9. Juli 2026
Open-Source-Software ist in den Bereichen Healthcare und Life Science längst kein Nischenthema mehr. Vor dem Hintergrund der Digitalisierung des Gesundheitswesens, des Ausbaus der Telematikinfrastruktur, des European Health Data Space (EHDS) sowie der zunehmenden Regulierung datenschutz- und IT-sicherheitsrechtlicher Anforderungen (u.a. DSGVO, NIS‑2-Richtlinie und Umsetzungsgesetz, KRITIS) gewinnt die rechtssichere Ausgestaltung des Einsatzes von Open-Source-Software immer größere Bedeutung.
Der Einsatz von Open-Source-Software bietet dabei grundsätzlich viele Vorteile. Er ist trotz erhöhtem Aufwand in spezifischen Anwendungsbereichen kostengünstiger als vergleichbare proprietäre Lösungen. Open-Source-Software kann überwiegend frei konfiguriert werden. Sie ist auch regelmäßig datensparsam ausgelegt oder kann jedenfalls entsprechend konfiguriert werden. Die freie Verfügbarkeit des Source-Codes ermöglicht zudem ein besonders hohes Maß an Transparenz.
Dennoch gibt es einige Stolpersteine, welche beim Einsatz von Open-Source-Software im Gesundheitswesen und im Life-Science-Bereich beachtet werden müssen.
Die Missachtung von Open-Source-Lizenzbedingungen kann zu rechtlichen und wirtschaftlichen Risiken führen. So gilt auch im Gesundheitswesen und im Life-Science-Bereich der generelle Grundsatz, dass bei Verstößen ein automatischer Wegfall der Lizenz eintreten kann. Rechteinhaber können Unterlassung verlangen – bis hin zu Verkaufsstopp oder Rückruf ausgelieferter Hardware (z. B. Telemedizin-Geräte mit eingebetteter Software). Weitere Informationen zu Risikoprofilen und Haftungsszenarien bei Non-Compliance finden Sie hier.
Ohne klare unternehmensinterne Richtlinien werden Open-Source-Softwarekomponenten teils spontan von IT- oder Fachabteilungen eingebunden („Shadow IT“ bei Forschungsprojekten, Piloten, Proof-of-Concepts), sodass ein vollständiger Überblick über die eingesetzte Software nicht möglich ist. Regelmäßig werden aber auch in proprietären Gesundheits-IT-Produkten und Softwarelösungen Open-Source-Bibliotheken genutzt, ohne dass dies den Kunden vollständig offengelegt wird. Daher ist eine ganzheitliche Open Source Corporate Governance erforderlich, welche das Management von Drittsoftware als integralen Bestandteil der unternehmenseigenen Compliance-Organisation versteht. Weitere Informationen zu Open Source Corporate Governance finden Sie hier.
Beim Einsatz von Software im Gesundheitswesen werden typischerweise Gesundheitsdaten verarbeitet, die einem besonderen Schutz unterliegen. Die vorgesehenen technischen und organisatorischen Maßnahmen müssen ein dem erhöhten Schadenspotential entsprechendes Schutzniveau gewährleisten. Bei Open-Source-Software trifft den datenschutzrechtlich Verantwortlichen die besondere Pflicht, tatsächliche Sicherheitsbewertungen vorzunehmen. Ein Verlassen auf Herstellerangaben ist nicht möglich. Open-Source-Projekte müssen beispielsweise Verschlüsselung, Rechte-Management und Protokollierung abbilden können. Organisatorisch müssen Sicherheitsupdates zum Erhalt des Schutzniveaus gewährleistet werden.
Aus der freien Verfügbarkeit des Source-Codes von Open-Source-Software folgt nicht automatisch, dass deren Einsatz auch sicher ist. Weit verbreitete Open-Source-Projekte unterliegen zwar einer intensiven Beobachtung durch Anbieter von Sicherheitslösungen und eine große Nutzerbasis. Sicherheitslücken werden oft früh entdeckt und entsprechende Updates veröffentlicht. Gleichzeitig liegen aber aufgrund der frei verfügbaren Codebasis die Schwachstellen für alle offen. Updates müssen daher zeitnah eingespielt werden. Hierfür ist ein Update-Management erforderlich, welches in teilweise vernachlässigt wird.
Gerade in älteren medizinischen Systemen findet man veraltete Open-Source-Komponenten, für die es Sicherheitsupdates gibt, die nicht eingespielt wurden. Solche unzureichend gepflegten Open-Source-Bestandteile mit bekannten Schwachstellen können ein Einfallstor für Angreifer sein. Im Gegensatz zu proprietären Software-Lösungen liegt die Verantwortung für Update-Prozesse bei Open-Source-Software häufig stärker beim Verwender selbst. Sowohl KRITIS als auch NIS2 setzen insoweit ein strukturiertes Vulnerability-Management voraus.
Anders als Anbieter kommerzieller Software-Lösungen verfolgen Open-Source-Projekte typischerweise kein Geschäftsmodell, das auf die Erfüllung spezifischer regulatorischer Vorgaben für die Anwender ausgerichtet ist. Daher werden für Open-Source-Komponenten meist keine Zertifikate, Prüfberichte oder CE-Konformitätserklärungen bereitgestellt, wie dies bei kommerziellen Softwarelösungen üblich ist.
Die Verantwortung für die Erfüllung regulatorischer Anforderungen liegt damit beim Anwender der Open-Source-basierten Softwarelösung. Dieser muss eigenständig prüfen, ob die eingesetzten Open-Source-Komponenten die einschlägigen regulatorischen Vorgaben erfüllen. Teilweise sind zusätzliche technische und organisatorische Maßnahmen zu implementieren, um die notwendigen Standards zu erreichen. Außerdem muss sich der Anwender ggf. um die notwendigen Zertifizierungen bemühen, was mit zusätzlichem Aufwand verbunden ist.
Aufgrund der Sensibilität der verarbeiteten Daten sowie der intensiveren regulatorischen Anforderungen ist Open-Source-Compliance besonders im Gesundheitswesen und im Life-Science-Bereich von besonderer Bedeutung.
Unsere Handlungsempfehlungen lauten daher:
Taylor Wessing unterstützt Mandanten mit einer kombinierten Expertise aus IT-Recht, IP-Strategie und technischem Verständnis, um Innovationen rechtssicher und nachhaltig zu gestalten.