Das Europäische Parlament hat heute gestern seinen Standpunkt zum Cyber Resilience Act (CRA) abgestimmt. Der Standpunkt verbessert zwar die Ausnahmeregelung der Kommission zum Schutz Freier Software, versäumt es aber, einen angemessenen Schutz einzuführen. Die Free Software Foundation Europe (FSFE) fordert die Institutionen auf, nur diejenigen zur Verantwortung zu ziehen, die einen erheblichen finanziellen Nutzen aus dem Markt ziehen, und gleichzeitig die Entwickler und die gemeinnützige Arbeit zu schützen.
Der Vorschlag der Kommission, Freie Software "ausserhalb einer kommerziellen Tätigkeit" auszuschliessen, würde einen grossen Teil der Software, die nicht erfasst wird, aber dennoch eingesetzt wird, nicht berücksichtigen. Gleichzeitig würden kleinere und gemeinnützige Projekte geschädigt, da sie erhebliche Kosten zu tragen hätten.
Deshalb hat die FSFE bereits eine Lösung vorgeschlagen, die zu mehr Sicherheit führt und gleichzeitig die Freie Software schützt:
- Die Haftung sollte auf diejenigen verlagert werden, die Freie Software einsetzen, statt auf diejenigen, die Freie Software entwickeln, und
- Diejenigen, die von diesem Einsatz finanziell erheblich profitieren, sollten dafür sorgen, dass die Software CE-konform wird.
Während der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO), ein Ausschuss für Stellungnahmen in der CRA, diese Forderung unterstützte und für den Schutz von Entwicklern Freier Software im Cyber Resilience Act stimmte, führte der Ausschuss für Industrie, Forschung und Energie (ITRE) mit der gestrigen Abstimmung weniger weitreichende Schutzmassnahmen ein. Regelmässige Spenden von Unternehmen oder Beiträge von Unternehmensmitarbeitern zu einem Projekt könnten die gemeinnützige Arbeit in eine "kommerzielle Tätigkeit" verwandeln und damit zur Haftung führen.
Alexander Sander, leitender politischer Berater der FSFE, erklärt:
Mit der gestrigen Abstimmung hat das EU-Parlament seine eigene Position verwässert. Die Last der Haftung auf kleine oder gemeinnützige Organisationen zu legen, die auf regelmässige Spenden angewiesen sind, würde der Freien Software und damit der Gesellschaft und der Wirtschaft gleichermassen schaden. Aufgrund des Mangels an finanziellen Mitteln und Ressourcen, um die vorgeschlagenen Verfahren zu durchlaufen, um CE-konform zu werden, müssen einige dieser Projekte möglicherweise ganz eingestellt werden. Wir fordern die Institutionen auf, einen Kompromiss zu finden, der das Ökosystem der Freien Software schützt und gleichzeitig die Haftung auf diejenigen verlagert, die von der Einführung finanziell erheblich profitieren.
Die interinstitutionellen Verhandlungen werden bald beginnen und sollten möglichst noch in diesem Jahr abgeschlossen werden. Weitere Informationen zu diesem Thema findet ihr hier.
Mike Linksvayer, GitHub, hat hierzu am 12.07 auch einen interessanten Blog Post veröffentlicht, der Eure Punkte etwas feiner darstellt; Verweise in das Gesetz, aber auch weitere beleuchtet. Die beschriebenen neuen Vorschriften zum Responsible Disclosure halte ich für überflüssig/übergriffig.
No cyber resilience without open source sustainability