Die Tricks der Softwareanbieter

Kostenfalle Software-Audit – so können Sie sich wehren!

28.11.2014 von Marc  Strittmatter und Rafael  Harnos
Viele Unternehmen vernachlässigen das Thema Software-Lizenzkosten. Kommt es zu einem Audit des Softwareanbieters, kann es böse Überraschungen bis hin zu strafrechtlichen Konsequenzen geben. Dieser Artikel beschreibt, was Business- und IT-Entscheider dazu wissen müssen.

Für so manchen Softwareanbieter sind Software-Audits ein vielversprechender und kostengünstiger, aber auch konfliktträchtiger Vertriebsweg. Die klassischen Vertriebsabteilungen und die Compliance/Audit-Organisationen der Hersteller sind häufig operativ getrennt, am Ende wirtschaften sie jedoch für das gleiche Ziel: Umsatz und Gewinn. Da die Wettbewerbsintensität im margenträchtigen Softwaremarkt hoch ist, Neuverkäufe oder winbacks bei Kunden aber aufwändig sind, erfreuen sich Lizenzaudits bei Bestandskunden zunehmender Beliebtheit.

Neue Überlassungswege der Software (Download, Masterkopie) machen es Unternehmen einfacher, Anwendungen ohne die notwendige urheberrechtliche Gestattung in Konzernstrukturen zu nutzen. So ist es etwa bei den „Bring your own Device“-Modellen, wo Mitarbeiter ihre privaten Endgeräte auch für berufliche Zwecke einsetzen und dabei die Software mitbenutzen. Dadurch steigt die Wahrscheinlichkeit von Urheberrechtsverstößen. Unternehmen steuern dem zunehmend mit softwaregestütztem Lizenzmanagement gegen, häufig genug gehen aber Informationen, insbesondere über die Eckpunkte der Lizenz, zwischen Einkauf und IT-Organisation verloren. Hochpreisige Software wird meist erst nach einer umfassenden Beratung durch den Anbieter oder seine Vertriebspartner beschafft.

Die Gemengelage aus Margendruck der Softwareanbieter einerseits und der Komplexität der Beschaffungsvorgänge und der Lizenzmetriken andererseits führt häufig dazu, dass die tatsächliche Softwarenutzung durch die Lizenzbestimmungen nicht mehr gedeckt ist. Diese Divergenz kann durch formalisierte Überprüfungsverfahren, meist Software-Audits genannt, aufgedeckt werden. Die Bandbreite der im Markt zu beobachtenden Verhaltensweisen reicht dementsprechend vom Einkäufer, der vorsätzlich zu knapp beschafft und dabei strafrechtlich relevante Tatbestände in Kauf nimmt, bis hin zum niedrig preisenden Softwareanbieter, der die tatsächlich zu erwartende Nutzung ignoriert und darauf spekuliert, dass der Compliance-Druck auf den Kunden aus dem bei erster Gelegenheit durchgeführten Audit in Summe schon die gewünschte Zielmarge bringen wird, wenn auch mit etwas Verzögerung. Häufig sorgen Audits für eine bessere Rendite als die gerichtliche Klärung mangelnder Berechtigung. Beide Seiten, Anwender und Softwarehäuser, haben dabei legitime Interessen.

Gängige Praxis bei Software-Audits

Zwei Grundtypen des Software-Audits lassen sich unterscheiden: Zum einen der sogenannte externe Audit, bei dem die Lizenzüberprüfung durch den Softwareanbieter oder durch einen von ihm beauftragten Dritten vorgenommen wird; zum anderen eine Selbstauditierung, die durch den Kunden selbst organisiert wird.

Im Fall des externen Audits enthält eine typische Vertragsklausel folgende Elemente:

Eine Selbstauditklausel sieht beispielsweise folgende Regelungen vor:

Ein Software-Audit erfolgt in drei Schritten: Zunächst wird er angekündigt, sodann erfolgt die Durchführung und abschließend die Auswertung der Ergebnisse. Die Ankündigung des Audits enthält neben der entsprechenden Benachrichtigung eine Aufforderung, eine Selbstauskunft zur Softwarenutzung zu erteilen. Auch Hinweise auf die Strafbarkeit von Mitarbeitern, IT-Verantwortlichen und Geschäftsleitern können in der Ankündigung enthalten sein. Die Business Software Alliance führt im Interesse ihrer Mitglieder Kampagnen in der Breite durch, während Großkunden in der Regel von den Anbietern direkt angeschrieben werden.

In der Durchführungsphase erfolgt die eigentliche Überprüfung des Nutzungsverhaltens des Anwenders. Die meisten Hersteller beauftragen mittlerweile Dritte, häufig eine der „big four“ Prüfungsgesellschaften mit der Durchführung des Audits. Aus Anwendersicht ist es sinnvoll, die Art und Weise der Überprüfung mitzugestalten. Die Durchführung mündet in der Auswertung der Auditergebnisse. Kommen die Prüfer zum Ergebnis, dass die Software entgegen der Lizenzvereinbarung genutzt wurde, wird der Anbieter auf Basis seiner Lizenzmodelle eine Nachforderung errechnen und diese gegebenenfalls gerichtlich durchsetzen wollen.

Gesetzliche Grundlage für Software-Audits

Auch wenn ein Software-Audit aus Sicht der Anbieter ein verlockendes Mittel ist, um das Nutzungsverhalten der Anwender zu kontrollieren und gegebenenfalls zusätzliche Einnahmen zu generieren, sind der Lizenz-überprüfung rechtliche Grenzen gesetzt. Als gesetzliche Grundlage eines Audits können §§ 101, 101a UrhG dienen: Nach § 101 UrhG kann der Ur-heber (also der Softwarehersteller) Auskunft verlangen, wenn eine Rechtsverletzung durch den Anwender feststeht. § 101a UrhG gewährt einen Anspruch auf Vorlage einer Urkunde und Besichtigung einer Sache, wenn eine Urheberrechtsverletzung durch den Softwarenutzer hinreichend wahrscheinlich ist, wobei nach der BGH-Rechtsprechung keine überzogenen Anforderungen an die Wahrscheinlichkeit gestellt werden können. Eine verdachtsunabhängige Lizenzüberprüfung ist auf gesetzlicher Grundlage jedoch nicht möglich.

Individualvereinbarung

Deshalb ist es gängige Praxis, sich ein Auditrecht vertraglich zusichern zu lassen. Weitgehend unproblematisch ist es, wenn eine Auditvereinbarung individuell durch die Vertragsparteien ausgehandelt wird. Denn in diesem Fall ist davon auszugehen, dass Anbieter und Anwender sich gleichberechtigt gegenüberstehen und in den Vertragsverhandlungen ihre Interessen verfolgen können. Lässt sich der Anwender auf ein verdachtsunabhängiges Auditrecht des Anbieters ein, ist er nicht schutzwürdig. Die Parteien müssen nur bedenken, die zwingenden datenschutzrechtlichen Vorgaben einzuhalten. Denn mit der Überprüfung geht einher, dass die Kontrolleure auf Daten der Mitarbeiter des Anwenders Zugriff erlangen. Ein Lösungsansatz ist in § 28 Abs. 1 Nr. 2 BDSG zu suchen, der eine Datenverwendung zulässt, wenn dies zur Wahrungberechtigter Interessen der verantwortli-chen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Ver-arbeitung oder Nutzung überwiegt. Die Parteien müssen also die Grundsätze der Datenvermeidung und Datensparsamkeit (§ 3a BDSG) beachten und das Auditverfahren streng formalisieren und dokumentieren.

Vorsicht bei der AGB-Klausel!

Findet eine Verhandlung über das Auditrecht nicht statt und enthält der Lizenzvertrag nur eine durch den Softwareanbieter einseitig gestellte (meist anlassunabhängige) Auditklausel, unterfällt diese Klausel einer AGB-Kontrolle nach §§ 307 BGB ff. Dabei ist sich das juristische Schrift-tum einig, dass der Anbieter keine beliebige Klausel stellen kann, sondern auf Interessen seines Vertragspartners achten muss. Deshalb ist eine Au-ditklausel nur wirksam, wenn sie den Anwender nicht unangemessen benachteiligt. Um festzustellen, ob eine solche unangemessene Benachteili-gung vorliegt, ist eine umfassende Interessensabwägung im Einzelfall erforderlich, wobei insbesondere urheberrechtliche Wertungen berück-sichtigt werden müssen. Den Einfallstor bildet § 307 Abs. 2 Nr. 1 BGB. Da §§ 101, 101a UrhG ein verdachtsunabhängiges Überprüfungsrecht nicht vorsehen, darf ein solches nur in bestimmten Grenzen in einer AGB-Klausel untergebracht werden.

Um eine AGB-feste Auditklausel auszugestalten, müssen diese urheberrechtlichen Wertungen beachtet werden. Davon ausgehend ist zu überprüfen, ob der Softwarehersteller ein Interesse daran hat, das Nutzungsverhalten des Verwenders zu kontrollieren, und dieser kein überwiegendes entgegenstehendes Interesse hat. Entscheidend sind unter anderem der von den Parteien vereinbarte Distributionsweg und das damit verbundene Missbrauchspotential durch die Anwender. Kann der Softwareanbieter keine strukturellen Anhaltspunkte dafür belegen, dass es im Distributionsmodell typischerweise zu Unterlizenzierungen kommen kann, spricht dies für die Unwirksamkeit der Auditklausel. Dies ist etwa der Fall, wenn er die Distribution über Sicherungsvorkehrungen, wie etwa Dongles oder Freischaltcodes, gegen eine unlizenzierte Nutzung abgesichert hat. Umgekehrt ist eine Auditklausel beim Download einer frei kopierbaren Masterkopie oder einem „Bring your own Device“-Modell, das Wege für missbräuchliche Nutzung eröffnet, eher unbedenklich. Darüber hinaus ist von Bedeutung, ob der Audit vorangekündigt werden muss, durch einen zur Verschwiegenheit verpflichteten, unabhängigen Dritten durchgeführt wird und sich nur auf Informationen bezieht, die zur Durchsetzung urheberrechtlicher Ansprüche notwendig sind. Schließlich muss die AGB-Klausel den zwingenden datenschutzrechtlichen Vorschriften Rechnung tragen und berücksichtigen, dass der Softwareanbieter Interesse am Schutz seiner Geschäftsgeheimnisse hat. Häufig birgt die 1:1-Übersetzung der Lizenzbedingungen aus z.B. anglo-amerikanischen Vertragsentwürfen Fehlerpotential.

Verteidigungsstrategien – wie sich Kunden gegen einen Audit wehren können

Steht der Anwender einer Auditankündigung seines Softwarelieferanten gegenüber, muss er überlegen, wie er sich gegen die Überprüfung oder etwaige Nachforderungen verteidigen kann. Als wirksames Verteidigungsmittel kommt zunächst ein Angriff auf die Auditklausel in Betracht: Entspricht die Klausel den oben beschriebenen Anforderungen nicht, ist sie unwirksam mit der Folge, dass der Audit nicht auf ein vertragliches Recht sondern nur auf ohnehin im Gesetz vorgesehene Ansprüche gestützt werden kann (siehe oben: Erfordernis eines begründeten Verdachtsmo-ments statt Audit „ins Blaue hinein“).

Außerdem können die durch den Anbieter erhobenen Ansprüche als solche in Frage gestellt werden. Der Anwender sollte sich mit den Ergebnis-sen des Audits auseinanderzusetzen, den Sachverhalt klarstellen und kaufmännische Ableitungen auf ihre Plausibilität hin überprüfen. Schließlich muss er kontrollieren, ob die Nachforderungen des Anbieters durch die ursprünglich vereinbarte Vergütungsregelung abgedeckt sind. Dies geht mit der eingehenden Analyse des Beschaffungsvorgangs und der Lizenzmetriken des Softwareherstellers einher. Ist das Lizenzmodell etwa intransparent, widerspricht es dem deutschen AGB-Recht (§ 307 Abs. 3 BGB) und kann nicht als Grundlage für die Berechnung der Nachforderung verwendet werden.

Auch kann es vorkommen, dass der Anbieter den Nutzer während des Beschaffungsvorgangs falsch beraten hat. In diesem Fall stehen dem Nutzer unter Umständen Schadensersatzansprüche wegen fehlerhafter Bera-tung zu, die er den Nachforderungen des Anbieters gegenüber stellen kann. Kommt es zu einem gerichtlichen Verfahren, ist schließlich zu überlegen, ob der Anbieter die während des Audits gewonnenen Erkenntnisse in den Prozess einführen darf. Dies ist etwa zu verneinen, wenn das Über-prüfungsverfahren den datenschutzrechtlichen Vorgaben nicht gerecht wurde, so dass es zu Eingriffen ins Persönlichkeitsrecht gekommen ist.

Gleichwohl sollte der Softwarenutzer nicht nur juristische Argumentationslinien verfolgen, sondern die Auditsituation auch aus betriebswirtschaftlicher Sicht eingehend analysieren. In der Regel münden Lizenzaudits in eine kommerzielle Verhandlung und Einigung. Dies gilt vor allem, wenn beide Parteien ein Interesse an einer andauernden Kundenbeziehung haben.

Fazit

Softwareanbieter haben ein legitimes Interesse daran, das Nutzungsver-halten ihrer Kunden zu überprüfen. Da das Urheberrecht für verdachtsunabhängige Audits keine ausreichende gesetzliche Grundlage bietet, enthalten viele Softwareverträge Regelungen, die dem Anbieter ein anlassunabhängiges Auditrecht einräumen. Sie dienen zum einen der Disziplinierung der Kundenorganisation und stellen zum anderen einen Vertriebsweg dar, mittels dessen Umsätze aus der Kundenbasis auf vergleichsweise einfache Art und Weise generiert werden können. Indes sind in AGB enthaltene Auditklauseln nur zulässig, wenn sie die Wertungen des Urheberrechts beachten und auf Daten- und Geheimnisschutz Rücksicht nehmen. Ist dies nicht der Fall, können sie gem. § 307 Abs. 2 Nr. 1 BGB unwirksam sein.

Gegen ein Auditverlangen können sich Unternehmen wehren, indem sie die Unwirksamkeit der Klausel geltend machen. Auch können sie die nach dem Audit erhobenen Ansprüche des Anbieters in Frage stellen oder selbst in die Angriffsposition übergehen und Ansprüche gegen den Anbieter geltend machen. Verstößt das Überprüfungsverfahren gegen das Datenschutzrecht, können die Auditergebnisse im Prozess unverwertbar sein. Da die allermeisten Auditsituationen in eine kommerzielle Verhandlung übergehen, ist es ratsam, die eigene Rechtsposition zu verstehen, bevor man Verhandlungsziele und -strategien festlegt. Die Tatsache, dass die Handelnden und die Geschäftsleitung beim Anwender im Falle schuldhafter Unterlizenzierung in erhebliche persönliche Risiken laufen, macht es umso wichtiger, Chancen und Risiken im Vorfeld zu kennen. (wh)

Checkliste: Auditklausel im Vertrag

  1. AGB-Klausel oder ausgehandelt?

  2. Wenn ausgehandelt: Datenschutzrecht beachtet?

  3. Wenn AGB-Klausel: inhaltliche Ausgestaltung:

    - Verdachtsabhängig oder –unabhängig?

    - Ankündigungsfrist?

    - Wahrung der Geheimhaltungsinteressen?

    - Datenschutzrecht beachtet?

    - Prüfumfang klar definiert?

    - Einsatz von Tools oder Ergebnisberichte?

    - Rechtsfolge eindeutig und nicht exzessiv?

  4. Externer oder interner Audit?

  5. Wenn externer Audit: Anforderungen an den Prüfer?

  6. Audit bereits erfolgt, Ergebnisse dokumentiert?

Checkliste: Verteidigung gegen Software-Audits

  1. Inhalt und Umfang der Beratung bei Abschluss?

  2. Zeitraum zwischen Audit und Lizenzierung weniger als 24 Monate?

  3. Klausel (teil-)unwirksam?

  4. Nachweise auf der Basis einer unwirksamen Klausel gewonnen?

  5. Werden Interessen des Softwarehauses auch durch mildere Mittel gewahrt (zum Beispiel Selbstauditierung)?

  6. Rechtsfolgenregelung exzessiv?

  7. Person des Auditors?

  8. Transparenz des Lizenzmodells?

  9. Eckpunkte für eine kommerzielle Einigung?