Herr Dr. Thalhofer, was gilt es im Rahmen eines Audits bezüglich der Wahrung von Betriebsgeheimnissen und Datenschutz zu beachten?
Beim Datenschutz haben wir ja seit dem 25. Mai 2018 die DSGVO (Datenschutz-Grundverordnung) als neue sehr strenge, europaweit harmonisierte Regelung, die von jedem Unternehmen in der EU zu beachten ist. Wenn Sie im Rahmen eines Audits als Lizenznehmer einem Softwareunternehmen Zugriff auf Ihre Systeme gewähren und dies dazu führt, dass dieses Unternehmen personenbezogene Daten einsehen kann oder sogar mit den Auditdaten zu sich übermittelt, ist dies nach der DSGVO erst einmal eine rechtfertigungsbedürftige Datenverarbeitung. Wenn Sie das datenschutzrechtlich prüfen, werden Sie sehr häufig zu dem Ergebnis kommen, dass eine solche Rechtfertigung für eine Datenübermittlung an einen Dritten nicht gegeben ist. Somit beginge der Lizenznehmer einen Datenschutzverstoß.
Bei den Betriebs- und Geschäftsgeheimnissen sind zwei Aspekte zu beachten: Sind auf den Systemen Betriebsgeheimnisse Dritter, die z.B. einem Non-Disclosure Agreement, also einer Vertraulichkeitsvereinbarung mit einem Vertragspartner unterliegen, besteht die Gefahr, dass der Lizenznehmer diese Vereinbarung verletzt und sich dadurch schadensersatzpflichtig macht oder sogar eine Vertragsstrafe zu zahlen hat – je nach den Bestimmungen der jeweiligen Vertraulichkeitsvereinbarung.
Auch ein Abfluss eigener Geschäftsgeheimnisse zum Softwarelizenzgeber mag im Einzelfall unerwünscht sein. Die Softwarenutzung kann – soweit sie nicht den Lizenzvertrag betrifft – ebenfalls ein Geschäftsgeheimnis sein, das man nicht unbedingt jedem preisgeben will. Also ist auch der Schutz eigener Geschäftsgeheimnisse ein wichtiger Bereich, für den man im Audit Regelungen finden sollte.
Kann man als Unternehmen eventuell sogar einem Audit entgehen, indem man sich auf die Wahrung von Datenschutz und Betriebsgeheimnissen beruft?
Ja, das mag eine Verteidigungsstrategie sein. Im Ergebnis werden die Softwarehersteller aber daraufhin entsprechende Maßnahmen ergreifen, die verhindern, dass personenbezogene Daten einbezogen werden, z.B. indem sie mit einem automatisierten Softwaretool nur die Softwarenutzung ohne Aufzeichnung der jeweiligen Namen auslesen. Oder man trifft gemeinsam Maßnahmen zum Schutz personenbezogener Daten. Dass es ein Grund wäre, den Audit komplett abzusagen, halte ich für eher unwahrscheinlich, es sei denn, ein Kunde führt tatsächlich die Auseinandersetzung und stellt die Frage nach der Wirksamkeit einer Auditklausel. Das ist aber nach meinem Erfahrungsstand eher selten bis gar nicht der Fall, was auch der Grund dafür sein mag, weshalb die Wirksamkeit dieser Klauseln bisher gerichtlich nicht sicher festgestellt ist.
Das Softwareunternehmen kann einen Partner mit der Ausführung eines Audits beauftragen. Auch Oracle tut dies mitunter. Was gilt es in einem solchen Fall zu beachten?
Hierbei ist wichtig, dass zwischen einem solchen Partner und dem Lizenznehmer in aller Regel kein Vertragsverhältnis besteht. Hier sollte man sicherstellen, dass der Partner mit einem Non-Disclosure Agreement separat zur Vertraulichkeit verpflichtet wird. Darüber hinaus gilt es, sich zu vergewissern, dass es sich bei dem Partner um ein integres Unternehmen handelt, bei dem man weiß, dass die entsprechenden Informationen auch sicher sind. Wenn das nicht der Fall ist, sollte man entsprechend auf Oracle zugehen, so dass ein anderer Partner ausgewählt wird.
Eine Frage, die sich vielen Unternehmen stellt, ist der Umgang mit installierter, aber nicht genutzter Software. Inwieweit besteht hier eine Lizenzierungspflicht?
In diesem Fall müssen Sie die Regelungen des jeweiligen Lizenzvertrages prüfen und auslegen, da es sich hierbei um eine rein vertragliche Frage handelt. Tatsächlich sind die Lizenzverträge an dieser Stelle oft ziemlich unklar, so dass es über deren Auslegung viel Streit gibt. Konkret ist das bei Nutzung von Oracle mit VMware immer wieder ein Thema. Wobei Oracle die Auffassung vertritt, dass auch virtuelle Maschinen, auf denen Oracle-Software praktisch nicht läuft, aber laufen könnte, einer Lizenzierungspflicht unterliegen. Nach meinem Dafürhalten gibt der lizenzvertragliche Text, den Oracle zurzeit in diesem Bereich verwendet, dies aber nicht her, so dass die Kunden hier häufig eine juristisch fundierte Verteidigungsstrategie gegen solche Nachlizensierungsfragen entwickeln können. Das ist aber sehr stark einzelfallabhängig. Das kann bei anderen Softwareherstellern und anderen Lizenzverträgen völlig anders zu beurteilen sein.
Es werden immer wieder Stimmen laut, die den Herstellern vorwerfen, Audits vorrangig als Geschäftsmodell, als zusätzliche Einnahmequelle zu betreiben. Was halten Sie von diesem Vorwurf?
Das mag bei einzelnen Softwareherstellern der Fall sein, und wir haben auch schon in verschiedenen Auditstreitverfahren erlebt, dass gerade, wenn es um die Verbesserung der Zahlen zum Quartalsende geht, sehr stark auf die kommerziellen Aspekte geschaut wird. Gleichzeitig sind viele Softwareverträge auch so komplex, dass sie kaum jemand versteht – auch das mag vereinzelt Teil eines Geschäftsmodells sein. Am Ende liegt es aber auch am Lizenznehmer, d.h. die Kunden sollten sich bei der Auswahl ihrer Softwareprodukte die Lizenzbedingungen und dazugehörigen Auditklauseln anschauen und die Frage, ob diese fair sind, schon vor Vertragsabschluss mitberücksichtigen. Es besteht ja keine Verpflichtung, ein bestimmtes Produkt zu nehmen. Man kann vielleicht auf ein Konkurrenzprodukt setzen, das bessere und transparentere Lizenzbedingungen bietet.
Der Besichtigungsanspruch leitet sich aus dem BGB ab. Sind die in diesem aus dem 19. Jahrhundert stammenden Gesetzbuch festgehaltenen Regelungen noch zeitgemäß? Oder bedarf es neuer Gesetze in Zeiten der Digitalisierung?
Nach meiner Auffassung bieten das BGB und das UrhG trotz ihres Alters auch im Softwarebereich, für den sie ja ursprünglich nicht gemacht wurden, weiterhin einen vernünftigen Interessenausgleich zwischen Lizenzgeber und -nehmer. Für die Prüfung nach §101 UrhG muss grundsätzlich eine hinreichende Wahrscheinlichkeit einer Urheberrechtsverletzung vorliegen. Wenn es wirklich einen Verdacht auf Urheberrechtsverletzung gibt, bietet das Gesetz dann aber sogar Möglichkeiten, hier im Rahmen des einstweiligen Rechtschutzes einen sofortigen Zugriff zu machen, so dass auf Seiten des Lizenznehmers nichts verschleiert werden kann. Das sehe ich nach wie vor als vernünftigen Interessenausgleich an.
Ferner kann man die Thematik auch sehr gut über vertragliche Klauseln abdecken, und es zeigt sich ja auch, dass die Vertragspraxis mit den Audits dank entsprechender Abwehrmechanismen auf Seiten der Lizenznehmer sowie entsprechender Praktiken der Hersteller mit der jetzigen Gesetzeslage eigentlich ganz gut zurechtkommt. Ich halte daher eine Gesetzesänderung nicht für zwingend notwendig.
Herr Dr. Thalhofer, vielen Dank für das Gespräch.
Den ersten Teil des Interviews lesen Sie hier. Dr. Thalhofer ist Mitglied des DOAG Legal Council.
