Software Audit

So klappts mit der Lizenzprüfung

27.10.2021
Von  und
Angelika Maria Szalek ist Rechtsanwältin bei LUTZ | ABEL Rechtsanwalts PartG mbB. Sie berät Unternehmen und die öffentliche Hand in allen Fragen des IT-Rechts und Datenschutzrechts.
RA Dr. André Schmidt ist Fachanwalt für IT-Recht und ist Leiter der Praxisgruppe IT-Recht und Datenschutz bei der LUTZ | ABEL Rechtsanwalts PartG mbB. Er berät Unternehmen und die öffentliche Hand in allen Fragen des IT-Rechts, des Datenschutzrechts und im gewerblichen Rechtsschutz.
Nur wer gut vorbereitet ist, kann einem Software Audit gelassen entgegensehen. Folgende Tipps helfen Ihnen dabei.
Richtig vorbereitet muss kein Unternehmen ein Software-Audit fürchten.
Richtig vorbereitet muss kein Unternehmen ein Software-Audit fürchten.
Foto: chase4concept - shutterstock.com

Wenn der Softwarelieferant eine Lizenzprüfung ankündigt, bricht in vielen Unternehmen erst einmal rege Betriebsamkeit aus. Haben wir genügend Lizenzen eingekauft? Wo läuft eigentlich die Software? Und in welchem Ordner liegen eigentlich die Verträge? Wer gut vorbereitet ist, kann diese Fragen problemlos beantworten und dem Software Audit gelassen entgegensehen - das wünschen sich zumindest viele Unternehmen.

Doch die Realität sieht meist anders aus. Seit infolge der Corona-Pandemie das Projektgeschäft für einige Softwarehäuser zurückgegangen ist, haben deren Lizenzkontrollen zugenommen. Andere Softwarehersteller wie beispielsweise Adobe, IBM, Microsoft, Oracle oder SAP praktizieren schon seit jeher regelmäßige Lizenzaudits bei ihren Kunden.

Das Anliegen der Hersteller, dass Kunden die eingekauften Lizenzen nur im vertraglich festgelegten und damit berechtigten Umfang nutzen dürfen, ist durchaus nachvollziehbar. Was in der Theorie klar regelbar erscheinen mag, kann sich in der Praxis jedoch als durchaus komplex und nebulös erweisen. Auf Kundenseite sorgen Lizenzaudits häufig für Auf­regung und Unsicherheit. Es kommt nicht selten vor, dass Softwareanbieter im Zuge einer Lizenzkontrolle hohe Nachforderungen stellen, obwohl das betroffene Anwender­unternehmen sich zuvor keiner Fehllizenzierung bewusst war.

Solche Situationen lassen sich vermeiden. Dafür müssen sich die Verantwortlichen auf Kundenseite allerdings richtig auf Lizenz­audits vorbereiten. Das fängt beim Vertrags­abschluss an, reicht über eine adäquate Reaktion auf das Auditverlangen eines Herstellers und die Abwicklung der Prüfung bis hin zur Abnahme des Kontrollberichts und möglicher Beanstandungen.

Lizenzauditklauseln: Vertragliche Ausgestaltung

Schon bei den Vertragsverhandlungen zu Lizenzauditklauseln liegt der Teufel im Detail. Der Lizenz-Erwerber sollte sich vor Vertrags­abschluss entscheiden, ob er eine bestehende Lizenzauditklausel verhandeln möchte und – wenn ja – was sie beinhalten soll.

Sollten Auditklauseln immer verhandelt werden?

Es mag überraschend klingen: Vermeintlich für den Kunden ungünstige Auditklauseln sollten nicht immer automatisch auf dem Verhandlungstisch landen. Schweigen ist zumindest überlegenswert, wenn:

  • deutsches Recht gilt und

  • die Auditklauseln des Softwareanbieters AGB sind und

  • diese aufgrund ihrer Regelungsinhalte als AGB wahrscheinlich unwirksam sind und

  • nicht zu erwarten ist, dass der Software­anbie­ter zu signifikanten Zugeständnissen im Rahmen von Vertragsverhandlungen bereit ist.

Auditklauseln werden vom Softwareanbieter häufig als vorformulierte Vertragsbedingungen vorgelegt, die für eine Vielzahl von Verträgen mit verschiedenen Kunden dienen sollen. Solche allgemeinen Geschäftsbedingungen (AGB) unterliegen einer gesetzlichen Kontrolle, sofern deutsches Recht (exklusive UN-Kaufrecht) gilt. Auditklauseln können – je nach Ausgestaltung – in folgenden Fällen als AGB gegebenenfalls unwirksam sein (nach Paragraf 305 ff. BGB):

  • Die Lizenzkontrolle mit Tools oder beim Unternehmen vor Ort wird ohne einen begründeten Verdacht eines Lizenzverstoßes erlaubt.

  • Es ist nicht transparent, wie die Kontrollen durchgeführt werden sollen.

  • Die anlasslosen Kontrollen sind geeignet, den Betriebsablauf im Unternehmen zu stören und den Schutz von Geschäftsgeheimnissen oder Mitarbeiter-, Kunden und Lieferanten-Daten zu beeinträchtigen.

  • gelassen entgegensehen - das wünschen sich zumindest viele Unternehmen.

Wenn der Kunde die unwirksamen Auditklauseln nicht verhandelt, so gilt die gesetz­liche Lage. Diese lässt Lizenzkontrollen nur in einem sehr engen Anwendungsbereich zu. Sofern deutsches Recht anwendbar ist, fährt der Lizenznehmer auf der gesetzlichen Basis immer besser.

Folgendes sollten die Verantwortlichen auf Kundenseite an dieser Stelle bedenken: Sobald die Parteien ernsthaft über die die Lizenzkon­trollen betreffenden AGBs verhandeln, werden die (modifizierten) Lizenzkontrollklauseln zu Individualvereinbarungen, die nicht mehr nach Paragraf 305 ff. BGB unwirksam sein können. Für einen Kunden wäre das ein schlechter Deal, wenn sich infolge der Verhandlungen die Audit-Modalitäten nur geringfügig verbessern würden.

Vertragliche Ausgestaltung von Lizenzkontrollen

Das Anliegen der Hersteller, dass Kunden die eingekauften Lizenzen nur im vertraglich festgelegten und damit berechtigten Umfang nutzen dürfen, ist durchaus nachvollziehbar. Was in der Theorie klar regelbar erscheinen mag, kann sich in der Praxis jedoch als durchaus komplex und nebulös erweisen. Auf Kundenseite sorgen

  • Frequenz: Anlasslose Kontrollen sollten nicht häufiger als einmal jährlich oder (noch besser) alle zwei Jahre innerhalb der Geschäftszeiten des Kunden durchgeführt werden können.

  • Prüfmethode: Die Selbstauskünfte des Lizenznehmers sollten der Standard bei der Lizenzvermessung sein. Weitergehende Kontrollen, zum Beispiel durch den Einsatz von Tools oder Vor-Ort-Kontrollen durch den Hersteller sollten die Ausnahme bilden.

  • Umfang: Anlasslose Kontrollen sollten auf eine stichprobenartige Überprüfung der Softwarenutzung beschränkt sein. Wenn die Stichprobenkontrolle Anhaltspunkte für einen Lizenzverstoß bietet, kann dem Softwarehersteller ein umfassenderes Prüfungsrecht ein­geräumt werden.

  • Information: Der Softwarekunde sollte rechtzeitig über Vor-Ort-Kontrollen informiert werden. Auch sollte klar sein, zu welchen Systemen der Softwarehersteller Zugang erhält und in welchem Umfang personelle Ressourcen seitens des Anwenderunternehmens benötigt werden.

  • Person des Prüfers: Es sollte klar geregelt sein, wer die Kontrollen für den Anbieter durchführen darf. Prüfungsgesellschaften, welche mit dem Softwarehersteller in Verbindung stehen, sollten aufgrund fehlender Neutralität ausgeschlossen werden.

  • Vertraulichkeit: Lizenzkontrollen sollten so ausgestaltet sein, dass der Softwareanbieter keinen Einblick in Geschäftsgeheimnisse des Kunden erhält.

  • Nachkaufkonditionen: Bereits bei der Vertragsgestaltung sollte der Fall der unzureichenden Lizenzierung berücksichtigt werden. Es sollte festgelegt sein, zu welchen Konditionen Lizenzen nacherworben werden können, falls sich im Rahmen des Audits herausstellt, dass eine Lizenzlücke vorliegt.

  • IT-Sicherheit/Datenschutz: Sofern der Softwarehersteller den Einsatz eines eigenen Audit-Tools vorschlägt, sollten Regelungen zur IT-Sicherheit aufgenommen werden. Solche Tools können unwillentlich IT-Systeme kompromittieren. Ferner ist der Zugriff auf per­sonenbezogene Daten problematisch, zum Beispiel bei Named-User-Lizenzen. Hier muss der Datenschutz gewahrt bleiben.

  • Kosten: Kosten des Audits sollte der Softwarekunde nur dann tragen müssen, wenn eine Fehllizenzierung durch den Software­hersteller nachgewiesen werden konnte.

Software Audit: Das ist zu tun

Schon mit dem Vertrag lässt sich grundsätzlich ein Rahmenwerk abstecken, wie eine Lizenzprüfung und ein Audit von beiden Seiten gehandhabt werden sollten. Das schafft Sicherheit und kann helfen, einem unschönen Streit vorzubeugen. Nichtsdestotrotz sollte jedes Unternehmen Vorkehrungen treffen, wie es mit dem kon­kreten Ansuchen einer Lizenzkontrolle seitens des Softwarelieferanten umzugehen gedenkt.

Soll man sich gegen eine Lizenzkontrolle wehren?

Hat der Softwarehersteller ein Lizenzaudit angekündigt, muss das Unternehmen eine grundlegende Entscheidung treffen. Soll man sich gegen das Kontrollersuchen wehren oder soll man der Aufforderung des Anbieters folgen?

Die meisten Lizenznehmer reagieren arglos und lassen Lizenzkontrollen in aller Regel vorbehaltlos zu. Das kann sich später rächen. Selbst wenn ein Unternehmen glaubt, aus­reichend lizenziert zu sein, sollte eine angekündigte Lizenzkontrolle hellhörig machen. Software­anbieter können nicht alle Kunden kontrollieren, das wäre viel zu aufwendig. Deshalb suchen sie sich die Kunden aus, bei denen ein Audit potenziell am meisten Erfolg verspricht. Gelegentlich werden Lizenzprüfungen durchgeführt, um den Lizenzverkauf anzukurbeln. Letzteres gelingt natürlich nur, wenn bei der Kontrolle eine vermeintliche Lizenzlücke gefunden wird.

Wie bei jedem Vertrag gilt auch in Lizenzangelegenheiten: Prüfen Sie jedes Detail und haben Sie vor allem auch die AGBs im Blick.
Wie bei jedem Vertrag gilt auch in Lizenzangelegenheiten: Prüfen Sie jedes Detail und haben Sie vor allem auch die AGBs im Blick.
Foto: Yellowj - shutterstock.com

Anlasslose Kontrollen sollten auf eine stichprobenartige Überprüfung der Softwarenutzung beschränkt sein. Wenn die Stichprobenkontrolle Anhaltspunkte für einen Lizenzverstoß bietet, kann dem Softwarehersteller ein umfassenderes Prüfungsrecht ein­geräumt werden.

Ergibt eine Prüfung, dass dem Softwarehersteller kein Auditrecht zusteht, kann es ratsam sein, die Kontrolle nicht zuzulassen. Dies ist beispielsweise sinnvoll, wenn das Vertrags­verhältnis mit dem jeweiligen Softwarelieferanten ohnehin ausläuft. Bei noch langfristig angelegten Geschäftsbeziehungen werden Kunden hingegen häufig schon aufgrund faktisch-wirtschaftlicher Zwänge eine Lizenz­kontrolle zulassen, selbst wenn sie diese berechtigt ablehnen könnten.

Fehler bei der Audit-Vorbereitung vermeiden

Bevor ein Unternehmen dem Softwarehersteller Auskünfte erteilt oder eine Kontrolle zulässt, sollten die Verantwortlichen Folgendes möglichst vermeiden:

  • Unternehmen sollten als erste Reaktion auf eine Auditankündigung nicht unbedacht antworten, dass man "gern unterstützen wird". Eine höfliche Empfangsbestätigung genügt für den Anfang, denn womöglich möchte man ja später gar nicht wirklich gern unterstützen.

  • Erst recht sollten Kunden dem Softwareanbieter keine ersten Informationen weitergeben, wie und in welchem Umfang dessen Software eingesetzt oder nicht (mehr) eingesetzt wird.

  • Es sollten grundsätzlich keine Auskünfte erteilt werden, bevor nicht geprüft wurde, ob im Unternehmen irgendwo lizenzrechtliche Risiken schlummern könnten.

  • Zudem sollten nicht überstürzt Lizenzen nachgekauft werden, nur weil man die Lizenzlage nicht überblickt. Der Softwareanbieter könnte gerade aufgrund eines solchen Nachkaufs zum voreiligen Schluss kommen, dass womöglich wirklich eine Lizenzlücke besteht beziehungsweise bestand, und infolgedessen noch hartnäckiger nachbohren.

Welche organisatorischen Vorkehrungen sollte man für ein Audit treffen?

: Sofern der Softwarehersteller den Einsatz eines eigenen Audit-Tools vorschlägt, sollten Regelungen zur IT-Sicherheit aufgenommen werden. Solche Tools können unwillentlich IT-Systeme kompromittieren. Ferner ist der Zugriff auf per­sonenbezogene Daten problematisch, zum Beispiel bei Named-User-Lizenzen. Hier muss der Datenschutz gewahrt bleiben.

Kosten

Unangekündigte anlasslose Kontrollen müssen Softwarekunden nicht zulassen. Erfolgt die Kontrolle mittels eines Tools oder per Vor-Ort-Prüfung, sollten folgende Fragen vorab geklärt und beantwortet sein:

  • Was genau wird geprüft?

  • Wie funktionieren die Tools und wer sind die Prüfer?

  • Auf welche Systeme wird wie zugegriffen?

  • Wer fungiert im Unternehmen als Ansprechpartner für die Prüfer?

  • Wer kontrolliert auf Kundenseite, dass die Lizenzkontrolle sauber abläuft?

Unternehmen sollten im Audit-Prozess darauf achten, dass eigene Mitarbeiter sich in Gesprächen oder Workshop-Terminen nicht unbedacht äußern. Die Gesprächsführung sollte daher ein Unternehmensvertreter übernehmen, der Erfahrungen mit Lizenzkontrollen hat. Es geht dabei nicht darum, etwas zu verheimlichen. Es geht eher darum, dass einzelne Prüfer es gezielt darauf anlegen könnten, vermeintliche Lizenzverstöße aufzustöbern. Diesen Prüfern sollte man nicht unnötig Munition liefern.

Worauf ist bei den Kontrollen selbst zu achten?

Bevor der Prüfer mit dem Audit beginnt, sollte er schriftlich zur Geheimhaltung verpflichtet werden. Außerdem sollte er dem geprüften Betrieb garantieren, dass durch seine Kontrollen keine IT-Systeme kompromittiert oder Datenschutzrechte verletzt werden. Während der Kontrollen sollte auf Unternehmensseite zu jedem Zeitpunkt darauf geachtet werden, dass:

  • die Prüfer den zuvor abgestimmten Prüfungsumfang nicht überschreiten,

  • die eingesetzten Tools so funktionieren wie vorhergesagt,

  • keine Geschäftsgeheimnisse abfließen oder Datenschutzrechte verletzt werden,

  • Auskünfte nur von den zuständigen Ansprechpartnern erteilt werden und

  • keine voreiligen Zugeständnisse hinsichtlich eines vermeintlichen Nachlizenzierungs­bedarfs gemacht werden.

Lizenzverstöße & Nachforderungen: Richtig reagieren

Will der Softwarehersteller Lizenzierungs­lücken entdeckt haben und stellt Nachforderungen, gilt es für die betroffenen Unternehmen besonnen und ruhig zu reagieren. Es hilft wenig, vorschnell einen Streit anzuzetteln. Vielmehr sollten die Verantwortlichen den Auditbericht genau prüfen.

Zudem sollten nicht überstürzt Lizenzen nachgekauft werden, nur weil man die Lizenzlage nicht überblickt. Der Softwareanbieter könnte gerade aufgrund eines solchen Nachkaufs zum voreiligen Schluss kommen, dass womöglich wirklich eine Lizenzlücke besteht beziehungsweise bestand, und infolgedessen noch hartnäckiger nachbohren.

In der Praxis erlebt man häufig, dass Unternehmen den ihnen vorgelegten Prüfbericht des Herstellers einfach gutgläubig abnicken und akzeptieren. Nach dem Motto: Wenn die Prüfer etwas gefunden haben, dann wird da schon etwas dran sein. Bei genauerer rechtlicher Würdigung zeigt sich dagegen in vielen Fällen, dass der vermeintlich aufgedeckte Lizenz­verstoß keineswegs so eindeutig ist wie vom Prüfer dargestellt. Die Prüfer beziehungsweise Softwarehersteller haben wie nicht anders zu erwarten ein monetär getriebenes Interesse daran, vermeintliche Lizenzlücken aufzuspüren. Lizenzkontrollen sind mittlerweile ein sehr einträgliches Geschäft geworden. Daher wird es kaum überraschen, dass die Prüfer in einem Zweifelsfall einen Lizenzverstoß eher bejahen anstatt verneinen.

Wenn vermeintliche Lizenzverstöße im fünf-, sechs- oder gar siebenstelligen Euro-Bereich seitens des Softwareanbieters in den Raum gestellt werden, sollte zunächst eine fundierte rechtliche Prüfung erfolgen, bevor irgendwelche Zugeständnisse erfolgen. Es sind durchaus einige Fälle bekannt, in denen derartige Nachforderungen – auch von namhaften Software­anbietern – schlicht haltlos waren und aufgrund der Gegenwehr der betroffenen Kunden nicht weiterverfolgt wurden.

Richtiger Umgang mit dem Vorwurf eines Lizenzverstoßes

Wenn der Auditbericht einen vermeintlichen Lizenzverstoß aufdeckt, ist es zu spät, sich darüber Gedanken zu machen, ob man als Unternehmen die Kontrolle überhaupt hätte zulassen müssen. Nun gilt es für die betroffenen Verantwortlichen, mit dem im Raum stehenden Vorwurf bestmöglich umzugehen.

Auch wenn der Softwarehersteller anhand der Ergebnisse des Audit-Berichts Druck auf den Kunden ausübt, weil eine vermeintliche Lizenzlücke besteht, ist Ruhe zu bewahren. Unternehmen sollten im Rahmen von Gesprächen oder des Schriftverkehrs mit dem Soft­ware­hersteller keine voreiligen Zugeständnisse machen, ohne den Bericht ausführlich geprüft zu haben.

Lesen Sie mehr über das Thema Software-Audits:

Dafür sollte man sich den Audit-Bericht auf jeden Fall aushändigen lassen. Diese Unterlagen sind kritisch und minutiös zu überprüfen. Dies kann beispielsweise dadurch erfolgen, dass man eigene Messungen des Lizenz- beziehungsweise Softwareverbrauchs vornimmt. In der Praxis zeigt sich auch häufig, dass die Prüfer von Lizenzbedingungen ausgehen, die so gar nicht vereinbart wurden. Dies lässt sich durch eine rechtliche Prüfung des Sachverhalts aufdecken.

Die abweichenden Feststellungen sollten dem Softwarenanbieter in nachvollziehbarer Weise schriftlich dargelegt und erläutert werden. Umgekehrt sollte der Softwarehersteller auf­gefordert werden, etwaige Unklarheiten aus seinem Prüfbericht schriftlich in transparenter Art und Weise zu beseitigen. Infolge eines solchen Austausches kristallisiert sich häufig heraus, wie belastbar tatsächlich der Vorwurf des Lizenzverstoßes ist.

Im besten Fall nimmt der Softwareanbieter infolgedessen von einer Lizenznachforderung Abstand. In vielen Fällen wird eine wirtschaftliche Lösung gefunden. Nur in Ausnahmefällen kommt es zu einer gerichtlichen Auseinandersetzung.

Darauf ist bei einer gütlichen Einigung zu achten

die eingesetzten Tools so funktionieren wie vorhergesagt,

Jedenfalls bei nicht gesicherter Rechtslage werden die Softwareanbieter in der Regel zu Rabatten bereit sein. Mitunter sind sie auch einverstanden, auf die weitere Geltendmachung der vermeintlichen Lizenzverstöße zu verzichten, wenn der Kunde im Gegenzug Lizenzen eines anderen Softwareprodukts erwirbt.

Auskünfte nur von den zuständigen Ansprechpartnern erteilt werden und

keine voreiligen Zugeständnisse hinsichtlich eines vermeintlichen Nachlizenzierungs­bedarfs gemacht werden.

Häufig hat der Softwarehersteller einen Prüfer für das Audit eingesetzt, sodass in der Abschlussvereinbarung auch geregelt werden sollte, wer die Kosten des eingeschalteten Prüfers trägt.

Lizenzprüfung: Böse Überraschungen verhindern

Unternehmen sollten bereits in den Vertragsverhandlungen die Lizenzkontrollen im Blick haben. Selbst wenn das versäumt wurde, bestehen bei einem Lizenzaudit noch viele Handlungsmöglich­keiten, die genutzt werden sollten. Vermeintlich aufgedeckte Lizenzverstöße sollten kritisch überprüft werden. Liegt tatsächlich eine Lizenzlücke vor, sollte auf eine Abschlussvereinbarung hingewirkt werden, die das Thema umfänglich regelt und aus der Welt schafft, auch um spätere böse Überraschungen zu verhindern. (ba)