Software-Audit – Keine Panik!
Rechtzeitig vorbeugen und im Auditfall die Nerven bewahren
Von Markus Oberg, Chairman Lighthouse Alliance, und Torsten Boch, Senior Product Manager bei Matrix42
Lizenzmanagement ist keine exakte Wissenschaft. Im weitesten Sinne ist es eine juristische Disziplin, denn die Lizenzbedingungen werden von Juristen formuliert. Die Abbildung des Formulierten in der Technik ist nicht immer klar und eindeutig. Die Herausforderung besteht dementsprechend darin, das geschriebene Wort abzugleichen mit dem, was an Software im Unternehmen im Einsatz ist. Dieser Abgleich kann auf vielerlei Arten geschehen. Daher bleibt stets eine Unschärfe, die es zu bewerten gilt. Eine 100%ige Genauigkeit ist eine Illusion. Nie können alle technischen Daten wasserdicht abgebildet werden. Stets muss damit gerechnet werden, dass es am Ende zu Diskussionen kommt, schon allein aufgrund der Komplexität der Sachverhalte.
Lizenzmanagement ist kein Alleingang
In vielen Unternehmen versucht der Lizenzmanager, sich allein um die Thematik zu kümmern. Das funktioniert leider nicht. Lizenzmanagement ist eine Querschnittsfunktion, die ein Team benötigt. Die Organisation muss involviert sein; die richtigen Personen müssen identifiziert und ihnen die richtigen Rollen und Verantwortlichkeiten zugewiesen werden. Zudem müssen die Daten und Prozesse des Lizenzmanagements mit der Organisation im Unternehmen verknüpft werden. Insbesondere sämtliche Prozesse, die sich mit Veränderungen beschäftigen. Unternehmen sind ständig in Bewegung und diese Veränderungen sollten mit dem Lizenzmanagement synchronisiert werden. Das ist oft nicht der Fall. D. h. Lizenzmanager sind in solchen Fällen allein auf die Daten angewiesen. Das funktioniert ein Stück weit, nimmt aber zu einem großen Teil die Möglichkeit, proaktiv einzugreifen.
Spielregeln sind notwendig
Ähnlich wie bei einer Buchführung, für die jeder einzelne Beteiligte die Spielregeln kennen und danach agieren muss, gilt auch für das Lizenzmanagement: Die gesamte Organisation muss informiert, beraten und unterstützt werden. Ein Software-Asset-Manager muss die Spielregeln definieren, sie aktuell halten und kommunizieren. Beispiele: Es gilt zu definieren, wie der Prozess für die Anforderung von Software durch die Anwender laufen soll. Auch wie der Einkaufsprozess aussieht, muss geregelt werden. Genauso wie die Frage „Wie werden Lizenzen eingekauft, wer darf das?“ Dies gilt auch für den Umgang mit Stammdaten. Was passiert, wenn die Organisation umstrukturiert wird, wenn es Kostenstellenveränderungen gibt, wenn sich die Beteiligungsverhältnisse ändern? Das Software Asset Management sollte stets eingebunden sein. Und nicht zuletzt, wenn es Spielregeln gibt, ist es eine Überlegung wert, inwieweit die Verletzung der Spielregeln sanktioniert wird.
Prioritäten setzen
Unternehmen haben unzählige Softwareprodukte von unterschiedlichen Herstellern im Einsatz. Der Überblick geht schnell verloren. Eine Roadmap festzulegen ist daher hilfreich, ebenso wie die Klarstellung, welchen Themen man sich nicht widmen will. In der Regel erfolgt die Bearbeitung herstellerspezifisch oder produktspezifisch. Die Prioritäten sind in jedem Unternehmen andere: Vertragsverlängerungen stehen an, zu hohe Kosten bei einem Hersteller, etc. Kleine Schritte zu planen und abzuarbeiten ist besser, als das Vorgehen nach dem Wasserfall-Prinzip: Excel-Listen ungeprüft in ein neues System zu überführen ist riskant. Zu viele nicht validierte Daten in einem SAM-Tool anzuhäufen ist nicht empfehlenswert. Es ist auch sehr schwierig, alle Hersteller und alle Produkte durch aktives Lizenzmanagement abzubilden. Die Praxis zeigt, die Anzahl der Hersteller ist so groß, dass es auch langfristig weiße Flecken geben wird. Durch eine Corporate Governance bleibt der Überblick erhalten; finanzielle Risiken können besser eingeschätzt werden.
Herausforderung Datenqualität
Im Lizenzmanagement werden viele Daten aus unterschiedlichen Quellen zusammen gezogen, technische Daten, kaufmännische Daten, Stammdaten. Dazu kommt: Jede Datenquelle hat ihre Fehler. Wenn man diese zusammenführt, potenzieren sich die Fehler. Benötigt werden aber valide Daten. Daher ist es wichtig, falsche Daten direkt an der Quelle zu bekämpfen und die Verursacher in die Pflicht zu nehmen. Auch nach Veränderungen muss die Datenqualität noch stimmen. Und: Die Bestandsdaten am Beginn eines Projekts sind stets ein großes Problem. Sie stehen nicht umfassend und nicht spezifisch genug zur Verfügung.
Verträge kommen vor der Technik
Verträge definieren die Spielregeln der Bilanzierung der Lizenzen. Daher kommt das richtige Verständnis über die geltenden Verträge vor der Aufarbeitung der Beschaffungshistorie. Erst wenn klar ist, wie und was gezählt wird, sollte man sich den technischen Daten widmen und diese mit den Verträgen in Einklang bringen. Obwohl Lizenzmanagement überwiegend aus Organisation besteht, sind Werkzeuge ein Muss, um dem großen Datenvolumens und der Dynamik im Unternehmen Herr zu werden. Allerdings: Die falschen Werkzeuge sind Zeitverschwendung. Ein SAM-Tool muss flexibel anpassbar und prozessunterstützend sein und eine umfassende Erfassung der Softwarewelten ermöglichen.
Weiße Flecken
Software findet auf Desktops, auf mobilen Geräten, in Rechenzentren, in der Cloud statt. SAM-Tools sollten daher diese ganze Vielfalt abdecken. Auch private und Geräte externer Lieferanten müssen mit einbezogen werden, wenn sie im Unternehmen genutzt werden. Und nicht zuletzt sollte jeder Lizenzmanager mit bislang unerkannter Software in den Fachbereichen rechnen.
Wenn der Audit-Brief kommt
Software-Audits sind zeitaufwendig und teuer. Sie sind mittlerweile zu einem Geschäftsmodell der Anbieter geworden. Rein rechtlich basieren sie auf dem Urheberrecht. Hersteller haben einen gesetzlichen Auskunftsanspruch, aber keinen Besichtigungsanspruch. Das setzt voraus, dass der Rechtsinhaber die Rechtsverletzung durch das Unternehmen glaubhaft machen muss. Zudem muss die Rechtsverletzung durch das Unternehmen in gewerblichem Ausmaß erfolgen. Das Auskunftsverlangen des Herstellers muss verhältnismäßig sein.
Ein verdachtsunabhängiges Audit lässt sich auf gesetzlicher Grundlage in der Regel nicht herleiten. Allerdings kann es sein, dass der Hersteller ein in den Lizenzbedingungen festgeschriebenes Audit-Recht ausübt. Die Audit-Klauseln in den Lizenzverträgen unterliegen jedoch der AGB-Kontrolle. Eine Audit-Klausel darf den Lizenznehmer nicht unangemessen benachteiligen und sie muss klar und verständlich sein. Damit eine Audit-Klausel gilt, muss sie folgenden Kriterien entsprechen:
- Angemessene Ankündigungsfrist (5 Tage etwa sind zu wenig, 30 bis 40 Tage sind ausreichend)
- Konkretisierung der Prüfinhalte und des Prüfumfangs – sie müssen erkennen können, was auf sie zukommt
- Dauer und Anzahl der Audits
- Beschränkung auf übliche Geschäftszeiten
- Wahrung der Geschäftsgeheimnisse
- Einhaltung datenschutzrechtlicher Vorgaben
- Qualifikation und Verschwiegenheit der Auditoren
- Regelung der rechtlichen Folgen einer Über- und Unterlizenzierung
Die Erfahrung zeigt, dass praktisch keine Audit-Klausel ausreichend klar formuliert ist und einer AGB-Prüfung standhält. Ist eine AGB-Klausel zum Teil unwirksam, dann wird sie im Ganzen unwirksam. Zu beachten ist dabei aber der sog. Blue-Pencil-Test. Wird der unwirksame Teil weggestrichen, dann ist zu prüfen, ob der verbleibende Rest der Klausel einen eigenen Sinn ergibt. Wenn dem so ist, dann könnte es sein, dass die Klausel fortbesteht.
Reaktionen auf eine Audit-Aufforderung
Sind Unternehmen mit einem Audit konfrontiert, gibt es zwei grundlegende Einstellungen:
- Volle Abschottung, um das Audit nach Möglichkeit zu verhindern.
- Volle Kooperation
Besser ist eine Strategie im Sinne von DEFCON 5-1, also eine sanftere Variante des Widerstands. Allerdings ist Vorsicht geboten, wenn eine „kontrollierte Konflikt-Eskalation“ angestrebt wird. Verweigerung kann in massiven Streit ausarten, was nicht förderlich ist.
Software-Audit Strategien:
- Bei Erhalt des Auditschreibens vollständig ablehnen
- Erst ablehnen, um dann individuellen Ablauf zu verhandeln
- Bei Kauf individuelle Audit-Klausel vereinbaren
- Bei Kauf Audit-Klausel streichen
- Stets freiwilliges True-Up durchlaufen
- Verschiedenste Kombinationen davon
Es besteht zudem die Möglichkeit, eigene Audit-Klauseln zu verhandeln bzw. einen individuellen Audit-Ablauf zu vereinbaren, etwa nach dem Grundsatz: Vorrang der Selbstauskunft. Klar ist, nicht alles ist durchsetzbar, aber es geht um die Verhandlungsmasse und um die Ziele der Verhandlung.
Externe Auditoren
Wird das Audit von Dritten durchgeführt, sind diese üblicherweise bevollmächtigt vom Lizenzgeber. Für das auditierte Unternehmen ist es wichtig, Einsicht in den Auftrag zu erhalten, um sicher zu gehen, dass dieser Dritte kein erfolgsabhängiges Honorar erhält. Zu beachten ist auch, dass diese Dritten keinen Vertrag mit dem Unternehmen haben. Ein solcher wäre aber empfehlenswert, um z. B. in Sachen Datenschutz Sicherheit zu schaffen.
Software-Audits bleiben riskant. Sie werden tendenziell zunehmen, auch durch die Cloud. Unternehmen sollten mutig an das Thema herangehen, sich mit anderen austauschen und von den Erfahrungen anderer profitieren.
Über Torsten Boch, Senior Product Manager bei Matrix42
Torsten Boch ist seit 2006 Produktmanager bei Matrix42 im Bereich „Compliance“ mit den Schwerpunkten License, Asset und Contract Management. Davor war er 15 Jahre als Entwickler, Berater und Projektleiter bei verschiedenen Unternehmen für die Gestaltung und den Einsatz von Standardsoftware verantwortlich. Er ist Diplom Betriebswirt mit einer Spezialisierung auf Steuer- und Handelsrecht sowie Bilanzierung und Buchführung.
Über Markus Oberg, Partner und Business Development Manager bei ProLicense, Chairman Lighthouse Alliance
Diplom-Kaufmann Markus Oberg ist seit über drei Jahren unter anderem als Oracle Licensing Professional bei der ProLicense GmbH beschäftigt. Zu seinen Spezialisierungen gehört neben den lizenzrechtlichen Fragestellungen bei M&A-Transaktionen der weite Bereich der Software Audits. Die strategische Planung von Audits und die Zusammenstellung und Koordination von Software Audit Response Teams (SAR-Teams) stehen dabei im Mittelpunkt.
Seit Dezember 2016 leitet Markus Oberg als Chairman das Startup-Projekt „The Lighthouse Alliance“. Dahinter verbirgt sich ein neues disruptives Modell für den radikalen und detaillierten Erfahrungsaustausch in Bezug auf Software Audits jeglicher Hersteller.
Weitere Informationen unter:
Über Matrix42
Matrix42 ist einer der Top-Anbieter von Software für das Arbeitsplatzmanagement. Unter dem Motto „Smarter Workspace – Better Life“ bietet das Unternehmen zukunftsorientierte Lösungen für moderne Arbeitsumgebungen. Mehr als 3.000 Kunden – darunter BMW, Infineon und Carl Zeiss – verwalten mit den Workspace Management Lösungen von Matrix42 über 3 Millionen Arbeitsplätze weltweit.
Matrix42 ist in acht Ländern erfolgreich aktiv – Deutschland, Österreich, Schweiz, Frankreich, Niederlande, Vereinigtes Königreich, Australien und Vereinigte Staaten von Amerika. Der Hauptsitz des Unternehmens befindet sich in Frankfurt am Main, Deutschland.
Die Produkte und Lösungen der Matrix42 sind darauf ausgerichtet, moderne Arbeitsumgebungen – physische, virtuelle oder mobile Arbeitsbereiche – einfach und effizient bereit zu stellen und zu verwalten.
Matrix42 fokussiert auf Anwenderorientierung, Automatisierung und Prozessoptimierung. Mit den Lösungen des Unternehmens werden sowohl die Anforderungen moderner Mitarbeiter in Unternehmen, die ortsungebunden und mit verschiedensten Endgeräten arbeiten wollen, als auch der IT-Organisation und des Unternehmens selbst optimal erfüllt.
Matrix42 bietet seine Lösungen branchenübergreifend Organisationen an, die Wert auf ein zukunftsorientiertes und effizientes Arbeitsplatzmanagement legen. Dabei arbeitet das Unternehmen auch erfolgreich mit Partnern zusammen, die die Matrix42 Kunden vor Ort beraten und betreuen; zu den führenden Partnern zählen TAP.DE Solutions GmbH, Consulting4IT GmbH und DSP IT Service GmbH.
Weitere Informationen unter: www.matrix42.com