Keine Panik vor dem Software-Audit!

Lizenzmanagement: vorbeugen und die Nerven bewahren

| Autor / Redakteur: Torsten Boch, Markus Oberg / Andreas Donner

Software-Audits sind riskant und werden tendenziell zunehmen. Unternehmen sollten dennoch mutig an das Thema herangehen!
Software-Audits sind riskant und werden tendenziell zunehmen. Unternehmen sollten dennoch mutig an das Thema herangehen! (Bild: © Robert Kneschke - stock.adobe.com)

Lizenzmanagement ist keine exakte Wissenschaft. Im weitesten Sinne ist es eine juristische Disziplin, denn die Lizenzbedingungen werden von Juristen formuliert. Die Abbildung des Formulierten in der Technik ist nicht immer klar und eindeutig. Die Herausforderung besteht dementsprechend darin, das geschriebene Wort abzugleichen mit dem, was an Software im Unternehmen im Einsatz ist.

Dieser Abgleich zwischen den juristisch formulierten Lizenzbedingungen und dem Ist-Zustand im Unternehmen kann auf vielerlei Arten geschehen. Daher bleibt stets eine Unschärfe, die es zu bewerten gilt. Eine hundertprozentige Genauigkeit ist eine Illusion. Nie können alle technischen Daten wasserdicht abgebildet werden. Stets muss damit gerechnet werden, dass es am Ende zu Diskussionen kommt, schon allein aufgrund der Komplexität der Sachverhalte.

Lizenzmanagement geht nicht im Alleingang

In vielen Unternehmen versucht der Lizenzmanager, sich allein um die Thematik zu kümmern. Das funktioniert leider nicht. Lizenzmanagement ist eine Querschnittsfunktion, die ein Team benötigt. Die Organisation muss involviert sein; die richtigen Personen müssen identifiziert und ihnen die richtigen Rollen und Verantwortlichkeiten zugewiesen werden. Zudem müssen die Daten und Prozesse des Lizenzmanagements mit der Organisation im Unternehmen verknüpft werden. Insbesondere sämtliche Prozesse, die sich mit Veränderungen beschäftigen. Unternehmen sind ständig in Bewegung und diese Veränderungen sollten mit dem Lizenzmanagement synchronisiert werden. Das ist oft nicht der Fall. Das heißt, Lizenzmanager sind in solchen Fällen allein auf die Daten angewiesen. Das funktioniert ein Stück weit, nimmt aber zu einem großen Teil die Möglichkeit, proaktiv einzugreifen.

Spielregeln sind notwendig

Ähnlich wie bei einer Buchführung, für die jeder einzelne Beteiligte die Spielregeln kennen und danach agieren muss, gilt auch für das Lizenzmanagement: Die gesamte Organisation muss informiert, beraten und unterstützt werden. Ein Software-Asset-Manager muss die Spielregeln definieren, diese aktuell halten und kommunizieren.

Beispiele: Es gilt zu definieren, wie der Prozess für die Anforderung von Software durch die Anwender laufen soll. Auch wie der Einkaufsprozess aussieht, muss geregelt werden. Genauso wie die Frage „wie werden Lizenzen eingekauft, wer darf das?“ Dies gilt auch für den Umgang mit Stammdaten. Was passiert, wenn die Organisation umstrukturiert wird, wenn es Kostenstellenveränderungen gibt, wenn sich die Beteiligungsverhältnisse ändern? Das Software Asset Management sollte stets eingebunden sein. Und nicht zuletzt, wenn es Spielregeln gibt, ist es eine Überlegung wert, inwieweit die Verletzung der Spielregeln sanktioniert wird.

Prioritäten setzen

Unternehmen haben unzählige Softwareprodukte von unterschiedlichen Herstellern im Einsatz. Der Überblick geht schnell verloren. Eine Roadmap festzulegen ist daher hilfreich, ebenso wie die Klarstellung, welchen Themen man sich nicht widmen will. In der Regel erfolgt die Bearbeitung herstellerspezifisch oder produktspezifisch.

Die Prioritäten sind in jedem Unternehmen andere: Vertragsverlängerungen stehen an, zu hohe Kosten bei einem Hersteller, etc. Kleine Schritte zu planen und abzuarbeiten ist besser, als das Vorgehen nach dem Wasserfall-Prinzip: Excel-Listen ungeprüft in ein neues System zu überführen ist riskant. Zu viele nicht validierte Daten in einem SAM-Tool (SAM: Software Asset Management) anzuhäufen ist nicht empfehlenswert. Es ist auch sehr schwierig, alle Hersteller und alle Produkte durch aktives Lizenzmanagement abzubilden. Die Praxis zeigt, die Anzahl der Hersteller ist so groß, dass es auch langfristig weiße Flecken geben wird. Durch eine Corporate Governance bleibt der Überblick erhalten; finanzielle Risiken können besser eingeschätzt werden.

Herausforderung Datenqualität

Im Lizenzmanagement werden viele Daten aus unterschiedlichen Quellen zusammengezogen, technische Daten, kaufmännische Daten, Stammdaten. Hinzu kommt: Jede Datenquelle hat ihre Fehler. Wenn man diese zusammenführt, potenzieren sich die Fehler. Benötigt werden aber valide Daten. Daher ist es wichtig, falsche Daten direkt an der Quelle zu bekämpfen und die Verursacher in die Pflicht zu nehmen. Auch nach Veränderungen muss die Datenqualität noch stimmen. Und: Die Bestandsdaten am Beginn eines Projekts sind stets ein großes Problem. Sie stehen nicht umfassend und nicht spezifisch genug zur Verfügung.

Ergänzendes zum Thema
 
Über Matrix42

Verträge kommen vor der Technik

Verträge definieren die Spielregeln der Bilanzierung der Lizenzen. Daher kommt das richtige Verständnis über die geltenden Verträge vor der Aufarbeitung der Beschaffungshistorie. Erst wenn klar ist, wie und was gezählt wird, sollte man sich den technischen Daten widmen und diese mit den Verträgen in Einklang bringen. Obwohl Lizenzmanagement überwiegend aus Organisation besteht, sind Werkzeuge ein Muss, um dem großen Datenvolumen und der Dynamik im Unternehmen Herr zu werden. Allerdings: Die falschen Werkzeuge sind Zeitverschwendung. Ein SAM-Tool muss flexibel anpassbar und prozessunterstützend sein und eine umfassende Erfassung der Softwarewelten ermöglichen.

Weiße Flecken

Software findet auf Desktops, auf mobilen Geräten, in Rechenzentren und in der Cloud statt. SAM-Tools sollten daher diese ganze Vielfalt abdecken. Auch private Geräte und Geräte externer Lieferanten müssen mit einbezogen werden, wenn sie im Unternehmen genutzt werden. Und nicht zuletzt sollte jeder Lizenzmanager mit bislang unerkannter Software in den Fachbereichen rechnen.

Wenn der Audit-Brief kommt

Software-Audits sind zeitaufwendig und teuer. Sie sind mittlerweile zu einem Geschäftsmodell der Anbieter geworden. Rein rechtlich basieren sie auf dem Urheberrecht. Hersteller haben einen gesetzlichen Auskunftsanspruch, aber keinen Besichtigungsanspruch. Das setzt voraus, dass der Rechtsinhaber die Rechtsverletzung durch das Unternehmen glaubhaft machen muss. Zudem muss die Rechtsverletzung durch das Unternehmen in gewerblichem Ausmaß erfolgen. Das Auskunftsverlangen des Herstellers muss verhältnismäßig sein.

Ein verdachtsunabhängiges Audit lässt sich auf gesetzlicher Grundlage in der Regel nicht herleiten. Allerdings kann es sein, dass der Hersteller ein in den Lizenzbedingungen festgeschriebenes Audit-Recht ausübt. Die Audit-Klauseln in den Lizenzverträgen unterliegen jedoch der AGB-Kontrolle. Eine Audit-Klausel darf den Lizenznehmer nicht unangemessen benachteiligen und sie muss klar und verständlich sein. Damit eine Audit-Klausel gilt, muss sie folgenden Kriterien entsprechen:

  • Angemessene Ankündigungsfrist (5 Tage etwa sind zu wenig, 30 bis 40 Tage sind ausreichend)
  • Konkretisierung der Prüfinhalte und des Prüfumfangs – Sie müssen erkennen können, was auf Sie zukommt
  • Dauer und Anzahl der Audits
  • Beschränkung auf übliche Geschäftszeiten
  • Wahrung der Geschäftsgeheimnisse
  • Einhaltung datenschutzrechtlicher Vorgaben
  • Qualifikation und Verschwiegenheit der Auditoren
  • Regelung der rechtlichen Folgen einer Über- und Unterlizenzierung

Die Erfahrung zeigt, dass praktisch keine Audit-Klausel ausreichend klar formuliert ist und einer AGB-Prüfung standhält. Ist eine AGB-Klausel zum Teil unwirksam, dann wird sie im Ganzen unwirksam. Zu beachten ist dabei aber der so genannte Blue-Pencil-Test. Wird der unwirksame Teil weggestrichen, dann ist zu prüfen, ob der verbleibende Rest der Klausel einen eigenen Sinn ergibt. Wenn dem so ist, dann könnte es sein, dass die Klausel fortbesteht.

Reaktionen auf eine Audit-Aufforderung

Sind Unternehmen mit einem Audit konfrontiert, gibt es zwei grundlegende Einstellungen: Volle Abschottung, um das Audit nach Möglichkeit zu verhindern oder volle Kooperation.

Besser ist eine Strategie im Sinne von DEFCON 5-1, also eine sanftere Variante des Widerstands. Allerdings ist Vorsicht geboten, wenn eine „kontrollierte Konflikt-Eskalation“ angestrebt wird. Verweigerung kann in massiven Streit ausarten, was nicht förderlich ist. Folgende Software-Audit Strategien sollten abgewogen werden:

  • Bei Erhalt des Auditschreibens vollständig ablehnen
  • Erst ablehnen, um dann individuellen Ablauf zu verhandeln
  • Bei Kauf individuelle Audit-Klausel vereinbaren
  • Bei Kauf Audit-Klausel streichen
  • Stets freiwilliges True-Up durchlaufen
  • Verschiedenste Kombinationen davon

Es besteht zudem die Möglichkeit, eigene Audit-Klauseln zu verhandeln bzw. einen individuellen Audit-Ablauf zu vereinbaren, etwa nach dem Grundsatz: Vorrang der Selbstauskunft. Klar ist, nicht alles ist durchsetzbar, aber es geht um die Verhandlungsmasse und um die Ziele der Verhandlung.

Externe Auditoren

Wird das Audit von Dritten durchgeführt, sind diese üblicherweise vom Lizenzgeber bevollmächtigt. Für das auditierte Unternehmen ist es wichtig, Einsicht in den Auftrag zu erhalten, um sicherzugehen, dass dieser Dritte kein erfolgsabhängiges Honorar erhält. Zu beachten ist auch, dass diese Dritten keinen Vertrag mit dem Unternehmen haben. Ein solcher wäre aber empfehlenswert, um z.B. in Sachen Datenschutz Sicherheit zu schaffen.

Torsten Boch.
Torsten Boch. (Bild: Matrix42)

Markus Oberg.
Markus Oberg. (Bild: ProLicense / The Lighthouse Alliance)

Fazit

Software-Audits bleiben riskant. Sie werden tendenziell zunehmen, auch durch die Cloud. Unternehmen sollten mutig an das Thema herangehen, sich mit anderen austauschen und von den Erfahrungen anderer profitieren.

Über die Autoren

Torsten Boch ist Senior Product Manager bei Matrix42. Boch ist seit 2006 Produktmanager bei Matrix42 im Bereich „Compliance“ mit den Schwerpunkten License, Asset und Contract Management. Davor war er 15 Jahre als Entwickler, Berater und Projektleiter bei verschiedenen Unternehmen für die Gestaltung und den Einsatz von Standardsoftware verantwortlich. Er ist Diplom Betriebswirt mit einer Spezialisierung auf Steuer- und Handelsrecht sowie Bilanzierung und Buchführung.

Markus Oberg ist Partner und Business Development Manager bei ProLicense und Chairman Lighthouse Alliance. Zu seinen Spezialisierungen gehört neben den lizenzrechtlichen Fragestellungen bei M&A-Transaktionen der weite Bereich der Software Audits. Die strategische Planung von Audits und die Zusammenstellung und Koordination von Software Audit Response Teams (SAR-Teams) stehen dabei im Mittelpunkt.

Seit Dezember 2016 leitet Markus Oberg als Chairman das Startup-Projekt „The Lighthouse Alliance“. Dahinter verbirgt sich ein neues disruptives Modell für den radikalen und detaillierten Erfahrungsaustausch in Bezug auf Software Audits jeglicher Hersteller.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44814463 / Betriebssysteme und Netzwerk-Software)