Categories: ERP-SuitesSoftware

Software-Lizenz-Audits: Auswege aus der Falle?

Zunehmend sind Anwenderunternehmen mit aggressiven Lizenz-Audits durch Vendoren von Standard-Software konfrontiert. Das können SAP, Oracle oder Microsoft sein, die Audits in verschiedenen Formen und Intensitäten verlangen, etwa Selbstauskunft, Remote-Audit, On-Site-Audit oder Mischformen. Etliche Funktionsträger können damit in Berührung kommen, wie CIOs, Lizenzmanager, IT-Einkäufer, Juristen, Compliance Officer, Finanzmanager und die Geschäftsleitung.

Oft zweifelhafte Compliance-Vorwürfe und Nachforderungen teils in Millionenhöhe sind Anlass genug, einen Blick zu werfen auf Möglichkeiten der Abwehr, auf kommerzielle und rechtliche Grundlagen, auf die Methodik von Vermessungsverfahren sowie auf Konstellationen von IT-Landschaften, die typischerweise Vorwürfe auslösen können.

Audit-Auslöser und Rechtslage

Die Bedrohung

Warum wird ein Software-Audit als Bedrohung empfunden? Belastender Faktor ist zunächst die Unsicherheit, die beim Erhalt des Aufforderungsschreibens vom Vendor entsteht, mit welchem er ein Audit ankündigt (Audit Call). Was für den Vendor tägliche Routine ist, präsentiert sich für das Unternehmen als seltene oder erstmalige Ausnahmesituation.

Eine weitere Belastung – auch mit Kostenrelevanz – tritt hinzu, weil die Erledigung des ungeplanten Projekts das Tagesgeschäft stört, Ressourcen bindet und oft erheblicher Zeitaufwand für Mitwirkungshandlungen anfällt. Schließlich das finanzielle Risiko: Der Vendor könnte Nachzahlungen in ungeahnter Höhe fordern und androhen, bei Eskalation wegen angeblicher Lizenzverstöße den Rechtsweg zu beschreiten und Funktionsträger in die Haftung zu nehmen, insbesondere die Geschäftsleitung.

Welche Chancen kann ein Audit eröffnen?

Allerdings sind Chancen aus einem Audit denkbar, wenn es gelingt, diesen eigentlich lästigen Anlass unter einigen Aspekten zum Nützlichen zu wenden. Denn wenn das Unternehmen ein Audit professionell mitgestaltet, können sich wertvolle neue Erkenntnisse z.B. zum Lizenzbestand ergeben.

So können möglicherweise überflüssige Lizenzen und sinnlose Support-Aufwendungen identifiziert werden. Einspareffekte durch Bereinigung von User-Zuordnungen in Anzahl und Kategorie sind genauso denkbar wie der ggf. anzuratende Wechsel auf vorteilhafte Metriken. Das Unternehmen kann ggf. günstigere Gestaltungen der System-Landschaft oder des Nutzerverhaltens vornehmen (Vermeidung Indirekter Nutzung etc.), um eventuell Kostensenkungen in der Zukunft zu erreichen.

Die vom Audit Call verärgerten Akteure sollten den Spieß also umdrehen. Selbst wenn ein Zukauf zum Ausgleich einer Unterlizenzierung unumgänglich ist: Im Endergebnis steht manches Unternehmen durch Optimierungseffekte mittelfristig besser da als vor dem Audit. Der neue Softwarevertrag, kommerziell geschickt verhandelt, kann das Erforderliche mit dem Nützlichen verbinden, nämlich Modernisierung und Passgenauigkeit des Software-Bestands für den künftigen Bedarf. Die ITVerantwortlichen ergreifen damit eine Gelegenheit, die Unternehmensentwicklung zu antizipieren und mitzugestalten.

Manchmal ergibt sich auch eine längst überfällige Weichenstellung: Je nach Verhalten des Vendors im Audit – gnadenloser Raubritter oder vertrauenwürdiger Geschäftspartner – werden Akteure vielleicht auf passendere Systeme besserer Anbieter umstellen. Im Nachhinein sind eben auch erfreuliche Wendungen denkbar.

Kommerzielle und juristische Grundlagen

Aber der Reihe nach: Was sind denn die auslösenden Anlässe und kommerziellen Motive für Audits? Warum wird ein Unternehmen Ziel eines Audits? Wie erfolgt die Selektion beim Vendor?

Auslöser für Audit

Dr. Robert Fleuter ist Rechtsanwalt und auf Lizenzfragen spezialisiert und Autor dieses Beitrags. (Bild: Business Law Consult – Rechtsanwälte)

Indizien für ein finanziell einträgliches Audit erhält der Vendor direkt aus öffentlich zugänglichen Quellen wie etwa der Website des Unternehmens und der Fachpresse. Von dort dargestellten unternehmerischen Entscheidungen und geschäftlichen Entwicklungen wird auf die dafür technisch vorhandene bzw. die erforderliche IT-Struktur geschlossen.

Auch dritte Unternehmen, die für das Audit-Zielunternehmen Leistungen erbracht haben, können mit Projektberichten und Referenzangaben auf ihren Websites Audit-Anlässe bieten. So könnte ein Dritt-

Unternehmen werbemäßig herausstellen, die IT-Landschaft beim Audit-Zielunternehmen um bestimmte Systeme erweitert zu haben, was beim Vendor den umsatzträchtigen Verdacht auf Indirekte Nutzung auslösen kann.

Die Vendoren erhalten aber auch Indizien in indirekter Weise, und zwar durch Informationen ihrer Geschäftspartner, die für das Audit-Zielunternehmen tätig sind (z.B. Reseller der Vendoren). So lassen geschäftliche Erfolge sowie getätigte Änderungen und Zukunftsplanungen des Unternehmens auf Lizenzrelevanz schließen, etwa bei Personalbestand, technischer Ausrüstung und Prozessen, Investitionsvorhaben oder bei M&A-Maßnahmen. Ein prüfender Abgleich mit dem Kundenkonto (Lange nichts mehr gekauft!?) setzt dann die Umsatzphantasie beim Vendor in Gang.

Offizielle Begründung für Audit

Offiziell, vordergründig und freundlich verpackt heißt es vom Vendor, die Lizenz-Compliance solle partnerschaftlich überprüft, also ein Soll-Ist–Vergleich angestellt werden zwischen den vertraglich eingeräumten Nutzungsrechten und dem tatsächlich praktizierten Nutzungsverhalten im AnwenderUnternehmen (Check auf Unterlizenzierung). Sicherlich ist der offiziell vorgebrachte Zweck, der Schutz des Urheberrechts an der Software (Verbot unzulässiger Vervielfältigung), ein valides Motiv für ein Audit.

Inoffizielle Absichten im Hintergrund

Doch im Hintergrund geht es in Wirklichkeit oft um mehr:

Eine möglichst ausgedehnte Reichweite und Detailtiefe des Prüfungsverlangens – teils verstärkt durch mehrfach nachgeschobene Zusatzfragen – kann dem Vendor umfassende Erkenntnisse über Infrastrukturen, Geschäftsprozesse und unternehmerische Entscheidungen bzw. Planungen liefern. Das kann am Rande dessen liegen, was vernünftigerweise zum Schutz des Urheberrechts objektiv erforderlich ist. Der Vendor durchleuchtet das Unternehmen und erhält Einblicke, die ihm neben der umsatzträchtigen Behauptung „Indirekte Nutzung“ z.B. auch erlauben, neue Produkte, Technologien oder Vertragsformen zu forcieren (Mietmodelle, Migrationen, etc.).

Das Audit hat damit auch die Funktion einer tieferen Account-Qualifizierung, zusätzlich zur üblichen Sales-Aktivität der Account Manager. Denn als angestrebter Zusatzeffekt sollen Kundenbindungen erhöht und Investitionsentscheidungen zwecks Umsatzgenerierung beschleunigt werden.

Rechtliche Basis

Mit welchem Recht darf der Vendor überhaupt ein Audit verlangen?

Gesetzliche Bestimmungen bieten sehr selten eine tragfähige Rechtsgrundlage für ein Audit. Zwar können §§ 101, 101a Urheberrechtsgesetz (UrhG) wegen der Anzahl oder Schwere von Rechtsverletzungen dem Lizenzgeber einen Anspruch auf Auskunft, Vorlage von Unterlagen und Besichtigung von Sachen gewähren.

Das kommt jedoch nur in Betracht bei hinreichender Wahrscheinlichkeit einer Rechtsverletzung. Ein verdachtsunabhängiger anlassloser Kontrollanspruch besteht danach nicht. Zudem müssen weitere Voraussetzungen erfüllt sein. Für ein routinemäßiges jährliches Audit, wie Vendoren es üblicherweise handhaben, geben die gesetzlichen Bestimmungen jedenfalls keine Befugnis.

Vertragliche Bestimmungen als Rechtsgrundlage für Routine-Audits finden sich häufig in Gestalt von Audit-Klauseln in den Lizenzverträgen zur Software-Überlassung. Von der Rechtsnatur her sind das regelmäßig Allgemeine Geschäftsbedingungen (AGB). Sie unterliegen – die Geltung deutschen Rechts vorausgesetzt – zwecks Überprüfung ihrer Rechtswirksamkeit der sogenannten AGB-Kontrolle, etwa am Maßstab von § 307 BGB:

Danach können AGB wegen unangemessener Benachteiligung des Vertragspartners unwirksam sein, wenn sie mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren sind. Abgewichen wird von den gesetzlichen Grundgedanken aus den o.g. §§ 101, 101a UrhG, die einen verdachtsunabhängigen Kontrollanspruch gerade ausschließen. Die Abweichung vom gesetzlichen Leitbild könnte möglicherweise ein Indiz für die Unwirksamkeit von üblichen Audit-Klauseln sein. Aber auch im Fall ihrer Intransparenz oder ihres überraschenden Charakters können Audit-Klauseln unwirksam sein.

Den verantwortlichen Akteuren sollte bewusst sein, dass die rechtliche Befugnis für ein Audit zweifelhaft sein kann, selbst wenn der Wortlaut der Klausel im Vertragstext vordergründig für den Vendor zu sprechen scheint. Es ist gut möglich, dass der Vendor weder den behaupteten Anspruch auf das Audit selbst hat, noch auf die im Audit Call konkret gewünschten Maßnahmen und Mitwirkungshandlungen des Unternehmens (Remote-Audit, On-Site-Untersuchungen, verlangte Informationstiefe über Geschäftsabläufe etc.).

Fazit

Audits sind als Art zweiter Vertriebsweg zwecks Umsatzbeschleunigung zu sehen. Die so anfänglich empfundene Bedrohung kann aber zu ohnehin wünschenswerten Klarheiten und Optimierungen führen. Audit-Klauseln selbst und darauf gestützte Handlungsaufforderungen sind nicht immer rechtmäßig. Es kann sich für die Akteure im Zweifel lohnen, zwecks sofortiger richtiger Weichenstellung externe Audit-erfahrene Experten zu kontaktieren.

Lesen auf silicon.de in kürze den zweiten Teil diser Serie: Software-Lizenz-Audits: Verteidigungslinien des Anwenders

Lesen Sie auch : Angriffsziel ERP
Redaktion

View Comments

  • Als Anwenderunternehmen bekommt man mit dieser Analyse das Gefühl, dem Lizenzgeber oft ohne Rechtsverpflichtung zu folgen, ja ihn geradezu einzuladen, seine vermeintliche Macht auszunutzen. Vermutlich fallen die Beispiele, in denen ein Lizenzaudit tatsächlich von vornherein abgelehnt werden konnte, allesamt unter das übliche Vertraulichkeitsgebot.

Recent Posts

Erst knapp jedes zweite Unternehmen empfängt E-Rechnungen

In der Zustellung ist das neue Format mit der Briefpost schon beinahe gleichauf, im Rechnungseingang…

16 Stunden ago

Wipro: Quantencomputing, synthetische Daten und 6G

Trends 2025: Synthetische Daten führen zu Herausforderungen bei KI und Data Governance / Entschlüsselung ist…

17 Stunden ago

Mit iPaaS Systeme und Anwendungen verknüpfen

Wie Canon, AmberTech Solutions und Frends als Team Unternehmen die digitale Transformation erleichtern.

18 Stunden ago

Schutzschirm: Secure Access Hub, Gateway, Micro-Gateway und IAM

Mit Low-Code und No-Code lassen sich Funktionen in Applikationen schnell ergänzen, was jedoch zu einem…

19 Stunden ago

Williams Racing schützt Daten mit Zero-Trust-Sicherheitslösung

Zero-Trust- und Zero-Knowledge-Cybersicherheit zum Schutz von Passwörtern, Zugangsdaten, privilegierten Zugängen, Geheimnissen und Remote-Verbindungen.

1 Tag ago

Doppelmigration zu SAP S4/HANA und in die Cloud

Vorwerk Gruppe: knapp 200 Schnittstellen, ein zusätzlicher Wechsel auf ein neues Business-Modell und alles in…

2 Tagen ago