Keine Angst vor SAM — Teil 2

Während der letzten Jahre riefen global aufgestellte Software-Hersteller wie Microsoft und Adobe viele Organisationen zu Lizenz-Plausibilisierungen auf oder führten Lizenz-Audits durch. Als Gründe dafür sind sinkende Umsätze wegen gesättigter Märkte, unerlaubt kopierte Software oder auch dubios gehandelte Lizenzschlüssel anzuführen. Jede IT-Abteilung sollte sich daher fragen: Würde meine Organisation einem Software-Audit, also einer eingehenden Überprüfung der vorhandenen Lizenzen eines großen Herstellers oder von diesem beauftragter Wirtschaftsprüfer standhalten?

In der Regel werden Unternehmen per Selbstauskunft zur sogenannten Lizenz-Plausibilisierung aufgefordert. Microsoft zum Beispiel bittet dafür um das Ausfüllen und Zurücksenden der sogenannten Deployment Summary Tabelle im Excel-Format. Wer die Aufforderung des Herstellers ignoriert, muss mit einer formalen Kontaktaufnahme von Microsoft rechnen.

Eine Lizenz-Revision beinhaltet eine nach Lizenzumfang und Nutzungsintensität gemessene Überprüfung der vorhandenen Software. Es wird ein Abgleich erstellt, ob die tatsächliche Nutzung der Software-Lizenzen mit der vertraglich vereinbarten übereinstimmt.

Das Sammeln der Informationen zum Ausfüllen der Tabelle ist mit einem nicht unerheblichen Aufwand verbunden. Doch um den Aufwand für eine saubere Dokumentation und Überwachung von vornherein so gering wie möglich zu halten, helfen praxistaugliche Tools wie LOGINventory. Den Großteil der für die Deployment Summary benötigten Informationen gewinnt LOGINventory.

Ein professionelles Lizenz-Management stellt dennoch nicht bloß eine einfache Datenbankapplikation dar. Dahinter steckt vielmehr ein kaufmännisch-technischer Optimierungsauftrag mit starkem Einfluss auf die Rechtssicherheit und die Bilanz des Unternehmens. Es regelt nicht nur Lizenzeinkäufe und die Einhaltung juristischer Vorgaben, sondern verschlankt Beschaffungs- und Wartungsprozesse.

Viele Hersteller haben in ihre Nutzungsbestimmungen (End User License Agreements; Software-Überlassungsverträge) Audit-Klauseln hinterlegt. Durch das Akzeptieren solcher Verträge, erklären die Nutzer sich einverstanden, dass ein Hersteller nicht nur bei einem konkreten Anlass (z.B. Verdacht auf Lizenzverstoß), sondern auch unabhängig davon eine Lizenzüberprüfung durchführen kann.

paragraphRechtssicherheit schaffen

Somit gewinnt das Thema Software-Audit aus Compliance-Gründen zunehmend Bedeutung, d.h. das Handeln in Übereinstimmung mit den geltenden Vorschriften, Standards und Regeln. Sollten in Ihrem Unternehmen z.B. Urheberrechtsverletzungen nachgewiesen werden, haftet – entgegen verbreiteter Meinung – nicht in jedem Fall nur die Geschäftsführung in zivilrechtlicher, strafrechtlicher und wirtschaftlicher Hinsicht. Juristische oder ökonomische Konsequenzen können sehr wohl auch den Compliance-Beauftragten treffen, an den das Thema Lizenzmanagement delegiert wurde und der dafür voll in der Verantwortung steht.

Der Compliance-Beauftragte ist verpflichtet, Rechtsverstöße im Unternehmen zu verhindern. Strafrechtlich trifft diesen Beauftragten damit die Garantenpflicht. Das heißt, das in Teil 1 erwähnte „Ich will das alles gar nicht so genau wissen“ ist ein „Begehen durch Unterlassen“, welches nach §13 StGB strafbar ist. Daher trifft die Geschäftsleitung eben nicht die volle Breitseite des Gesetzes. Unwissenheit und Desinteresse bieten somit weder für den einen noch für den anderen im Unternehmen ein Refugium.

Der BGH bestätigt mit einem Urteil (Aktenzeichen 5 StR 394/08) vom 17.07.2009 die strafrechtliche Verantwortlichkeit des Compliance Officers.

Urteilspassage 27: „Eine solche, neuerdings in Großunternehmen als „Compliance" bezeichnete Ausrichtung (…) wird im Wirtschaftsleben mittlerweile dadurch umgesetzt, dass so genannte „Compliance Officers" geschaffen werden (…). Deren Aufgabengebiet ist die Verhinderung von Rechtsverstößen, insbesondere auch von Straftaten, die aus dem Unternehmen heraus begangen werden und diesem erhebliche Nachteile durch Haftungsrisiken oder Ansehensverlust bringen können (…). Derartige Beauftragte wird regelmäßig strafrechtlich eine Garantenpflicht im Sinne des § 13 Abs. 1 StGB treffen, solche im Zusammenhang mit der Tätigkeit des Unternehmens stehende Straftaten von Unternehmensangehörigen zu verhindern. Dies ist die notwendige Kehrseite ihrer gegenüber der Unternehmensleitung übernommenen Pflicht, Rechtsverstöße und insbesondere Straftaten zu unterbinden (…).

Dass sich Unternehmen nicht in Übereinstimmung mit den rechtlichen Vorschriften wiederfinden, kann laut BSA folgende Gründe haben:

  • Unbeschränkter Internet-Zugriff ermöglicht den Mitarbeitern die Installation und Nutzung unlizenzierter Software;
  • Es gibt keine klar definierten Richtlinien, die den Einsatz unlizenzierter Software verhindern, z.B. wenn eine Software mehrfach kopiert und installiert wird;
  • Software wurde über nicht autorisierte Kanäle erworben oder von zuhause auf portablen Speichermedien mitgebracht (CD, DVD, USB-Stick);
  • Firmenübernahmen fanden statt, ohne dass geklärt wurde, welche Software-Lizenzen dabei den Besitzer wechselten und ob die Software überhaupt einwandfrei lizenziert wurde;
  • Die auf ausrangierten oder auf Reserve-Computern (Hardware-Lager) installierte Software wurde schlichtweg vergessen;
  • Es ist kein Software Management Programm implementiert bzw. das Netzwerk wird nur sporadisch gescannt.

 


Im nächsten Teil 3 wird erläutert, warum Sie Ihr Lizenz-Management als dauerhaften Prozess implementieren sollten.