Rechte und Pflichten im Software-Audit

So begegnen Unternehmen dem Schreckgespenst Audit



Achim Herber ist seit 2012 Executive Vice President Deutschland & UK bei COMPAREX. Zuvor war er Vorstand der DATALOG AG, die 2012 von der COMPAREX AG übernommen wurde. Der studierte Diplom-Kaufmann verfügt über langjährige Berufserfahrung in der IT-Branche, die er im In- und Ausland sammelte. Auf computerwoche.de schreibt er über die Themen Softwarelizenzierung, Cloud, Compliance und Microsoft.

 

 

 

 
Software-Audits gehören mittlerweile fast zum üblichen Vertriebsrepertoire der Hersteller. Deshalb verbreiten sie in manchen IT-Abteilungen Furcht und Schrecken. Häufig führen Unwissen und mangelnde Kontrolle über die Lizenzen zu schmerzvollen Nachzahlungen. Aber wer seine Rechte kennt und seine Prozesse im Griff hat, kann sich entspannt zurücklehnen.

Die Zahlen der Business Software Alliance(BSA) - dem Interessenverband der Software-Hersteller - sind deutlich: In Deutschland ist fast ein Viertel der genutzten Software nicht oder falsch lizenziert, in Westeuropa rund 30 Prozent und weltweit sogar fast 40 Prozent. Software-Herstellern entgeht somit jedes Jahr immenser Umsatz.

Lizenzverträge enthalten in der Regel eine separate Auditklausel, die den Herstellern das Recht einräumt, unangemeldet Audits durchzuführen.
Lizenzverträge enthalten in der Regel eine separate Auditklausel, die den Herstellern das Recht einräumt, unangemeldet Audits durchzuführen.
Foto: lexkopje - shutterstock.com

Die Rechtsgrundlage für die Auditierung verwendeter Lizenzen ist klar: Das Urheberrecht gibt Regeln für die Verwendung und Verbreitung geistigen Eigentums vor - und dazu gehört auch Software. In Deutschland regelt § 101 des Urheberrechtsgesetzes (UrhG) den Anspruch eines Urhebers auf Auskunft. Daher hat ein Hersteller das Recht, bei einem Kunden den ordnungsgemäßen Lizenzgebrauch zu überprüfen. Verweigert dieser sich dem Audit, kann der Hersteller die Besichtigung sogar über eine einstweilige Verfügung anordnen.

Ein Lizenzaudit wird meist vom Hersteller initiiert. In seltenen Fällen wird die Prüfung sogar vom Staatsanwalt oder über einen anderen anwaltlichen Kanal angeordnet. Die BSA versucht so Falschlizenzierung und Softwarepiraterie zu unterbinden. Die Hersteller dürfen frei entscheiden, wer das Audit durchführt - eigene Mitarbeiter, externe Sachverständige oder auch unabhängige Wirtschaftsprüfungsgesellschaften wie KPMG oder Deloitte.

Audits gehören mittlerweile zum Standard der großen Hersteller. Microsoft, IBM, Oracle, SAP - jeder der Hersteller auditiert regelmäßig seine Kunden. Microsoft beispielsweise plant, jeden seiner großen Verträge, beispielsweise Enterprise Agreements, Select-Plus-Verträge oder Microsoft Products and Services Agreements, einmal während der Laufzeit zu auditieren. Es entwickelt sich langsam eine Regelmäßigkeit und Audits gehören wohl bald zum Standard. Die Beobachtung zeigt, dass Microsoft sicherlich einer der Auditspitzenreiter ist. Aber die anderen Hersteller stehen hier in nichts nach.

Audits sind Vertragsbestandteile - mit allen Konsequenzen

Die Rechte des Herstellers sind in der Regel im jeweiligen Vertrag mit den Kunden dokumentiert. Im Fokus stehen die Erfassung und Analyse der Lizenzsituation. Daher muss der Kunde eine Übersicht bereitstellen, welche Softwareprodukte er nutzt und welche Lizenzen er erworben hat. Einem Audit dürfen nur Produkte unterzogen werden, die über den auditierten Vertrag erworben wurden.

Für Microsoft-Produkte heißt das zum Beispiel: OEM-Software und Paketprodukte darf Microsoft nicht überprüfen. Erst wenn diese zusätzlich mit Updatelizenzen aus Volumenlizenzverträgen ausgestattet werden, wandeln sie sich zu einer Volumenlizenz. Nur dann hat Microsoft das Recht, diese Lizenzen zu überprüfen. Mit Unterzeichnung eines Volumenlizenzvertrags verpflichtet sich der Kunde, ordnungsgemäß lizenziert zu sein und die Lizenznutzung sowie den Lizenzbestand tagesgenau zu dokumentieren.

Wichtig für Anwenderunternehmen

Eine Falschlizenzierung kann ernste Konsequenzen haben. Es haftet immer derjenige, der die Rechtsverletzung vorgenommen hat. In Unternehmen ist das die Unternehmensleitung. Je nach Rechtsform kann das beispielsweise ein Gesellschafter, Vorstand oder Geschäftsführer sein. In seltenen Fällen kommt das Strafrecht zur Anwendung. So können Geldstrafen und sogar Freiheitsstrafen bis zu fünf Jahren verhängt werden.

Das größte Risiko sind sicher die nicht budgetierten Ausgaben für Lizenzen. Abhängig vom Ausmaß der Falschlizenzierung können große Nachzahlungen fällig werden. Einige Hersteller nehmen auch rückwirkend Wartungskosten in Anspruch, welche die Lizenznutzung für vergangene Jahre abdeckt. Zudem müssen immer häufiger die Kunden die Auditkosten selbst übernehmen.

Lieber vorbereiten anstatt nachzuzahlen

Im Zuge eines Audits ist Kooperation mit dem Prüfer die beste Strategie. Die angeforderten Informationen sollten zügig bereitgestellt werden. Ansonsten weckt der Kunde den Verdacht, er verberge etwas. Die Bereitschaft zur Zusammenarbeit beeinflusst erfahrungsgemäß den weiteren Verlauf des Audits stark. Selbstverständlich müssen entdeckte Unterlizenzierungen umgehend ausgeglichen werden.

Am besten bereitet man sich proaktiv auf ein mögliches Audit vor. Eine Lizenzbilanz sollte regelmäßig erstellt werden, bevor überhaupt ein Audit angekündigt wird. Da mehr Zeit zur Verfügung steht, erfolgt die Datenaufnahme genauer sowie systematischer und die Qualität der Ergebnisse verbessert sich. Darüber hinaus lassen sich auf Basis dessen Optimierungen durchführen und nicht mehr genutzte Produkte aus dem Inventar entfernen - bei einem Audit ist dies nicht mehr möglich. (bw)