Software-Lizenz-Audits: Verteidigungslinien des Anwenders

Peter Wesche August 15, 2018

Zunehmend sind Anwenderunternehmen mit aggressiven Lizenz-Audits durch Vendoren von Standard-Software konfrontiert. Das können SAP, Oracle oder Microsoft sein, die Audits in verschiedenen Formen und Intensitäten verlangen, etwa Selbstauskunft, Remote-Audit, On-Site-Audit oder Mischformen. Etliche Funktionsträger können damit in Berührung kommen, wie

  • CIOs
  • Lizenzmanager
  • IT-Einkäufer
  • Juristen
  • Compliance Officer
  • Finanzmanager und die Geschäftsleitung.

Oft zweifelhafte Compliance-Vorwürfe und Nachforderungen teils in Millionenhöhe sind Anlass genug, einen Blick auf Möglichkeiten der Abwehr zu werfen.

Wer organisiert die Abwehr eines Audits?

Unmittelbar nach Eingang des Audit-Anschreibens (Audit Call) empfiehlt es sich, zumindest nachfolgende Funktionsträger zu involvieren:

  • IT-zuständiges Mitglied der Geschäftsleitung bzw. CIO, falls noch nicht als Erst-Adressat des Anschreibens ohnehin bereits informiert. Grund: Signifikante Nachforderungen und Streitigkeiten mit einem großen Vendor können die unternehmerische IT-Planung tangieren.
  • Lizenzmanager, da dort das Know-how zum Softwarebestand bzw. zu Schwachstellen vorhanden ist. Bei ihm ist oft ein Querschnittswissen über das Zusammenspiel aller Akteure konzentriert.
  • Finanzverantwortlicher (CFO, Kaufmännischer Leiter), da finanzielle Risiken drohen durch Nachforderungen bei Unterlizenzierung, und weil ggf. auch Investitionen anfallen können.
  • Rechtsabteilung, da Lizenzvertragsrecht, Software-Recht, IT-Recht, Urheberrecht etc. immer eine entscheidende Rolle spielen beim Argumentationsaufbau zur Forderungsabwehr. Der Unternehmensjurist kann die Maßnahmen zum juristischen Gefahrenmanagement koordinieren, indem er auch Audit-Expertise von externen Spezialisten einbindet.

IT-Juristen einbinden

Zwar geht der Audit Call als Anschreiben meist zunächst an die Geschäftsleitung bzw. an CIO oder Lizenzmanager, wo im ersten Moment der Audit-Druck lastet. Sobald man dort jedoch die reale Gefahr aus zweifelhaften Vorwürfen der Unterlizenzierung und ungeahnten Nachforderungen teils in Millionenhöhe erkennt, werden intern die Juristen zur Abwehr eingebunden. Sie werden nach Lösungen gefragt, wenn IT-Manager in Erklärungsnot geraten und Finanzchefs bluten sollen.

Die professionelle Abklärung von hochkomplexen Nutzungsrechten ist hier aus juristisch-kaufmännischer Gesamtsicht zu managen. Typischerweise eben durch passgenaue Einbindung ergänzender Audit-Expertise von außen. So beweisen Juristen als Akteure im Audit ihre Problemlösungskompetenz zugunsten ihres Unternehmens und leisten einen Wertschöpfungsbeitrag.

Je nach Organisation des Unternehmens kann die zusätzliche Einbeziehung weiterer Funktionen nützlich sein, wie etwa Compliance Officer. Denn mit der vom Vendor hinterfragten Software Compliance ist ein Teilbereich seiner Zuständigkeit betroffen, und Vendoren behaupten teils strafrechtlich relevante Compliance-Verstöße. Auch der IT-Einkauf ist wichtig, da dort kommerzielle Konditionen mit dem Vendor bei erforderlichen Zukäufen zu verhandeln sind.

Erste Verteidigungslinien des Anwenders

Zunächst ist die juristische Korrektheit des Audit-Anschreibens selbst sowie der Audit Scope (Inhalt und Reichweite des Prüfungsverlangens) klar zu analysieren. Es geht um Kriterien der rechtlichen Zulässigkeit generell, auch der Audit-Klausel selbst. Ebenfalls geht es um die Konkretisierung der prüfungsrelevanten Produkte und Systeme (Vermessungsplan) sowie um die Bewertung der verlangten Formen wie Selbstauskunft, Remote Audit, On-Site-Audit oder andere. Nicht vermessbare Bereiche wie Sonder-User oder spezielle Metriken sind ggf. zu identifizieren und separat zu berücksichtigen.

Nachfolgend sind einige konkrete Anhaltspunkte für die Analyse eines Audit Call genannt:

  • Sind die Formalien des Audit-Anschreibens eingehalten?
  • Ist die korrekte Audit-Klausel als Berechtigungsbasis für den Audit Call in Bezug genommen?
  • Sind in der Audit-Klausel Fristen vereinbart, die dem Unternehmen zustehen?
  • Ist die Verhältnismäßigkeit der verlangten Mittel/Methoden zum Informationszweck gewahrt? Oder wird mit Kanonen auf Spatzen geschossen?
  • Existieren Bedenken bzgl. überzogener sachfremder Auskunftsverlangen?
  • Sind Geschäftsgeheimnisse sicher? Werden Belange des Datenschutzes beachtet?
  • Verbleibt dem Anwender beim Einsatz des verlangten Vermessungstools ausreichende Transparenz und Kontrolle hinsichtlich der übermittelten Daten?

Eventuell sind vor dem Start der Maßnahmen Vereinbarungen über den Gesamtkomplex anzuregen. Das kann Regelungen der vorgenannten Punkte umfassen, der Zeitschiene, der Kostenverteilungen, der Beschränkungen in Umfang und Methode und weiterer Besonderheiten.

Audit Readiness

Aber nicht erst mit Eingang des Audit Call, sondern zeitlich weit im Vorfeld können Anwenderunternehmen die Basis für ein gutes Gelingen vorbereiten, nämlich durch Herstellen von Audit Readiness.

Im Bereich System-Administration sind die richtigen Systemeinstellungen vorzunehmen (etwa Anzahl benutzter Server), um z.B. unzulässige Virtualisierungen zu vermeiden. Die technische Fähigkeit zur Selbstauskunft sollte stets vorhanden sein.

Der Bereich Lizenzmanagement sorgt in seiner Kernaufgabe für die Aufstellung bzw. Aktualisierung der Lizenzbilanz, d.h. die Dokumentation des aktuell genutzten bzw. verfügbaren Lizenzportfolios. Wenn die Nutzung über das zulässige Maß hinausgeht, sie also nicht mehr vom eingeräumten Lizenzumfang gedeckt ist, kommt es zur problematischen Unterlizenzierung. Proaktive interne Vermessungen können unangenehme Überraschungen im Audit vermeiden.

Fazit

Zwecks Forderungsabwehr sollten Akteure wie Geschäftsleitung, CIO, CFO, Lizenzmanagement und Rechtsabteilung sofort die Gegenmaßnahmen koordinieren und die nötige Expertise bündeln – ggf. mit Audit-Spezialisten von außen. Proaktive Herstellung von Audit Readiness ist hilfreich. Mit kritischem Hinterfragen der rechtlichen Zulässigkeit von Audit-Klauseln sowie von Auskunftsverlangen und Methoden des Vendors lässt sich mitunter eine erste Verteidigungslinie aufbauen. Der Audit Scope und weitere Details sollten für den Anwender transparent vereinbart werden. Es hat sich für etliche Anwenderunternehmen schon finanziell ausgezahlt, die Expertise von auditprotect einzubinden und damit einen deutlichen Benefit zu erzielen, Value-Proposition .

Leave a Reply

Your email address will not be published. Required fields are marked *