Bruce Perens, der den Begriff "Open Source" geprägt und zusammen mit Eric S. Raymond 1998 die Open Source Initiative (OSI) gegründet hatte, ist nun zum zweiten Mal aus dieser Organisation ausgetreten. Perens war zuletzt ehrenamtlich für die OSI als Repräsentant unterwegs und regelmäßig an der Prüfung neuer Lizenzen hinsichtlich ihrer Eignung im Rahmen der Open Source Definition (OSD) beteiligt. In eben jener Funktion sah er sich nun auch genötigt, der OSI frustriert den Rücken zuzukehren.

Macht das bitte ohne mich

Bruce Perens hat den Begriff "Open Source" mitgeprägt und ist als Funkamateur mit dem Rufzeichen K6BP unterwegs. (Bild: perens.com)

Auslöser ist, wie so oft im überschaubaren Milieu der Open-Source-Lizenz-Nerds, eine Diskussion über License Proliferation. Also die Frage, ab wann eine zu große Auswahl an Lizenzen den Software-Entwicklern eher schadet als hilft. Die Open Source Initiative war in der Vergangenheit immer wieder dafür kritisiert worden, zu viele Lizenzen verfrüht als kompatibel zur Open-Source-Definition, die Perens mitverfasst hat, anzusehen. Aktueller Stein des Anstoßes ist die Cryptographic Autonomy License (CAL). Perens sah hier zu wenig Diskussion unter den OSI-Mitgliedern und gewann den Eindruck, man habe sich von Anfang an darauf versteift, die Lizenz auf jeden Fall zu akzeptieren. Das wollte er nicht mittragen.

"Für mich sieht es so aus, als ob die Organisation ziemlich enthusiastisch darauf abzielt, eine Lizenz aufzunehmen, die Freiheiten nicht respektiert. Schön, macht das bitte ohne mich", schrieb Perens Anfang Januar an die OSI-Lizenz-Mailingliste. "Ich habe [OSI-Geschäftsführer] Patrick [Masson] gebeten, meine Mitgliedschaft zu kündigen und hätte mich auch von den OSI-Mailinglisten abgemeldet, wenn euer Server funktionieren würde", fügte er verärgert hinzu. Perens beendet seine Mail mit einem grantigen Hinweis darauf, dass er für die OSI zuletzt ehrenamtlich tätig war: "Ich halte Anteile in zehn Open-Source-Firmen und verwalte ein 50-Millionen-Dollar-Aktien-Portfolio, das in diese Firmen investiert. Damit bin ich beschäftigt genug."

Perens verlässt die OSI zum zweiten Mal

Bruce Perens gilt allgemein als einer der eher idealistischeren Open-Source-Verfechter. Zwar hatte er mit Eric S. Raymond zusammen den Begriff "Open Source" eingeführt, um der ihm zu moralisch geprägten Idee der "Free Software" von Richard Stallman eine Business-freundlichere Alternative entgegen zu stellen, setzte sich aber durchweg immer wieder für die von Stallman propagierten "Vier Freiheiten der Freien Software" ein. Das ging soweit, dass Perens 1999, ein Jahr nach Gründung der OSI, zum ersten Mal aus dieser Organisation austrat. Er war damals der Meinung, diese Freiheiten von Software-Entwicklern und -Anwendern wären OSI-Mitbegründer Raymond nicht wichtig genug.

In einem Telefon-Interview mit der britischen Nachrichten-Seite The Register begründete Perens seinen erneuten Austritt aus der OSI damit, dass die Organisation – ähnlich wie auch schon 1999 – nicht mehr mit seinem Verständnis vom Open-Source-Modell übereinstimmt. Er nennt sein eigenes Verständnis "kohärentes Open Source" und meint damit wohl, dass er die Definition des Begriffes nicht weiter verwässern will. Gegenüber dem Register sagte er, dass im Grunde nur drei Lizenzen nötig seien: die AGPLv3, die LGPLv3 und die Apache-v2-Lizenz. Dass die OSI in ihrem 21-jährigen Bestehen mehr als 100 Open-Source-Lizenzen abgenickt habe, sei kontraproduktiv.

Mit der Open Source Definition verwaltet die OSI de facto eine Liste der Software-Lizenzen, unter denen sich eine Software als "Open Source" bezeichnen darf. Zwar hat die OSI den Begriff "Open Source" an sich nicht als Schutzmarke registriert, sie wird aber in weiten Teilen der Entwickler-Gemeinde als Wächter über diese Bezeichnung angesehen. Dementsprechend ernten Personen oder Organisationen, die ihre Software als "Open Source" bezeichnen, diese aber unter keine von der OSI abgesegnete Lizenz gestellt haben, weithin Häme und Spott echter Open-Source-Entwickler.

Stein des Anstoßes

Dem Austritt Perens war eine längere Diskussion über eine neue Software-Lizenz namens Cryptographic Autonomy License (CAL) vorausgegangen. Diese war im vergangenen Jahr im Auftrag der P2P-App-Plattform Holochain durch den auf Software-Lizenzen spezialisierten Anwalt Van Lindberg der US-amerikanischen Kanzlei Dykema entwickelt und bei der OSI eingereicht worden. Holochain erhoffte sich dabei offensichtlich eine Aufnahme in die OSD als Open-Source-Lizenz. Mittlerweile liegt die Lizenz in einem vierten Entwurf vor.

Holochain sieht sich als Blockchain-Alternative für die kollaborative, räumlich verteilte Entwicklung von Apps. Der Code dieser Apps wird in einem Peer-to-Peer-Netzwerk verteilt und zu diesem Zweck kryptografisch gegen Manipulation gesichert. Auf diese Weise tragen alle Nutzer der App die Infrastruktur-Kosten für deren Benutzung gemeinsam. Laut Holochain muss eine Lizenz für einen solchen Einsatzzweck die Verteilung der Rechte an den verwendeten Krypto-Schlüsseln regeln, was bisher keine bestehende Lizenz mit OSI-Segen tue. Deshalb habe man die CAL entwickeln lassen.

Eine Lizenz für Code und Daten

Neu an der CAL-Diskussion ist, dass sie vor allem durch eine Vermischung von Quellcode und Daten geprägt ist. Da die Lizenz Krypto-Schlüssel mit einschließt, betrifft sie nicht nur Quellcode alleine. Traditionell raten Open-Source- und Free-Software-Experten dazu, Daten getrennt von Code unter speziell dafür entwickelten Lizenzen zu stellen – etwa Lizenzen aus der Creative-Commons-Familie.

Eine Verquickung von Quellcode und Daten wirft die Frage auf, was Open-Source-Lizenzen alles abdecken dürfen. Eine ähnliche, wenn auch extremere, Diskussion gab es bereits im Oktober 2019 zu der Vaccine License, welche Open-Source-Charakter hat, aber den Nutzern vorschreibt, sich und ihre Kinder zu impfen, um die abgedeckte Software nutzen zu dürfen. Abgesehen davon, dass so etwas in einigen Ländern mit ziemlicher Sicherheit gegen andere Gesetze verstößt – in Deutschland wären Artikel 1 und 2 des Grundgesetzes zu beachten – widerspricht es auch der von Stallman postulierten Vier Freiheiten. Diese besagen, dass ein Nutzer die Freiheit haben muss, Software ohne Einschränkungen zu nutzen und weiterzugeben.

Diese Freiheiten findet sich auch in der Open Source Definition wieder, die darüber hinaus noch spezifisch postuliert, dass eine Lizenz nicht gegen eine Person oder Personengruppen diskriminieren darf. Außerdem darf eine OSD-Lizenz das Einsatzfeld der Software nicht einschränken.

Kampf den Datensilos

Und um eben jene Freiheiten geht es, wenn auch in abgeschwächter Form, auch in der Diskussion um die CAL. Laut Perens schreibt die CAL vor, dass Plattformbetreiber die Daten von Nutzern unter bestimmten Bedingungen an diese zurückgeben. Damit versucht Holochain zu verhindern, dass sich einzelne App-Entwickler aus ihrem P2P-Netzwerk ausklinken und Holochain-Code dazu verwenden, eigene Datensilos aufzubauen, welche Nutzer und deren Daten einschließen.

Dies wäre vergleichbar mit einem verteilt-aufgebauten sozialen Netz wie etwa dem Fediverse, in dem sich unterschiedliche Client-Software (Mastodon, Diaspora. GNU Social) bewegt, die alle die gleichen offenen Protokolle spricht. Eine Software-Lizenz versucht nun zu verhindern, dass eine große Instanz in diesem sozialen Netz viele Nutzer anlockt, sich dann aus dem Fediverse ausklinkt und den Nutzern den Zugang zu ihren Daten nur noch über den eigenen Dienst und eigene Clients gewährt. So ähnlich muss man sich das Ziel der Cryptographic Autonomy License vorstellen – nur dass es dabei um die P2P-App-Plattform von Holochain geht.

Lobenswertes Ziel, beunruhigende Umsetzung

Eigentlich also ein lobenswertes Ziel; das sieht auch Bruce Perens so. Das Problem, das er dabei sieht, liegt in der rechtlichen Umsetzung dieser Idee. Seiner Meinung nach führt die CAL dazu, dass jeder einzelne Entwickler einen eigenen Anwalt braucht, um im Zweifelsfall die Anfragen von Nutzern nach Daten zu beantworten. Nutzerdaten sind nun mal ganz anderer Natur als Software-Quellcode und unterliegen anderen Gesetzen. Perens Meinung nach sollten Open-Source-Lizenzen den Umgang mit Daten deswegen speziell dafür entwickelten Lizenzen oder bestehenden Landesgesetzen überlassen. Im Vergleich zwischen dem Umgang mit Nutzerdaten in den USA und in Ländern, in denen die EU-DSGVO gilt, werden schnell mögliche Konfliktfelder deutlich, die Laien nicht mehr ohne fachkundige Hilfe überschauen können.

Perens erhält in seinen Bedenken unter anderem von Bradley Kuhn Schützenhilfe, der im Vorstand der Software Freedom Conservancy sitzt, lange Zeit Assistent von Richard Stallman war und an der Entwicklung der AGPL beteiligt war. Kuhn kritisiert in einer Mail an die OSI-Lizenz-Mailingliste nicht nur die Art, wie die CAL bei der OSI eingebracht wurde, sondern auch die Intentionen von Holochain und Van Lindberg. "Die grundsätzlichen Konsequenzen der Tatsache, dass hier ehrenamtliche OSI-Mitglieder zusammen mit dem Anwalt einer profitorientierten Firma aktiv an einer sehr neuen Copyleft-Lizenz arbeiten und sie dann sehr schnell gutheißen, beunruhigt mich sehr", so Kuhn. Die AGPLv3 hingegen sei erst nach über sieben Jahren reger Nutzung durch die Entwickler-Gemeinde verabschiedet worden. (ovw)