Wenn Open Source auf industrielle Massenproduktion trifft, wird es oft juristisch – und manchmal unbequem. Der Streit zwischen Rockchip und dem FFmpeg-Projekt zeigt eindrücklich, wie wichtig die Einhaltung von Open-Source-Lizenzen ist – technisch, rechtlich und ethisch.
Der aktuelle Fall: Was zwischen Rockchip und FFmpeg passiert ist
Im Herbst 2025 veröffentlichte das Team hinter FFmpeg – einem der populärsten Open-Source-Projekte für Multimedia-Verarbeitung – öffentlich eine Beschwerde gegenüber dem chinesischen Halbleiterhersteller Rockchip. Hintergrund war die Lizenzverletzung durch Rockchip bei der Integration von FFmpeg-Code in firmeneigene Software-Komponenten.
Rockchip hatte über längere Zeit hinweg FFmpeg-Bibliotheken in Firmware-Images für seine ARM-SoCs (System-on-a-Chip) integriert, ohne dabei die Bedingungen der unter LGPLv2.1 (Lesser General Public License) veröffentlichten Software zu erfüllen. Konkret wurde der Quellcode nicht offengelegt und die Verwendung unzureichend lizenziert, so die FFmpeg-Entwickler. Damit wurde gegen eine der Grundregeln der Open-Source-Gemeinschaft verstoßen: Transparenz und die Möglichkeit zur Modifikation für Endnutzer.
Rechtliche Grundlagen: Open-Source-Lizenzen sind rechtlich bindend
Anders als häufig angenommen, ist Open Source keineswegs rechtsfreier Raum. Lizenzen wie GPL, LGPL oder MIT erfüllen alle Tatbestandsmerkmale von urheberrechtlichen Nutzungsverträgen. Wer sich nicht an sie hält, verwirkt automatisch das Nutzungsrecht. Im Fall der LGPL bedeutet das: Ein Unternehmen wie Rockchip darf FFmpeg nutzen, muss aber sicherstellen, dass Anwender den Link zu den modifizierten Libraries selbst austauschen oder den generierten Quellcode inspizieren können.
„Viele Unternehmen unterschätzen die vertragliche Verbindlichkeit von OS-Lizenzen“, erklärt Rechtsanwältin Dr. Tanja Wetzel, Expertin für IT-Recht und Lizenz-Compliance. „Es reicht nicht, Open-Source-Komponenten einfach zu integrieren. Die Lizenztexte schreiben verbindlich vor, welche Rechte und Pflichten beide Seiten haben.“
Laut einer Studie der TODO Group aus dem Jahr 2023 betreiben heute nur 30 % der Unternehmen mit Softwareentwicklung einen konsequenten Open-Source-Compliance-Prozess (Quelle: TODO Group – OSPO Survey 2023).
Die Reaktion der Community und die Signalwirkung
Der Konflikt blieb nicht ohne Folgen. Nach öffentlichen Hinweisen durch FFmpeg-Entwickler auf Plattformen wie GitHub und Mastodon schlug der Fall hohe Wellen. Viele Entwickler fordern nun mehr Konsequenz bei Lizenzverstößen. Das FFmpeg-Projekt drohte zwischenzeitlich mit einer juristischen Eskalation, sofern keine Compliance hergestellt werde.
Tatsächlich zeigte der öffentliche Druck Wirkung: Ende Oktober 2025 veröffentlichte Rockchip eine Stellungnahme und kündigte an, sowohl den Quellcode rückwirkend offenlegen als auch die Build-Umgebung dokumentieren zu wollen. Ob damit die LGPL vollständig erfüllt wird, ist noch unklar. Medienberichten zufolge prüft die Conservancy, eine Organisation zur Durchsetzung freier Software-Lizenzen, weitere rechtliche Schritte.
Für die Entwicklerwelt ist das ein deutliches Signal: Open Source ist kein Selbstbedienungsladen. Das Einhalten der Lizenzbedingungen ist keine Option, sondern eine Verpflichtung – und Verstöße können öffentlich gemacht werden.
Warum Open-Source-Compliance mehr als juristische Pflicht ist
Neben der rechtlichen Seite berührt der Fall noch eine andere Dimension: Vertrauen. Open-Source-Projekte leben vom gegenseitigen Respekt zwischen Beitragenden und Nutznießern. Wird Code genutzt, ohne die Regeln zu akzeptieren, untergräbt das nicht nur einzelne Projekte, sondern das Fundament der Communitykultur.
Branchenschwergewichte wie Google, Red Hat oder SAP haben das erkannt und sogenannte OSPOs (Open Source Program Offices) etabliert. Diese Abteilungen kümmern sich gezielt um die Auswahl, Integration und Lizenz-Compliance von Open-Source-Komponenten. Laut einer Umfrage des Open Source Institute von 2024 verfügen 47 % der global führenden IT-Unternehmen inzwischen über ein dediziertes OSPO (Quelle: OSI Open Source Impact Survey).
Solche Strukturen sorgen dafür, dass Entwickler rechtssicher arbeiten können, Haftungsrisiken minimiert werden und das Verhältnis zu Open-Source-Communities stabil bleibt.
Technischer Kontext: Wie FFmpeg typischerweise eingesetzt wird
Der Fall ist auch deshalb brisant, weil FFmpeg eine zentrale Rolle im Embedded-Markt einnimmt. Die Software ermöglicht die Verarbeitung, Umwandlung und Streaming von Audio- und Videodaten in nahezu jedem Format – von H.264 über AAC bis zu VP9.
Insbesondere bei SoC-Designs wie jenen von Rockchip wird FFmpeg häufig in SDKs oder als Teil der Firmware integriert – etwa für Dashcams, Set-Top-Boxen, Smart TVs oder IoT-Anwendungen. Dabei ist der Quelltext nicht sichtbar, was die Nachvollziehbarkeit der Lizenzeinhaltung erschwert. Doch genau hier fordert die LGPL: Transparenz durch Offenlegung des dynamisch gelinkten Codes oder Mechanismen für Austauschbarkeit der Bibliotheken.
Praxisnahe Empfehlungen für Entwicklerteams und OEMs
Was lässt sich aus dem Fall lernen? Der Streit zwischen FFmpeg und Rockchip ist kein Einzelfall. Verstöße gegen OS-Lizenzen sind häufiger als gedacht. Umso wichtiger ist es, geeignete Prozesse zur Lizenzsicherheit zu etablieren. Entwickler, Produktmanager und Legal-Teams können gemeinsam dafür sorgen, dass Code verantwortungsvoll genutzt wird.
- Führt einen Open-Source-Review-Prozess ein: Jede eingebundene Komponente sollte vor ihrem Einsatz technisch und lizenzrechtlich geprüft werden. Tools wie FOSSA oder Black Duck ermöglichen automatisierte Licence-Scans im CI/CD-Prozess.
- Dokumentiert verwendete Bibliotheken und Versionen: Ein strukturiertes Software Bill of Materials (SBOM) ist nicht nur für interne Nachverfolgung essenziell, sondern wird zunehmend von Kundenseite gefordert – gerade im IoT-Umfeld.
- Avanciert zum guten Open-Source-Citizen: Wer OSS nutzt, sollte auch zurückgeben – sei es durch Bugfixes, Pull-Requests oder Community-Support. Definiert dafür dezidierte Prozesse oder Entwicklerzeiten im Sprint-Plan.
Diese Schritte tragen nicht nur zur rechtlichen Absicherung bei, sondern erhöhen auch die Codequalität und bauen Reputation bei Entwicklercommunities auf.
Blick auf die Zukunft: Lizenzen, Vertrauen und Verantwortung
Der Fall zwischen Rockchip und FFmpeg ist exemplarisch für den Reibungspunkt zwischen Open-Source-Idealismus und industriellem Pragmatismus. Mit steigender Verwendung freier Bibliotheken in KI-Produkten, IoT-Systemen oder Automotive-Software steigt auch die Relevanz von Lizenzkonformität.
Juristisch kommt immer häufiger das Konzept der Copyleft-Lizenzen zum Tragen, die genau auf solche Umgehungen reagieren und für maximale Offenheit sorgen sollen. Organisationen wie die Free Software Foundation und die Software Freedom Conservancy werden in Zukunft wohl verstärkt Fälle prüfen – nicht zuletzt auch, weil kommerzielle Interessen wachsen.
Gleichzeitig steigt das öffentliche Bewusstsein: Nachhaltige Softwareentwicklung bedeutet, Rechte anderer zu respektieren. Communities sind kein Selbstbedienungsladen, sondern ein Ökosystem, das gepflegt werden muss.
Entwickler sollten sich daher nicht nur auf den Code konzentrieren, sondern auch auf das rechtliche und ethische Umfeld, in dem dieser entsteht. Denn echter Fortschritt entsteht dort, wo Technik und Verantwortung gemeinsam gedacht werden.
Mitmachen statt verletzen: Wer als Unternehmen oder Entwickler mit Open Source arbeitet, sollte die Chance erkennen, sich als vertrauenswürdiger Teil dieser globalen Bewegung zu positionieren. Transparenz, Lizenztreue und Beitrag sind der Schlüssel dazu. Weiterführende Ressourcen stellt die OpenChain-Initiative der Linux Foundation bereit.
Diskutieren Sie mit uns: Wie geht Ihr Unternehmen mit Open Source um? Welche Tools oder Prozesse nutzt Ihr Team, um Lizenzkonformität zu gewährleisten? Teilen Sie Ihre Erfahrungen in den Kommentaren oder schreiben Sie uns direkt.
