Rechte und Pflichten im Software-Audit

So begegnen Unternehmen dem Schreckgespenst Audit

28.08.2015

Achim Herber ist seit 2012 Executive Vice President Deutschland & UK bei COMPAREX. Zuvor war er Vorstand der DATALOG AG, die 2012 von der COMPAREX AG übernommen wurde. Der studierte Diplom-Kaufmann verfügt über langjährige Berufserfahrung in der IT-Branche, die er im In- und Ausland sammelte. Auf computerwoche.de schreibt er über die Themen Softwarelizenzierung, Cloud, Compliance und Microsoft.

 

 

 

 

Software-Audits gehören mittlerweile fast zum üblichen Vertriebsrepertoire der Hersteller. Deshalb verbreiten sie in manchen IT-Abteilungen Furcht und Schrecken. Häufig führen Unwissen und mangelnde Kontrolle über die Lizenzen zu schmerzvollen Nachzahlungen. Aber wer seine Rechte kennt und seine Prozesse im Griff hat, kann sich entspannt zurücklehnen.

Die Zahlen der Business Software Alliance(BSA) - dem Interessenverband der Software-Hersteller - sind deutlich: In Deutschland ist fast ein Viertel der genutzten Software nicht oder falsch lizenziert, in Westeuropa rund 30 Prozent und weltweit sogar fast 40 Prozent. Software-Herstellern entgeht somit jedes Jahr immenser Umsatz.

Lizenzverträge enthalten in der Regel eine separate Auditklausel, die den Herstellern das Recht einräumt, unangemeldet Audits durchzuführen.
Lizenzverträge enthalten in der Regel eine separate Auditklausel, die den Herstellern das Recht einräumt, unangemeldet Audits durchzuführen.
Foto: lexkopje-shutterstock.com

Die Rechtsgrundlage für die Auditierung verwendeter Lizenzen ist klar: Das Urheberrecht gibt Regeln für die Verwendung und Verbreitung geistigen Eigentums vor - und dazu gehört auch Software. In Deutschland regelt § 101 des Urheberrechtsgesetzes (UrhG) den Anspruch eines Urhebers auf Auskunft. Daher hat ein Hersteller das Recht, bei einem Kunden den ordnungsgemäßen Lizenzgebrauch zu überprüfen. Verweigert dieser sich dem Audit, kann der Hersteller die Besichtigung sogar über eine einstweilige Verfügung anordnen.

Ein Lizenzaudit wird meist vom Hersteller initiiert. In seltenen Fällen wird die Prüfung sogar vom Staatsanwalt oder über einen anderen anwaltlichen Kanal angeordnet. Die BSA versucht so Falschlizenzierung und Softwarepiraterie zu unterbinden. Die Hersteller dürfen frei entscheiden, wer das Audit durchführt - eigene Mitarbeiter, externe Sachverständige oder auch unabhängige Wirtschaftsprüfungsgesellschaften wie KPMG oder Deloitte.

Audits gehören mittlerweile zum Standard der großen Hersteller. Microsoft, IBM, Oracle, SAP - jeder der Hersteller auditiert regelmäßig seine Kunden. Microsoft beispielsweise plant, jeden seiner großen Verträge, beispielsweise Enterprise Agreements, Select-Plus-Verträge oder Microsoft Products and Services Agreements, einmal während der Laufzeit zu auditieren. Es entwickelt sich langsam eine Regelmäßigkeit und Audits gehören wohl bald zum Standard. Die Beobachtung zeigt, dass Microsoft sicherlich einer der Auditspitzenreiter ist. Aber die anderen Hersteller stehen hier in nichts nach.

Audits sind Vertragsbestandteile - mit allen Konsequenzen

Die Rechte des Herstellers sind in der Regel im jeweiligen Vertrag mit den Kunden dokumentiert. Im Fokus stehen die Erfassung und Analyse der Lizenzsituation. Daher muss der Kunde eine Übersicht bereitstellen, welche Softwareprodukte er nutzt und welche Lizenzen er erworben hat. Einem Audit dürfen nur Produkte unterzogen werden, die über den auditierten Vertrag erworben wurden.

Für Microsoft-Produkte heißt das zum Beispiel: OEM-Software und Paketprodukte darf Microsoft nicht überprüfen. Erst wenn diese zusätzlich mit Updatelizenzen aus Volumenlizenzverträgen ausgestattet werden, wandeln sie sich zu einer Volumenlizenz. Nur dann hat Microsoft das Recht, diese Lizenzen zu überprüfen. Mit Unterzeichnung eines Volumenlizenzvertrags verpflichtet sich der Kunde, ordnungsgemäß lizenziert zu sein und die Lizenznutzung sowie den Lizenzbestand tagesgenau zu dokumentieren.

Wichtig für Anwenderunternehmen

Eine Falschlizenzierung kann ernste Konsequenzen haben. Es haftet immer derjenige, der die Rechtsverletzung vorgenommen hat. In Unternehmen ist das die Unternehmensleitung. Je nach Rechtsform kann das beispielsweise ein Gesellschafter, Vorstand oder Geschäftsführer sein. In seltenen Fällen kommt das Strafrecht zur Anwendung. So können Geldstrafen und sogar Freiheitsstrafen bis zu fünf Jahren verhängt werden.

Das größte Risiko sind sicher die nicht budgetierten Ausgaben für Lizenzen. Abhängig vom Ausmaß der Falschlizenzierung können große Nachzahlungen fällig werden. Einige Hersteller nehmen auch rückwirkend Wartungskosten in Anspruch, welche die Lizenznutzung für vergangene Jahre abdeckt. Zudem müssen immer häufiger die Kunden die Auditkosten selbst übernehmen.

Lieber vorbereiten anstatt nachzuzahlen

Im Zuge eines Audits ist Kooperation mit dem Prüfer die beste Strategie. Die angeforderten Informationen sollten zügig bereitgestellt werden. Ansonsten weckt der Kunde den Verdacht, er verberge etwas. Die Bereitschaft zur Zusammenarbeit beeinflusst erfahrungsgemäß den weiteren Verlauf des Audits stark. Selbstverständlich müssen entdeckte Unterlizenzierungen umgehend ausgeglichen werden.

Am besten bereitet man sich proaktiv auf ein mögliches Audit vor. Eine Lizenzbilanz sollte regelmäßig erstellt werden, bevor überhaupt ein Audit angekündigt wird. Da mehr Zeit zur Verfügung steht, erfolgt die Datenaufnahme genauer sowie systematischer und die Qualität der Ergebnisse verbessert sich. Darüber hinaus lassen sich auf Basis dessen Optimierungen durchführen und nicht mehr genutzte Produkte aus dem Inventar entfernen - bei einem Audit ist dies nicht mehr möglich. (bw)

 

Wilfried Reiners

Sehr geehrter Herr Kollege,

mit dem ersten Satz in Ihrem Statement würde ich vorsichtiger im Gebrauch umgehen.

Sie haben Recht. Der Blick ins Gesetz erspart das Geschwätz. Es ist zunächst zutreffend, dass die §§ 101 und 101a UrhG als Rechtsgrundlagen für Audits und für Besichtigungen herangezogen werden können. In der Regel findet sich die Anspruchsgrundlage aber nicht im Gesetz, sondern im Vertrag. Eine Auditklausel ist im Rahmen der Vertragsfreiheit selbstverständlich möglich. Nicht selten unterliegt sie aber nicht mal deutschem Recht. Gern greift man hier auf irisches Recht zurück und dann kommen hinsichtlich der Wirksamkeit derartiger Audit-Klauseln auch nicht automatisch die §§ 305 ff. BGB zur Anwendung.

Wenn Sie Ihren Mandanten anraten, niemals einen Audit in Form einer Betretung der gewerblichen Räume zuzulassen und auch keine Softwaretools der Anbieter zu akzeptieren und zu installieren, dann ist das ganz schön mutig. Wir prüfen den Einzelfall und kommen in der Regel zu einem anderen Ergebnis. Zu einem Ergebnis, dass das Beste
für den Mandanten darstellt. Wir raten auch dazu vorauszudenken und es gar nicht erst zu einem Audit kommen zu lassen.

Es sei daran erinnert, dass die Unterlizensierung auch einen Straftatbestand darstellt und das schon im Versuchsstadium. Soll man so etwas fördern?

Es scheint auch „IN“ zu sein, die Softwareanbieter wegen der Audits an den Pranger zu stellen. Was wäre denn, wenn die Softwareanbieter, wissend, dass Unterlizensierung ein sehr beachtliches Volumen ausmacht, keine Audits durchführen würden? Wer ist denn dann der Geschädigte? Bitte beachten Sie, dass börsennotierten Konzernen aufgrund wirtschaftlichen Schadens, der bei Unterlizenzierung entstehen kann, gar keine andere Wahl bleibt, als auf durchsetzbare Audit-Klauseln zu bestehen. Dies folgt bereits aus der gegenüber den Aktionären bestehenden Handlungspflicht und dem Anspruch der Aktionäre auf eine wirtschaftliche Unternehmensführung. Bezogen auf die in Deutschland ansässigen
Töchter der US Konzerne liegt die Handlungsverpflichtung bereits in § 43 GmbHG.
(1) Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.

(2) Geschäftsführer, welche ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstandenen Schaden.

Shareholder (Gesellschafter) sind die US-Mütter; deren Shareholder sind die Aktionäre. Es sind also die Aktionäre, die schuld an den Audits sind. Am Ende sind also wir es wieder, die kleinen Aktionäre, die alles Schuld sind? Nein das will ich nicht auch noch schuld sein. Ich bin für Rechtskonformität und für eine transparente Lizenzierung. Dabei nehme ich auch in Kauf, dass sich ein vermeintliches anwaltliches Schlachtfeld gar nicht erst als solches erweist. Kaum vorstellbar, aber mit Transparenz geht es auch ohne uns.

Insgesamt finde ich den Artikel daher eher aufklärend und keinen "ziemlichen Quatsch".

Herzliche
Grüße aus München

Wilfried
Reiners

RA

Lieber Autor

leider ist das ziemlicher Quatsch, den Sie hier inhaltlich von sich geben.

Richtig ist, daß §101 UrhG sowie § 101a UrhG die Rechtsgrundlagen für Audits wären, aber eben nur für Audits in Dokumentenform und auch nur im Falle einer offensichtlich nachgewiesenen Rechtsverletzung.
Das Betretungsrecht einer Firma oder eines Gewerberaumes, beides durch das Eigentums bzw. Besitzrecht aus der Verfassung geschützt, besteht grundsätzlich nicht, und wenn nur für Behörden oder Wirtschaftsprüfer auf gerichtliche Anordnung.
Insofern sind 99% aller Auditklauseln mangels Bestimmtheit und Transparenz unwirksam und in Deutschland rechtlich nicht durchsetzbar.
Vielmehr gilt, niemals einen Audit in Form einer Betretung der gewerblichen Räume zuzulassen und auch keine Softwaretools der Anbieter zu akzeptieren und zu installieren.
Stattdessen besorgt man sich selbst eine Lizenzsoftware und zählt damit die verwendeten Lizenzen. Im Anschluß erteilt man eine eidesstattliche Versicherung auf Basis der Selbstzählung und gibt diese an den Anbieter ab. Ende des Audits.

Viele Grüße
Rechtsanwalt für IT-Recht und Urheberrecht

comments powered by Disqus