computerwoche.de

Compliance & Recht

Die Tricks der Softwareanbieter

Kostenfalle Software-Audit – so können Sie sich wehren!

12.06.2014
Von Marc Strittmatter und Rafael  Harnos

Gesetzliche Grundlage für Software-Audits

Auch wenn ein Software-Audit aus Sicht der Anbieter ein verlockendes Mittel ist, um das Nutzungsverhalten der Anwender zu kontrollieren und gegebenenfalls zusätzliche Einnahmen zu generieren, sind der Lizenz-überprüfung rechtliche Grenzen gesetzt. Als gesetzliche Grundlage eines Audits können §§ 101, 101a UrhG dienen: Nach § 101 UrhG kann der Ur-heber (also der Softwarehersteller) Auskunft verlangen, wenn eine Rechtsverletzung durch den Anwender feststeht. § 101a UrhG gewährt einen Anspruch auf Vorlage einer Urkunde und Besichtigung einer Sache, wenn eine Urheberrechtsverletzung durch den Softwarenutzer hinreichend wahrscheinlich ist, wobei nach der BGH-Rechtsprechung keine überzogenen Anforderungen an die Wahrscheinlichkeit gestellt werden können. Eine verdachtsunabhängige Lizenzüberprüfung ist auf gesetzlicher Grundlage jedoch nicht möglich.

Individualvereinbarung

Deshalb ist es gängige Praxis, sich ein Auditrecht vertraglich zusichern zu lassen. Weitgehend unproblematisch ist es, wenn eine Auditvereinbarung individuell durch die Vertragsparteien ausgehandelt wird. Denn in diesem Fall ist davon auszugehen, dass Anbieter und Anwender sich gleichberechtigt gegenüberstehen und in den Vertragsverhandlungen ihre Interessen verfolgen können. Lässt sich der Anwender auf ein verdachtsunabhängiges Auditrecht des Anbieters ein, ist er nicht schutzwürdig. Die Parteien müssen nur bedenken, die zwingenden datenschutzrechtlichen Vorgaben einzuhalten. Denn mit der Überprüfung geht einher, dass die Kontrolleure auf Daten der Mitarbeiter des Anwenders Zugriff erlangen. Ein Lösungsansatz ist in § 28 Abs. 1 Nr. 2 BDSG zu suchen, der eine Datenverwendung zulässt, wenn dies zur Wahrungberechtigter Interessen der verantwortli-chen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Ver-arbeitung oder Nutzung überwiegt. Die Parteien müssen also die Grundsätze der Datenvermeidung und Datensparsamkeit (§ 3a BDSG) beachten und das Auditverfahren streng formalisieren und dokumentieren.

Vorsicht bei der AGB-Klausel!

Findet eine Verhandlung über das Auditrecht nicht statt und enthält der Lizenzvertrag nur eine durch den Softwareanbieter einseitig gestellte (meist anlassunabhängige) Auditklausel, unterfällt diese Klausel einer AGB-Kontrolle nach §§ 307 BGB ff. Dabei ist sich das juristische Schrift-tum einig, dass der Anbieter keine beliebige Klausel stellen kann, sondern auf Interessen seines Vertragspartners achten muss. Deshalb ist eine Au-ditklausel nur wirksam, wenn sie den Anwender nicht unangemessen benachteiligt. Um festzustellen, ob eine solche unangemessene Benachteili-gung vorliegt, ist eine umfassende Interessensabwägung im Einzelfall erforderlich, wobei insbesondere urheberrechtliche Wertungen berück-sichtigt werden müssen. Den Einfallstor bildet § 307 Abs. 2 Nr. 1 BGB. Da §§ 101, 101a UrhG ein verdachtsunabhängiges Überprüfungsrecht nicht vorsehen, darf ein solches nur in bestimmten Grenzen in einer AGB-Klausel untergebracht werden.

Um eine AGB-feste Auditklausel auszugestalten, müssen diese urheberrechtlichen Wertungen beachtet werden. Davon ausgehend ist zu überprüfen, ob der Softwarehersteller ein Interesse daran hat, das Nutzungsverhalten des Verwenders zu kontrollieren, und dieser kein überwiegendes entgegenstehendes Interesse hat. Entscheidend sind unter anderem der von den Parteien vereinbarte Distributionsweg und das damit verbundene Missbrauchspotential durch die Anwender. Kann der Softwareanbieter keine strukturellen Anhaltspunkte dafür belegen, dass es im Distributionsmodell typischerweise zu Unterlizenzierungen kommen kann, spricht dies für die Unwirksamkeit der Auditklausel. Dies ist etwa der Fall, wenn er die Distribution über Sicherungsvorkehrungen, wie etwa Dongles oder Freischaltcodes, gegen eine unlizenzierte Nutzung abgesichert hat. Umgekehrt ist eine Auditklausel beim Download einer frei kopierbaren Masterkopie oder einem „Bring your own Device“-Modell, das Wege für missbräuchliche Nutzung eröffnet, eher unbedenklich. Darüber hinaus ist von Bedeutung, ob der Audit vorangekündigt werden muss, durch einen zur Verschwiegenheit verpflichteten, unabhängigen Dritten durchgeführt wird und sich nur auf Informationen bezieht, die zur Durchsetzung urheberrechtlicher Ansprüche notwendig sind. Schließlich muss die AGB-Klausel den zwingenden datenschutzrechtlichen Vorschriften Rechnung tragen und berücksichtigen, dass der Softwareanbieter Interesse am Schutz seiner Geschäftsgeheimnisse hat. Häufig birgt die 1:1-Übersetzung der Lizenzbedingungen aus z.B. anglo-amerikanischen Vertragsentwürfen Fehlerpotential.