Zunehmend sind Anwenderunternehmen mit aggressiven Compliance-Prüfungen durch Vendoren von Standard-Software konfrontiert. Das können SAP, Oracle oder Microsoft sein, die License Audits in verschiedenen Formen und Intensitäten verlangen, etwa Selbstauskunft, Remote-Audit, On-Site-Audit oder Mischformen. Etliche Funktionsträger können damit in Berührung kommen, wie CIOs, Lizenzmanager, IT-Einkäufer, Juristen, Compliance Officer, Finanzmanager und die Geschäftsleitung.
Lizenzprüfung als Bedrohung
Warum wird ein Software-Audit als Bedrohung empfunden? Belastender Faktor ist zunächst die Unsicherheit, die beim Erhalt des Aufforderungsschreibens vom Vendor entsteht, mit welchem er eine Lizenzprüfung ankündigt (Audit Call). Was für den Vendor tägliche Routine ist, präsentiert sich für das Unternehmen als seltene oder erstmalige Ausnahmesituation.
Eine weitere Belastung – auch mit Kostenrelevanz – tritt hinzu, weil die Erledigung des ungeplanten Projekts das Tagesgeschäft stört, Ressourcen bindet und oft erheblicher Zeitaufwand für Mitwirkungshandlungen anfällt. Schließlich das finanzielle Risiko: Der Vendor könnte Nachzahlungen in ungeahnter Höhe fordern und androhen, bei Eskalation wegen angeblicher Verstöße gegen License Compliance den Rechtsweg zu beschreiten und Funktionsträger in die Haftung zu nehmen, insbesondere die Geschäftsleitung.
Den Spieß umdrehen
Andererseits könnten die verärgerten Akteure den Spieß ggf. auch umdrehen. Selbst wenn ein Zukauf zum Ausgleich einer Unterlizenzierung unumgänglich sein sollte: Manchmal ergibt sich auch eine längst überfällige Weichenstellung. Je nach Verhalten des Vendors in der Lizenzprüfung – gnadenloser Raubritter oder vertrauenswürdiger Geschäftspartner – werden Unternehmen vielleicht auf geeignetere Systeme von kooperativeren Anbietern umstellen.
Kommerzielle und juristische Grundlagen der Compliance-Prüfung
Oft zweifelhafte Compliance-Vorwürfe und Nachforderungen teils in Millionenhöhe sind jedenfalls Anlass genug, einen Blick auf kommerzielle und rechtliche Grundlagen zu werfen. Das erleichtert den Blick auf Möglichkeiten der Abwehr. Was sind denn die auslösenden Anlässe und kommerziellen Motive für Audits? Warum wird ein Unternehmen Ziel eines Audits? Wie erfolgt die Selektion beim Vendor?
Auslöser für Audit
Indizien für ein finanziell einträgliches Software-Audit von SAP, Oracle oder Microsoft erhält der betreffende Vendor direkt aus öffentlich zugänglichen Quellen wie etwa der Website des Unternehmens und der Fachpresse. Von dort dargestellten unternehmerischen Entscheidungen und geschäftlichen Entwicklungen wird auf die dafür technisch vorhandene bzw. auf die erforderliche IT-Struktur geschlossen.
Auch dritte Unternehmen, die für das Audit-Zielunternehmen Leistungen erbracht haben, können mit Projektberichten und Referenzangaben auf ihren Websites Audit-Anlässe bieten. So könnte ein Dritt-Unternehmen werbemäßig herausstellen, die IT-Landschaft beim Audit-Zielunternehmen um bestimmte Systeme erweitert zu haben, was beim Vendor den umsatzträchtigen Verdacht auf Indirekte Nutzung auslösen kann.
Die Vendoren erhalten aber auch Indizien in indirekter Weise, und zwar durch Informationen ihrer Geschäftspartner, die für das Audit-Zielunternehmen tätig sind (z.B. Reseller der Vendoren). So lassen geschäftliche Erfolge sowie getätigte Änderungen und Zukunftsplanungen des Unternehmens auf Lizenzrelevanz schließen: Etwa bei Personalbestand, technischer Ausrüstung und Prozessen, Investitionsvorhaben oder bei M&A-Maßnahmen. Ein prüfender Abgleich mit dem Kundenkonto (Lange nichts mehr gekauft!?) setzt dann die Umsatzphantasie beim Vendor in Gang.
Offizielle Begründung für Audit
Offiziell, vordergründig und freundlich verpackt heißt es vom Vendor, die Lizenz-Compliance sei partnerschaftlich zu überprüfen. Es müsse ein Soll-Ist–Vergleich angestellt werden zwischen den vertraglich eingeräumten Nutzungsrechten und dem tatsächlich praktizierten Nutzungsverhalten im Anwender-Unternehmen (Check auf Unterlizenzierung zwecks Software License Compliance). Sicherlich ist der offiziell vorgebrachte Zweck, nämlich der Schutz des Urheberrechts an der Software (Verbot unzulässiger Vervielfältigung), ein valides Motiv für ein Audit.
Inoffizielle Absichten im Hintergrund
Doch im Hintergrund geht es in Wirklichkeit oft um mehr:
Eine möglichst ausgedehnte Reichweite und Detailtiefe des Prüfungsverlangens – teils verstärkt durch mehrfach nachgeschobene Zusatzfragen – kann dem Vendor umfassende Erkenntnisse liefern: Über Infrastrukturen, Geschäftsprozesse und unternehmerische Entscheidungen bzw. Planungen. Das kann am Rande dessen liegen, was vernünftigerweise zum Schutz des Urheberrechts objektiv erforderlich ist. Der Vendor durchleuchtet das Unternehmen tiefer als nötig. Er erhält Einblicke, die ihm neben der umsatzträchtigen Behauptung „Indirekte Nutzung“ z.B. auch erlauben, neue Produkte, Technologien oder Vertragsformen zu forcieren (Mietmodelle, Migrationen, etc.).
Das Software-Audit hat damit auch die Funktion einer tieferen Account-Qualifizierung, zusätzlich zur üblichen Sales-Aktivität der Account Manager. Denn als angestrebter Zusatzeffekt sollen Kundenbindungen erhöht und Investitionsentscheidungen zwecks Umsatzgenerierung beschleunigt werden.
Mit welchem Recht darf der Vendor überhaupt eine Compliance-Prüfung verlangen?
Gesetzliche Bestimmungen bieten sehr selten eine tragfähige Rechtsgrundlage für ein Audit. Zwar können §§ 101, 101a Urheberrechtsgesetz (UrhG) wegen der Anzahl oder Schwere von Rechtsverletzungen dem Lizenzgeber einen Anspruch auf Auskunft, Vorlage von Unterlagen und Besichtigung von Sachen gewähren.
Das kommt jedoch nur in Betracht bei hinreichender Wahrscheinlichkeit einer Rechtsverletzung. Ein verdachtsunabhängiger anlassloser Kontrollanspruch besteht danach nicht. Zudem müssen weitere Voraussetzungen erfüllt sein. Für ein routinemäßiges jährliches Audit, wie Vendoren es üblicherweise handhaben, geben die gesetzlichen Bestimmungen jedenfalls keine Befugnis.
Vertragliche Bestimmungen
Vertragliche Bestimmungen als Rechtsgrundlage für Routine-Audits finden sich häufig in Gestalt von Audit-Klauseln in den Lizenzverträgen zur Software-Überlassung. Von der Rechtsnatur her sind das regelmäßig Allgemeine Geschäftsbedingungen (AGB). Sie unterliegen – die Geltung deutschen Rechts vorausgesetzt – zwecks Überprüfung ihrer Rechtswirksamkeit der sogenannten AGB-Kontrolle, etwa am Maßstab von § 307 BGB:
Danach können AGB wegen unangemessener Benachteiligung des Vertragspartners unwirksam sein, wenn sie mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren sind. Abgewichen wird von den gesetzlichen Grundgedanken aus den o.g. §§ 101, 101a UrhG, die einen verdachtsunabhängigen Kontrollanspruch gerade ausschließen. Die Abweichung vom gesetzlichen Leitbild könnte möglicherweise ein Indiz für die Unwirksamkeit von üblichen Audit-Klauseln sein. Aber auch im Fall ihrer Intransparenz oder ihres überraschenden Charakters können Audit-Klauseln unwirksam sein.
Abwehrposition
Den verantwortlichen Akteuren sollte bewusst sein, dass die rechtliche Befugnis für ein Audit zweifelhaft sein kann, selbst wenn der Wortlaut der Klausel im Vertragstext vordergründig für den Vendor zu sprechen scheint. Es ist gut möglich, dass der Vendor weder den behaupteten Anspruch auf das Audit selbst hat, noch auf die im Audit Call konkret gewünschten Maßnahmen und Mitwirkungshandlungen des Unternehmens (Remote-Audit, On-Site-Untersuchungen, verlangte Informationstiefe über Geschäftsabläufe etc.). Es kann sich für Unternehmen im Zweifel lohnen, zwecks sofortiger richtiger Weichenstellung externe Audit-erfahrene Lizenzberater und im Lizenzrecht versierte IT-Juristen zu kontaktieren.
Fazit
Software-Lizenz-Audits sind als Art zweiter Vertriebsweg zwecks Umsatzbeschleunigung zu sehen. Die so anfänglich empfundene Bedrohung kann aber zu ohnehin wünschenswerten Klarheiten und Optimierungen führen. Audit-Klauseln selbst und darauf gestützte Handlungsaufforderungen seitens des Vendors sind nicht immer rechtmäßig. Audit-Expertise von außen kann die Wende bringen.