Wie Software-Audits Kundenentscheidungen beeinflussenKeine Angst vor Software-Audits

18. Oktober 2022

Beim Thema Software-Audit kommen zwei historisch signifikante Zustände zusammen: Einerseits hat sich Europa insbesondere von US-Softwareanbietern stark abhängig gemacht. Andererseits sind Unternehmen aufgrund des Digitalisierungsdrucks bereit, die Situation noch zu verschlimmern. Doch welche Rolle spielen dabei Software-Audits?

In aller Regel engagieren sich seriöse Unternehmen seit jeher, Software rechtskonform zu beschaffen, zu nutzen und treffen hierfür umfangreiche Vorkehrungen. Dennoch ist es der Erfindung des Software-Audits durch Software-Hersteller und deren Dienstleister gelungen, Kunden nachhaltig in Angst und Panik zu versetzen sowie infolgedessen ihr Verhalten über Jahrzehnte zu prägen.

Anzeige
cs espresso series

Dabei haben Kunden die Software rechtmäßig erworben und den Hersteller hierfür nicht unerheblich vergütet. Erfahrungen aus durchgeführten Software-Audits sind selten positiv geprägt und häufig mit erheblichen Aufwänden im Unternehmen verbunden. Damit handelt es sich um ein bis heute prägendes Paradoxon, das vor dem Hintergrund der Rechtslage umso mehr erstaunt.

Das Gesetz entscheidet

Ob und inwieweit solche Audits auf rein gesetzlicher Grundlage überhaupt zulässig sind, wird in der Rechtsliteratur überwiegend kritisch beurteilt. In Betracht kommen Auskunftsansprüche, die jedoch keine eigene Prüfung durch den Lizenzgeber ermöglichen. Denkbar sind insbesondere Anspruchsgrundlagen des Urheberrechts (§§ 101, 101a UrhG) sowie des allgemeinen Zivilrechts (§§ 242, 809 BGB). § 101 UrhG und § 242 BGB regeln dabei jeweils Auskunftsrechte, § 101a UrhG und § 809 BGB hingegen Vorlage- und Besichtigungsrechte.

§ 101 Abs. 1 UrhG setzt zunächst eine Rechtsverletzung des Anspruchstellers voraus. Der Hersteller muss daher in der Lage sein, einen Sachverhalt vorzutragen, der das Auskunftsbegehren rechtfertigt; eine Ausforschung des Anspruchsgegners ist indes nicht erlaubt. Ein Softwareaudit verfolgt dagegen gerade den Zweck, anlassunabhängig zu verifizieren, ob Lizenzbestand und Softwarenutzung übereinstimmen. Damit soll also erst ermittelt werden, ob ein Anspruch überhaupt in Betracht kommt.

Nach § 101a UrhG kann der Lizenzgeber zwar die Vorlage von Urkunden und die Besichtigung von Sachen und damit auch der beim Kunden verwendeten Software verlangen. Jedoch muss der Lizenzgeber zur Geltendmachung des Anspruchs zum einen die Lizenzdokumente und die Software, die geprüft werden sollen, im Vorfeld genau bezeichnen sowie zum anderen die hinreichende Wahrscheinlichkeit einer Rechtsverletzung nachweisen. Zudem muss das Auditverlangen die widerstreitenden Interessen abwägen und verhältnismäßig sein.

Als denkbare Anspruchsgrundlagen für einen Audit kommen daneben solche des allgemeinen Zivilrechts in Betracht. § 242 BGB enthält einen allgemeinen, auf Treu und Glauben gestützten Auskunftsanspruch und § 809 BGB regelt einen Anspruch auf Besichtigung.

Der Anspruch aus § 242 BGB setzt – genauso wie jener aus § 809 BGB – einen feststehenden Leistungsanspruch oder zumindest den begründeten Verdacht einer Pflichtverletzung voraus. Bei einer bestehenden Vertragsbeziehung – wie einem Lizenzvertrag – verlangt der begründete Verdacht sogar eine überwiegende Wahrscheinlichkeit und damit eine weitergehende Darlegung als die hinreichende Wahrscheinlichkeit gemäß § 101a UrhG, um keine unzulässige Ausforschung zu betreiben.

Damit nicht genug: Die Unklarheiten für den Lizenzgeber, ob der Kunde unterlizenziert ist, dürfen nicht durch ihn hausgemacht sein, was etwa bei den allseits bekannten und viel diskutierten Unklarheiten der Gestaltung der Lizenzregelungen durchaus der Fall sein kann. Das Audit muss aus Sicht des Lizenznehmers schließlich zumutbar sein.

Ein anlassloses Recht, Kunden zu auditieren, ist demgemäß gesetzlich gar nicht vorgesehen. Ganz im Gegenteil sind selbst bei hinreichenden oder überwiegenden Anhaltspunkten hohe Hürden vorgesehen.

Gelten Audit-Vertragsregelung dann überhaupt?

Oftmals treffen Software-Hersteller eine Audit-Vertragsregelung vertraglich in ihren vorformulierten Lizenzvereinbarungen. Damit ist aber nicht gesagt, dass solche vertraglichen Bestandteile überhaupt wirksam sind.

Denn vorformulierte Audit-Vertragsregelungen unterliegen im deutschen Recht den Bestimmungen des AGB-Rechts (§§ 305ff. BGB) und müssen daher insbesondere transparent und angemessen sein. Zweifel in der Auslegung gehen nur zulasten des Herstellers. Maßgeblich ist hierbei ein Durchschnittskunde, kein ausgekochter Lizenzexperte.

Bezugspunkt der Beurteilung der Angemessenheit sind die entsprechenden gesetzlichen Regelungen, die wie zuvor erwähnt kein anlassloses Recht vorsehen und zum anderen die Interessen des Kunden umfassend abdecken. Hierbei geht es insbesondere um den Schutz von Betriebsablauf sowie Betriebs- und Geschäftsgeheimnissen.

Hinzukommt die Wahrung von arbeitsrechtlichen und datenschutzrechtlichen Vorgaben. Auch Regelungen zur jeweils wechselseitigen Kostentragung im Zusammenhang mit dem Audit dürften einzufordern sein. Wird die Audit-Klausel diesen Vorgaben nicht hinreichend gerecht, ist sie in Folge regelmäßig nichtig. Eine geltungserhaltende Auslegung ist gerade nicht geboten.

Warum weicht die Praxis dennoch von der maßgeblichen Rechtslage ab?

Die Abhängigkeit von den Softwarelösungen und die diffuse Furcht vor „Incompliance“ hatten trotz der rechtlichen Ausgangslage zur Folge, dass Kunden die Audit-Rechte der Hersteller nicht nur unbestritten beließen, sondern es noch dazu gar nicht erst zum Disput kommen lassen wollten. Das trug allerdings mitunter solche Blüten, dass Hersteller nur auf Zuruf umfassende Auskünfte erhielten, Nachforderungen erfolgreich durchsetzen konnten und Kunden sich dem Schicksal wehrlos ergaben.

Dabei kam ein Verständnis des Herstellers als Quasi-Gesetzgeber zum Ausdruck, was nicht nur prinzipiell, sondern auch vor dem Hintergrund der zuvor skizzierten Rechtslage nur als irrational zu beschreiben ist. Richtig wäre hier gewesen, mindestens die Verhandlung von Audit-Bedingungen auf Augenhöhe zu suchen und dabei über die eigenen erheblichen Aufwände und datenschutzrechtlichen Maßgaben Regelungen zu treffen.

Diese Entwicklungen sind also zumindest auch psychologisch nachzuvollziehen und darin mitbegründet, dass schon der Vorwurf von Incompliance im Keim erstickt werden soll. Das ist bedenklich, weil Konfliktscheue nicht dazu führen darf, dass Unternehmen sich einem nicht-bestehenden Recht unterwerfen, anstatt sich rechtskonform zu verhalten und die eigenen Interessen zu wahren.

Art und Weise eines Audits

Selten werden Details von Audits bekannt. Oftmals erfolgt eine Verständigung auf einen bestimmten reduzierten Betrag oder Folgeverträge werden im Gegenzug zum Fallenlassen des Vorwurfs geschlossen. Viele Kunden versäumen es hingegen, bereits im Vorweg die Einzelheiten eines Audits zu verhandeln und genau zu definieren, was auf welche Weise überhaupt geprüft werden darf. Dabei gebieten insbesondere datenschutz- und arbeitsrechtliche Regeln entsprechende Vorkehrungen.

Oftmals beauftragen Software-Hersteller Wirtschaftsprüfer damit, die Prüfung der Konformität der Nutzung vorzunehmen. Infolgedessen wird das Ergebnis dieser Prüfung vom Kunden oft für bare Münze genommen. Dabei darf nicht übersehen werden, dass auch eine sehr sorgsame Prüfung durch Wirtschaftsprüfer nichts an dem Umstand zu ändern vermag, dass die Vorgaben der Beurteilung vom Hersteller kommen.

Der Hersteller hat hingegen aus den bereits genannten rechtlichen Maßgaben heraus gerade aber nicht das Recht, seine Bedingungen im eigenen Sinn auszulegen und Nutzungen auf Basis dessen zu beurteilen. Vielmehr steht es Kunden frei, die maßgeblichen Lizenzbedingungen im gesetzlichen Kontext zu seinen Gunsten auszulegen und bei Unklarheiten die Wirksamkeit in Zweifel zu ziehen. Hier setzt sich daher die irrige Annahme der Stellung des Herstellers noch fort, sodass dieser auch als die weiteren Gewalten der Judikative und Exekutive auf sich vereinigen kann.

Audit im Spannungsfeld zwischen On-Premise und Cloud

Was bedeutet aber die Entwicklung hin zu Abo- und Cloud-Diensten für die Relevanz der Audit-Thematik? Hier kann die These aufgestellt werden, dass der Audit-Druck den Weg hin zu Abo-Modellen auf Kundenseite zumindest mitgeebnet hat. Vor dem Hintergrund der zuvor aufgezeigten Diskrepanz zwischen Kundenwahrnehmung und tatsächlicher Rechtslage dürften damit weitreichende Entscheidungen oftmals zumindest rechtlich von falschen Annahmen ausgehend getroffen worden sein. Die Folge: Unternehmen handeln betriebswirtschaftlich mindestens ineffizient.

Dabei spricht nach wie vor mehr jedenfalls dort für On-Premise Perpetual-Lizenzen, wo diese gleichermaßen den technischen Bedarf decken. Schließlich bedeuten die oftmals integrieren Cloud-Elemente bei Abo-Lizenzen ein erhebliches Datenschutzproblem vor dem Hintergrund des für unwirksam erklärten EU-US PrivacyShield.

Damit nicht genug wird oftmals verkannt, dass die Rechtsposition des Kunden bei solchen Lizenzen grundverschieden zu Abo-Lizenzen ist. Bei den Perpetual-Lizenzen ist der Kunde als Eigentümer der Software nach Ansicht des Europäischen Gerichtshofs anzusehen und damit einhergehend unter anderem zum Weiterverkauf berechtigt.

Das Abo-Modell eröffnet dem Hersteller dagegen die Möglichkeit, jederzeit und einseitig Bedingungen anzupassen und damit etwa Preise zu erhöhen oder auch Nutzungsrechte anzupassen. Infolge der Verlagerung der eigenen Daten in die Cloud der Anbieter bestehen für Kunden in der Regel keine Ausweichmöglichkeiten mehr – wodurch sie noch mehr als zuvor dem Hersteller ausgeliefert sind.

Weiterhin regeln die Hersteller in ihren Bedingungen nicht selten, dass der Kunde auch bei Abo-Modellen die Nutzung vor dem Hintergrund zwischenzeitlich etwaig geänderter Bedingungen kontinuierlich überwachen müsse und bei Übernutzung zur Nachlizenzierung verpflichtet ist.

Abhängigkeiten abbauen

Die Angst vor Audits und das entsprechende Verhalten über viele Jahre hinweg ist ein markanter Ausdruck bestehender Abhängigkeiten. Es geht weit darüber hinaus, dass Kunden Nachzahlungen wirtschaftlich fürchten. Der Blick in die Gegenwart zeigt, dass sich längst neue Themen in diesem Kontext stellen. Mittlerweile sind selbst auf Infrastrukturebene enorme Abhängigkeiten von den entsprechenden Cloud-Anbietern entstanden.

Dadurch mutet es durchaus bizarr an, dass die US-Riesen sich hier offenbar gerade bei der Verteilung des EU-Marktes über unser aller Köpfe hinweg massiv streiten und unfaires Marktverhalten vorwerfen. Umso tragischer, dass gerade diese Anbieter selbst bei Gaia-X, dem Projekt der EU für mehr digitale Souveränität in diesem Bereich federführend eingebunden sind.

Es gibt aber auch Möglichkeiten für Kunden, Risiken an zumindest etwas zu streuen: Indem sie sich für hybride Cloud-Modelle entscheiden und für die Lizenzierung der Applikationen und deren Umgebungen unterschiedliche Anbieter wählen.

Zusammenfassend ist zu sagen, dass aus der kurzen Skizze der rechtlichen Audit-Situation einerseits und deren Effekt andererseits eine bedenkliche Kluft zu erkennen ist. Das lässt sich nicht anders erklären, als dass es Herstellern offenbar gelungen ist, Kunden erfolgreich über Jahrzehnte zu beeinflussen und regelrecht zu steuern. Umgekehrt zeigt es auf, dass das tatsächlich geltende Recht zunehmend in Vergessenheit gerät und infolgedessen auch an Bedeutung verliert.

Das ist unheimlich bedenklich, weil es gerade dieser Tage so großer Bedeutung für uns sein sollte. Zu diesem Recht zählen insbesondere unsere europäischen Freiheiten, die etwa den An- und Verkauf von „gebrauchter“ Software wider zahlreicher damaligen Herstelleransichten ermöglicht haben.

Hieran zu erinnern, wird Andreas E. Thyen, Pionier in diesem Markt und studierter Volkswirt, nicht müde und er ruft zur Wachsamkeit auf: „Europa und dessen Unternehmen müssen ihre Interessen nicht nur erkennen, sondern auch umsetzen. Data Act und andere Anstrengungen zeigen die Bedeutung auf. Es muss aber auch im Alltag ankommen und den Software-Riesen etwa bei Auskunftsverlangen die Stirn geboten werden. Das gelingt am besten, wenn dem Kunden die Software gehört.“

Dipl. Volkswirt Andreas E. Thyen studierte in Hamburg Wirtschafts-, Rechtwissenschaften und Soziologie sowie Internationale Wirtschaftsbeziehungen und Sozialökonomie. Seit über 20 Jahren berät Thyen zu zahlreichen Planungs-, Prozess und Management-Themen u.a. bei einer internationalen Unternehmensberatung und publizierte vielfach in diesem Kontext. Heute zeichnet Thyen sich verantwortlich als Präsident des Verwaltungsrats der LizenzDirekt AG.

LizenzDirekt

Lesen Sie auch