Die neue Open-Source-Strategie der EU-Kommission bringt viele Forderungen der Community auf Papier. Rechtlich bindend sind die Maßnahmen allerdings noch nicht. Die anstehende Reform des EU-Vergaberechts könnte das ändern.

Als Teil ihres Gesetzespakets für digitale Souveränität („Tech Sovereignty Package“) hat die EU-Kommission am vergangenen Mittwoch auch eine neue europäische Open-Source-Strategie vorgestellt. Offene Technologien sollen dabei helfen, Europas Abhängigkeit von außereuropäischen Anbietern in kritischen Bereichen zu verringern.

„Es ist Zeit, dass wir das nutzen, was wir in Europa haben, um die Kontrolle über unsere gewünschte Zukunft zu erlangen“, sagte Digitalkommissarin Henna Virkkunen bei der Vorstellung der Strategie. Über drei Millionen Open-Source-Mitwirkende und 500 gewinnorientierte Open-Source-Unternehmen gebe es in Europa. Trotzdem würden jedes Jahr mehr als 260 Milliarden Euro für digitale Produkte und Dienstleistungen aus Nicht-EU-Ländern ausgegeben. Die Kommission argumentiert weiter, dass Europa zwar erhebliche wirtschaftliche Werte durch Open-Source-Projekte schaffe, die daraus entstehenden Gewinne aber häufig außerhalb Europas abgeschöpft würden.

Die neue Strategie soll das ändern. Sie soll die gesamte Kette abdecken: von Forschung und Entwicklung über die Markteinführung und den Einsatz von Open-Source-Software bis hin zur langfristigen Wartung und Steuerung kritischer Open-Source-Komponenten.

Open Source im Mittelpunkt der Digitalpolitik

Ein grundlegender Wandel ist allein der politische Stellenwert, den die Kommission Open Source nun zuschreibt. Die Denkfabrik OpenForum Europe verweist darauf, dass die Kommission erstmals einen umfassenden Rahmen für Open Source geschaffen habe und den entscheidenden Beitrag von Open Source zu Souveränität, Wettbewerbsfähigkeit und Innovationskraft Europas anerkenne. Die gemeinnützige Organisation spricht deshalb von einem „definierenden Moment“ für die europäische Open-Source-Politik.

Das Sozialunternehmen Open Ireland Network hält das Framing der Strategie für ebenso wichtig wie die Verpflichtungen, die sich daraus ergeben. Zum ersten Mal habe die Kommission Open Source als Grundlage für einen europäischen Technologie-Stack positioniert statt wie zuvor als Sparmaßnahme. Die irische Organisation bezeichnet die Strategie als „ehrgeizig“ und stellt konkrete Maßnahmen heraus wie die Mobilisierung von zwei Milliarden Euro über sieben Jahre im öffentlichen und privaten Sektor, ein Open-Source-Wartungsinstrument für kritische Infrastrukturen und das konkrete Ziel von 30 Millionen Nutzenden offener Kollaborationstools bis 2030.

„Wir freuen uns, dass die Strategie viele Prioritäten der Open-Source-Communitys abdeckt“, kommentiert Jordan Maris, Leiter der EU-Politik bei der Open Source Initiative. Dazu zählt er unter anderem Maßnahmen zur Erleichterung der Ansiedlung von Open-Source-Projekten in Europa und zum Abbau von Hindernissen bei der öffentlichen Beschaffung von Open-Source-Software.

Verknüpfung mit digitalen Brieftaschen

Offene Alternativen zu proprietären Lösungen will die Kommission gezielt fördern und dazu mit den Mitgliedstaaten im Konsortium für eine europäische digitale Infrastruktur (EDIC) zusammenarbeiten. Besonders auffällig ist dabei die Verknüpfung mit den digitalen Brieftaschen der EU: der Eudi-Wallet und der European Business Wallet. Die Kommission plant Open Source also direkt in eigene Projekte einzubauen, anstatt nur einzelne Initiativen zu fördern.

Grundsätzlich erklärt die Kommission, selbst mehr Open Source nutzen zu wollen. Öffentliche Verwaltungen sollen zu „Ankerkunden“ werden und zum Open-Source-Ökosystem beitragen. Dafür wird die öffentliche Beschaffung entscheidend. Ausschreibungen sollen „Open-Source-freundlicher“ und die Wiederverwendung öffentlicher Software erleichtert werden. Bei der Gestaltung von Ausschreibungen sollen Behörden zudem beraten werden, Offenheit und Souveränität bei Entscheidungen über Investitionen als Faktoren berücksichtigt werden.

Nach Ansicht vieler Beobachter:innen entscheidet sich hier, ob die Strategie tatsächlich die gewünschten Effekte erzielen wird. Schon in einer Konsultation zu der Strategie im Januar hatten viele Akteure eine Priorität von Open Source in der Beschaffung gefordert, darunter das deutsche Unternehmen Nextcloud. Sein CEO, Frank Karlitschek, begrüßt den Ansatz der neuen Strategie: „Öffentliche Gelder sollten in der Tat für öffentlichen Code ausgegeben werden – Public Money, Public Code.“ Indem die EU als strategischer Kunde auftrete, könne sie dem privaten Sektor das Vertrauen für Investitionen geben.

Allerdings fehlten noch konkrete Ziele und Änderungen im Beschaffungswesen, kommentiert Karlitschek. Ohne diese seien die Pläne zur „Förderung“ und „Unterstützung“ von Open Source „nur gut gemeinte Ausgaben von Steuergeldern, die sofort durch die deutlich umfangreichere Beschaffung von US-amerikanischer proprietärer Technologie untergraben werden“.

Rechtliche Verbindlichkeit fehlt

Die Free Software Foundation Europe (FSFE) kommt zu einer ähnlichen Bewertung. Die ausdrückliche Anerkennung von „Public Money? Public Code!“ in der Strategie, neun Jahre nachdem die FSFE die Initiative ins Leben rief, könne „ein wichtiger Schritt vorwärts für die Softwarefreiheit in Europa“ sein, sagt Johannes Näder, Senior Policy Project Manager bei der FSFE. Jedoch müsste dieser Grundsatz zu einer verbindlichen Anforderung bei öffentlichen Ausschreibungen gemacht werden. „Würde auch nur die Hälfte der 264 Milliarden Euro an öffentlichen IT-Ausgaben in Europa von proprietären Lösungen auf freie Software umgeleitet, würde dies die europäische technologische Souveränität stärken“, meint Näder.

Peter Ganten, Geschäftsführer des deutschen Unternehmens Univention, sieht ebenfalls eine Schwachstelle in der fehlenden Verbindlichkeit. Nach jetzigem Stand würden Mitgliedstaaten nur dazu verpflichtet, Open Source zu „fördern“. Dabei gebe es Ausnahmen, die im Zweifel „fast jede Entscheidung“ nachträglich rechtfertigen könnten. Die zentrale Frage sei: „Wer muss eigentlich begründen, warum Abhängigkeit in Kauf genommen wird und wo ist diese Begründung nachvollziehbar, prüfbar und auditierbar?“ Bislang fehle dieser Durchsetzungsmechanismus.

Die Strategie ist rechtlich nicht bindend. Daher hängt ihr Erfolg „von der entschlossenen Umsetzung“ der EU-Kommission ab, sagt die grüne Europaabgeordnete Alexandra Geese. Die Empfehlungen für die öffentliche Beschaffung könnten allerdings im EU-Vergaberecht verpflichtend gemacht werden. Die Reform der Vergaberichtlinien („Public Procurement Act“) will die Kommission am 1. Juli präsentieren.

Und auch der „Cloud and AI Development Act“ (CADA), ein Gesetz, das die Kommission als Teil des Souveränitätspakets präsentiert hat, ist zentral. Hier wird das Prinzip „Open Source First“ bei der Beschaffung von Cloud und KI festgehalten. Allerdings müssen noch das EU-Parlament und der Rat ihre Position zu dem Gesetz erarbeiten und anschließend im Trilog verhandeln. Selbst ein nicht-bindender Grundsatz könnte also noch im Gesetzgebungsprozess abgewandelt werden.

Kommission will nur zwei Milliarden Euro „mobilisieren“

Neben neuen Beschaffungsregeln wurde in der Konsultation insbesondere eine bessere Finanzierung des Open-Source-Ökosystems gefordert. Der EU-Abgeordnete Matthias Ecke (SPD) erklärt: „Wichtig ist nun, dass auch konkrete Förderinstrumente folgen – denn Open-Source-Projekte sind chronisch unterfinanziert.“ Michiel Leenaars von der niederländischen NLnet Foundation hatte vor Kurzem im Interview mit netzpolitik.org darauf hingewiesen, dass es für 2027 noch kein Budget für das Förderprogramm „Open Internet Stack“ der Kommission gibt. Der mehrjährige EU-Haushalt befindet sich derzeit noch in der Verhandlung.

Für alle Maßnahmen der Strategie will die Brüsseler Behörde zwei Milliarden Euro über sieben Jahre „mobilisieren“. Das sei nur ein kleiner Bruchteil der 264 Milliarden Euro, die jährlich für proprietäre Software und Dienstleistungen ausgegeben werden, kommentiert die Free Software Foundation Europe. In einer Analyse für TechPolicyPress bewerten Vertreter:innen von OpenForum Europe die Summe als „unzureichend“. Zwei Milliarden Euro wären „ein guter Anfang“, schreiben die Autor:innen, aber für alle aufgeführten Maßnahmen zu wenig Geld. Sie ermutigen die Kommission daher, sich um zusätzliche Mittel zu bemühen.

Eine der Maßnahmen, für die schon länger Finanzierung gefordert wurde, ist ein Open-Source-Wartungsinstrument für kritische Infrastrukturen. Es soll sicherstellen, dass kritische Open-Source-Komponenten langfristig gepflegt werden. Diesen Schritt begrüßen viele Akteure ausdrücklich. Die Sovereign Tech Agency, eine GmbH im Auftrag des deutschen Bundesdigitalministeriums, kommentiert etwa: „Das Open-Source-Wartungsinstrument schließt eine strukturelle Lücke, die unsere Arbeit von Anfang an geprägt hat: Kritische Open-Source-Infrastruktur schafft öffentlichen Mehrwert, ist jedoch oft unterfinanziert und institutionell anfällig.“

Kommt ein europäischer Fonds?

Am 19. Juni sollen bei einem Treffen in Paris die ersten Aktivitäten des EDIC starten, informiert die CEO der Sovereign Tech Agency, Adriana Groh. Dort soll auch ein Pilotprojekt für einen Sovereign Tech Fund auf EU-Ebene zur Sprache kommen. In Brüssel wird erwogen, einen solchen europäischen Fonds nach deutschem Vorbild aufzubauen. In Deutschland hat die Sovereign Tech Agency den Fonds aufgebaut.

Ob aus der neuen Strategie tatsächlich ein Wendepunkt für Open Source in Europa wird, hängt von vielen Faktoren ab: der Reform des Vergaberechts, dem Willen der Mitgliedstaaten, der Positionierung des Parlaments. Klar ist jedoch, dass die Kommission viele Punkte aufgenommen hat, die die Open Source Community schon seit Jahren fordert. Und sie versteht Open Source nun als wichtigen Faktor für die digitale Souveränität.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der Digital Markets Act der EU zwingt große Anbieter wie Apple, ihre Systeme für den Wettbewerb zu öffnen. Doch wie dies im Detail aussehen soll, ist hart umkämpft. Zivilgesellschaftliche Gruppen fordern nun von der EU-Kommission, Apple zu einem besseren Zusammenspiel mit der Konkurrenz zu zwingen.

Apple soll seine Betriebssysteme, die vom Digital Markets Act (DMA) erfasst werden, von Grund auf auf Interoperabilität ausrichten. Das fordern zivilgesellschaftliche Gruppen wie die Free Software Foundation Europe (FSFE) und European Digital Rights (EDRi) in einer gemeinsamen Stellungnahme. Diese hatte die EU-Kommission in einer letzte Woche zu Ende gegangenen öffentlichen Konsultation von interessierten Parteien eingeholt.

Der seit März des Vorjahres EU-weit geltende DMA soll sicherstellen, dass besonders große Digitalunternehmen ihre Marktmacht nicht missbrauchen. Als sogenannte Gatekeeper eingestufte Unternehmen und die von ihnen angebotene Dienste unterliegen eigenen Regeln. Zudem drohen ihnen bei Verstößen empfindliche Geldbußen von bis zu 10 Prozent des weltweiten Jahresumsatzes.

Apple zählt zu den insgesamt sieben IT-Firmen, die bislang von der EU-Kommission zu Gatekeepern erklärt worden sind. Im Fokus stehen hierbei der App Store, der Browser Safari sowie die mobilen Betriebssysteme iOS und iPadOS.

Apple muss seine Systeme öffnen

Als Folge des DMA muss Apple etwa alternative Vertriebswege für Apps bereitstellen, das Zusammenspiel von Smartwatches oder Kopfhörern anderer Hersteller mit seinen Betriebssystemen verbessern oder Airplay und Airdrop für Dritt-Anbieter ohne Hindernisse freigeben. Einige Auflagen setzt Apple bereits mal mehr, mal weniger um, gegen andere wehrt sich das US-Unternehmen teils juristisch, teils politisch. Im Falle des Messenger-Dienstes iMessage hat die Kommission nach einem Einspruch von Apple letztlich darauf verzichtet, ihn zu einem „zentralen Plattformdienst“ zu erklären.

In der jüngsten Konsultation der EU-Kommission ging es um Regulierungsvorschläge, die Brüssel im Dezember vorgelegt hatte. Demnach soll Apple eine Reihe an konkreten Maßnahmen ergreifen, um bestimmte Vorgaben des DMA vollumfänglich umzusetzen. Unter anderem geht es um Details der im EU-Gesetz skizzierten Regeln zur Interoperabilität.

Grundsätzlich sollen Dritt-Entwickler:innen etwa auf tief in den Betriebssystemen verankerte Funktionen zugreifen dürfen, die zuvor nur Apple offenstanden. Allerdings hat das Unternehmen eigene Vorstellungen davon, wie dieser Zugriff aussehen soll. Derzeit sieht der von Apple in die Welt gesetzte Prozess ein mühseliges Antragsverfahren vor, dem sich Entwickler:innen unterwerfen müssen – ohne Garantie, dass der gewünschte Zugriff letztlich wirklich gewährt wird.

NGOs fordern deutlich mehr Offenheit

Damit sind weder die EU-Kommission noch die Open-Source-Community zufrieden. In ihrer Stellungnahme drängen die zivilgesellschaftlichen Gruppen nun darauf, eine langfristig tragbare Lösung zu finden. „Wir begrüßen die Schritte der Europäischen Kommission, wirksame und transparente Maßnahmen von Apple zu fordern, aber eine grundlegende Umstellung auf ‚Interoperabilität durch Design‘ wäre die wirkungsvollste Verbesserung“, sagt Lucas Lasota von der FSFE.

Beim DMA gehe es nicht nur darum, so Lasota weiter, den Wettbewerb zwischen Gatekeepern zu regulieren, sondern auch darum, gleiche Wettbewerbsbedingungen für KMU und kleinere Softwareentwickler zu schaffen. Daher sei es von „entscheidender Bedeutung, Apples Ansatz zur Interoperabilität einer strengen Prüfung durch die Kommission und die Zivilgesellschaft zu unterziehen.“ Im Moment sei der von Apple gewählte Ansatz „offensichtlich mangelhaft und strukturell nicht in der Lage, die von der DMA geforderte effektive Interoperabilität zu gewährleisten“, führt die Stellungnahme näher aus.

Neben dieser grundlegenden Umstellung fordert die Stellungnahme eine längst überfällige, möglichst lückenlose und diskriminierungsfreie Dokumentation von Programmierschnittstellen, sogenannten APIs. Die Dokumentationen müssten zudem öffentlich zugänglich und kostenlos zur Verfügung stehen. Auch dürften Entwickler:innen nicht willkürlich von Apple gezwungen werden, Verschwiegenheitserklärungen zu unterzeichnen.

Verbesserungsbedarf sehen die NGOs auch beim Verifikationsprozess sowie beim von der Kommission vorgeschlagenen Feedback- und Bug-Tracking-System. Zudem solle Apple nicht willkürlich angebliche Sicherheitsbedenken ins Feld führen dürfen, um Wünsche nach Interoperabilität abzuschmettern. Außerdem sollte „Technologieneutralität“ ausdrücklich in den Regeln festgeschrieben und ein transparentes Tracking-System sowie eine kollaborative Plattform für Entwickler:innen eingerichtet werden.

Apple warnt vor Abschwächung der IT-Sicherheit

Auf den von der EU-Kommission im Dezember vorgelegten Vorschlag reagierte Apple bislang zurückhaltend. So habe das Unternehmen mehr als 250.000 APIs entwickelt, auf die Entwickler:innen Zugriff hätten, teilte es gegenüber Heise mit. Eine allzu freizügige Umsetzung von Interoperabilitätsvorschriften könnte jedoch die Sicherheit gefährden, warnt das Unternehmen. Es wolle aber weiterhin konstruktiv mit der Kommission zusammenarbeiten, um „einen Weg zu finden, der unsere EU-Nutzer:innen schützt und auch die Regulierung klarer macht“.

Die EU-Kommission wird die Stellungnahmen nun prüfen und voraussichtlich bis zum Frühjahr eine endgültige Entscheidung treffen. Dabei dürften sich Änderungen ergeben, wie sie in einem Dokument andeutet: „Die eingegangenen Eingaben können zu Anpassungen der Maßnahmen führen, die in die beiden endgültigen verbindlichen Entscheidungen aufgenommen werden.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.