterprise Architekten hinzuzuziehen um mit den speziellen Data-Space-Begriffen etc. umzugehen. Nur so bewahrt man sich zumindest ein bisschen Zeit, in der man noch aktiv selber Code schreiben kann.
Artificial Intelligence Act
Lust auf KI? Ok, nicht so schnell! Zu welchem Risk-Level gehört denn Deine KI? Wo sind die Trainingsdaten? Wie managed ihr Bias? Und wo ist das “AI Risk Management System” zu finden?
Nun, wer hat sich schon daran gewöhnt hat, sein KI Modell einfach auf Hugging Face hochzuladen? In einem kommerziellen Kontext, in dem man dem EU AI Act unterliegt, kann es sein dass der wertvolle Senior Data Scientist nicht mehr das bestbezahlte Mitglied im Team ist, zumindest nachdem die Anwälte hinzugezogen wurden.
Und selbst wenn es um klassiche Softwareenwicklung geht, gilt es aufzupassen. Vielleicht hat sich ja doch eine KI Komponente oder ein KI-gestütztes API in den Stack eingeschlichen? Der AI Act kann einen auch durch die Hintertür ereilen.
Product Liability Directive (PLD)
Die PLD ist schon ganz alte EU-Gesetzgebung. Und je älter ein Gesetz ist, desto höher die Wahrscheinlichkeit, dass man es an die modernen Zeiten anpassen muß. Denn natürlich müssen Produkte sicher sein. Und in der Tat ist es ja so, dass die von uns genutzten Produkte zunehmend digital sind oder software-basierte Geräte oder Dienstleistung. Um es kurz zu machen, Digitale Produkte werden in Zukunft neu vom PLD erfasst. Auf diesem Wege kommt die Pflicht zur Haftung zum Software-Hersteller. Und damit werden Klausel, die Haftung ausschliessen, unwirksam. Noch ist es nicht ganz sicher, aber dies betrifft eventuell auch Open Source Lizenzen, wie Paragraphen 7, 8 und 9 (und damit ein Drittel) der sehr weit verbreiteten Apache License 2.0.
Fundamentale Veränderungen stehen uns bevor
Dies waren nur einige Auszüge aus aktuell sich in Arbeit befindenden Gesetzen der EU. Ausgelassen habe ich hier zum Beispiel den “Data Act” und den “Digital Services Act”. In den U.S.A. sind auch bereits Gesetzesinitiativen vom Kongress oder der Regierung auf von den Weg gebracht worden.
Für Softwarefirma, Open-Source-Entwickler oder KI-Unternehmer geht die Zeit der Unschuld zu Ende. Die von uns, die heute schon Software für das Airbus-Cockpit, Atomkraftwerke oder für die Produktion eines beliebten Schmerzmedikamentes schreiben, können vielleicht nur müde lächeln. Aber für der Rest sind diese Änderungen unfaßbar, vielleicht sogar lebensverändernd. Sie werden die Software-Industrie nachhaltig verändern. Hoffentlich zum Besseren hin.
Note
Disclaimer: This legislation is emerging, might or might not be in effect yet, and might still see substantial changes. We’ll update this article as new information becomes available. If you’re looking for legal advice, ask a lawyer.