Rechts-Check Software-Audits: Grenzen und Folgen der Verweigerung

Autor / Redakteur: Sven Hunzinger* / Julia Moßner

Während es früher nur Großunternehmen traf, werden heute auch kleinere Unternehmen damit konfrontiert. Die Rede ist von Software-Audits, die alle großen Softwarehersteller durchführen (wollen). Inwieweit Kunden dem Druck der Anbieter nachgeben müssen, erklärt der folgende Beitrag.

Firma zum Thema

Software-Audits sind unter bestimmten Voraussetzungen zulässig.
Software-Audits sind unter bestimmten Voraussetzungen zulässig.
(Bild: Pexels)

Software-Audits begegnet man häufig auch unter den Begriffen „Lizenzplausibilisierung“, „Lizenzüberprüfung“, „Vermessung“ oder „Nachprüfung der Vertragserfüllung“. Gemeint ist aber immer das Gleiche. Der Softwarehersteller will prüfen, ob die erworbene Software im vertraglichen Umfang genutzt wird oder möglicherweise eine Unterlizenzierung vorliegt. Im Folgenden wird geklärt, inwieweit der Kunde dem Druck der Softwarehersteller nachgeben muss.

1. Am Anfang steht die Selbstauskunft

Dem Kunden wird zunächst erklärt, dass die Teilnahme an dieser Überprüfung keineswegs auf freiwilliger Basis erfolge, der Softwarehersteller hierzu aufgrund der vertraglichen Regelungen im Lizenzvertrag vielmehr verpflichtet sei. Meistens kommen die Kunden dieser Audit-Aufforderung des Softwareherstellers nach und beginnen zunächst damit, eine Selbstauskunft nach Wünschen des Softwareherstellers durchzuführen, die teilweise aus einer Excel-Tabelle („deployment summary“) aber mitunter auch aus einem vom Softwarehersteller bereitgestellten Software-Tool (Selbstvermessung) besteht.

Dieses interne Audit bereitet aber meist erhebliche Schwierigkeiten, da die Lizenzbedingungen der Softwarehersteller ständigen Änderungen unterliegen und oft unverständlich gestaltetet sind. Die Folge sind regelmäßig „Ungereimtheiten“ in der Selbstauskunft, die dann zum eigentlichen Software-Audit, nämlich einer Prüfung vor Ort in den Räumlichkeiten des Kunden führen. Im Rahmen dieser Vor-Ort-Prüfung – meist durch eine Wirtschaftsprüfungsgesellschaft – wird dann jeder PC und jeder Server auf die tatsächliche und die vertragliche Nutzung abgeglichen. Das Ergebnis ist eine hohe Rechnung für aus Sicht des Softwareherstellers erforderliche Nachlizenzierungen und die Audit-Kosten.

2. Darf der Softwarehersteller den Kunden überhaupt prüfen?

Doch sind solche vertraglichen Regelungen zu einem Audit-Recht überhaupt bindend? Muss der Kunde tatsächlich ein Software-Audit durch den Softwarehersteller durchführen lassen?

Die Klauseln zum Software-Audit sind regelmäßig in den Standardverträgen der Softwarehersteller enthalten und unterliegen dadurch einer Inhaltskontrolle nach den §§ 305 ff. BGB. Maßgeblich ist hier § 307 BGB, der eine Klausel für unwirksam erklärt, wenn sie den Vertragspartner entgegen den Geboten von Treu und Glauben unangemessen benachteiligt und insbesondere nicht mit wesentlichen Grundgedanken einer gesetzlichen Regelung vereinbar ist. Eine gesetzliche Regelung existiert hier tatsächlich, nämlich in Gestalt von § 101a UrhG. Sie gewährt einem Urheberrechtsinhaber – also beispielsweise dem Softwarehersteller – ein Recht auf Vorlage von Urkunden und auch Besichtigungen, soweit kumulativ

  • die hinreichende Wahrscheinlichkeit einer Urheberrechtsverletzung besteht,
  • die vertraulichen Informationen des Kunden ausreichend geschützt werden,
  • die beabsichtigten Maßnahmen insgesamt verhältnismäßig sind.

Die Vorschrift des § 101a UrhG stellt damit den Inhaber von Urheberrechten über alle anderen Anspruchsinhaber, denen eine solche Spezialnorm nicht zur Seite steht. Diese Privilegierung des Urhebers führt daher dazu, dass die Vorschrift eng auszulegen ist. Hieraus folgt dann auch, dass bei der Kontrolle einer Audit-Klausel nach § 307 BGB jede Abweichung von diesen gesetzlichen Grundgedanken des § 101a UrhG zur Unwirksamkeit der Klausel führt.

Gerichtliche Streitigkeiten sind im Bereich der Software-Audits allerdings eine Seltenheit, sodass bislang nahezu keine Rechtsprechung zur Zulässigkeit von Audit-Klauseln existiert. Zudem variieren die einzelnen Klauseln der Softwarehersteller stark und werden häufig in Details geändert. Es lassen sich aber folgende grundsätzliche Maßstäbe für die Kontrolle einer Audit-Klausel festhalten:

3. Grenzen eines Audits

Selbst unter der Prämisse, dass die Audit-Klausel nach den oben aufgeführten Maßstäben wirksam ist, muss aber im zweiten Schritt geprüft werden, ob nicht die inhaltliche Ausgestaltung, also der Ablauf des Software-Audits, zur Unwirksamkeit der Klausel führt. Auch dies folgt wieder aus den gesetzlichen Grundgedanken des § 101a UrhG, nämlich der Verhältnismäßigkeit und dem Vertraulichkeitsschutz. Die Audit-Klausel darf daher nicht dazu führen, dass der gesamte Geschäftsbetrieb vorübergehend eingestellt werden muss.

Ferner unterliegt fast jedes Unternehmen Vorschriften zum Schutz von Daten: So muss nach § 17 UWG der Schutz von Geschäfts- und Betriebsgeheimnisses gewahrt und gegebenenfalls der Geheimnisschutz nach § 203 StGB beachtet werden. Darüber hinaus gibt es häufig auch vertragliche Verpflichtungen – sogenannte non-disclosure agreements – des Software-Kunden gegenüber Dritten. Zuletzt müssen die Software-Kunden auch das Datenschutzrecht beachten, denn insbesondere durch ein Vor-Ort-Audit besteht das Risiko, dass auch Mitarbeiter- und Kundendaten verarbeitet werden, wofür regelmäßig eine Rechtsgrundlage fehlen wird.

Allein die Tatsache, dass das Software-Audit durch zur Verschwiegenheit verpflichtete Wirtschaftsprüfer durchgeführt werden soll, führt hier noch nicht zur Wirksamkeit der Klausel. Denn soweit der Wirtschaftsprüfer durch den Softwarehersteller beauftragt wird, ist er im Grundsatz nur gegenüber Dritten zu Verschwiegenheit verpflichtet, darf aber dem Softwarehersteller als Kunden selbstverständlich Auskunft geben. Die Klausel muss daher auch diesen Umstand berücksichtigen.

Die Audit-Klausel des Softwareherstellers kann daher auch aus folgenden Gründen unwirksam sein:

  • keine angemessene Ankündigungsfrist („jederzeit“ ⇔ „30 Tage im Voraus“),
  • keine Beschränkung auf übliche Geschäftszeiten,
  • keine Begrenzung der Anzahl der Audits („nach eigenem Ermessen ⇔ „einmal im Jahr“),
  • keine Regelungen zum Geheimnis- und Datenschutz,
  • nur allgemeine Regelung zum Geheimnisschutz („Vertraulichkeit wird Rechnung getragen“),
  • Geheimnisschutz durch Beauftragung abhängiger Wirtschaftsprüfer.

4. Folgen der Verweigerung

Die mögliche Unwirksamkeit einer Audit-Klausel wirft dementsprechend die Frage auf, welche Folgen es hat, wenn der Software-Kunde die Aufforderung zur Durchführung eines Software-Audits im Betrieb des Kunden verweigert oder ignoriert.

Softwarehersteller haben kein Interesse daran, gerichtlich gegen die eigenen Kunden vorzugehen. Rechtsprechung zu Audit-Klauseln und der gerichtlichen Durchsetzung von Besichtigungen oder Nachlizenzierungen existiert daher kaum. Denn ein solches Verfahren birgt neben den Verlust des Kunden auch für den Softwarehersteller erhebliche Risiken, weil nicht nur die Unwirksamkeit der Audit-Klausel festgestellt werden könnte, sondern auch die wirksame Einbeziehung der Lizenzbedingungen (§ 305 Abs. 2 BGB, § 310 Abs. 1 BGB) und die Wirksamkeit von Nachlizenzierungsklauseln (§§ 307 ff. BGB) häufig zweifelhaft ist. Es ist daher durchaus möglich, dass die Verweigerung der Teilnahme am Software-Audit (zunächst) keine Folgen hat.

Aus der Praxis sind allerdings auch Fälle bekannt, in denen Softwarehersteller die Rechte aus § 101a UrhG wahrnehmen und dies auch im Wege einer einstweiligen Verfügung (§§ 935 ff. ZPO) ohne vorherige gerichtliche Anhörung der Kunden durchsetzen. In der Folge wird der Software-Kunde völlig unvorbereitet meist durch einen gerichtlich bestellten Sachverständigen auf die Anzahl der genutzten Software-Kopien geprüft. Wie gesagt, für einen solche Vorlage- und Besichtigungsanspruch ist aber stets die „hinreichende Wahrscheinlichkeit“ einer Urheberrechtsverletzung notwendig. Die Rechtsprechung verlangt hierfür, dass die Vor-Ort-Besichtigung nur das letzte Puzzle-Stück sein darf, um einen Anspruch auf Nachlizenzierung beweisen zu können:

MERKE: „Der Nachweis der Voraussetzungen des Anspruchs, dessen Bestehen durch die Vorlegung (Besichtigung) endgültig geklärt werden soll, muss bereits bis zu einem Punkt erbracht sein, an dem nur noch die Besichtigung fehlt, um letzte Klarheit zu schaffen“ (BGH 8.1.85, X ZR 18/84, MDR 85, 579; auch BGH 2.5.02, I ZR 45/01, MDR 03, 167).

Es müssen also mit anderen Worten konkrete Anhaltspunkte bestehen, die für eine Unterlizenzierung sprechen. Es reicht dementsprechend nicht aus, dass der Softwarehersteller lediglich vorträgt, dass möglicherweise eine Unterlizenzierung vorliegt (BT-Drucks. 16/5048, S. 40). Ebenso wenig genügt es den Anforderungen für eine hinreichende Wahrscheinlichkeit, wenn

  • Dritte eidesstattlich versichern, dass sie keine Lizenzen „gesehen“ haben (KG Berlin 11.8.00, 5 U 3069/00, NJW 01, 233);
  • Dritte eidesstattlich versichern, dass selbstgebrannte CDs verwendet werden (KG Berlin 11.8.00, 5 U 3069/00, NJW 01, 233);
  • grundsätzlich zulässige Gebrauchtsoftware (EuGH 3.7.12, C-128/11) eingesetzt wird;
  • die Anzahl der Mitarbeiter und Anzahl der erworbenen Software-Lizenzen auseinanderfallen.

Anders kann (!) die Lage aber zu beurteilen sein, wenn

  • Mitarbeiter des Software-Kunden eidesstattlich versichern, dass keine Lizenzen vorliegen,
  • im Rahmen einer Selbstauskunft bewusst falsche/lückenhafte Angaben gemacht werden,
  • unzählige Supportanfragen von unberechtigten Nutzern beim Softwarehersteller aufkamen,
  • durch (zulässige) Meldesysteme des Softwareherstellers eine Übernutzung gemeldet wird.

5. Praxisempfehlung

Softwareherstellern geht es bei dem Software-Audit letztlich darum, die Umsätze durch den Verkauf von weiteren Lizenzen bei Bestandskunden zu steigern. An einer gerichtlichen Durchsetzung besteht daher in der Regel auf beiden Seiten kein Interesse. Es sollte daher zunächst eine Regelung im Einvernehmen mit dem Software-Anbieter gesucht werden. Software-Audits sollten nicht ungesehen nach den Wünschen des Software-Anbieters zugelassen werden, aber umgekehrt ist auch davon abzuraten, Aufforderungen zur Durchführung eines Software-Audits komplett zu ignorieren.

Es sollte vielmehr vor einer Antwort an den Softwarehersteller zunächst intern beim Software-Kunden eine Lizenzplausibilisierung durchgeführt werden, um die möglichen Risiken abschätzen zu können. Nach einer Prüfung der Software-Audit-Klausel nach den §§ 305 ff. BGB kann sich häufig ein Software-Audit komplett verhindern oder zumindest auf eine Selbstauskunft gegenüber dem Softwarehersteller beschränken lassen.

Gab es bereits ein Software-Audit, muss auch die vom Softwarehersteller geforderte Nachlizenzierung kritisch geprüft werden. Denn die Nachlizenzierungs-Berechnung des Softwareherstellers muss keineswegs richtig sein, nur weil er vermeintlich tiefer in der Materie steckt. Hier wird teilweise von (neuen) Lizenzbedingungen ausgegangen, die auf den Software-Kunden gar keine Anwendung finden oder es werden Kosten für das Software-Audit in Rechnung gestellt, deren Zulässigkeit zweifelhaft ist.

*Sven Hunzinger ist Rechtsanwalt und arbeitet für die Kanzlei SBR Schuster & Partner Rechtsanwälte mbB in Düsseldorf.

Weiterführende Informationen Den vollständigen Beitrag finden Sie auf dem Portal DR Digitalisierung und Recht von unserem Partner-Verlag IWW-Institut.

(ID:45217869)