24. Jan 2022 | Allgemein

Software-Audit: Mit diesen Tricks können Unternehmen teure Fehler vermeiden

Deine Software unter der Lupe: Es ist in der heutigen Zeit ziemlich unwahrscheinlich, dass Du ein Unternehmer bist, der ohne irgendwelche digitalen Helfer auskommt. Das gilt sowohl für Hard- als auch Software. Und sofern Du nicht gerade jedes einzelne digitale Hilfsmittel in einer tatsächlich quelloffenen und für den gewerblichen Bereich freigegebenen Variante betreibst, dann ist es durchaus möglich, dass es irgendwann zu einem Software-Audit seitens des Anbieters kommt. Doch keine Sorge, wir zeigen Dir, wie Du dabei ohne Probleme und Stolperfallen durchkommst. 

Software Audit: Deine Software unter der Lupe
Beim Software-Audit werden unternehmerische Tools aus lizenzrechtlicher Sicht sehr genau geprüft. Quelle: Adobe Stock, Urheber: Unshu

1. Der Software-Audit an sich

Was genau ist ein Software-Audit?

Wenn Du noch nie einen Audit überstehen musstest, dann ist es gut möglich, dass Du mit dem Thema noch nicht vertraut bist. Audits, die sich auf Gründer, Startups und andere KMU sowie Freelancer fokussieren, sind tatsächlich ein eher neueres Phänomen; noch vor einigen Jahren war so etwas nur eine Angelegenheit für deutlich größere Betriebe, bei denen beispielsweise ein Software-Produkt auf vielen Rechnern genutzt wird. 

Softwareüberprüfung beim Software Audit

Ein Audit bezieht sich nur auf Software – und immer nur diejenige eines bestimmten Herstellers. Quelle: Adobe Stock, Urheber: NicoElNino

Software ist auch das Stichwort, denn genau darum geht es: Wenn Du eine Software für die gewerbliche Nutzung erwirbst, dann bekommst Du heutzutage meistens Lizenzen. Das heißt, Du bezahlst einen Preis X für die Software und bekommst dadurch die Erlaubnis, das Programm auf Y Rechnern zu installieren oder es von Z Mitarbeitern nutzen zu lassen. Auch bei uns von Billomat funktioniert das so und Du kannst zusätzliche Nutzerlizenzen bei uns hinzubuchen, falls Dein bisheriger Lizenzierungsrahmen nicht mehr ausreicht. 

Hier kommen nun zwei Faktoren ins Spiel:

  • Es ist nach wie vor relativ einfach, Software zu installieren und zu kopieren. Einfach gesagt, ist es theoretisch möglich, dass jemand eine legal lizenzierte Software auf mehr Geräten betreibt als seine Lizenz es gestattet – ob absichtlich oder unabsichtlich sei völlig dahingestellt.
  • Teilweise kann es vorkommen, dass mit der Lizenzierung noch weitere Vereinbarungen getroffen wurden. Sie beziehen sich dann in irgendeiner Weise auf den weiteren Umfang, in dem die Software genutzt werden darf. 

Beim Software-Audit beschließt nun das Unternehmen hinter diesem digitalen Werkzeug, in Deiner Firma zu prüfen, ob dort alles mit rechten Dingen zugeht. Im Klartext: Ob Du und Dein Team die Software so nutzt, wie es im Rahmen der Lizenzierung vereinbart wurde – vor allem auf die Anzahl der Installationen bezogen. 

Typischerweise senden die Hersteller dafür unabhängige Auditoren aus. Also Fachleute, die weder ihnen noch Deinem Unternehmen angehören. Diese Maßnahme soll garantieren, dass der Audit wirklich mit maximaler Objektivität vonstattengeht. Es gibt allerdings Fälle, in denen diese Spezialisten den Audit digital aus der Distanz durchführen. Weiter kann es ebenfalls sein, dass Du aufgerufen wirst, selbst den Audit durchzuführen beziehungsweise dem Software-Hersteller entsprechende Nachweise über eine lizenzkonforme Nutzung zu übermitteln.

Ist ein solcher Audit überhaupt legitim?

Mit allerhöchster Wahrscheinlichkeit ja. Denn die meisten Firmen, die gewerbliche Software offerieren, inkludieren entsprechende Klauseln in ihren Verträgen. Das heißt, es ist sehr wahrscheinlich, dass Du ebenfalls einer solchen Klausel zugestimmt hast, wenn Du einen Kauf getätigt hast. Rechtlich ist daran kaum etwas zu rütteln, die Software-Hersteller und -Verkäufer dürfen das aus Gründen der Vertragsfreiheit. Allerdings wäre es Dein Recht, bei Vertragsabschluss gegebenenfalls nachzuverhandeln. Nur in sehr seltenen Fällen (etwa anlasslose oder unangekündigte Kontrollen) könnte ein Audit allerdings gemäß Paragraf 305 ff des BGB nichtig sein. 

Ist ein Software Audit überhaupt legitim?
Software ist meist urheberrechtlich geschützt. Audits sind deshalb im Rahmen der Lizenzgestaltung fast immer rechtens. Quelle: Adobe Stock, Urheber: baranq

Das heißt, wenn eine solche Ankündigung bei Dir eintrifft, solltest Du zunächst immer davon ausgehen, dass der Audit berechtigt und legitim ist. Dennoch solltest Du natürlich zeitnah die entsprechenden Unterlagen gründlich durchsehen. Hierzu bereits unser erster (kleiner) Tipp: Sorge dafür, dass die Lizenzunterlagen aller in Deinem Unternehmen genutzten Softwares äußerst sorgsam und übersichtlich geordnet an zentraler Stelle gelagert werden.

Was kann mir dabei passieren?

Wenn bei Dir in der Firma alles so läuft, wie es vertraglich vereinbart wurde, passiert Dir gar nichts. Händedruck, vielleicht ein Dankesschreiben für die gute Kooperation.

Sollte es bei Dir im Haus jedoch eine Unterlizenzierung oder andere Probleme geben, könnte es kritisch werden. Rein rechtlich haben wir es in diesem Fall mit einem Vertragsbruch Deinerseits zu tun. Möglich sind in dem Fall drei Szenarien, mitunter in Kombination:

  • Nachlizenzierung:
    Der Hersteller gibt Dir Zeit, die fehlenden Lizenzen so schnell wie möglich bei ihm zu erwerben und/oder (bis dahin) die ungebührliche Nutzung sofort einzustellen. Wahrscheinlich musst Du zudem die Kosten des Audits übernehmen. Das ist die für Dich mit Abstand günstigste und unkritischste Vorgehensweise. Bloß ist nicht jeder Hersteller so großzügig.
  • Vertragsauflösung:
    Der zwischen Deiner Firma und dem Software-Hersteller bestehende Vertrag wird aufgekündigt. Du musst die Nutzung der Tools sofort einstellen und alle Kopien vernichten beziehungsweise deinstallieren – und Dich nach einem Ersatz umsehen, damit Deine Firma wieder arbeiten kann.
  • Schadenersatz:
    Da Du für einen bestimmten Zeitraum die Dienstleistung beziehungsweise das digitale Produkt in größerem Umfang genutzt hast, als vertraglich vereinbart wurde, wird Dir eine Schadenersatzforderung auferlegt. Diese kann durchaus sehr hoch ausfallen.
Vertragsbruch nach einem Software Audit

Besonders dramatische Lizenzverletzungen können durchaus vor Gericht gehen – und im Gefängnis enden. Quelle: Adobe Stock, Urheber: wutzkoh

Zwar wollen wir hier keine Schwarzmalerei betreiben. Es ist jedoch im Rahmen des Möglichen, dass Du zusätzlich strafrechtliche Konsequenzen zu befürchten hast. Die Grundlage hierzu ist das deutsche Urheberrecht; es inkludiert auch Software. Paragraf 106 ist dazu sehr eindeutig:

„(1) Wer in anderen als den gesetzlich zugelassenen
Fällen ohne Einwilligung des Berechtigten ein Werk oder
eine Bearbeitung oder Umgestaltung eines Werkes
vervielfältigt, verbreitet oder öffentlich wiedergibt, wird
mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Der Versuch ist strafbar.“

Die weitere Ausgestaltung des deutschen Rechts sorgt hierbei dafür, dass letztlich Du als Geschäftsführer haftbar bist; mitunter zudem Gesellschafter. 

Zwar muss es nicht so kommen und wird es wahrscheinlich auch nicht, wenn es sich bei der Unterlizenzierung um eine bloße Nachlässigkeit handelt. Dennoch sollte es Dir immer bewusst sein, welche Probleme entstehen können, wenn Du nicht ständig den vollen Überblick über die lizenzgerechte Nutzung von Software hast.

Dazu ein weiterer Tipp: Falls Du Dich nicht mit Rechtsthemen gut auskennst, dann lasse Dich im Umfeld des Lizenzabschlusses unbedingt von einem Fachanwalt beraten. Manchmal sind die Lizenzierungsvereinbarungen reichlich komplex. Dadurch kann es schneller zu einer unbeabsichtigten Unterlizenzierung kommen.

2. Die wichtigsten Regeln für gefahrlose Audits

Wenn bei Dir die Ankündigung eines Audits eintrifft, dann ist es in hohem Maß verständlich, wenn Du ein ungutes Gefühl hast – niemand fühlt sich gerne verdächtigt, obwohl er sich keiner Schuld bewusst ist. 

Es sei jedoch nochmals unterstrichen: Nicht jeder Audit bedeutet, dass es beim Hersteller einen Anfangsverdacht gegen Dich gibt. Es kann sich ebenso um eine reine Routinekontrolle handeln. Und selbst wenn ein solcher Verdacht vorliegt, so muss er allein noch gar nichts bedeuten. Wenn Du nichts zu befürchten hast und Dich an die folgenden Regeln hältst – dann wird der Audit an Dir vorübergehen und es werden Dir keine Nachteile entstehen.

Setze nur einwandfrei lizenzierte Ware ein

Es gibt unter Softwares solche und solche. Die mit Abstand wichtigste Regel, um Audits zu überstehen, ist natürlich, dass jede einzelne Kopie jeder in Deinem Haus genutzten Software ordnungsgemäß lizenziert sein muss. 

Regel für gefahrlose Software Audits

Software aus fragwürdigen Quellen ist der wahrscheinlich direkteste Weg, um bei einem Audit größte Probleme zu bekommen. Quelle: Adobe Stock, Urheber: Antonioguillem

Das bedeutet, dass Du Softwares ausschließlich von dazu berechtigten Stellen erwerben solltest. Lasse niemals zu, dass es in dieser Hinsicht eine Lücke gibt. Sei zudem extrem vorsichtig, wenn es um Hardware mit vorinstallierten Tools geht. Selbst wenn Du sie ordnungsgemäß erworben hast, ist dadurch nicht automatisch gegeben, dass die darauf installierte Software (beispielsweise das Betriebssystem) in einem gewerblichen Umfeld genutzt werden darf – zumindest nicht ohne weitere Lizenzierung

Hierzu ist es besonders wichtig, dass Du als Geschäftsführer oder ein speziell damit betrautes Teammitglied jederzeit einen transparenten Überblick über die diesbezüglichen Vorgänge in Deinem Haus hat. Das heißt, jegliche Installation oder Deinstallation muss bekannt sein und vermerkt werden – nicht umsonst haben große Firmen eigene Abteilungen, die sich ausschließlich dem Thema Lizenzierung widmen.

Wichtig: Zwar kommt es bei quelloffener Software eher selten zu Audits, weil dahinter kein Unternehmen im klassischen Sinn steckt. Dennoch solltest Du unbedingt sicherstellen, dass solche Programme ebenfalls gemäß ihrer quelloffenen Lizenz genutzt werden. 

Kenne die Nutzungsbedingungen und halte Dich daran

Ein Audit läuft typischerweise über Tools ab, die Deine Hardware durchleuchten. Das Risiko, dass dabei etwas Unschönes zutage kommt, ist umso größer, je weniger es in Deinem Unternehmen überhaupt bekannt ist, zu welchen Bedingungen die Nutzung der Software vereinbart wurde.

Software Audit und Lizenzverträge
Lizenzverträge sind oftmals komplex. Bist Du Dir unsicher, lass vor dem Unterzeichnen einen Anwalt sie prüfen und Dir erklären. Quelle: Adobe Stock, Urheber: tippapatt

Abermals ist dies ein Punkt, den du bereits beim Erwerb konsequent beachten musst: Unterzeichne nicht einfach, sondern lasse Dir die Nutzungsbedingungen so lange erklären, bis keinerlei Fragen mehr offen sind. Du als Verantwortlicher musst ohne jeden Zweifel verstehen, in welchem Rahmen die Nutzung gestattet ist. Jede kleinste Abweichung legt bereits die Basis dafür, bei einem Audit durchzufallen.

Außerdem muss Dir klar sein, dass der Audit immer wahrscheinlich ist. Das heißt, egal wie lange der Vertragsabschluss zurückliegt, Du darfst es niemals zulassen, dass die Stringenz beim Einhalten der Nutzungsbedingungen aufweicht. Zwar prüft sicherlich nicht jeder Hersteller im Jahresturnus, erwartungsgemäß trifft es jedoch jeden gewerblichen Nutzer irgendwann. 

Lasse in Deinem Betrieb kein ByoD zu

Unsere Welt ist durch und durch digital. Die aktuelle VuMA-Studie beispielsweise besagt, dass allein 62,61 Millionen Deutsche ein Smartphone benutzen. Das ist nur unwesentlich weniger als die gesamte erwachsene Bevölkerung des Landes! Hinzu kommt natürlich, dass viele Menschen noch weitere Geräte besitzen. Laptops und Tablets beispielsweise. 

Was das mit Software-Audits zu tun hat? Mitunter sehr viel. Denn gerade in Startups und vielen kleineren Firmen ist es häufig üblich, dass die Mitarbeiter dort zumindest teilweise mit eigenen Geräten arbeiten (Bring your own Device, kurz: ByoD). Besonders stark ist die Zahl seit der Pandemie gestiegen, weil so viele Menschen ins Homeoffice gegangen sind und dort häufig mit dem eigenen Rechner arbeiten. 

Software Audit im Betrieb
Ein in Sachen Hardware zu liberales Betriebsklima erhöht die Gefahr einer Audit-Auffälligkeit ganz erheblich. Besser gänzlich unterbinden. Quelle: Adobe Stock, Urheber: Blue Planet Studio

All diese Ausprägungen von ByoD solltest Du als Verantwortlicher konsequent unterbinden. Schlicht, weil dadurch das Risiko vollkommen unkalkulierbar wird, dass irgendwo nichtlizenzierte Software genutzt wird. Stell Dir beispielsweise vor, dass Deine Firma das Textprogramm eines Anbieters legal nutzt. Beim Audit kommt jedoch heraus, dass ein Teammitglied eine illegale Kopie eines Bildbearbeitungsprogramms desselben Herstellers neben dem Textprogramm auf dem Privatrechner hat und damit nachweislich für Deine Firma gearbeitet hat. 

Tatsache ist: ByoD ist in Sachen Lizenzierung kaum zu kontrollieren. Nicht zuletzt deshalb, weil das Thema eng mit dem Datenschutz verflochten ist – Du als Arbeitgeber also nicht ohne Weiteres die Geräte Deiner Angestellten kontrollieren kannst. Deshalb ein guter Rat: Versorge Dein Team nur mit firmeneigener Hardware und ebensolcher Software. Das kostet zwar mehr, aber sorgt dafür, dass Du den Rücken in rechtlicher Hinsicht gedeckt hast. 

Kenne Deine Pflichten – und Deine Rechte

Wenn Dein Anwalt den ursprünglichen Lizenzvertrag für einwandfrei befunden hat, dann ist grundsätzlich davon auszugehen, dass der Audit rechtens ist. Dennoch solltest Du nicht alles blindlings akzeptieren. Zunächst solltest Du die Ankündigung überprüfen, ob dabei überhaupt der vereinbarte Zeitraum der Vorankündigung eingehalten wird – das ist Dein gutes Recht. Weiter solltest Du folgende Fragen abklären:

  • Was genau soll in welchem Umfang auditiert werden?
  • Wer prüft (Name und Organisation) mit welchen Werkzeugen?
  • Erfolgt der Audit vor Ort oder ausschließlich mit Tools aus der Distanz?
  • Welcher Zugriff erfolgt auf was und welche Daten werden dabei erhoben?
  • Wie wird mit etwaigen Bedenken Deinerseits hinsichtlich Daten-, Geschäfts- und Betriebsgeheimnisschutz verfahren? 

Dabei geht es nicht darum, den Audit zu erschweren. Du machst dich Dadurch überdies nicht verdächtig. Du sprichst lediglich die Tatsache an, dass bei einem Audit Dritte tiefe Einblicke in die Interna Deiner Firma bekommen – und natürlich solltest Du alles daransetzen, dass sowohl Deine Firma als auch der Software-Hersteller zu ihrem Recht kommen. 

Ignoriere bloß nicht die Ankündigungen

Dass ein Software-Audit nicht auf herzliche Gegenliebe stößt, ist verständlich. Schon deshalb, weil er natürlich immer einen gewissen Eingriff in den reibungslosen Betriebsablauf bedeutet. Was Du jedoch keinesfalls tun solltest ist, diese Benachrichtigung zu ignorieren. Eher sollte sie einen Prozess in Gang setzen:

  • Bestätige, dass Du die Ankündigung wahrgenommen hast – aber nicht mehr. Gib zudem keine weiteren Informationen preis. Das könnte womöglich zu Verstrickungen führen. Prüfe zudem genau, ob es überhaupt ein Audit durch Dritte sein wird oder ob der Hersteller von Dir nur eine Selbstauskunft verlangt – vor allem bei reinen Routineüberprüfungen ist das vielfach der Fall.
  • Benenne einen Verantwortlichen, der während der Überprüfung als Ansprechpartner fungieren wird beziehungsweise einen Eigen-Audit übernimmt. Instruiere zudem Dein Team, dass es bei sämtlichen Fragen nur auf diese Person verweisen soll.
  • Lass von Deinem Firmenanwalt ein Dokument aufstellen. Darin sollen sich die Auditoren verpflichten, die Geschäftsgeheimnisse sowie alle Datenschutzrechte zu wahren. Ein zusätzlicher Schutz für Dein Unternehmen. Schließlich wird der Audit tief in Deine digitalen Systeme eingreifen. 
Ansprechpartner beim Software Audit
Die Auditoren sollten eine kompetente Kontaktperson haben. Nur über diese sollten sämtliche Informationsströme verlaufen. Das verringert das Risiko für Missverständnisse. Quelle: Adobe Stock, Urheber: djrandco

Die beste Vorgehensweise ist es, wenn Du versuchst, den Audit möglichst schnell und reibungslos ablaufen zu lassen. Zwar gibt es Unternehmen, die sich rechtlich gegen die Überprüfung wehren, dies sorgt jedoch häufig nur für einen unnötig in die Länge gezogenen Prozess.  

Nutze die Zeit bis zum Audit

Ein rechtlich einwandfreier Audit lässt Dir einen Spielraum von oftmals mehreren Wochen, bis es so weit ist. Diese Zeit solltest Du keinesfalls ungenutzt verstreichen lassen. Vielmehr kannst Du jetzt einige sinnvolle Dinge anstoßen:

  • Verschiebe, sofern es möglich ist, Aufgaben und Termine in einem Maß, das garantiert, dass es am Audit-Tag in Deinem Unternehmen möglichst ruhig zugeht. Außerdem stellst Du auf diese Weise sicher, dass wirklich alle betrieblich genutzte Hardware im Haus ist und nicht etwa gerade auf einem Außentermin.
  • Vergleiche das, was auf diesen Geräten installiert ist mit den Zahlen, die aus den Lizenzen hervorgehen. Normalerweise solltest Du zwar durch die bereits angesprochenen Gründe volle Kontrolle haben, jedoch gilt hier „sicher ist sicher“.
  • Kommt bei dieser internen Prüfung heraus, dass Du tatsächlich überlizenziert bist, dann sorge dafür, dass diese Information dokumentiert und den Auditoren präsentiert wird. Denn so, wie der Hersteller bei einer Unterlizenzierung das Recht auf Nachzahlung hat, hast Du es selbstverständlich bei einer Überlizenzierung.
  • Sorge dafür, dass für ein Unternehmen besonders wichtige (geheime) Daten und Informationen, die nichts mit dem Audit zu tun haben, extra abgesichert oder kopiert und geschützt werden. Es ist zwar nur ein theoretisches Risiko, aber dennoch eines, das existiert. 

Keine Sorge, nochmals gilt, dass Du beim Einhalten dieser Tipps nichts zu befürchten hast!

Prüfe das Ergebnis sehr genau

Zunächst: Bei einem sauber arbeitenden Unternehmen wird der Audit nichts zutage bringen, außer dass die Software in diesem Haus exakt den Lizenzbedingungen entsprechend genutzt wird. 

Immer wird es jedoch einen Bericht geben – den Du grundsätzlich sehr gründlich durchlesen solltest. Insbesondere, wenn der Audit eine Unterlizenzierung festgestellt haben will. In einem solchen Fall solltest Du unbedingt einen Anwalt hinzuziehen, damit Du rechtlich nichts falsch machen kannst. 

Ergebnis eines Software Audits prüfen
Positive und negative Audit-Berichte solltest du immer gleichermaßen sorgsam durcharbeiten – denn selbst Auditoren können Fehler machen. Quelle: Adobe Stock, Urheber: Bits and Splits

Wichtig ist dann, dass Du selbst nochmals einen eigenen Audit durchführst. Sollte es hier irgendwelche Ungereimtheiten geben, solltest Du immer das Gespräch mit dem Hersteller suchen. Insbesondere, wenn es sich nur um Details wie beispielsweise kleinere Vertragsverletzungen handelt, ist es oft möglich, eine für beide Seiten gütliche Einigung zu erzielen. Hier musst Du immer bedenken, dass es jedem Hersteller daran gelegen ist, einen Kunden zu behalten und ihn nicht dadurch zur Konkurrenz zu treiben, weil er unbotmäßig hart auf etwas reagiert, das bei ehrlicher Betrachtung kein böswilliger, großmaßstäblicher Lizenzverstoß ist, sondern nur eine kleine Nachlässigkeit. 

Fazit

Software-Audits nehmen heutzutage für kleinere und selbst kleinste Betriebe deutlich zu. Wichtig ist vor allem, dass die meisten Software-Firmen dazu ein vertragsgemäß vereinbartes Recht haben. Letztendlich hat niemand etwas zu befürchten, der sich einfach an die Lizenzbedingungen hält. Aus diesem Grund empfehlen wir Dir dringend, immer bei der Lizenzierung einen Experten einzuschalten – denn die Strafen können nicht nur empfindlich, sondern sogar unternehmensschädigend sein.