Ein Unternehmen mit der Rechtsform einer Kapitalgesellschaft (AG, GmbH etc.) muss eine verantwortliche Führung haben. Das bestimmen das Handelsrecht und dessen Nebengesetze. Firmen sind zwar im Sinne des Zivil- und Handelsrechts Träger eigener Rechte und Pflichten, aber naturgemäß muss ein Unternehmen von mindestens einem Menschen geführt werden; meist sind es sogar mehrere.

Also können unter Umständen nicht nur Firmen, sondern auch Unternehmensleitungen gegenüber anderen juristischen oder natürlichen Personen, gegenüber dem Staat oder auch gegenüber dem eigenen Unternehmen - im Innenverhältnis - haftbar sein. Ein Beispiel dafür ist der von den IT-Anbietern häufig als Drohung verwendete Fall, dass der IT-Manager beziehungsweise CIO direkt und persönlich einstehen muss, wenn in dem Unternehmen, das ihn beschäftigt, die Rechte eines Lizenzgebers verletzt werden.

Apropos CIO: In Deutschland gibt es kein System von Officers und Directors, sondern Vorstände oder Geschäftsführer und Aufsichtsräte. Trotzdem wird hier häufig jemand als Chief Information Officer bezeichnet - auch ohne dass er Mitglied des Vorstands oder der Geschäftsführung ist.

Zurück zum Thema: Für die IT eines Unternehmens muss in letzter Konsequenz ein Mitglied der Firmenleitung die Verantwortung tragen. Das gilt auch dann, wenn diese Person einen IT-Leiter unterhalb der Vorstands- oder Geschäftsleitungsebene mit den Aktivitäten betraut hat. Im zivil- und strafrechtlichen Haftungssinn ist immer zuerst nach dem "echten" CIO auf Leitungsebene zu suchen. Und in der Regel ist er es, dem eine eventuelle Verfehlung (durch "Organisationsverschulden") angelastet wird. Normen für diesen Fall finden sich im mehrmals geänderten Urheberrechtsgesetz (UrhG) vom 09. Septmeber 1965.

Dass die Regeln des UrhG auf Software und deren Nutzungsrechte (Lizenzen) anzuwenden sind, steht seit der Urheberrechtsnovelle von 1993 fest. Wie mit den Nutzungsrechten zu einer Software zu verfahren ist, hängt also nicht nur von den Vorgaben des einzelvertraglichen Lizenzübereinkommens ab. Vielmehr schützt der Staat den Urheber durch Normen. Das betrifft insbesondere den Schutz vor Vervielfältigung. Er ist im Paragraf 69c UrhG kodifiziert, die Rechtsfolgen finden sich in einem später folgenden Teil des Gesetzes.

Die Unternehmensleitung als Vertreterin der Firma kann sich hier zweierlei Tatbeständen gegenübersehen; sie kommen aus dem Strafrecht oder aus dem Zivilrecht. Der Lizenzgeber klingelt also zweimal.

Strafrechtliche Haftung

Nach deutschem Strafrecht kann immer nur eine natürliche, strafmündige Person zu einer Geld- oder Freiheitsstrafe verurteilt werden. Eine juristische Person kann sich nicht strafbar machen. Wenn also ein Unternehmen durch Unterlizenzierung eingesetzter Software gegen das Urheberrechtsgesetz verstößt - wer wird in diesem Fall bestraft?

Paragraf 106 UrhG (Unerlaubte Verwertung) bezieht sich auf eine "Vorsatzstraftat". Das setzt voraus, dass derjenige, der die Tat begeht, dies wissentlich und mit Absicht tut. Strafbarkeit wegen fahrlässiger Tatbegehung ist ausgeschlossen. Und verfolgt wird die Tat nur auf Antrag des Rechteinhabers. Damit sind hohe Hürden aufgebaut, bevor der Staatsanwalt auf Antrag eines Lizenzgebers beziehungsweise Softwarehauses ein Strafverfahren einleitet. Trotzdem kommt es immer wieder vor.

Nehmen wir an, dass in einer mittelständischen GmbH nur 800 PCs über Lizenzen eines Office-Programmpakets verfügen, das jedoch von 1000 PCs genutzt wird. Weist die Staatsanwaltschaft nach, dass die Geschäftsführung die Lizenzrechtsverstöße vorsätzlich - etwa um Kosten zu sparen - begangen oder in Kauf genommen hat, wird es ungemütlich für den IT-verantwortlichen Geschäftsführer: Er steht im Verdacht, sich strafbar gemacht zu haben, indem er mit Wissen und ohne Einwilligung des Rechtsinhabers ein geschütztes Werk vervielfältigt hat.

Anders sieht es aus, wenn das Vorstandsmitglied nichts von dem Lizenzverstoß gewusst hat, der Vorsatz also nur auf einen seiner Mitarbeiter, beispielsweise den IT-Leiter, zutrifft. Kann der sich nicht "entschulden", also beispielsweise nachweisen, dass er nur eine Anordnung befolgt hat, so wird seine "Strafbarkeit" geprüft.

Diese Entschuldung von unten nach oben ist eine Frage der Organisation im Unternehmen. Gibt es Lizenz-Management-Policies und konkrete Arbeitsanweisungen oder nicht? Die Antwort auf diese Frage ist in diesem Zusammenhang entscheidend.

Zivil- und handelsrechtliche Haftung

Diese Frage wird auch im Rahmen der zivilrechtlichen Haftung gestellt, die meist an die strafrechtliche Prüfung anschließt. Hier ist in erster Linie das Unternehmen selbst in der Haftung. Es muss dafür sorgen, dass keiner seiner Mitarbeiter gegen den in Paragraf 69c UrhG formulierten Schutz vor Vervielfältigung verstößt oder einen Lizenzvertrag bricht.

Das Unternehmen ist Vertragspartner des Lizenzvertrags. Zudem fungiert es nach den "Schutzgesetzen" des UrhG auch als Subjekt von Auskunfts-, Durchsuchungs-, Unterlassungs- und Schadensersatzansprüchen, die über Zivilgerichte geltend gemacht werden.

In diesem Zusammenhang ist nicht nur der Vorsatz, sondern auch die Fahrlässigkeit relevant. Kommt es zu einer zivilrechtlichen Verurteilung des Unternehmens, beispielsweise auf Zahlung von Schadensersatz, so wird es sicher prüfen, ob es sich im Innenverhältnis schadlos halten kann, indem es seinem CIO Vorsatz oder Fahrlässigkeit nachweist.

Wege aus der Falle

Das kann den CIO hart treffen. Aber es gibt Möglichkeiten, sich davor zu schützen. Eine Maßnahme ist eine Haftpflichtversicherung für "Directors and Officers" (D&O). Sie muss für den CIO durch das ihn beschäftigende Unternehmen abgeschlossen werden. Diese Versicherung schützt den CIO im Falle eines zivilrechtlichen Anspruchs, für dessen Eintreten er entweder vom eigenen Unternehmen oder von dessen Eigentümer in Regress genommen wird.

Eine bessere, weil proaktive Strategie läst sich auf zwei Begriffe reduzieren, die der ITSM-Norm ISO/IEC 20000:2005 entnommen sind: Documents and Records! Nur durch lückenlose Dokumentation und prüfbare Belege lässt sich ein funktionierendes, das Organisationsverschulden ausschließendes Lizenz-Management-System nachweisen - gegenüber dem Lizenzgeber und eventuell gegenüber der Staatsanwaltschaft.

Die "Documents" enthalten Policies und konkrete Arbeitsanweisungen für den Umgang mit Softwarelizenzen. Damit weist der CIO nach, dass er die Verantwortlichkeit von den Anforderungs- über die Beschaffungs- bis zu den Asset-Management-Prozessen transparent gemacht und delegiert hat.

Die "Records" belegen, dass die mit der Softwarebeschaffung einhergehenden Prozesse sauber eingehalten wurden - hinsichtlich aller eingekauften Lizenzen mit den zugehörigen Verbrauchsnachweisen (Installationen oder erteilte Berechtigungen) und periodisch vorgenommenen Lizenzinventuren.

Blauäugigkeit rächt sich

Es wäre blauäugig, nur darauf zu vertrauen, dass der Lizenzgeber "die Kühe, die er melken will, nicht schlachtet". Selbstverständlich ist ein angezeigter oder zivilrechtlicher belangter Kunde für den Lizenzgeber wahrscheinlich verloren - Monopole einmal ausgenommen. Aber sicher stellen viele Softwarehäuser in solchen Fällen eine Wirtschaftlichkeitsbetrachtung über Aufwand und Ertrag solcher "Worst-Case-Szenarien" gegenüber einer Nachlizenzierung oder einer Kündigung von Verträgen an. (qua)