Software Audit - Frequently Asked Questions

On this page you will find answers to the most frequently asked questions about software audits in licensing law. Do you need further information or do you need a solution for an emergency case? Contact the license experts at auditprotect.

What is a software audit?

Vendors of standard software require a license check from their customers, the user organizations. This involves checking compliance with the Software License requirements, i. e. comparing existing software rights with actual usage (checking sublicensing). This can include an SAP audit, an Oracle audit or a Microsoft audit. Such compliance checks are carried out in various forms and intensities, such as 

  • self-disclosure
  • remote audit
  • on-site audit
  • mixed forms.

When can a software audit be expected?

A license audit reaches some companies at irregular and unpredictable intervals. In some cases, this even takes place for the first time after more than 10 years from the initial purchase of the software, which is the subject of the compliance audit. In some cases, license measurments, license checks and audits are recurring projects in companies if vendors audit at regular intervals of 1 or 2 years. Many audit clauses in software contract law provide for an annual audit right.

Who is affected by a software audit?

A number of players in user organizations can be involved in compliance audits. This includes e. g.

  • License management
  • System administrators
  • IT purchasers
  • IT lawyers
  • Compliance officer
  • CIO
  • Financial manager
  • Management Board.

Why does a company become the target of a software audit?

The vendor receives indications for financially profitable compliance audits directly from publicly accessible sources such as the company's website and the business press. The entrepreneurial decisions and business developments described there are used to draw conclusions about the software portfolio that is technically available or necessary for this purpose. If this portfolio suggests that there is an under-licensing, a license compliance check is a logical consequence.

Third-party companies that have provided services for the audit target company can also trigger software audit measures with their project reports and references on their websites. For example, a third party company could point out that it has added certain systems to the IT landscape of the audit target company in terms of advertising, which could trigger the vendor's suspicion that indirect use of software is a potential source of revenue (keyword: SAP Indirect Use).

What is the burden of a software audit?

First of all, the burdening factor is the uncertainty that arises when the vendor receives a letter of formal notice from the vendor with which he announces a license audit (so-called audit call). What is a daily routine for the vendor presents itself as a rare or first-time exceptional situation for license management in the user organization.

A further burden - also with cost relevance - is added to this, because the completion of the unplanned software audit project disrupts day-to-day business, ties up resources and often requires considerable time for cooperation. 

Finally, the financial risk: The vendor could demand additional payments of an undreamt-of amount and threaten to take legal action in the event of an escalation due to alleged underlicensing and to hold managers liable. Engaging an IT law firm can then be useful.

What opportunities can an audit bring?

However, chances from a software audit are conceivable if it is possible to turn this annoying occasion into something useful under certain aspects. After all, if the company is professionally involved in the co-determination of a license examination (possibly supported by an external license advisor and IT lawyer), valuable new findings, e. g. on the number of licenses, can emerge.

This may help identify unnecessary licensing rights and pointless support costs. Savings effects by adjusting the number and category of user assignments are just as conceivable as switching to advantageous metrics if necessary. The company may be able to design the system landscape or user behavior more favorably (for example, to avoid indirect use of SAP by other software) in order to possibly achieve cost reductions in the future.

What impact can auditprotect have on software audits?

In addition to forward-looking license management and the preparation of audit readiness, auditprotect recommends a pre-installed, automated and structured procedure in order to act on an equal footing with the vendor in the software audit. For this purpose, auditprotect has developed an audit guideline for all relevant stakeholders, which is available on the website. 

With a lawyer for licensing law and a license advisor, auditprotect stands for the combination of legal, technical and commercial expertise from a single source. This is what constitutes the technically indispensable elements for a well-founded support during a software audit.

License consulting plus IT-legal components are integrative and continuous structural components of auditprotect - in every project phase. Such a combined specialization of the professional competences in their interlinking in terms of content and their synchronicity in the consulting process (including a lawyer for IT law) is available to every client in the compliance audit.

The financial impact achieved by auditprotect in favour of the company is evident from "references" and "value propositon" of the website.

Let's Have a Chat ...

Our first conversation will give you the reassurance to be taking the right path towards your goal. Our systematic first analysis will quickly reveal the urgency as well as the potential in your license and audit queries.

Dr. Robert Fleuter +49 6201 846 806

Peter Wesche +49 6205 36 40723


auditprotect is a Cooperation of Doctor-License Peter Wesche and Dr. Robert Fleuter, BLC Rechtsanwaelte.

Verantwortlich nach § 5 TMG (Telemediengesetz), zusätzlich nach § 55 RStV (Rundfunkstaatsvertrag) jeder für die vom ihm verfassten Beiträge im Blog (juristische Erläuterungen stellen keine Rechtsberatung für den Einzelfall dar):

Dr. Robert Fleuter
Tel.: +49 6201 846806
Heddesheimer Str. 42c
D-69493 Hirschberg
Bar Association Karlsruhe

Peter Wesche
Math MS / License Advisor
Tel.: +49 6205 36 40723
Wasserturmallee 47
D-68766 Hockenheim
German Association of Journalists AG Ingolstadt

The professional regulations applicable to Dr. Robert Fleuter can be found on the homepage of the Federal Chamber of Lawyers (BRAK) "Berufsrecht". Professional Liability Insurance: R+V Allgemeine Versicherung AG, Wiesbaden, Germany.


All photos with license by and


Zugriffsdaten/ Server-Logfiles
Die Anbieter (beziehungsweise der Webspace-Provider) erheben Daten über jeden Zugriff auf das Angebot (so genannte Serverlogfiles). Zu den Zugriffsdaten gehören: Name der abgerufenen Webseite, Datei, Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL (die zuvor besuchte Seite), IP-Adresse und der anfragende Provider. Die Anbieter verwenden die Protokolldaten nur für statistische Auswertungen zum Zweck des Betriebs, der Sicherheit und der Optimierung des Angebotes. Die Anbieter behalten sich jedoch vor, die Protokolldaten nachträglich zu überprüfen, wenn aufgrund konkreter Anhaltspunkte der berechtigte Verdacht einer rechtswidrigen Nutzung besteht.

Umgang mit personenbezogenen Daten
Personenbezogene Daten sind Informationen, mit deren Hilfe eine Person bestimmbar ist, also Angaben, die zurück zu einer Person verfolgt werden können. Dazu gehören der Name, die Emailadresse oder die Telefonnummer. Personenbezogene Daten werden von den Anbietern nicht unzulässig erhoben, genutzt oder weitergegeben.

Bei der Kontaktaufnahme mit den Anbietern (zum Beispiel per Kontaktformular oder E-Mail) werden die Angaben des Nutzers zwecks Bearbeitung der Anfrage sowie für den Fall, dass Anschlussfragen entstehen, gespeichert.

Kommentare und Beiträge
Wenn Nutzer Kommentare im Blog oder sonstige Beiträge hinterlassen, werden ihre IP-Adressen gespeichert. Das erfolgt zur Sicherheit der Anbieter, falls jemand in Kommentaren und Beiträgen widerrechtliche Inhalte schreibt (Beleidigungen, verbotene politische Propaganda, etc.). In diesem Fall kann ein Anbieter selbst für den Kommentar oder Beitrag belangt werden und ist daher an der Identität des Verfassers interessiert.

Google Analytics
Dieses Angebot benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Computer der Nutzer gespeichert werden und die eine Analyse der Benutzung der Website durch sie ermöglichen. Die durch den Cookie erzeugten Informationen über Benutzung dieser Website durch die Nutzer werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Webseite wird die IP-Adresse der Nutzer von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Die IP-Anonymisierung ist auf dieser Website aktiv. Google wird diese Informationen benutzen, um die Nutzung der Website durch die Nutzer auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Die Nutzer können die Speicherung der Cookies durch eine entsprechende Einstellung ihrer Browser-Software verhindern. Dieses Angebot weist die Nutzer jedoch darauf hin, dass sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Die Nutzer können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: Alternativ zum Browser-Add-On oder innerhalb von Browsern auf mobilen Geräten, klicken Nutzer bitte diesen Link Google Analytics deaktivieren Google Analytics aktivieren, um die Erfassung durch Google Analytics innerhalb dieser Website zukünftig zu verhindern. Dabei wird ein Opt-Out-Cookie auf dem Nutzergerät abgelegt. Nach dem Löschen von Cookies müssen Nutzer diesen Link erneut klicken.

Widerruf, Änderungen, Berichtigungen und Aktualisierungen
Der Nutzer hat das Recht, auf Antrag unentgeltlich Auskunft zu erhalten über die personenbezogenen Daten, die über ihn gespeichert wurden. Zusätzlich hat der Nutzer das Recht auf Berichtigung unrichtiger Daten, Sperrung und Löschung seiner personenbezogenen Daten, soweit dem keine gesetzliche Aufbewahrungspflicht entgegensteht.