Sie sind hier: Home » Fachartikel » Hintergrund

Audit-Druck ebnet Weg hin zu Abo-Modellen


Software-Audits sorgen in Unternehmen regelmäßig für Angst und Schrecken
Wie Software-Audits Kundenentscheidungen beeinflussen - Die rechtlich undurchsichtige Lage hinterlässt zudem Unsicherheiten und fördert Konfliktscheue gegenüber den Software-Riesen



Von Dipl. Volkswirt Andreas E. Thyen, Präsident des Verwaltungsrats der LizenzDirekt AG

Beim Thema Software-Audit kommen zwei historisch signifikante Zustände zusammen: Einerseits hat sich Europa insbesondere von US-Softwareanbietern stark abhängig gemacht und ist andererseits durch den omnipräsenten Digitalisierungsdruck bereit, die Situation trotz gelegentlicher gegenteiliger Verlautbarungen offenbar noch zu verschlimmern. Lesen Sie hier, was die Erfindung des Software-Audits damit zu tun hat.

In aller Regel engagieren sich seriöse Unternehmen seit jeher, Software rechtskonform zu beschaffen, zu nutzen und treffen hierfür umfangreiche Vorkehrungen. Dennoch ist es der Erfindung des Software-Audits durch Software-Hersteller und deren Dienstleister gelungen, Kunden nachhaltig in Angst und Panik zu versetzen sowie infolgedessen ihr Verhalten über Jahrzehnte zu prägen. Dabei haben Kunden die Software rechtmäßig erworben und den Hersteller hierfür nicht unerheblich vergütet. Erfahrungen aus durchgeführten Software-Audits sind selten positiv geprägt und häufig mit erheblichen Aufwänden im Unternehmen verbunden. Damit handelt es sich um ein bis heute prägendes Paradoxon, das vor dem Hintergrund der Rechtslage umso mehr erstaunt.

Das Gesetz entscheidet
Ob und inwieweit solche Audits auf rein gesetzlicher Grundlage überhaupt zulässig sind, wird in der Rechtsliteratur überwiegend kritisch beurteilt. In Betracht kommen Auskunftsansprüche, die jedoch keine eigene Prüfung durch den Lizenzgeber ermöglichen. Denkbar sind insbesondere Anspruchsgrundlagen des Urheberrechts (§§ 101, 101a UrhG) sowie des allgemeinen Zivilrechts (§§ 242, 809 BGB). § 101 UrhG und § 242 BGB regeln dabei jeweils Auskunftsrechte, § 101a UrhG und § 809 BGB hingegen Vorlage- und Besichtigungsrechte.

§ 101 Abs. 1 UrhG setzt zunächst eine Rechtsverletzung des Anspruchstellers voraus. Der Hersteller muss daher in der Lage sein, einen Sachverhalt vorzutragen, der das Auskunftsbegehren rechtfertigt; eine Ausforschung des Anspruchsgegners ist indes nicht erlaubt. Ein Software-Audit verfolgt dagegen gerade den Zweck, anlassunabhängig zu verifizieren, ob Lizenzbestand und Softwarenutzung übereinstimmen. Damit soll also erst ermittelt werden, ob ein Anspruch überhaupt in Betracht kommt.

Nach § 101a UrhG kann der Lizenzgeber zwar die Vorlage von Urkunden und die Besichtigung von Sachen und damit auch der beim Kunden verwendeten Software verlangen. Jedoch muss der Lizenzgeber zur Geltendmachung des Anspruchs zum einen die Lizenzdokumente und die Software, die geprüft werden sollen, im Vorfeld genau bezeichnen sowie zum anderen die hinreichende Wahrscheinlichkeit einer Rechtsverletzung nachweisen. Zudem muss das Auditverlangen die widerstreitenden Interessen abwägen und verhältnismäßig sein.
Als denkbare Anspruchsgrundlagen für einen Audit kommen daneben solche des allgemeinen Zivilrechts in Betracht. § 242 BGB enthält einen allgemeinen, auf Treu und Glauben gestützten Auskunftsanspruch und § 809 BGB regelt einen Anspruch auf Besichtigung.

Der Anspruch aus § 242 BGB setzt – genauso wie jener aus § 809 BGB – einen feststehenden Leistungsanspruch oder zumindest den begründeten Verdacht einer Pflichtverletzung voraus. Bei einer bestehenden Vertragsbeziehung – wie einem Lizenzvertrag – verlangt der begründete Verdacht sogar eine überwiegende Wahrscheinlichkeit und damit eine weitergehende Darlegung als die hinreichende Wahrscheinlichkeit gemäß § 101a UrhG, um keine unzulässige Ausforschung zu betreiben.

Damit nicht genug: Die Unklarheiten für den Lizenzgeber, ob der Kunde unterlizenziert ist, dürfen nicht durch ihn hausgemacht sein, was etwa bei den allseits bekannten und viel diskutierten Unklarheiten der Gestaltung der Lizenzregelungen durchaus der Fall sein kann. Das Audit muss aus Sicht des Lizenznehmers schließlich zumutbar sein.

Ein anlassloses Recht, Kunden zu auditieren, ist demgemäß gesetzlich gar nicht vorgesehen. Ganz im Gegenteil sind selbst bei hinreichenden oder überwiegenden Anhaltspunkten hohe Hürden vorgesehen.

Gelten Audit-Vertragsregelung dann überhaupt?
Oftmals treffen Software-Hersteller eine Audit-Vertragsregelung vertraglich in ihren vorformulierten Lizenzvereinbarungen. Damit ist aber nicht gesagt, dass solche vertraglichen Bestandteile überhaupt wirksam sind.

Denn vorformulierte Audit-Vertragsregelungen unterliegen im deutschen Recht den Bestimmungen des AGB-Rechts (§§ 305ff. BGB) und müssen daher insbesondere transparent und angemessen sein. Zweifel in der Auslegung gehen nur zulasten des Herstellers. Maßgeblich ist hierbei ein Durchschnittskunde, kein ausgekochter Lizenzexperte.

Bezugspunkt der Beurteilung der Angemessenheit sind die entsprechenden gesetzlichen Regelungen, die wie zuvor erwähnt kein anlassloses Recht vorsehen und zum anderen die Interessen des Kunden umfassend abdecken. Hierbei geht es insbesondere um den Schutz von Betriebsablauf sowie Betriebs- und Geschäftsgeheimnissen. Hinzukommt die Wahrung von arbeitsrechtlichen und datenschutzrechtlichen Vorgaben. Auch Regelungen zur jeweils wechselseitigen Kostentragung im Zusammenhang mit dem Audit dürften einzufordern sein. Wird die Audit-Klausel diesen Vorgaben nicht hinreichend gerecht, ist sie in Folge regelmäßig nichtig. Eine geltungserhaltende Auslegung ist gerade nicht geboten.

Warum weicht die Praxis dennoch von der maßgeblichen Rechtslage ab?
Die Abhängigkeit von den Softwarelösungen und die diffuse Furcht vor Incompliance hatten trotz der rechtlichen Ausgangslage zur Folge, dass Kunden die Audit-Rechte der Hersteller nicht nur unbestritten beließen, sondern es noch dazu gar nicht erst zum Disput kommen lassen wollten.

Das trug allerdings mitunter solche Blüten, dass Hersteller nur auf Zuruf umfassende Auskünfte erhielten, Nachforderungen erfolgreich durchsetzen konnten und Kunden sich dem Schicksal wehrlos ergaben. Dabei kam ein Verständnis des Herstellers als Quasi-Gesetzgeber zum Ausdruck, was nicht nur prinzipiell, sondern auch vor dem Hintergrund der zuvor skizzierten Rechtslage nur als irrational zu beschreiben ist. Richtig wäre hier gewesen, mindestens die Verhandlung von Audit-Bedingungen auf Augenhöhe zu suchen und dabei über die eigenen erheblichen Aufwände und datenschutzrechtlichen Maßgaben Regelungen zu treffen.

Diese Entwicklungen sind also zumindest auch psychologisch nachzuvollziehen und darin mitbegründet, dass schon der Vorwurf von Incompliance im Keim erstickt werden soll. Das ist bedenklich, weil Konfliktscheue nicht dazu führen darf, dass Unternehmen sich einem nicht-bestehenden Recht unterwerfen, anstatt sich rechtskonform zu verhalten und die eigenen Interessen zu wahren.

Art und Weise eines Audits
Selten werden Details von Audits bekannt. Oftmals erfolgt eine Verständigung auf einen bestimmten reduzierten Betrag oder Folgeverträge werden im Gegenzug zum Fallenlassen des Vorwurfs geschlossen. Viele Kunden versäumen es hingegen, bereits im Vorwege die Einzelheiten eines Audits zu verhandeln und genau zu definieren, was auf welche Weise überhaupt geprüft werden darf. Dabei gebieten insbesondere datenschutz- und arbeitsrechtliche Regeln entsprechende Vorkehrungen.

Oftmals beauftragen Software-Hersteller Wirtschaftsprüfer damit, die Prüfung der Konformität der Nutzung vorzunehmen. Infolgedessen wird das Ergebnis dieser Prüfung vom Kunden oft für bare Münze genommen. Dabei darf nicht übersehen werden, dass auch eine sehr sorgsame Prüfung durch Wirtschaftsprüfer nichts an dem Umstand zu ändern vermag, dass die Vorgaben der Beurteilung vom Hersteller kommen. Der Hersteller hat hingegen aus den bereits genannten rechtlichen Maßgaben heraus gerade aber nicht das Recht, seine Bedingungen im eigenen Sinn auszulegen und Nutzungen auf Basis dessen zu beurteilen. Vielmehr steht es Kunden frei, die maßgeblichen Lizenzbedingungen im gesetzlichen Kontext zu seinen Gunsten auszulegen und bei Unklarheiten die Wirksamkeit in Zweifel zu ziehen. Hier setzt sich daher die irrige Annahme der Stellung des Herstellers noch fort, sodass dieser auch als die weiteren Gewalten der Judikative und Exekutive auf sich vereinigen kann.

Audit im Spannungsfeld zwischen On-Premise und Cloud
Was bedeutet aber die Entwicklung hin zu Abo- und Cloud-Diensten für die Relevanz der Audit-Thematik?

Hier kann die These aufgestellt werden, dass der Audit-Druck den Weg hin zu Abo-Modellen auf Kundenseite zumindest mitgeebnet hat. Vor dem Hintergrund der zuvor aufgezeigten Diskrepanz zwischen Kundenwahrnehmung und tatsächlicher Rechtslage dürften damit weitreichende Entscheidungen oftmals zumindest rechtlich von falschen Annahmen ausgehend getroffen worden sein. Die Folge: Unternehmen handeln betriebswirtschaftlich mindestens ineffizient.

Dabei spricht nach wie vor mehr jedenfalls dort für On-Premise Perpetual-Lizenzen, wo diese gleichermaßen den technischen Bedarf decken. Schließlich bedeuten die oftmals integrieren Cloud-Elemente bei Abo-Lizenzen ein erhebliches Datenschutzproblem vor dem Hintergrund des für unwirksam erklärten EU-US PrivacyShield. Damit nicht genug wird oftmals verkannt, dass die Rechtsposition des Kunden bei solchen Lizenzen grundverschieden zu Abo-Lizenzen ist. Bei den Perpetual-Lizenzen ist der Kunde als Eigentümer der Software nach Ansicht des Europäischen Gerichtshofs anzusehen und damit einhergehend unter anderem zum Weiterverkauf berechtigt.

Das Abo-Modell eröffnet dem Hersteller dagegen die Möglichkeit, jederzeit und einseitig Bedingungen anzupassen und damit etwa Preise zu erhöhen oder auch Nutzungsrechte anzupassen. Infolge der Verlagerung der eigenen Daten in die Cloud der Anbieter bestehen für Kunden in der Regel keine Ausweichmöglichkeiten mehr – wodurch sie noch mehr als zuvor dem Hersteller ausgeliefert sind.

Weiterhin regeln die Hersteller in ihren Bedingungen nicht selten, dass der Kunde auch bei Abo-Modellen die Nutzung vor dem Hintergrund zwischenzeitlich etwaig geänderter Bedingungen kontinuierlich überwachen müsse und bei Übernutzung zur Nachlizenzierung verpflichtet ist.

Abhängigkeiten abbauen
Die Angst vor Audits und das entsprechende Verhalten über viele Jahre hinweg ist ein markanter Ausdruck bestehender Abhängigkeiten. Es geht weit darüber hinaus, dass Kunden Nachzahlungen wirtschaftlich fürchten. Der Blick in die Gegenwart zeigt, dass sich längst neue Themen in diesem Kontext stellen. Mittlerweile sind selbst auf Infrastrukturebene enorme Abhängigkeiten von den entsprechenden Cloud-Anbietern entstanden. Dadurch mutet es durchaus bizarr an, dass die US-Riesen sich hier offenbar gerade bei der Verteilung des EU-Marktes über unser aller Köpfe hinweg massiv streiten und unfaires Marktverhalten vorwerfen. Umso tragischer, dass gerade diese Anbieter selbst bei Gaia-X, dem Projekt der EU für mehr digitale Souveränität in diesem Bereich federführend eingebunden sind.

Es gibt aber auch Möglichkeiten für Kunden, Risiken an zumindest etwas zu streuen: Indem sie sich für hybride Cloud-Modelle entscheiden und für die Lizenzierung der Applikationen und deren Umgebungen unterschiedliche Anbieter wählen.

Abschließende Worte
Zusammenfassend ist zu sagen, dass aus der kurzen Skizze der rechtlichen Audit-Situation einerseits und deren Effekt andererseits eine bedenkliche Kluft zu erkennen ist. Das lässt sich nicht anders erklären, als dass es Herstellern offenbar gelungen ist, Kunden erfolgreich über Jahrzehnte zu beeinflussen und regelrecht zu steuern. Umgekehrt zeigt es auf, dass das tatsächlich geltende Recht zunehmend in Vergessenheit gerät und infolgedessen auch an Bedeutung verliert.

Das ist unheimlich bedenklich, weil es gerade dieser Tage so großer Bedeutung für uns sein sollte. Zu diesem Recht zählen insbesondere unsere europäischen Freiheiten, die etwa den An- und Verkauf von "gebrauchter" Software wider zahlreicher damaligen Herstelleransichten ermöglicht haben. Hieran zu erinnern, wird Andreas E. Thyen, Pionier in diesem Markt und studierter Volkswirt, nicht müde und er ruft zur Wachsamkeit auf: "Europa und dessen Unternehmen müssen ihre Interessen nicht nur erkennen, sondern auch umsetzen. Data Act und andere Anstrengungen zeigen die Bedeutung auf. Es muss aber auch im Alltag ankommen und den Software-Riesen etwa bei Auskunftsverlangen die Stirn geboten werden. Das gelingt am besten, wenn dem Kunden die Software gehört."

Über den Autor
Dipl. Volkswirt Andreas E. Thyen studierte in Hamburg Wirtschafts-, Rechtwissenschaften und Soziologie sowie Internationale Wirtschaftsbeziehungen und Sozialökonomie. Seit über 20 Jahren berät Thyen zu zahlreichen Planungs-, Prozess und Management-Themen u.a. bei einer internationalen Unternehmensberatung und publizierte vielfach in diesem Kontext. Heute zeichnet Thyen sich verantwortlich als Präsident des Verwaltungsrats der LizenzDirekt AG. Hierbei schöpft er von seinem Erfahrungsschatz aus rund 15 Jahren in führenden Positionen auf dem Gebrauchtsoftware-Markt. Mittlerweile gilt Thyen hier als Branchenvertreter und leidenschaftlicher Fürsprecher und Vordenker. Er unterstützt Unternehmen und Behörden dabei, wie von diesem europäischen Juwel profitiert werden kann. Weit über die rechtlichen Grundlagen dieses Marktes hinaus vermittelt Thyen routiniert, engagiert und mit Weitsicht die Tragweite damit verbundener wirtschaftlicher und gesellschaftlicher Aspekte und Interessen. Infolgedessen ist Thyen seit Jahren ein sehr gefragter Interviewpartner für Medien im gesamten DACH-Raum und publiziert regelmäßig zu Themen im digital-gesellschaftspolitischen und -wirtschaftlichen Kontext. Thyen sponsert und engagiert sich überdies in diversen schulischen, sozialen und sportlichen Projekten für Kinder.
(LizenzDirekt: ra)

eingetragen: 15.11.22
Newsletterlauf: 07.02.23

LizenzDirekt: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Hintergrund

  • Wer ist von der CSRD betroffen?

    Für Unternehmen ist der eigene ökologische Fußabdruck mittlerweile eine entscheidende erfolgsrelevante Steuerungsgröße geworden. Welche Investitionen und wirtschaftlichen Tätigkeiten sind ökologisch nachhaltig und ermöglichen es, sich am Markt positiv zu differenzieren? Die Erstellung einer Nachhaltigkeitsberichtserstattung nimmt darüber hinaus auch seitens der Aufsichtsbehörden und Regulatoren einen immer größeren Raum ein. Das Jahr 2023 startete bereits mit einem wichtigen Meilenstein für das ESG-Reporting – der Berichterstattung für die Bereiche Umwelt (Environmental), Soziales (Social) und verantwortungsvolle Unternehmensführung (Governance). Am 5. Januar 2023 ist die EU-Richtlinie über die Nachhaltigkeitsberichterstattung der Corporate-Sustainability-Reporting-Direktive (CSRD) in Kraft getreten. Diese führt zu einer umfangreichen und verbindlichen Nachhaltigkeitsberichterstattung.

  • Data Act könnte schon 2024 in Kraft treten

    Wir erleben es jeden Tag: Datenmengen steigen ins Unermessliche. Die Prognose der EU-Kommission erwartet allein in der EU zwischen 2020 und 2030 einen Anstieg des Datenflusses in Cloud- und Edge-Rechenzentren um 1500 Prozent - kein Tippfehler. Entsprechend riesig ist das wirtschaftliche Potential, denn Daten sind der zentrale Rohstoff etwa für das Internet of Things. Das wiederum wird von der EU im Jahr 2030 (1) auf eine wirtschaftliche Gesamtleistung auf bis zu elf Billionen Euro geschätzt. Somit ist der EU Data Act, der in einem ersten Entwurf im Frühjahr 2022 von der EU-Kommission vorgestellt wurde, in seiner Bedeutung für die Datenökonomie nicht zu unterschätzen. Es geht nämlich um die Rahmenbedingungen für den Austausch von Daten: Das heißt, alle Geschäftsmodelle, die auf vernetzten Produkten und Dienstleistungen beruhen, sind betroffen. Und die Zeit steht nicht still. Der Data Act könnte schon 2024 in Kraft treten.

  • Aufsichtsbehörden machen Ernst

    Der Datenschutz wurde durch die im Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) europaweit geschärft und die Rechte der Betroffenen gestärkt. Die Aufsichtsbehörden sind mittlerweile aktiv geworden und verhängen teils empfindliche Strafen, wenn Unternehmen und Konzerne mit dem Schutz der User- und Kundendaten zu lax umgehen. Unternehmen, die online Leads und Kunden generieren, sollten deswegen ein Auge auf die Details haben und nur mit seriösen Partnern zusammenarbeiten, die eine DSGVO-konforme Verarbeitung von Daten nachweisen können. Das Inkrafttreten der DSGVO im Mai 2018 rollte wie eine Schockwelle durch die Welt des Online-Business und der Leadgenerierung. Denn die europäische Datenschutzgrundverordnung hat den Schutz personenbezogener Daten ausgeweitet und verschärft. Ziel war es, ein europaweit gleich hohes Schutzniveau zu erreichen, die Verfahren gegen Verstöße zu vereinfachen und den Datenschutz dem technischen Fortschritt der Digitalisierung anzupassen.

  • Audit-Druck ebnet Weg hin zu Abo-Modellen

    Beim Thema Software-Audit kommen zwei historisch signifikante Zustände zusammen: Einerseits hat sich Europa insbesondere von US-Softwareanbietern stark abhängig gemacht und ist andererseits durch den omnipräsenten Digitalisierungsdruck bereit, die Situation trotz gelegentlicher gegenteiliger Verlautbarungen offenbar noch zu verschlimmern. Lesen Sie hier, was die Erfindung des Software-Audits damit zu tun hat.

  • Digitale Verwaltungsdienste ohne Datengrundlage?

    Deutsche Behörden tun sich schwer, ihre Angebote für Bürger und Bürgerinnen digital anzubieten. Das aktuelle Onlinezugangsgesetz (OZG) macht aber Bund, Ländern und Kommunen jetzt kräftig Druck. Geht es nach dem Gesetzgeber, sollen bis Jahresende rund 600 Verwaltungsdienstleistungen in digitaler Form bereitstehen - und zwar bundesweit.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen