{"id":587,"date":"2018-08-15T16:42:33","date_gmt":"2018-08-15T14:42:33","guid":{"rendered":"http:\/\/www.doctor-license.com\/blog\/?p=587"},"modified":"2019-02-01T16:56:20","modified_gmt":"2019-02-01T14:56:20","slug":"software-lizenz-audits-verteidigungslinien-des-anwenders","status":"publish","type":"post","link":"https:\/\/www.doctor-license.com\/blog\/?p=587","title":{"rendered":"Software-Lizenz-Audits: Verteidigungslinien des Anwenders"},"content":{"rendered":"<p><em>Zunehmend sind Anwenderunternehmen mit aggressiven <strong>Lizenz-Audits <\/strong>durch Vendoren von Standard-Software konfrontiert. Das k\u00f6nnen <strong>SAP<\/strong>, <strong>Oracle<\/strong> oder <strong>Microsoft<\/strong> sein, die Audits in verschiedenen Formen und Intensit\u00e4ten verlangen, etwa Selbstauskunft, Remote-Audit, On-Site-Audit oder Mischformen. Etliche Funktionstr\u00e4ger k\u00f6nnen damit in Ber\u00fchrung kommen, wie <\/em><\/p>\n<ul>\n<li><em>CIOs <\/em><\/li>\n<li><em>Lizenzmanager <\/em><\/li>\n<li><em>IT-Eink\u00e4ufer<\/em><\/li>\n<li><em>Juristen <\/em><\/li>\n<li><em>Compliance Officer<\/em><\/li>\n<li><em>Finanzmanager und die Gesch\u00e4ftsleitung.<\/em><\/li>\n<\/ul>\n<p>Oft zweifelhafte Compliance-Vorw\u00fcrfe und Nachforderungen teils in Millionenh\u00f6he sind Anlass genug, einen Blick auf M\u00f6glichkeiten der Abwehr zu werfen.<\/p>\n<p><a href=\"http:\/\/www.doctor-license.com\/blog\/?attachment_id=595\" rel=\"attachment wp-att-595\"><img decoding=\"async\" loading=\"lazy\" class=\"alignnone wp-image-595\" src=\"http:\/\/www.doctor-license.com\/blog\/wp-content\/uploads\/2019\/02\/shutterstock_265536860.png\" alt=\"\" width=\"535\" height=\"354\" srcset=\"https:\/\/www.doctor-license.com\/blog\/wp-content\/uploads\/2019\/02\/shutterstock_265536860.png 645w, https:\/\/www.doctor-license.com\/blog\/wp-content\/uploads\/2019\/02\/shutterstock_265536860-300x199.png 300w\" sizes=\"(max-width: 535px) 100vw, 535px\" \/><\/a><\/p>\n<p><strong>Wer organisiert die Abwehr eines Audits?<\/strong><\/p>\n<p>Unmittelbar nach Eingang des Audit-Anschreibens (Audit Call) empfiehlt es sich, zumindest nachfolgende Funktionstr\u00e4ger zu involvieren:<\/p>\n<ul>\n<li>IT-zust\u00e4ndiges Mitglied der Gesch\u00e4ftsleitung bzw. CIO, falls noch nicht als Erst-Adressat des Anschreibens ohnehin bereits informiert. Grund: Signifikante Nachforderungen und Streitigkeiten mit einem gro\u00dfen Vendor k\u00f6nnen die unternehmerische IT-Planung tangieren.<\/li>\n<li>Lizenzmanager, da dort das Know-how zum Softwarebestand bzw. zu Schwachstellen vorhanden ist. Bei ihm ist oft ein Querschnittswissen \u00fcber das Zusammenspiel aller Akteure konzentriert.<\/li>\n<li>Finanzverantwortlicher (CFO, Kaufm\u00e4nnischer Leiter), da finanzielle Risiken drohen durch Nachforderungen bei Unterlizenzierung, und weil ggf. auch Investitionen anfallen k\u00f6nnen.<\/li>\n<li>Rechtsabteilung, da Lizenzvertragsrecht, Software-Recht, IT-Recht, Urheberrecht etc. immer eine entscheidende Rolle spielen beim Argumentationsaufbau zur Forderungsabwehr. Der Unternehmensjurist kann die Ma\u00dfnahmen zum juristischen Gefahrenmanagement koordinieren, indem er auch Audit-Expertise von externen Spezialisten einbindet.<\/li>\n<\/ul>\n<p><strong>IT-Juristen einbinden<\/strong><\/p>\n<p>Zwar geht der <strong>Audit Call<\/strong> als Anschreiben meist zun\u00e4chst an die Gesch\u00e4ftsleitung bzw. an CIO oder Lizenzmanager, wo im ersten Moment der Audit-Druck lastet. Sobald man dort jedoch die reale Gefahr aus zweifelhaften Vorw\u00fcrfen der Unterlizenzierung und ungeahnten Nachforderungen teils in Millionenh\u00f6he erkennt, werden intern die Juristen zur Abwehr eingebunden. Sie werden nach L\u00f6sungen gefragt, wenn IT-Manager in Erkl\u00e4rungsnot geraten und Finanzchefs bluten sollen.<\/p>\n<p>Die professionelle Abkl\u00e4rung von hochkomplexen Nutzungsrechten ist hier aus juristisch-kaufm\u00e4nnischer Gesamtsicht zu managen. Typischerweise eben durch passgenaue Einbindung erg\u00e4nzender Audit-Expertise von au\u00dfen. So beweisen Juristen als Akteure im Audit ihre Probleml\u00f6sungskompetenz zugunsten ihres Unternehmens und leisten einen Wertsch\u00f6pfungsbeitrag.<\/p>\n<p>Je nach Organisation des Unternehmens kann die zus\u00e4tzliche Einbeziehung weiterer Funktionen n\u00fctzlich sein, wie etwa Compliance Officer. Denn mit der vom Vendor hinterfragten Software Compliance ist ein Teilbereich seiner Zust\u00e4ndigkeit betroffen, und Vendoren behaupten teils strafrechtlich relevante Compliance-Verst\u00f6\u00dfe. Auch der IT-Einkauf ist wichtig, da dort kommerzielle Konditionen mit dem Vendor bei erforderlichen Zuk\u00e4ufen zu verhandeln sind.<\/p>\n<p><strong>Erste Verteidigungslinien des Anwenders<\/strong><\/p>\n<p>Zun\u00e4chst ist die juristische Korrektheit des Audit-Anschreibens selbst sowie der Audit Scope (Inhalt und Reichweite des Pr\u00fcfungsverlangens) klar zu analysieren. Es geht um Kriterien der rechtlichen Zul\u00e4ssigkeit generell, auch der Audit-Klausel selbst. Ebenfalls geht es um die Konkretisierung der pr\u00fcfungsrelevanten Produkte und Systeme (Vermessungsplan) sowie um die Bewertung der verlangten Formen wie Selbstauskunft, Remote Audit, On-Site-Audit oder andere. Nicht vermessbare Bereiche wie Sonder-User oder spezielle Metriken sind ggf. zu identifizieren und separat zu ber\u00fccksichtigen.<\/p>\n<p>Nachfolgend sind einige konkrete Anhaltspunkte f\u00fcr die Analyse eines Audit Call genannt:<\/p>\n<ul>\n<li>Sind die Formalien des Audit-Anschreibens eingehalten?<\/li>\n<li>Ist die korrekte Audit-Klausel als Berechtigungsbasis f\u00fcr den Audit Call in Bezug genommen?<\/li>\n<li>Sind in der Audit-Klausel Fristen vereinbart, die dem Unternehmen zustehen?<\/li>\n<li>Ist die Verh\u00e4ltnism\u00e4\u00dfigkeit der verlangten Mittel\/Methoden zum Informationszweck gewahrt? Oder wird mit Kanonen auf Spatzen geschossen?<\/li>\n<li>Existieren Bedenken bzgl. \u00fcberzogener sachfremder Auskunftsverlangen?<\/li>\n<li>Sind Gesch\u00e4ftsgeheimnisse sicher? Werden Belange des Datenschutzes beachtet?<\/li>\n<li>Verbleibt dem Anwender beim Einsatz des verlangten Vermessungstools ausreichende Transparenz und Kontrolle hinsichtlich der \u00fcbermittelten Daten?<\/li>\n<\/ul>\n<p>Eventuell sind vor dem Start der Ma\u00dfnahmen Vereinbarungen \u00fcber den Gesamtkomplex anzuregen. Das kann Regelungen der vorgenannten Punkte umfassen, der Zeitschiene, der Kostenverteilungen, der Beschr\u00e4nkungen in Umfang und Methode und weiterer Besonderheiten.<\/p>\n<p><strong>Audit Readiness<\/strong><\/p>\n<p>Aber nicht erst mit Eingang des Audit Call, sondern zeitlich weit im Vorfeld k\u00f6nnen Anwenderunternehmen die Basis f\u00fcr ein gutes Gelingen vorbereiten, n\u00e4mlich durch Herstellen von <strong>Audit Readiness<\/strong>.<\/p>\n<p>Im Bereich System-Administration sind die richtigen Systemeinstellungen vorzunehmen (etwa Anzahl benutzter Server), um z.B. unzul\u00e4ssige Virtualisierungen zu vermeiden. Die technische F\u00e4higkeit zur Selbstauskunft sollte stets vorhanden sein.<\/p>\n<p>Der Bereich Lizenzmanagement sorgt in seiner Kernaufgabe f\u00fcr die Aufstellung bzw. Aktualisierung der Lizenzbilanz, d.h. die Dokumentation des aktuell genutzten bzw. verf\u00fcgbaren Lizenzportfolios. Wenn die Nutzung \u00fcber das zul\u00e4ssige Ma\u00df hinausgeht, sie also nicht mehr vom einger\u00e4umten Lizenzumfang gedeckt ist, kommt es zur problematischen Unterlizenzierung. Proaktive interne Vermessungen k\u00f6nnen unangenehme \u00dcberraschungen im Audit vermeiden.<\/p>\n<p><strong>Fazit<\/strong><\/p>\n<p>Zwecks Forderungsabwehr sollten Akteure wie Gesch\u00e4ftsleitung, CIO, CFO, Lizenzmanagement und Rechtsabteilung sofort die Gegenma\u00dfnahmen koordinieren und die n\u00f6tige Expertise b\u00fcndeln \u2013 ggf. mit Audit-Spezialisten von au\u00dfen. Proaktive Herstellung von Audit Readiness ist hilfreich. Mit kritischem Hinterfragen der rechtlichen Zul\u00e4ssigkeit von Audit-Klauseln sowie von Auskunftsverlangen und Methoden des Vendors l\u00e4sst sich mitunter eine erste Verteidigungslinie aufbauen. Der Audit Scope und weitere Details sollten f\u00fcr den Anwender transparent vereinbart werden. Es hat sich f\u00fcr etliche Anwenderunternehmen schon finanziell ausgezahlt, die Expertise von auditprotect einzubinden und damit einen deutlichen Benefit zu erzielen, <a href=\"https:\/\/www.auditprotect.de\/#s8\" target=\"_blank\" rel=\"noopener\">Value-Proposition<\/a> .<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Zunehmend sind Anwenderunternehmen mit aggressiven Lizenz-Audits durch Vendoren von Standard-Software konfrontiert. Das k\u00f6nnen SAP, Oracle oder Microsoft sein, die Audits in verschiedenen Formen und Intensit\u00e4ten verlangen, etwa Selbstauskunft, Remote-Audit, On-Site-Audit oder Mischformen. Etliche Funktionstr\u00e4ger k\u00f6nnen damit in Ber\u00fchrung kommen, wie CIOs Lizenzmanager IT-Eink\u00e4ufer Juristen Compliance Officer Finanzmanager und die Gesch\u00e4ftsleitung. Oft zweifelhafte Compliance-Vorw\u00fcrfe und Nachforderungen [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[11,16,9],"tags":[30,20,23],"_links":{"self":[{"href":"https:\/\/www.doctor-license.com\/blog\/index.php?rest_route=\/wp\/v2\/posts\/587"}],"collection":[{"href":"https:\/\/www.doctor-license.com\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.doctor-license.com\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.doctor-license.com\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.doctor-license.com\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=587"}],"version-history":[{"count":5,"href":"https:\/\/www.doctor-license.com\/blog\/index.php?rest_route=\/wp\/v2\/posts\/587\/revisions"}],"predecessor-version":[{"id":599,"href":"https:\/\/www.doctor-license.com\/blog\/index.php?rest_route=\/wp\/v2\/posts\/587\/revisions\/599"}],"wp:attachment":[{"href":"https:\/\/www.doctor-license.com\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=587"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.doctor-license.com\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=587"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.doctor-license.com\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=587"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}