Sie kamen im Morgengrauen, als keiner mit ihnen rechnete. Der Pförtner bedeutete kein wirkliches Hindernis für die beiden unauffällig gekleideten Herren. Ein amtlich wirkendes Formular mit einigen kaum leserlichen Paragrafen sowie ein paar einschüchternde Worte zu möglichen rechtlichen Konsequenzen machten den verschlafenen Torhüter schnell gefügig. Auch der Systemadministrator, der sich schon die ganze Nacht im Server-Raum um die Ohren geschlagen hatte, vermochte den smarten Anzugträgern keinen Widerstand zu leisten. In dem Lizenzvertrag, den sie ihm unter die Nase hielten, war schwarz auf weiß das Kontrollrecht des Softwareherstellers verbrieft. Im Handumdrehen waren die beiden im System, hatten das Prüf-Tool installiert, und binnen weniger Minuten wussten sie genau Bescheid.

Keine Gnade für Lizenzsünder

Danach ging alles ganz schnell: Ein kurzer Blick in die Lizenzverträge genügte, um das Vergehen aufzudecken. Als der mittlerweile alarmierte Geschäftsführer die Firma erreichte, wartete dort schon die Polizei. Unglücklicherweise hatten auch die Reporter der lokalen Klatschpresse von der Aktion Wind bekommen. Noch bevor der verantwortliche Manager sein Firmengelände überhaupt betreten konnte, klickten im Blitzlichtgewitter die Handschellen.

Überfallartig auftauchende Kontrollkommandos und spektakuläre Verhaftungen wie in unserer fiktiven Geschichte dürften im deutschen Audit-Alltag zwar eher die Ausnahme bilden. Doch vielen Geschäftsführern und IT-Verantwortlichen treibt allein schon der Gedanke an eine Überprüfung durch einen Softwarehersteller den Angstschweiß auf die Stirn. Das liege daran, dass die wenigsten Unternehmen ein funktionierendes Lizenz-Management betrieben, kritisiert Helmut Franz, Berater und Geschäftsführer von Lizenzcenter.de. In Deutschland würden laut Bitkom im laufenden Jahr rund 17 Milliarden Euro in Software investiert. Angesichts dieser Summe sei es kaum zu glauben, wie wenig die Verantwortlichen dafür täten, den Vermögenswert Software in den Griff zu bekommen. "Es gibt kein Asset, das so schlecht verwaltet wird wie Software."

Grund dafür sei, dass das Bewusstsein noch nicht überall auf den Chefetagen verankert sei, erläutert Christoph Kampmeyer, Manager im Bereich Advisory bei KPMG. Die IT-Verantwortlichen, die die Notwendigkeit eines Lizenz-Managements sehen, hätten es meist schwer, sich im Vorstand Gehör zu verschaffen. Probleme gebe es vor allem dann, wenn sich Unternehmen veränderten. Verkäufe, Akquisitionen, Abspaltungen, Downsizing - all dies schlage sich unmittelbar im Softwarebestand nieder. Den meisten Unternehmen gelinge es nicht, diese ständigen Veränderungen in einer Softwareverwaltung abzubilden.

Um Audit-Klauseln feilschen

Das Recht, die Nutzung ihrer Software zu kontrollieren, lassen sich die Hersteller in den Lizenzverträgen verbriefen. Daher können die Anwenderunternehmen sich einem Audit auch nicht grundsätzlich verweigern. Allerdings sollten die Softwarekunden die ihnen zustehenden Möglichkeiten nutzen, sich auf die Prüfung vorzubereiten, rät Dorothea Becker, Anwältin der Wincor Nixdorf AG, auf einer Euroforum-Veranstaltung zum Thema Lizenz-Management. Dazu gehöre in erster Linie, die Audit-Klauseln zu verhandeln und nicht blindlings die Bedingungen des Herstellers zu akzeptieren.

Beckers Einschätzung nach halten so manche Audit-Klauseln einer rechtlichen Prüfung nicht stand. So verstoße ein umfassendes und uneingeschränktes Prüfrecht gegen den Grundsatz von Treu und Glauben (Paragraf 242 BGB). Zwar seien Kontrollen nicht als überraschende Klauseln zu werten (Paragraf 305 BGB), da sie allgemein üblich seien. Daher ließen sie sich nicht in den Allgemeinen Geschäftsbedingungen ausschließen. Jedoch könnten unpräzise formulierte Prüfungsrechte dazu führen, dass der Anwender, sich im entscheidenden Moment gegen unzulässige und unzumutbare Schnüffeleien nicht zu wehren vermöge. Deshalb seien derart formulierte Passagen in den AGB unwirksam (Paragraf 307 BGB).

Die Rechtsexpertin rät Anwenderunternehmen, die Konditionen eines Software-Audits in den Verträgen genau festzulegen. Beispielsweise sollten die Ankündigungsfrist und der Prüfungszeitraum exakt definiert sein. Darüber hinaus empfehle es sich festzuschreiben, wer was wie prüfen darf. Auch mögliche Konsequenzen des Audits könne man von vornherein in den entsprechenden Klauseln regeln, zum Beispiel zu welchen Konditionen nachlizenziert werden dürfe. Zu guter Letzt sollte im Vertrag stehen, wer die Kosten des Audits trägt und dass die Ergebnisse geheim gehalten werden müssten. Wenn diese Punkte vertraglich geregelt seien, könnten Anwender einem Audit gelassener entgegenblicken.

Schnüffler oder Berater?

Der Begriff Audit werde der Sache nicht gerecht und greife zu kurz, wiegelt Matthias Petzold, Leiter der Rechtsabteilung der Oracle Deutschland GmbH, ab, und versucht, die Softwarekontrollen in ein besseres Licht zu rücken. Die fünf Mitarbeiter der License Management Service Group (LMS) würden sich nicht nur um die Kontrollen kümmern, sondern die Kunden auch in Sachen Lizenz-Management beraten.

Gründe für ein Audit seien beispielsweise Unstimmigkeiten in der Softwarenutzung, argumentiert der Oracle-Manager - wenn Supportanfragen nicht mit den eingesetzten Lizenzen zusammenpassten beziehungsweise der Eindruck entstehe, ein Kunde melde genutzte Lizenzen nur bruchstückhaft an. In diesen Fällen kündige Oracle eine Prüfung an, beschreibt Petzold das Prozedere. Der Kunde werde angeschrieben, ein Gesprächstermin vereinbart sowie um eine Selbstauskunft gebeten. In einem zweiten Schritt installierten die Prüfer ein Tool, das die Nutzung der Software im System misst. Der Kunde müsse insgesamt für das Audit etwa einen halben Tag einrechnen. "Manchmal gibt es noch Klärungs- und Diskussionsbedarf", räumt der Oracle-Mann ein. Ihm sei jedoch kein Fall bekannt, in dem man sich nicht hätte einigen können.

"Man kann sich immer einigen"

Auch Werner Leibrandt, Direktor Mittelstand bei der Microsoft Deutschland GmbH, hält den Begriff Audit für nicht angebracht. Man biete den Kunden vielmehr mit der Software-Asset-Management-Beratung die Möglichkeit, ihre Lizenzverwaltung in den Griff zu bekommen und zu verbessern. Dafür hat Microsoft hierzulande zirka 30 Asset-Management-Partner qualifiziert. Neben Angeboten für Lizenzberatung sind diese Partner zumindest teilweise auch für Kontrollen zuständig. Lassen Hinweise auf rechtlich zu beanstandende Praktiken schließen, erläutert Leibrandt, "gibt es einen Beratungsbedarf beim Kunden". Das erledige entweder der Partner oder eine Wirtschaftsprüfungsgesellschaft.

Wer nicht hören will, muss fühlen

"Es gibt keinen Grund, dem Kunden den Kopf abzureißen", versucht der Microsoft-Manager die Angst vor möglichen Folgen einer Unterlizenzierung zu mildern. Microsoft räume seinen Kunden die Möglichkeit ein, Lizenzen nachzukaufen. Allerdings komme man nicht immer ohne rechtliche Regularien aus. Sollte ein Kunde sein Fehlverhalten gar nicht einsehen wollen, könne es durchaus sein, dass der Spielraum der Einigungsmöglichkeiten eingeschränkt werde. Diese Situationen seien jedoch selten, versichert Leibrandt: "Das kann man im Jahr an einer Hand abzählen."

Nicht immer lassen sich Audit-Konflikte jedoch so einvernehmlich lösen, wie Oracle und Microsoft dies schildern. Bei Oracle gebe es beispielsweise einen Licence Compliance Act, erzählt ein Insider. Sobald diese "Lex Oracle" in Sachen Lizenzen in Kraft trete, verliere der Kunde alle Anrechte auf Rabatte und Sonderkonditionen. Um unbotmäßige Kunden zur Räson zu bringen, gebe es darüber hinaus noch ein ganzes Arsenal an Drohgebärden. So könne der Hersteller die Rückgabe der Lizenzen oder gar die Abschaltung der Systeme fordern. "Je drastischer die Drohungen, desto größer die Zahlungsbereitschaft."

Zahl der Audits steigt

Allerdings dürfe man den schwarzen Peter nicht allein den Herstellern zuschieben, warnt der Insider. Auch unter den Anwendern gebe es Firmen, denen es nur darum gehe, eine CD in die Hand zu bekommen, um diese wahllos unter Missachtung sämtlicher Lizenzregeln im Unternehmen zu kopieren.

Dagegen wollen die Hersteller offenbar stärker vorgehen. Die Zahl der Audits sei in den vergangenen Jahren stark angestiegen, berichtet KPMG-Manager Kampmeyer. Das liege zwar auch daran, dass die Hersteller erkannt hätten, dass sie ihre Kunden wegen der sich häufig ändernden Lizenzbedingungen besser betreuen müssten. Andererseits hätten Microsoft, Oracle und Co. aber auch festgestellt, dass sie zu wenig auf ein regelkonformes Verhalten der Kunden geachtet haben.

Um ihre Rechte einzufordern, bauen die Softwarehersteller unter anderem auf die Business Software Alliance (BSA), ihre Speerspitze im Kampf gegen die weltweite Softwarepiraterie. Die von großen Herstellern gegründete und unterstützte Organisation bemüht sich seit Jahren, mit Aufklärungskampagnen das Rechts- beziehungsweise Unrechtsbewusstsein der Anwender zu schärfen. Nach eigenen Angaben mit Erfolg. Vor zwei bis drei Jahren seien viele Unternehmen noch mit dem Lizenz-Management überfordert gewesen, erinnert sich Georg Herrnleben, Director für den Bereich Central and Eastern Europa der BSA. Heutzutage seien sich die meisten Firmen der Thematik zumindest bewusst. Daher müsse man bei aktuellen Lizenzverfehlungen in der Regel von Absicht ausgehen. Liegen eindeutige Beweise für eine massive Unterlizenzierung vor, führe dies automatisch zu straf- und zivilrechtlichen Konsequenzen. Das Motto laute dann: "Null Toleranz."