Software Audit - Frequently Asked Questions

Auf dieser Seite finden Sie Antworten auf die häufigsten Fragen zum Thema Software Audit im Lizenzrecht. Sie benötigen weitere Informationen oder  benötigen eine Lösung bei einem akuten Fall? Setzen Sie sich mit den Lizenz-Experten von auditprotect in Verbindung.

Was ist ein Software Audit?

Vendoren von Standard-Software verlangen von ihren Kunden, den Anwenderunternehmen, eine Lizenzprüfung. Es geht dabei darum, die Einhaltung der Software License Compliance zu prüfen, also den Abgleich bestehender Software-Rechte mit der tatsächlichen Nutzung (Prüfung von Unterlizenzierung). Das kann u.a. ein SAP Audit, ein Oracle Audit oder ein Microsoft Audit sein. Eine solche Compliance-Prüfung erfolgt in verschiedenen Formen und Intensitäten, etwa 

  • Selbstauskunft
  • Remote-Audit
  • On-Site-Audit
  • Mischformen.

Wann ist mit einem Software Audit zu rechnen?

Ein Lizenzaudit erreicht manche Unternehmen in unregelmäßigen und unvorhersehbaren Intervallen. In manchen Fällen findet dieses sogar erstmalig nach über 10 Jahren ab der Erstbeschaffung der Software, welche Gegenstand der Compliance-Prüfung ist, statt. Zum Teil sind Lizenzvermessungen, Lizenzprüfungen und Audits wiederkehrende Projekte in Unternehmen, wenn Vendoren in regelmäßigen Zeitabständen von 1 oder 2 Jahren auditieren. Viele Audit-Klauseln im Softwarevertragsrecht sehen ein jährliches Audit-Recht vor.

Wen betrifft ein Software Audit?

Etliche Funktionsträger in Anwenderunternehmen können mit einer Compliance-Prüfung in Berührung kommen. Dazu gehören z.B.

  • Lizenzmanagement
  • System-Administratoren
  • IT-Einkäufer
  • IT-Juristen
  • Compliance Officer
  • CIO
  • Finanzmanager
  • Geschäftsleitung.

Warum wird ein Unternehmen Ziel eines Software Audits?

Indizien für eine finanziell einträgliche Compliance-Prüfung erhält der Vendor direkt aus öffentlich zugänglichen Quellen wie etwa der Website des Unternehmens und der Fachpresse. Von dort dargestellten unternehmerischen Entscheidungen und geschäftlichen Entwicklungen wird auf das dafür technisch vorhandene bzw.das erforderliche Software-Portfolio geschlossen. Legt dieses Portfolio nahe, dass eine Unterlizenzierung vorliegt, so ist eine Prüfung der License Compliance eine logische Konsequenz.

Auch dritte Unternehmen, die für das Audit-Zielunternehmen Leistungen erbracht haben, können mit Projektberichten und Referenzangaben auf ihren Websites Software-Audit-Anlässe bieten. So könnte ein Dritt-Unternehmen werbemäßig herausstellen, die IT-Landschaft beim Audit-Zielunternehmen um bestimmte Systeme erweitert zu haben, was beim Vendor den umsatzträchtigen Verdacht auf die indirekte Nutzung von Software auslösen kann (Stichwort: SAP Indirekte Nutzung).

Welche Belastungen bringt ein Software Audit?

Belastender Faktor ist zunächst die Unsicherheit, die beim Erhalt des Aufforderungsschreibens vom Vendor entsteht, mit welchem er ein License Audit ankündigt (der sogenannte Audit Call). Was für den Vendor tägliche Routine ist, präsentiert sich für das Lizenzmanagement im Unternehmen als seltene oder erstmalige Ausnahmesituation.

Eine weitere Belastung – auch mit Kostenrelevanz - tritt hinzu, weil die Erledigung des ungeplanten Software Audit-Projekts das Tagesgeschäft stört, Ressourcen bindet und oft erheblicher Zeitaufwand für Mitwirkungshandlungen anfällt. 

Schließlich das finanzielle Risiko: Der Vendor könnte Nachzahlungen in ungeahnter Höhe fordern und androhen, bei Eskalation wegen angeblicher Unterlizenzierung den Rechtsweg zu beschreiten und Funktionsträger in die Haftung zu nehmen. Die Einschaltung einer auf IT-Recht spezialisierten Kanzlei kann dann nützlich sein.

Welche Chancen kann ein Audit für die License Compliance mit sich bringen?

Allerdings sind Chancen aus einem Software Audit denkbar, wenn es gelingt, diesen eigentlich lästigen Anlass unter einigen Aspekten zum Nützlichen zu wenden. Denn wenn das Unternehmen eine Lizenzprüfung professionell mitgestaltet (ggf. von extern verstärkt durch einen Lizenzberater und IT-Juristen), können sich wertvolle neue Erkenntnisse z.B. zum Lizenzbestand ergeben.

So können möglicherweise überflüssige Lizenzrechte und sinnlose Support-Aufwendungen identifiziert werden. Einspareffekte durch Bereinigung von User-Zuordnungen in Anzahl und Kategorie sind genauso denkbar wie der ggf. anzuratende Wechsel auf vorteilhafte Metriken. Das Unternehmen kann möglicherweise günstigere Gestaltungen der System-Landschaft oder des Nutzerverhaltens vornehmen (z.B. zur Vermeidung von indirekter Nutzung von SAP durch andere Software), um eventuell Kostensenkungen in der Zukunft zu erreichen.

Was kann auditprotect beim Software Audit bewirken?

Neben einem vorausschauenden Lizenzmanagement und der Herstellung von Audit Readiness empfiehlt auditprotect ein vorinstalliertes, automatisiertes und strukturiertes Vorgehen, um im Software Audit sofort auf Augenhöhe mit dem Vendor zu agieren. Dazu hat auditprotect eine Audit-Guideline für alle betroffenen Akteure entwickelt, die auf der Website abrufbar ist. 

Mit einem Anwalt für Lizenzrecht und einem Lizenzberater steht auditprotect für die Kombination juristischer, technischer und kommerzieller Expertise aus einer Hand. Das macht die fachlich unverzichtbaren Elemente für eine fundierte Begleitung bei einem Software Audit aus.

Lizenzberatung plus IT-rechtliche Komponente sind integrative und stetige Strukturbestandteile von auditprotect - in jeder Projektphase. Eine solche kombinierte Spezialisierung der fachlichen Kompetenzen in ihrer inhaltlichen Verzahnung und ihrer Synchronität im Beratungsablauf (einschließlich eines Rechtsanwalts für IT-Recht) steht jedem Mandanten in der Compliance-Prüfung zur Verfügung.

Die finanzielle Wirkung, die auditprotect zugunsten des Unternehmens erzielt, wird aus „Referenzen“ und „Value Propositon“ der Website deutlich.

Nehmen sie Kontakt zu uns auf.

Das erste Gespräch gibt Ihnen die Sicherheit, das Richtige für Ihr Vorhaben zu tun. Wir arbeiten die Dringlichkeit und das Potenzial Ihrer Lizenz- und Auditfragen in einer systematischen Erstanalyse  heraus.

Dr. Robert Fleuter

drf@auditprotect.de 06201 – 846 806

Peter Wesche

pkw@auditprotect.de 06205 – 36 40723
nach oben

Impressum

auditprotect ist eine Kooperation der Lizenzberatung Doctor-License Peter Wesche und Dr. Robert Fleuter, BLC Rechtsanwälte.

Verantwortlich nach § 5 TMG (Telemediengesetz), zusätzlich nach § 55 RStV (Rundfunkstaatsvertrag) jeder für die vom ihm verfassten Beiträge im Blog (Juristische Erläuterungen stellen keine Rechtsberatung für den Einzelfall dar):

Dr. Robert Fleuter
Rechtsanwalt (Deutschland)
Tel.: +49 6201 846 806
E-Mail: drf@auditprotect.de
Heddesheimer Straße 42C
D-69493 Hirschberg
Rechtsanwaltskammer Karlsruhe

Peter Wesche
Diplom-Mathematiker/Lizenzberater
Tel.: +49 6205 36 40723
E-Mail: pkw@auditprotect.de
Wasserturmallee 47
D-68766 Hockenheim

Die für Rechtsanwalt Dr. Robert Fleuter maßgeblichen berufsrechtlichen Regelungen können auf der Homepage der Bundesrechtsanwaltskammer unter www.brak.de "Berufsrecht" abgerufen werden. Eine Berufshaftpflichtversicherung besteht bei R+V Allgemeine Versicherung AG, Wiesbaden. 

Bilder

Alle Fotos mit Lizenz von shutterstock.com und neochic.de

Datenschutz

Zugriffsdaten/ Server-Logfiles
Die Anbieter (beziehungsweise der Webspace-Provider) erheben Daten über jeden Zugriff auf das Angebot (so genannte Serverlogfiles). Zu den Zugriffsdaten gehören:  Name der abgerufenen Webseite, Datei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL (die zuvor besuchte Seite), IP-Adresse und der anfragende Provider. Die Anbieter verwenden die Protokolldaten nur für statistische Auswertungen zum Zweck des Betriebs, der Sicherheit und der Optimierung des Angebotes. Die Anbieter behalten sich jedoch vor, die Protokolldaten nachträglich zu überprüfen, wenn aufgrund konkreter Anhaltspunkte der berechtigte Verdacht einer rechtswidrigen Nutzung besteht.

Umgang mit personenbezogenen Daten
Personenbezogene Daten sind Informationen, mit deren Hilfe eine Person bestimmbar ist, also Angaben, die zurück zu einer Person verfolgt werden können. Dazu gehören der Name, die Emailadresse oder die Telefonnummer. Personenbezogene Daten werden von den Anbietern nicht unzulässig erhoben, genutzt oder weitergegeben.


Kontaktaufnahme
Bei der Kontaktaufnahme mit den Anbietern (zum Beispiel per Kontaktformular oder E-Mail) werden die Angaben des Nutzers zwecks Bearbeitung der Anfrage sowie für den Fall, dass Anschlussfragen entstehen, gespeichert.


Kommentare und Beiträge
Wenn Nutzer Kommentare im Blog oder sonstige Beiträge hinterlassen, werden ihre IP-Adressen gespeichert. Das erfolgt zur Sicherheit der Anbieter, falls jemand in Kommentaren und Beiträgen widerrechtliche Inhalte schreibt (Beleidigungen, verbotene politische Propaganda, etc.). In diesem Fall kann ein Anbieter selbst für den Kommentar oder Beitrag belangt werden und ist daher an der Identität des Verfassers interessiert.


Google Analytics
Dieses Angebot benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Computer der Nutzer gespeichert werden und die eine Analyse der Benutzung der Website durch sie ermöglichen. Die durch den Cookie erzeugten Informationen über Benutzung dieser Website durch die Nutzer werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite wird die IP-Adresse der Nutzer von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Die IP-Anonymisierung ist auf dieser Website aktiv. Google wird diese Informationen benutzen, um die Nutzung der Website durch die Nutzer auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Die Nutzer können die Speicherung der Cookies durch eine entsprechende Einstellung ihrer Browser-Software verhindern. Dieses Angebot weist die Nutzer jedoch darauf hin, dass sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Die Nutzer können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren:
http://tools.google.com/dlpage/gaoptout?hl=de.  Alternativ zum Browser-Add-On oder innerhalb von Browsern auf mobilen Geräten, klicken Nutzer bitte diesen Link Google Analytics deaktivieren Google Analytics aktivieren, um die Erfassung durch Google Analytics innerhalb dieser Website zukünftig zu verhindern. Dabei wird ein Opt-Out-Cookie auf dem Nutzergerät abgelegt. Nach dem Löschen von Cookies müssen Nutzer diesen Link erneut klicken.


Widerruf, Änderungen, Berichtigungen und Aktualisierungen
Der Nutzer hat das Recht, auf Antrag unentgeltlich Auskunft zu erhalten über die personenbezogenen Daten, die über ihn gespeichert wurden. Zusätzlich hat der Nutzer das Recht auf Berichtigung unrichtiger Daten, Sperrung und Löschung seiner personenbezogenen Daten, soweit dem keine gesetzliche Aufbewahrungspflicht entgegensteht.

Druckbare Version