Software Audit und Compliance - Frequently Asked Questions

Auf dieser Seite finden Sie Antworten auf die häufigsten Fragen zum Thema Software Audit im Lizenzrecht. Sie benötigen weitere Informationen oder  benötigen eine Lösung bei einem akuten Fall? Setzen Sie sich mit den Lizenz-Experten von auditprotect in Verbindung.

Was ist ein Software Audit?

Vendoren von Standard-Software verlangen von ihren Kunden, den Anwenderunternehmen, eine Lizenzprüfung. Es geht dabei darum, die Einhaltung der Software License Compliance zu prüfen, also den Abgleich bestehender Software-Rechte mit der tatsächlichen Nutzung (Prüfung von Unterlizenzierung). Das kann u.a. ein SAP Audit, ein Oracle Audit oder ein Microsoft Audit sein. Eine solche Compliance-Prüfung erfolgt in verschiedenen Formen und Intensitäten, etwa 

  • Selbstauskunft
  • Remote-Audit
  • On-Site-Audit
  • Mischformen.

Was bedeutet der Begriff License Compliance?

License Compliance beschreibt die lizenzkonforme Nutzung von Software, wie sie zwischen Vendoren und Anwenderunternehmen vereinbart wurde. Um die Einhaltung der Compliance zu prüfen, verlangen Unternehmen wie z.B. Oracle, SAP und Microsoft von Ihren Kunden häufig Software Audits.

Wen betrifft License Compliance im Softwarerecht?

Betroffen sind jegliche Unternehmen, die Software-Lizenzen einsetzen. Unter den Mitarbeitern innerhalb der Anwenderunternehmen können beispielsweise das Lizenzmanagement, System-Administratoren, IT-Einkäufer und -Juristen, Compliance Officers, CIOs, Finanzmanager oder auch die Geschäftsleitung mit Compliance-Prüfungen (auch SAM Compliance genannt) in Berührung kommen.

Mit welchem Recht wird License Compliance überprüft?

Gesetzliche Bestimmungen bieten sehr selten eine tragfähige Rechtsgrundlage für eine Compliance-Prüfung. Zwar können §§ 101, 101a Urheberrechtsgesetz (UrhG) wegen der Anzahl oder Schwere von Rechtsverletzungen dem Lizenzgeber (Vendor) einen Anspruch auf Auskunft, Vorlage von Unterlagen und Besichtigung von Sachen gewähren. Ein verdachtsunabhängiger anlassloser Anspruch auf ein routinemäßiges jährliches Audit besteht danach nicht.

Vertragliche Bestimmungen als Rechtsgrundlage zur Prüfung von Software License Compliance finden sich häufig in Gestalt von Audit-Klauseln in den Lizenzverträgen zur Software-Überlassung. Von der Rechtsnatur her sind das regelmäßig Allgemeine Geschäftsbedingungen (AGB). Sie unterliegen – die Geltung deutschen Rechts vorausgesetzt - zwecks Überprüfung ihrer Rechtswirksamkeit der sogenannten AGB-Kontrolle, etwa am Maßstab von § 307 BGB. Danach können AGB wegen unangemessener Benachteiligung unwirksam sein, wenn sie mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren sind. Aber auch wegen ihrer Intransparenz oder ihres überraschenden Charakters können Audit-Klauseln unwirksam sein.

Müssen Unternehmen allen Prüfungsverlangen auf License Compliance nachkommen?

Den verantwortlichen Akteuren sollte bewusst sein, dass die rechtliche Befugnis zur Prüfung von Software License Compliance zweifelhaft sein kann, selbst wenn der Wortlaut der Klausel im Vertragstext vordergründig für den Vendor zu sprechen scheint. Es ist gut möglich, dass der Vendor weder den behaupteten Anspruch auf das Software Audit selbst hat, noch auf die im Audit Call konkret gewünschten Maßnahmen und Mitwirkungshandlungen des Unternehmens (Remote-Audit, On-Site-Untersuchungen, verlangte Informationstiefe über Geschäftsabläufe etc.).

Es kann sich für die Akteure im Zweifel lohnen, zwecks anfänglich richtiger Weichenstellung externe Audit-erfahrene Experten zu kontaktieren.

Wann ist mit einem Software Audit zu rechnen?

Ein Lizenzaudit erreicht manche Unternehmen in unregelmäßigen und unvorhersehbaren Intervallen. In manchen Fällen findet dieses sogar erstmalig nach über 10 Jahren ab der Erstbeschaffung der Software, welche Gegenstand der Compliance-Prüfung ist, statt. Zum Teil sind Lizenzvermessungen, Lizenzprüfungen und Audits wiederkehrende Projekte in Unternehmen, wenn Vendoren in regelmäßigen Zeitabständen von 1 oder 2 Jahren auditieren. Viele Audit-Klauseln im Softwarevertragsrecht sehen ein jährliches Audit-Recht vor.

Wen betrifft ein Software Audit?

Etliche Funktionsträger in Anwenderunternehmen können mit einer Compliance-Prüfung in Berührung kommen. Dazu gehören z.B.

  • Lizenzmanagement
  • System-Administratoren
  • IT-Einkäufer
  • IT-Juristen
  • Compliance Officer
  • CIO
  • Finanzmanager
  • Geschäftsleitung.

Warum wird ein Unternehmen Ziel eines Software Audits?

Indizien für eine finanziell einträgliche Compliance-Prüfung erhält der Vendor direkt aus öffentlich zugänglichen Quellen wie etwa der Website des Unternehmens und der Fachpresse. Von dort dargestellten unternehmerischen Entscheidungen und geschäftlichen Entwicklungen wird auf das dafür technisch vorhandene bzw.das erforderliche Software-Portfolio geschlossen. Legt dieses Portfolio nahe, dass eine Unterlizenzierung vorliegt, so ist eine Prüfung der License Compliance eine logische Konsequenz.

Auch dritte Unternehmen, die für das Audit-Zielunternehmen Leistungen erbracht haben, können mit Projektberichten und Referenzangaben auf ihren Websites Software-Audit-Anlässe bieten. So könnte ein Dritt-Unternehmen werbemäßig herausstellen, die IT-Landschaft beim Audit-Zielunternehmen um bestimmte Systeme erweitert zu haben, was beim Vendor den umsatzträchtigen Verdacht auf die indirekte Nutzung von Software auslösen kann (Stichwort: SAP Indirekte Nutzung).

Welche Belastungen bringt ein Software Audit?

Belastender Faktor ist zunächst die Unsicherheit, die beim Erhalt des Aufforderungsschreibens vom Vendor entsteht, mit welchem er ein License Audit ankündigt (der sogenannte Audit Call). Was für den Vendor tägliche Routine ist, präsentiert sich für das Lizenzmanagement im Unternehmen als seltene oder erstmalige Ausnahmesituation.

Eine weitere Belastung – auch mit Kostenrelevanz - tritt hinzu, weil die Erledigung des ungeplanten Software Audit-Projekts das Tagesgeschäft stört, Ressourcen bindet und oft erheblicher Zeitaufwand für Mitwirkungshandlungen anfällt. 

Schließlich das finanzielle Risiko: Der Vendor könnte Nachzahlungen in ungeahnter Höhe fordern und androhen, bei Eskalation wegen angeblicher Unterlizenzierung den Rechtsweg zu beschreiten und Funktionsträger in die Haftung zu nehmen. Die Einschaltung einer auf IT-Recht spezialisierten Kanzlei kann dann nützlich sein.

Welche Chancen kann ein Audit für die License Compliance mit sich bringen?

Allerdings sind Chancen aus einem Software Audit denkbar, wenn es gelingt, diesen eigentlich lästigen Anlass unter einigen Aspekten zum Nützlichen zu wenden. Denn wenn das Unternehmen eine Lizenzprüfung professionell mitgestaltet (ggf. von extern verstärkt durch einen Lizenzberater und IT-Juristen), können sich wertvolle neue Erkenntnisse z.B. zum Lizenzbestand ergeben.

So können möglicherweise überflüssige Lizenzrechte und sinnlose Support-Aufwendungen identifiziert werden. Einspareffekte durch Bereinigung von User-Zuordnungen in Anzahl und Kategorie sind genauso denkbar wie der ggf. anzuratende Wechsel auf vorteilhafte Metriken. Das Unternehmen kann möglicherweise günstigere Gestaltungen der System-Landschaft oder des Nutzerverhaltens vornehmen (z.B. zur Vermeidung von indirekter Nutzung von SAP durch andere Software), um eventuell Kostensenkungen in der Zukunft zu erreichen.

Was steckt wirtschaftlich hinter einer Prüfung von License Compliance?

Offiziell, vordergründig und freundlich verpackt heißt es vom Vendor, die License Compliance solle partnerschaftlich überprüft, also ein Soll-Ist–Vergleich angestellt werden zwischen den vertraglich eingeräumten Nutzungsrechten und dem tatsächlich praktizierten Nutzungsverhalten im Unternehmen (Check auf Unterlizenzierung). Sicherlich ist der offiziell vorgebrachte Zweck, der Schutz des Urheberrechts an der Software (Verbot unzulässiger Vervielfältigung), ein valides Motiv für eine Compliance-Prüfung.

Doch im Hintergrund geht es in Wirklichkeit oft um mehr:

Eine möglichst ausgedehnte Reichweite und Detailtiefe der Prüfung von Software License Compliance – teils verstärkt durch mehrfach nachgeschobene Zusatzfragen – kann dem Vendor umfassende Erkenntnisse über Infrastrukturen, Geschäftsprozesse und unternehmerische Entscheidungen bzw. Planungen liefern. Das kann am Rande dessen liegen, was vernünftigerweise zum Schutz des Urheberrechts objektiv erforderlich ist. Der Vendor durchleuchtet das Unternehmen und erhält Einblicke, die ihm neben der umsatzträchtigen Behauptung von z.B. „SAP Indirekte Nutzung“ auch erlauben, neue Produkte, Technologien oder Vertragsformen zu forcieren (Mietmodelle, Migrationen, etc.).

Die Compliance-Prüfung hat damit auch die Funktion einer tieferen Account-Qualifizierung, zusätzlich zur üblichen Sales-Aktivität der Account Manager. Denn als angestrebter Zusatzeffekt sollen Kundenbindungen erhöht und Investitionsentscheidungen zwecks Umsatzgenerierung beschleunigt werden.

Was kann auditprotect beim Software Audit bewirken?

Neben einem vorausschauenden Lizenzmanagement und der Herstellung von Audit Readiness empfiehlt auditprotect ein vorinstalliertes, automatisiertes und strukturiertes Vorgehen, um im Software Audit sofort auf Augenhöhe mit dem Vendor zu agieren. Dazu hat auditprotect eine Audit-Guideline für alle betroffenen Akteure entwickelt, die auf der Website abrufbar ist. 

Mit einem Anwalt für Lizenzrecht und einem Lizenzberater steht auditprotect für die Kombination juristischer, technischer und kommerzieller Expertise aus einer Hand. Das macht die fachlich unverzichtbaren Elemente für eine fundierte Begleitung bei einem Software Audit aus.

Lizenzberatung plus IT-rechtliche Komponente sind integrative und stetige Strukturbestandteile von auditprotect - in jeder Projektphase. Eine solche kombinierte Spezialisierung der fachlichen Kompetenzen in ihrer inhaltlichen Verzahnung und ihrer Synchronität im Beratungsablauf (einschließlich eines Rechtsanwalts für IT-Recht) steht jedem Mandanten in der Compliance-Prüfung zur Verfügung.

Die finanzielle Wirkung, die auditprotect zugunsten des Unternehmens erzielt, wird aus „Referenzen“ und „Value Propositon“ der Website deutlich.

Wie unterstützt auditprotect beim Thema License Compliance?

auditprotect unterstützt Unternehmen bei der Implementierung eines vorausschauenden Lizenzmanagements sowie der Herstellung von Audit Readiness. Zudem wird ein vorinstalliertes, automatisiertes und strukturiertes Vorgehen empfohlen, sodass die Verantwortlichen der Zielunternehmen auf den Fall eines Software Audits vorbereitet sind und auf Augenhöhe mit den Vendoren agieren können. Zu diesem Zweck steht eine Audit-Guideline auf der Website von auditprotect zur freien Verfügung.

auditprotect vereint die Kompetenz eines Anwalts für Lizenzrecht mit der eines Lizenzberaters, sodass betroffene Unternehmen juristische, technische und kommerzielle Expertise aus einer Hand erwarten können. So begleitet auditprotect Unternehmen in allen Fragen der License Compliance, insbesondere in Software Audit-Situationen. 

Sowohl die Lizenzberatung als auch die IT-rechtliche Komponente sind integrative und stetige Strukturbestandteile von auditprotect – unabhängig davon, in welcher Projektphase des Audits sich das jeweilige Unternehmen befindet. Allen Mandanten steht diese kombinierte Spezialisierung der fachlichen Audit-Kompetenzen zur Verfügung. 

In den Referenzen und Value Proposition wird deutlich, welche positive finanzielle Wirkung auditprotect auf Unternehmen haben kann.

Nehmen sie Kontakt zu uns auf.

Das erste Gespräch gibt Ihnen die Sicherheit, das Richtige für Ihr Vorhaben zu tun. Wir arbeiten die Dringlichkeit und das Potenzial Ihrer Lizenz- und Auditfragen in einer systematischen Erstanalyse  heraus.

Dr. Robert Fleuter

drf@auditprotect.de 06201 – 846 806

Peter Wesche

pkw@auditprotect.de 06205 – 36 40723

Impressum

auditprotect ist eine Kooperation der Lizenzberatung Doctor-License Peter Wesche und Dr. Robert Fleuter, BLC Rechtsanwälte.

Verantwortlich nach § 5 TMG (Telemediengesetz), zusätzlich nach § 55 RStV (Rundfunkstaatsvertrag) jeder für die vom ihm verfassten Beiträge im Blog (Juristische Erläuterungen stellen keine Rechtsberatung für den Einzelfall dar):

Dr. Robert Fleuter
Rechtsanwalt (Deutschland)
Tel.: +49 6201 846 806
E-Mail: drf@auditprotect.de
Heddesheimer Straße 42C
D-69493 Hirschberg
Rechtsanwaltskammer Karlsruhe

Peter Wesche
Diplom-Mathematiker/Lizenzberater
Tel.: +49 6205 36 40723
E-Mail: pkw@auditprotect.de
Wasserturmallee 47
D-68766 Hockenheim

Die für Rechtsanwalt Dr. Robert Fleuter maßgeblichen berufsrechtlichen Regelungen können auf der Homepage der Bundesrechtsanwaltskammer unter www.brak.de "Berufsrecht" abgerufen werden. Eine Berufshaftpflichtversicherung besteht bei R+V Allgemeine Versicherung AG, Wiesbaden. 

Bilder

Alle Fotos mit Lizenz von shutterstock.com und neochic.de

Datenschutz

Zugriffsdaten/ Server-Logfiles
Die Anbieter (beziehungsweise der Webspace-Provider) erheben Daten über jeden Zugriff auf das Angebot (so genannte Serverlogfiles). Zu den Zugriffsdaten gehören:  Name der abgerufenen Webseite, Datei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL (die zuvor besuchte Seite), IP-Adresse und der anfragende Provider. Die Anbieter verwenden die Protokolldaten nur für statistische Auswertungen zum Zweck des Betriebs, der Sicherheit und der Optimierung des Angebotes. Die Anbieter behalten sich jedoch vor, die Protokolldaten nachträglich zu überprüfen, wenn aufgrund konkreter Anhaltspunkte der berechtigte Verdacht einer rechtswidrigen Nutzung besteht.

Umgang mit personenbezogenen Daten
Personenbezogene Daten sind Informationen, mit deren Hilfe eine Person bestimmbar ist, also Angaben, die zurück zu einer Person verfolgt werden können. Dazu gehören der Name, die Emailadresse oder die Telefonnummer. Personenbezogene Daten werden von den Anbietern nicht unzulässig erhoben, genutzt oder weitergegeben.


Kontaktaufnahme
Bei der Kontaktaufnahme mit den Anbietern (zum Beispiel per Kontaktformular oder E-Mail) werden die Angaben des Nutzers zwecks Bearbeitung der Anfrage sowie für den Fall, dass Anschlussfragen entstehen, gespeichert.


Kommentare und Beiträge
Wenn Nutzer Kommentare im Blog oder sonstige Beiträge hinterlassen, werden ihre IP-Adressen gespeichert. Das erfolgt zur Sicherheit der Anbieter, falls jemand in Kommentaren und Beiträgen widerrechtliche Inhalte schreibt (Beleidigungen, verbotene politische Propaganda, etc.). In diesem Fall kann ein Anbieter selbst für den Kommentar oder Beitrag belangt werden und ist daher an der Identität des Verfassers interessiert.


Google Analytics
Dieses Angebot benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Computer der Nutzer gespeichert werden und die eine Analyse der Benutzung der Website durch sie ermöglichen. Die durch den Cookie erzeugten Informationen über Benutzung dieser Website durch die Nutzer werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite wird die IP-Adresse der Nutzer von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Die IP-Anonymisierung ist auf dieser Website aktiv. Google wird diese Informationen benutzen, um die Nutzung der Website durch die Nutzer auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Die Nutzer können die Speicherung der Cookies durch eine entsprechende Einstellung ihrer Browser-Software verhindern. Dieses Angebot weist die Nutzer jedoch darauf hin, dass sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Die Nutzer können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren:
http://tools.google.com/dlpage/gaoptout?hl=de.  Alternativ zum Browser-Add-On oder innerhalb von Browsern auf mobilen Geräten, klicken Nutzer bitte diesen Link Google Analytics deaktivieren Google Analytics aktivieren, um die Erfassung durch Google Analytics innerhalb dieser Website zukünftig zu verhindern. Dabei wird ein Opt-Out-Cookie auf dem Nutzergerät abgelegt. Nach dem Löschen von Cookies müssen Nutzer diesen Link erneut klicken.


Widerruf, Änderungen, Berichtigungen und Aktualisierungen
Der Nutzer hat das Recht, auf Antrag unentgeltlich Auskunft zu erhalten über die personenbezogenen Daten, die über ihn gespeichert wurden. Zusätzlich hat der Nutzer das Recht auf Berichtigung unrichtiger Daten, Sperrung und Löschung seiner personenbezogenen Daten, soweit dem keine gesetzliche Aufbewahrungspflicht entgegensteht.

Druckbare Version