Da war und ist die Aufregung natürlich groß: Die vielleicht populärste (NoSQL-)Datenbank der Welt verabschiedet sich von ihrer permissiven Open-Source-Lizenz. Was für Folgen hat das für Redis-Nutzer?
Was bedeutet Redis’ Entscheidung gegen eine klassische Open-Source-Lizenz für die Nutzergemeinschaft?
Redis ist als schlanke NoSQL-Datenbank kaum noch wegzudenken. Tausende Anwendungen setzen auf die In-Memory-Datenbank, etwa Konzerne wie Airbnb, Amazon, Adobe, aber auch Open-Source-Projekte wie Checkmk. Mit der freigiebigen BSD-Lizenz war es völlig problemlos möglich, eigene Produkte mit Redis zu unterstützen oder auch Redis-Derivate für eigene Services zu verwenden.
Jetzt aber gibt es Redis nur noch unter der Redis Source Available License 2.0 (RSALV2) und der Server Side Public License (SSPL). In beiden Fällen handelt es sich um so genannte „Source-Available-Lizenzen“. Damit grenzen sich die Lizenzen klar von Open-Source-Lizenzen ab: Zwar ist der Quellcode verfügbar, aber die Anforderungen, die die Open Source Initiative (OSI) stellt, werden nicht erfüllt.
Die RSALV2 ist schnell abgehandelt, da es sich hier um eine Redis-exklusive Lizenz handelt, die zudem sehr kurzgehalten ist. Hier der eigentliche Lizenztext in der nicht-offiziellen Übersetzung: „Der Lizenzgeber gewährt Ihnen eine nicht-exklusive, gebührenfreie, weltweite, nicht unterlizenzierbare, nicht übertragbare Lizenz zur Nutzung, Vervielfältigung, Verteilung, Bereitstellung und Erstellung von Bearbeitungen der Software, jeweils vorbehaltlich der nachstehenden Einschränkungen und Bedingungen.“
Die erwähnten Einschränkungen regeln dann im Wesentlichen, dass die oben gewährten Rechte nicht dafür genutzt werden dürfen, um die Redis-Funktionalität selbst anzubieten. Oder anders ausgedrückt: Die RDALV2 erlaubt die Nutzung, Ableitung und Verteilung, stellt den Quellcode zur Verfügung und verbietet, mit Redis Ltd. in Konkurrenz zu treten. Genauer gesagt darf man die Funktionalität von Redis für Dritte nicht zugänglich machen, die Datenbank darf lediglich im Hintergrund laufen und Daten speichern. Direkte Interaktion zum Beispiel über ein API ist somit nicht gestattet.
Der Vorteil dieser Lizenz: Sie ist relativ kurz und einfach gehalten. Da es sich allerdings um eine Redis-exklusive Lizenz handelt, dürfte sie eher für zahlende Redis-Kunden relevant sein. Die große Mehrheit schielt wohl auf die SSPL.
SSPL und Affero GPL
In den Medien war der Aufschrei groß, als Redis den Lizenzwechsel bekanntmachte. Der Tenor: Redis verabschiede sich von Open Source. Schaut man sich die SSPL aber genauer an, kommt man ins Grübeln. Denn die SSPL ist im Wesentlichen eine AGPL – lediglich ein paar Namensnennungen sind unterschiedlich und der Paragraf 13.
Und Paragraf 13 hat schon bei der AGPL-Veröffentlichung Nutzer auf die Barrikaden gerufen. Das A hat die GPL um eine weitere Nuance des Copyleft-Prinzips erweitert. Die Copyleft-Basis: Wird Software mit GPL-Software verwoben und verteilt, fällt auch diese unter die GPL und der Quellcode muss veröffentlich werden. Genau dieser Punkt hat die Software-Industrie über Jahrzehnte gestört und zu dem wirren Krebsgeschwür-Vergleich von Steve Ballmer geführt.
Die Affero-Variante sollte dann der zunehmenden SaaS-Praxis gerecht werden, wo es nämlich ein Schlupfloch gab. Die GPL greift bei der Verteilung der Software – im Falle von SaaS wird aber nicht verteilt, sondern über das Netzwerk genutzt. Also ließ sich GPL-Software in einer Weise einsetzen, die die GPL-Macher so nicht mögen, um es mal sehr freundlich auszudrücken.
Die Free Software Foundation (FSF) und ihr Vordenker Richard Stallman haben bisweilen ein grundlegend anderes Verständnis: Wo die OSI gerne pragmatisch ist und permissive Lizenzen bevorzugt, die möglichst wenig Hindernisse für die Nutzung in den Weg legen, setzt die FSF auf restriktivere Lizenzen, die sicherstellen, dass die Quelloffenheit bestehen bleibt und sich bestenfalls auf weitere Software überträgt. Dass sich also Copyleft-lizenzierte Software in Web-Services einsetzen lässt, ohne dass die Nutzer ein Recht auf den Quellcode haben, entspricht also nicht dem Ansinnen der FSF.
Da kam die AGPL ins Spiel. Diese gewährt nun das Recht auf Quellcode schon dann, wenn die lizenzierte Software über das Netz genutzt wird. Wer also zum Beispiel einen Webmailer nutzt, der mit AGPL-Software umgesetzt wird, besitzt in dem Moment schon den Anspruch, den Quellcode zu bekommen. Wäre die Software GPL-lizenziert, bestünde dieser Anspruch nur, wenn diese auch distribuiert würde.
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der besagte Paragraf 13 wird hier fast komplett neu verfasst und massiv ausgeweitet. Der wichtige Begriff hier: „Service Source Code“. Zunächst mal geht es um Fälle, in denen ein Service angeboten wird, dessen Wert nur oder vor allem aus der Redis-Funktionalität besteht. Und in solchen Fällen muss der gesamte „Service Source Code“ verfügbar gemacht werden.
Gemeint sind damit „alle Programme, die Sie verwenden, um das Programm oder eine geänderte Version als Dienst zur Verfügung zu stellen, einschließlich, aber nicht beschränkt auf Verwaltungssoftware, Benutzerschnittstellen, Anwendungsprogrammschnittstellen, Automatisierungssoftware, Überwachungssoftware, Sicherungssoftware, Speichersoftware und Hosting-Software […].“ Letztlich geht es darum, „[…] dass ein Benutzer eine Instanz des Dienstes unter Verwendung des von Ihnen zur Verfügung gestellten Service-Quellcodes zur Verfügung stellen kann.“
Das ist schon eine sehr weitreichende und nicht wirklich präzise Formulierung. Gemeint ist im Grunde Folgendes: Wenn ein Managed-Service-Provider (MSP) die Nutzung von Redis anbietet, angereichert durch eine eigene grafische Nutzeroberfläche, eine Backup-Funktion und einen eigenen API-Layer, müsste dieser MSP den Quellcode zu all diesen Extras offenlegen.
Was nun?
Die drängende Frage ist in der Praxis wohl schlicht un einfach: Können wir unsere Software, die Redis als Datenbank nutzt, weiterhin so vertreiben? Und die Antwort ist ziemlich klar: Ja, das ist erlaubt – es sei denn, die damit unterfütterte Software bzw. der Dienst steht selbst in direkter Konkurrenz zu Redis.
Bezüglich Redis gibt es da rege Diskussionen und auch Nutzer, die sich selbst als Redis-Mitarbeiter und -mitarbeiterinnen zu erkennen geben, melden sich zu Wort, dass die reine Nutzung als Datenbank zum Beispiel in einem CRM-System kein Problem sei. Mehr Gewissheit bringt aber ein Auszug aus dem FAQ von MongoDB, hier wieder in der nicht offiziellen Übersetzung:
„Die Copyleft-Bedingung von Abschnitt 13 der SSPL gilt nur, wenn Sie die Funktionalität von MongoDB oder modifizierte Versionen von MongoDB Dritten als Dienst anbieten. Es gibt keine Copyleft-Bedingung für andere SaaS-Anwendungen, die MongoDB als Datenbank verwenden.“ Das ist nun die Aussage von MongoDB, aber als SSPL-Autoren sollten sie es ja wissen.
Nun könnte man fragen, warum die SSPL im Gegensatz zur AGPL nicht OSI-zertifiziert ist. OSI-Mitgründer Bruce Perens antwortet darauf in seinem Review mit „Abschnitt 13 in der neu vorgelegten Fassung entspricht offensichtlich nicht der OSD #9, weil er versucht, unverbundene Programme zu belasten.“ Und Punkt 9 der Open Source Definition (OSD) lautet: Die „Lizenz darf andere Software nicht einschränken.“
Die SSPL versucht quasi, das Copyleft auf alles auszuweiten, was auch nur annähernd im selben Rahmen läuft wie die lizenzierte Software selbst. Das originale Copyleft-Prinzip beschränkt sich auf Software, die tatsächlich Copyleft lizenzierten Code einbaut.
Die Intention von MongoDB und Redis ist zumindest auf den ersten Blick nachvollziehbar: Große MSPs sollen nicht mittels MongoDBs/Redis’ freiem Code direkt konkurrierende Dienstleistungen anbieten. Die SSPL ist aber ein Weg mit Tücken. Denn auch wenn Redis betont, weiterhin dem Open-Source-Gedanken verpflichtet zu sein: Es ist „[…] schwierig, sich als Open-Source-Unternehmen zu bezeichnen, wenn man eine Lizenz verwendet, die von der OSI nicht akzeptiert wird“, so Rai Dutt, Gründer von Grafana Labs über Grafanas Entscheidung pro AGPL und gegen die SSPL.
Aber wie es bei Open Source nun mal so ist: Mit Valkey gibt es einen Fork, betreut von der Linux Foundation.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db7a77cd7ea6916c717964cf3d15be/0128896694v1.jpeg "Dr. Nils Kaufmann wird Vertriebsleiter bei indevis x Data-Sec. (Bild: indevis x Data-Sec)")
:quality(80)/p7i.vogel.de/wcms/cc/0e/cc0ee3afaddf3bb684a02ecb5ad68702/0128887963v2.jpeg "Kevin Kennedy, Vice President des Global Partner Ecosystem bei Red Hat (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/01/94/0194b228bbaada88271174c98bc8fa3d/0128877523v2.jpeg "Gos Hein van de Wouw, SVP EMEA Sales bei Extreme Networks (Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/43/c8/43c83a1afdfe56b99d294a05b4c747e4/0128876251v2.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/4d/0d/4d0d39e269de9de8f4e42006ec3bec1e/0128602505v2.jpeg "Die Führungsetage ist verantwortlich für das Risikomanagement. Sie muss die potenziellen Bedrohungen verstehen und geeignete Maßnahmen ergreifen, um Risiken zu minimieren und die Resilienz des Unternehmens zu stärken. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/80/d2/80d2f021fd7b857615cdc90ea6ec40ff/0128893725v1.jpeg "In dieser Folge von IT ImPuls sprechen Natalie Forell und Mihriban Dincel über das brisante Thema NIS2. (Bild: Carin Böhm )")
:quality(80)/p7i.vogel.de/wcms/b0/87/b08746321b6cfef57c5bff16ab6994e2/0128603799v2.jpeg "Künstliche Intelligenz verändert Arbeitsprozesse und Kompetenzanforderungen in immer mehr Berufsgruppen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/be/03/be03b4159ffcde7c26d822dc13537ee6/0128018541v1.jpeg "Enthalten KI-Modelle Sicherheitslücken, können sie durch Prompt-Injection-Angriffe dazu gebracht werden, versteckte Befehle auszuführen, Sicherheitsmechanismen zu umgehen und dabei unbemerkt persönliche Daten, gespeicherte Chats und andere sensible Informationen preiszugeben. (©Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/ed/4aedcc54c3302939b1296a75a80dcf02/0128867288v1.jpeg "Eine ganze Reihe neuer Gaming-Notebooks aus den Serien Raider, Stealth und Crosshair stellte MSI auf der CES in Las Vegas vor, teilweise mit Intels Panther-Lake-Prozessor. (Bild: MSI)")
:quality(80)/p7i.vogel.de/wcms/37/7f/377f9576a9914d8619e67ece12968cc2/0128602629v2.jpeg "Die Bedrohungslage verschärft sich weiter. MSP und Systemhäuser müssen 2026 laut Riedel verstärkt auf automatisierte und ganzheitliche Sicherheitslösungen setzen. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/2d/b0/2db024a7c100b93fe4e2183a526c4b1d/0128646643v2.jpeg "2026: KI denkt mit, handelt selbstständig – und verändert, wie wir arbeiten. (Bild: Reply)")
:quality(80)/p7i.vogel.de/wcms/9f/dd/9fdd85894bed1e083d823c08adbf0840/0128747016v2.jpeg "Das Unternehmen XGIMI präsentiert mit MemoMind seine erste KI-Brille. (Bild: © XGIMI )")
:quality(80)/p7i.vogel.de/wcms/db/b7/dbb7f1a221f31e00281e92dac2fb4e5c/0128874056v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:quality(80)/p7i.vogel.de/wcms/14/a3/14a3efcff030b182d8774ef21539cafb/0128566028v2.jpeg "In München kamen am 11. Dezember fast 30 Mitglieder des deutschen Chapters der Women4Cyber zusammen. (Bild: Nicolas Armer)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/68/e6/68e65d6a3bdb7/1zu1-snt-heidelberg-2025-eintrittskarten-ticket-sichers.png "1zu1-snt-heidelberg-2025-eintrittskarten-ticket-sichers (www.mike-bergmann.com/hd-snt25)")
:quality(80)/p7i.vogel.de/wcms/89/e8/89e813976e71b93c3a2098c3f9a34b79/0126157097v1.jpeg "Symbolbild Virtualisierungssteuerung: Die Open-Source-Plattform „Proxmox Virtual Environment 9“ führt neue Virtualisierungsfunktionen, präzise steuerbare Regeln und grafische Metriken ein. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/34/3b/343b1f20e763e8f45ff236de8ab355e0/0122152718v2.jpeg "Aus Sorge, dass sensible Daten nach außen geraten, scheuen sich viele Unternehmer vor der KI – das muss nicht sein! (Bild: deagreez - stock.adobe.com)")