Software Audit: So klappt’s mit der Lizenzprüfung

Nur wer gut vorbereitet ist, kann einem Software Audit gelassen entgegensehen. Folgende Tipps helfen Ihnen dabei. [...]

Richtig vorbereitet muss kein Unternehmen ein Software-Audit fürchten (c) pixabay.com

Wenn der Softwarelieferant eine Lizenzprüfung ankündigt, bricht in vielen Unternehmen erst einmal rege Betriebsamkeit aus. Haben wir genügend Lizenzen eingekauft? Wo läuft eigentlich die Software? Und in welchem Ordner liegen eigentlich die Verträge? Wer gut vorbereitet ist, kann diese Fragen problemlos beantworten und dem Software Audit gelassen entgegensehen – das wünschen sich zumindest viele Unternehmen. Doch die Realität sieht meist anders aus. Seit infolge der Corona-Pandemie das Projektgeschäft für einige Softwarehäuser zurückgegangen ist, haben deren Lizenzkontrollen zugenommen. Andere Softwarehersteller wie beispielsweise Adobe, IBM, Microsoft, Oracle oder SAP praktizieren schon seit jeher regelmäßige Lizenzaudits bei ihren Kunden.

Das Anliegen der Hersteller, dass Kunden die eingekauften Lizenzen nur im vertraglich festgelegten und damit berechtigten Umfang nutzen dürfen, ist durchaus nachvollziehbar. Was in der Theorie klar regelbar erscheinen mag, kann sich in der Praxis jedoch als durchaus komplex und nebulös erweisen. Auf Kundenseite sorgen Lizenzaudits häufig für Auf­regung und Unsicherheit. Es kommt nicht selten vor, dass Softwareanbieter im Zuge einer Lizenzkontrolle hohe Nachforderungen stellen, obwohl das betroffene Anwender­unternehmen sich zuvor keiner Fehllizenzierung bewusst war.

Solche Situationen lassen sich vermeiden. Dafür müssen sich die Verantwortlichen auf Kundenseite allerdings richtig auf Lizenz­audits vorbereiten. Das fängt beim Vertrags­abschluss an, reicht über eine adäquate Reaktion auf das Auditverlangen eines Herstellers und die Abwicklung der Prüfung bis hin zur Abnahme des Kontrollberichts und möglicher Beanstandungen.

Lizenzauditklauseln: Vertragliche Ausgestaltung

Schon bei den Vertragsverhandlungen zu Lizenzauditklauseln liegt der Teufel im Detail. Der Lizenz-Erwerber sollte sich vor Vertrags­abschluss entscheiden, ob er eine bestehende Lizenzauditklausel verhandeln möchte und – wenn ja – was sie beinhalten soll.

Sollten Auditklauseln immer verhandelt werden?

Es mag überraschend klingen: Vermeintlich für den Kunden ungünstige Auditklauseln sollten nicht immer automatisch auf dem Verhandlungstisch landen. Schweigen ist zumindest überlegenswert, wenn:

  • deutsches Recht gilt und
  • die Auditklauseln des Softwareanbieters AGB sind und
  • diese aufgrund ihrer Regelungsinhalte als AGB wahrscheinlich unwirksam sind und
  • nicht zu erwarten ist, dass der Software­anbie­ter zu signifikanten Zugeständnissen im Rahmen von Vertragsverhandlungen bereit ist.

Auditklauseln werden vom Softwareanbieter häufig als vorformulierte Vertragsbedingungen vorgelegt, die für eine Vielzahl von Verträgen mit verschiedenen Kunden dienen sollen. Solche allgemeinen Geschäftsbedingungen (AGB) unterliegen einer gesetzlichen Kontrolle, sofern deutsches Recht (exklusive UN-Kaufrecht) gilt. Auditklauseln können – je nach Ausgestaltung – in folgenden Fällen als AGB gegebenenfalls unwirksam sein (nach Paragraf 305 ff. BGB):

  • Die Lizenzkontrolle mit Tools oder beim Unternehmen vor Ort wird ohne einen begründeten Verdacht eines Lizenzverstoßes erlaubt.
  • Es ist nicht transparent, wie die Kontrollen durchgeführt werden sollen.
  • Die anlasslosen Kontrollen sind geeignet, den Betriebsablauf im Unternehmen zu stören und den Schutz von Geschäftsgeheimnissen oder Mitarbeiter-, Kunden und Lieferanten-Daten zu beeinträchtigen.
  • Der Softwarehersteller nimmt sich das Recht heraus, die Kontrollen nicht ankün­digen zu müssen oder sehr kurze Vorankündigungsfristen zu setzen, auch wenn kein begründeter Anfangsverdacht für eine Rechtsverletzung besteht.

Wenn der Kunde die unwirksamen Auditklauseln nicht verhandelt, so gilt die gesetz­liche Lage. Diese lässt Lizenzkontrollen nur in einem sehr engen Anwendungsbereich zu. Sofern deutsches Recht anwendbar ist, fährt der Lizenznehmer auf der gesetzlichen Basis immer besser.

Folgendes sollten die Verantwortlichen auf Kundenseite an dieser Stelle bedenken: Sobald die Parteien ernsthaft über die die Lizenzkon­trollen betreffenden AGBs verhandeln, werden die (modifizierten) Lizenzkontrollklauseln zu Individualvereinbarungen, die nicht mehr nach Paragraf 305 ff. BGB unwirksam sein können. Für einen Kunden wäre das ein schlechter Deal, wenn sich infolge der Verhandlungen die Audit-Modalitäten nur geringfügig verbessern würden.

Vertragliche Ausgestaltung von Lizenzkontrollen

Aus Kundensicht sollten die vertraglichen Regelungen zu Lizenzkontrollen folgende Punkte beinhalten, um die Betriebsabläufe des Lizenznehmers nicht unangemessen zu be­einträchtigen:

  • Frequenz: Anlasslose Kontrollen sollten nicht häufiger als einmal jährlich oder (noch besser) alle zwei Jahre innerhalb der Geschäftszeiten des Kunden durchgeführt werden können.
  • Prüfmethode: Die Selbstauskünfte des Lizenznehmers sollten der Standard bei der Lizenzvermessung sein. Weitergehende Kontrollen, zum Beispiel durch den Einsatz von Tools oder Vor-Ort-Kontrollen durch den Hersteller sollten die Ausnahme bilden.
  • Umfang: Anlasslose Kontrollen sollten auf eine stichprobenartige Überprüfung der Softwarenutzung beschränkt sein. Wenn die Stichprobenkontrolle Anhaltspunkte für einen Lizenzverstoß bietet, kann dem Softwarehersteller ein umfassenderes Prüfungsrecht ein­geräumt werden.
  • Information: Der Softwarekunde sollte rechtzeitig über Vor-Ort-Kontrollen informiert werden. Auch sollte klar sein, zu welchen Systemen der Softwarehersteller Zugang erhält und in welchem Umfang personelle Ressourcen seitens des Anwenderunternehmens benötigt werden.
  • Person des Prüfers: Es sollte klar geregelt sein, wer die Kontrollen für den Anbieter durchführen darf. Prüfungsgesellschaften, welche mit dem Softwarehersteller in Verbindung stehen, sollten aufgrund fehlender Neutralität ausgeschlossen werden.
  • Vertraulichkeit: Lizenzkontrollen sollten so ausgestaltet sein, dass der Softwareanbieter keinen Einblick in Geschäftsgeheimnisse des Kunden erhält.
  • Nachkaufkonditionen: Bereits bei der Vertragsgestaltung sollte der Fall der unzureichenden Lizenzierung berücksichtigt werden. Es sollte festgelegt sein, zu welchen Konditionen Lizenzen nacherworben werden können, falls sich im Rahmen des Audits herausstellt, dass eine Lizenzlücke vorliegt.
  • IT-Sicherheit/Datenschutz: Sofern der Softwarehersteller den Einsatz eines eigenen Audit-Tools vorschlägt, sollten Regelungen zur IT-Sicherheit aufgenommen werden. Solche Tools können unwillentlich IT-Systeme kompromittieren. Ferner ist der Zugriff auf per­sonenbezogene Daten problematisch, zum Beispiel bei Named-User-Lizenzen. Hier muss der Datenschutz gewahrt bleiben.
  • Kosten: Kosten des Audits sollte der Softwarekunde nur dann tragen müssen, wenn eine Fehllizenzierung durch den Software­hersteller nachgewiesen werden konnte.

Software Audit: Das ist zu tun

Schon mit dem Vertrag lässt sich grundsätzlich ein Rahmenwerk abstecken, wie eine Lizenzprüfung und ein Audit von beiden Seiten gehandhabt werden sollten. Das schafft Sicherheit und kann helfen, einem unschönen Streit vorzubeugen. Nichtsdestotrotz sollte jedes Unternehmen Vorkehrungen treffen, wie es mit dem kon­kreten Ansuchen einer Lizenzkontrolle seitens des Softwarelieferanten umzugehen gedenkt.

Soll man sich gegen eine Lizenzkontrolle wehren?

Hat der Softwarehersteller ein Lizenzaudit angekündigt, muss das Unternehmen eine grundlegende Entscheidung treffen. Soll man sich gegen das Kontrollersuchen wehren oder soll man der Aufforderung des Anbieters folgen?

Die meisten Lizenznehmer reagieren arglos und lassen Lizenzkontrollen in aller Regel vorbehaltlos zu. Das kann sich später rächen. Selbst wenn ein Unternehmen glaubt, aus­reichend lizenziert zu sein, sollte eine angekündigte Lizenzkontrolle hellhörig machen. Software­anbieter können nicht alle Kunden kontrollieren, das wäre viel zu aufwendig. Deshalb suchen sie sich die Kunden aus, bei denen ein Audit potenziell am meisten Erfolg verspricht. Gelegentlich werden Lizenzprüfungen durchgeführt, um den Lizenzverkauf anzukurbeln. Letzteres gelingt natürlich nur, wenn bei der Kontrolle eine vermeintliche Lizenzlücke gefunden wird.

Möchte ein Unternehmen von vornherein den mit einem Audit verbundenen Aufwand und Diskussionen nach einer Kontrolle über vermeintlich aufgedeckte Lizenzlücken vermeiden, muss es sich der Lizenzkontrolle widersetzen. Dies ist rechtskonform möglich, wenn der Softwarehersteller keine begründeten Anhaltspunkte für etwaige Lizenzverletzungen vorbringt und Lizenzkontrollklauseln entweder nicht vereinbart wurden oder unwirksam sind.

Ergibt eine Prüfung, dass dem Softwarehersteller kein Auditrecht zusteht, kann es ratsam sein, die Kontrolle nicht zuzulassen. Dies ist beispielsweise sinnvoll, wenn das Vertrags­verhältnis mit dem jeweiligen Softwarelieferanten ohnehin ausläuft. Bei noch langfristig angelegten Geschäftsbeziehungen werden Kunden hingegen häufig schon aufgrund faktisch-wirtschaftlicher Zwänge eine Lizenz­kontrolle zulassen, selbst wenn sie diese berechtigt ablehnen könnten.

Fehler bei der Audit-Vorbereitung vermeiden

Bevor ein Unternehmen dem Softwarehersteller Auskünfte erteilt oder eine Kontrolle zulässt, sollten die Verantwortlichen Folgendes möglichst vermeiden:

  • Unternehmen sollten als erste Reaktion auf eine Auditankündigung nicht unbedacht antworten, dass man „gern unterstützen wird“. Eine höfliche Empfangsbestätigung genügt für den Anfang, denn womöglich möchte man ja später gar nicht wirklich gern unterstützen.
  • Erst recht sollten Kunden dem Softwareanbieter keine ersten Informationen weitergeben, wie und in welchem Umfang dessen Software eingesetzt oder nicht (mehr) eingesetzt wird.
  • Es sollten grundsätzlich keine Auskünfte erteilt werden, bevor nicht geprüft wurde, ob im Unternehmen irgendwo lizenzrechtliche Risiken schlummern könnten.
  • Zudem sollten nicht überstürzt Lizenzen nachgekauft werden, nur weil man die Lizenzlage nicht überblickt. Der Softwareanbieter könnte gerade aufgrund eines solchen Nachkaufs zum voreiligen Schluss kommen, dass womöglich wirklich eine Lizenzlücke besteht beziehungsweise bestand, und infolgedessen noch hartnäckiger nachbohren.

Welche organisatorischen Vorkehrungen sollte man für ein Audit treffen?

Kündigt der Softwarehersteller eine Lizenzkontrolle an, sollten unverzüglich alle relevanten Abteilungen im Betrieb eingebunden werden, um adäquat auf das Herstellerverlangen reagieren zu können. Dies sind für gewöhnlich die IT-Abteilung, der Einkauf, die Rechtsabteilung und die Compliance-Abteilung.

Sämtliche zum Lizenzerwerb vorhandenen Unterlagen, wie zum Beispiel Verträge, Bestellungen, Auftragsbestätigungen oder Lieferscheine für die Software sollten herausgesucht werden. An dieser Stelle macht sich ein Software-Asset-Management(SAM)-System bezahlt, sofern ein solches vorhanden ist. In der Praxis fehlen jedoch häufig wichtige Unterlagen, die für einen Nachweis der lizenzkonformen Nutzung hilfreich wären. Hier sollten alle Beteiligten versuchen, diese Unterlagen zu beschaffen. Hat sich das Unternehmen anhand der vorliegenden Dokumente ein Bild über die Lizenzierung gemacht, sollte dieses mit der tatsächlichen Nutzung der Software im Rahmen des gesamten IT-Systems abgeglichen werden. Es sollte außerdem geprüft werden, ob einer Kontrolle etwaige Bedenken hinsichtlich IT-Sicherheit, Geheimnisschutz und Datenschutz entgegenstehen. Diese müssen im Vorfeld des Audits ausgeräumt werden.

Unangekündigte anlasslose Kontrollen müssen Softwarekunden nicht zulassen. Erfolgt die Kontrolle mittels eines Tools oder per Vor-Ort-Prüfung, sollten folgende Fragen vorab geklärt und beantwortet sein:

  • Was genau wird geprüft?
  • Wie funktionieren die Tools und wer sind die Prüfer?
  • Auf welche Systeme wird wie zugegriffen?
  • Wer fungiert im Unternehmen als Ansprechpartner für die Prüfer?
  • Wer kontrolliert auf Kundenseite, dass die Lizenzkontrolle sauber abläuft?

Unternehmen sollten im Audit-Prozess darauf achten, dass eigene Mitarbeiter sich in Gesprächen oder Workshop-Terminen nicht unbedacht äußern. Die Gesprächsführung sollte daher ein Unternehmensvertreter übernehmen, der Erfahrungen mit Lizenzkontrollen hat. Es geht dabei nicht darum, etwas zu verheimlichen. Es geht eher darum, dass einzelne Prüfer es gezielt darauf anlegen könnten, vermeintliche Lizenzverstöße aufzustöbern. Diesen Prüfern sollte man nicht unnötig Munition liefern.

Worauf ist bei den Kontrollen selbst zu achten?

Bevor der Prüfer mit dem Audit beginnt, sollte er schriftlich zur Geheimhaltung verpflichtet werden. Außerdem sollte er dem geprüften Betrieb garantieren, dass durch seine Kontrollen keine IT-Systeme kompromittiert oder Datenschutzrechte verletzt werden.

  • Während der Kontrollen sollte auf Unternehmensseite zu jedem Zeitpunkt darauf geachtet werden, dass
  • die Prüfer den zuvor abgestimmten Prüfungsumfang nicht überschreiten,
  • die eingesetzten Tools so funktionieren wie vorhergesagt,
  • keine Geschäftsgeheimnisse abfließen oder Datenschutzrechte verletzt werden,
  • Auskünfte nur von den zuständigen Ansprechpartnern erteilt werden und
  • keine voreiligen Zugeständnisse hinsichtlich eines vermeintlichen Nachlizenzierungs­bedarfs gemacht werden.

Lizenzverstöße & Nachforderungen: Richtig reagieren

Will der Softwarehersteller Lizenzierungs­lücken entdeckt haben und stellt Nachforderungen, gilt es für die betroffenen Unternehmen besonnen und ruhig zu reagieren. Es hilft wenig, vorschnell einen Streit anzuzetteln. Vielmehr sollten die Verantwortlichen den Auditbericht genau prüfen.

Haben die Lizenzprüfer immer recht?

In der Praxis erlebt man häufig, dass Unternehmen den ihnen vorgelegten Prüfbericht des Herstellers einfach gutgläubig abnicken und akzeptieren. Nach dem Motto: Wenn die Prüfer etwas gefunden haben, dann wird da schon etwas dran sein. Bei genauerer rechtlicher Würdigung zeigt sich dagegen in vielen Fällen, dass der vermeintlich aufgedeckte Lizenz­verstoß keineswegs so eindeutig ist wie vom Prüfer dargestellt. Die Prüfer beziehungsweise Softwarehersteller haben wie nicht anders zu erwarten ein monetär getriebenes Interesse daran, vermeintliche Lizenzlücken aufzuspüren. Lizenzkontrollen sind mittlerweile ein sehr einträgliches Geschäft geworden. Daher wird es kaum überraschen, dass die Prüfer in einem Zweifelsfall einen Lizenzverstoß eher bejahen anstatt verneinen.

Wenn vermeintliche Lizenzverstöße im fünf-, sechs- oder gar siebenstelligen Euro-Bereich seitens des Softwareanbieters in den Raum gestellt werden, sollte zunächst eine fundierte rechtliche Prüfung erfolgen, bevor irgendwelche Zugeständnisse erfolgen. Es sind durchaus einige Fälle bekannt, in denen derartige Nachforderungen – auch von namhaften Software­anbietern – schlicht haltlos waren und aufgrund der Gegenwehr der betroffenen Kunden nicht weiterverfolgt wurden.

Richtiger Umgang mit dem Vorwurf eines Lizenzverstoßes

Wenn der Auditbericht einen vermeintlichen Lizenzverstoß aufdeckt, ist es zu spät, sich darüber Gedanken zu machen, ob man als Unternehmen die Kontrolle überhaupt hätte zulassen müssen. Nun gilt es für die betroffenen Verantwortlichen, mit dem im Raum stehenden Vorwurf bestmöglich umzugehen.

Auch wenn der Softwarehersteller anhand der Ergebnisse des Audit-Berichts Druck auf den Kunden ausübt, weil eine vermeintliche Lizenzlücke besteht, ist Ruhe zu bewahren. Unternehmen sollten im Rahmen von Gesprächen oder des Schriftverkehrs mit dem Soft­ware­hersteller keine voreiligen Zugeständnisse machen, ohne den Bericht ausführlich geprüft zu haben.

Dafür sollte man sich den Audit-Bericht auf jeden Fall aushändigen lassen. Diese Unterlagen sind kritisch und minutiös zu überprüfen. Dies kann beispielsweise dadurch erfolgen, dass man eigene Messungen des Lizenz- beziehungsweise Softwareverbrauchs vornimmt. In der Praxis zeigt sich auch häufig, dass die Prüfer von Lizenzbedingungen ausgehen, die so gar nicht vereinbart wurden. Dies lässt sich durch eine rechtliche Prüfung des Sachverhalts aufdecken.

Die abweichenden Feststellungen sollten dem Softwarenanbieter in nachvollziehbarer Weise schriftlich dargelegt und erläutert werden. Umgekehrt sollte der Softwarehersteller auf­gefordert werden, etwaige Unklarheiten aus seinem Prüfbericht schriftlich in transparenter Art und Weise zu beseitigen. Infolge eines solchen Austausches kristallisiert sich häufig heraus, wie belastbar tatsächlich der Vorwurf des Lizenzverstoßes ist.

Im besten Fall nimmt der Softwareanbieter infolgedessen von einer Lizenznachforderung Abstand. In vielen Fällen wird eine wirtschaftliche Lösung gefunden. Nur in Ausnahmefällen kommt es zu einer gerichtlichen Auseinandersetzung.

Darauf ist bei einer gütlichen Einigung zu achten

Kommt das Unternehmen zum Ergebnis, dass ein Lizenzverstoß nicht sicher ausgeschlossen werden kann, dann ist eine gütliche Einigung vorzuziehen und in aller Regel die bessere Wahl. Viele Softwarehersteller bieten im ersten Schritt zunächst nur die Möglichkeit an, die fehlenden Lizenzen nachzukaufen. In der Regel werden die dafür fälligen Lizenzgebühren anhand der aktuellen Preisliste des Anbieters bestimmt, wobei auf die Preise meist keine Rabatte gewährt werden. Der Softwarehersteller wird zudem eine Entschädigung verlangen. Abhängig davon, wie sicher oder unsicher der Lizenzverstoß ist, sollte sich das Unternehmen darauf nicht sofort einlassen.

Jedenfalls bei nicht gesicherter Rechtslage werden die Softwareanbieter in der Regel zu Rabatten bereit sein. Mitunter sind sie auch einverstanden, auf die weitere Geltendmachung der vermeintlichen Lizenzverstöße zu verzichten, wenn der Kunde im Gegenzug Lizenzen eines anderen Softwareprodukts erwirbt.

Gelingt es dem Kunden und dem Software­hersteller, sich zu einigen, so wird in der Regel eine Abschlussvereinbarung abgeschlossen. In dieser Abschlussvereinbarung sollte zugunsten des Unternehmens festgehalten werden, dass der Softwarehersteller keine weiteren als in der Abschlussvereinbarung geregelten Ansprüche im Hinblick auf die im Audit fest­gestellte Lizenzlücke verfolgt.

In der Vereinbarung können ferner weitere Regelungen zur Klarstellung der Lizenzmetrik oder der Durchführung von zukünftigen Lizenzkontrollen seitens des Softwareherstellers aufgenommen werden. Trotz vorhandener ­Lizenzlücken sollten sich Unternehmen aus vermeintlichem Schuldbewusstsein nicht auf voreilige Zugeständnisse einlassen.

Häufig hat der Softwarehersteller einen Prüfer für das Audit eingesetzt, sodass in der Abschlussvereinbarung auch geregelt werden sollte, wer die Kosten des eingeschalteten Prüfers trägt.

Lizenzprüfung: Böse Überraschungen verhindern

Unternehmen sollten bereits in den Vertragsverhandlungen die Lizenzkontrollen im Blick haben. Selbst wenn das versäumt wurde, bestehen bei einem Lizenzaudit noch viele Handlungsmöglich­keiten, die genutzt werden sollten. Vermeintlich aufgedeckte Lizenzverstöße sollten kritisch überprüft werden. Liegt tatsächlich eine Lizenzlücke vor, sollte auf eine Abschlussvereinbarung hingewirkt werden, die das Thema umfänglich regelt und aus der Welt schafft, auch um spätere böse Überraschungen zu verhindern.

*Angelika Maria Szalek ist Rechtsanwältin bei Lutz | Abel  Rechtsanwalts PartG mbB.

**André Schmidt ist Fachanwalt für IT-Recht und Leiter der Praxisgruppe IT-Recht und Datenschutz bei der Lutz | Abel Rechtsanwalts PartG mbB.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*