Named-User und die Frage nach dem Lizenzverstoß

Risiken bei indirekter Nutzung von Software vermeiden

19.09.2017
Von 


Anton Hofmeier ist Chief Sales Officer bei thikproject. Davor verantwortete er als Regional Vice President die DACH-Region bei Flexera. Mit mehr als 20 Jahren Erfahrung in der IT-Branche betreute er dort mittelständische und große Kunden.
Es gibt nur wenig, was CIOs mehr Kopfzerbrechen bereitet als das Thema Softwarelizenzierung und anstehende Audits großer Softwarehäuser. Die Angst vor Compliance-Verstößen und hohen Nachzahlungen ist nicht ganz unbegründet - wie der Fall Diageo vs. SAP in Großbritannien zeigt.

Softwarelizenzverträge sind komplex. Anders als bei physischen Assets wie Computer, Bürostuhl oder Kaffeemaschine sind Softwareanwendungen nicht immer einfach zu inventarisieren und ihre Nutzung oft nur schwierig nachzuverfolgen. Der Trend zu mobilen Geräten und die immer stärkere Verlagerung in die Cloud schafft zusätzliche Komplexität. Wer nach Fusionen, Akquisitionen oder Neueinstellungen daher die Frage stellt, wer welche Softwareprodukte eigentlich noch aktiv nutzt, erhält nicht immer eine befriedigende Antwort.

Softwarelizenzmodelle sind oft sehr komplex und daher für den Kunden auf den ersten Blick nicht immer transparent.
Softwarelizenzmodelle sind oft sehr komplex und daher für den Kunden auf den ersten Blick nicht immer transparent.
Foto: Alfa Photo - shutterstock.com

Auch die Softwareanbieter machen es den CIOs mit ihren vielschichtigen Lizenzierungsmodellen nicht leicht, den richtigen Lizenztyp zu finden und die Lizenzrichtlinien bis ins Detail zu befolgen. Die Vertragsbedingungen und Nutzungsrechte sind komplex. In manchen Fällen befinden sich Nutzer in einer rechtlichen Grauzone oder sind sich des Risikos nicht bewusst und verstoßen so - oft unbeabsichtigt - gegen Lizenzbestimmungen. Wer welche Software wie und wo nutzen darf, wird dabei auf Basis unterschiedlicher Lizenzparameter festgelegt. Dazu zählen etwa die Zahl der Geräte, der Prozessoren in einem Server oder auch die Anzahl der sogenannten "Named-User".

Nutzungsrichtlinien - direkt, indirekt oder beides

Named-User-Lizenzen werden an eine begrenzte Anzahl von Nutzern namentlich vergeben. Die so lizenzierte Software kann dadurch von der eingetragenen Person vollumfänglich genutzt werden - egal ob diese beispielsweise von seinem Desktop-PC, seinem Smartphone oder Tablet darauf zugreift. In vielen Fällen entfällt zudem die Mindestabnahme von Lizenzen während die Nutzung der Software zudem kann die Einhaltung der Richtlinien besser rückverfolgt werden.

Prinzipiell verrät das Named-User Konzept sehr schnell, wenn eine Anwendung über die vereinbarten Vertragsbedingungen hinaus genutzt wird. In der Praxis herrscht jedoch nach wie vor oft Unsicherheit - vor allem wenn es um die indirekte Nutzung von Software geht. Sie führt immer wieder zu Differenzen zwischen Kunden und großen Softwarehäusern. Die Unternehmen sehen im Zugriff über Drittanbieter oft keine vertragserhebliche Nutzung oder eine Nutzung durch Drittsysteme, die nicht ausdrücklich im Lizenzvertrag ausgeschlossen ist.

Die Anbieter argumentieren anders: Zwar können Named User mit direktem Zugang auch über indirekte Anwendungen auf die Daten zugreifen. Alle weiteren Nutzer jedoch, die indirekt bzw. über Anwendungen von Drittanbietern Zugang erhalten, müssen dementsprechend zusätzlich lizenziert werden. Wenn die namentlich registrierten Nutzer mehrere indirekte Anwendungskonten besitzen, ist jedoch wiederum nur eine einzige Named-User-Lizenz für den Zugriff auf alle Systeme nötig.

Schnell wird klar: Für direkte und indirekte Nutzungsmodelle gibt es vielschichtige und komplexe Compliance-Vorgaben, die im Einzelfall Fragen aufwerfen, die nicht klar zu beantworten sind.

Einmal Nachzahlen bitte - unklare Lizenzmodelle bergen gefahren

Eine vorläufige Antwort erhielt Anfang dieses Jahres der britische Getränkehersteller Diageo. Das Unternehmen, das unter anderem Marken wie Guinness, Johnnie Walker und Smirnoff vertreibt, lizenziert seit 2004 mySAP Business Suite anhand einer bestimmten Anzahl von Named-Usern. 2011 bot Diageo schließlich seinen Kunden zwei Dienste von Salesforce.com an, die über die Schnittstelle SAP Process Integration (SAP PI) auf die mySAP-Implementierung des Getränkeherstellers zugreifen konnten. Diese Schnittstelle wurde lizenziert.

SAP jedoch argumentierte, dass für den Zugriff zusätzliche Lizenzen und Wartungsgebühren anfallen. Die geforderten Nachzahlungen der über 5.800 indirekten Nutzer beliefen sich auf insgesamt 54 Millionen Dollar - eine Summe, die nahezu der Gesamtsumme aller vorherigen Softwareprodukte und Services von SAP entspricht.

Dabei ging es um eine grundsätzliche Frage: Hatten mit der Zahlung der Lizenzgebühr für SAP PI die Vertriebsmitarbeiter und Kunden von Diageo das Recht, über Salesforce-Anwendungen auf SAP-Daten zuzugreifen? Oder benötigten sie dafür eine eigene Named-User-Lizenz von SAP?

Das Gericht bestätigte mit seinem Urteil letztendlich das indirekte Lizenzmodell von SAP und verurteile Diageo zur Nachzahlung. Der Grund: Laut Lizenzvertrag gilt als Abrechnungsgrundlage die Zahl der sogenannter "Named User". Nur diese dürften direkt oder indirekt auf die SAP-Anwendungen zugreifen. Weitere User, die über Drittanwendungen wie Salesforce zugreifen, fallen jedoch nicht in diese Kategorie und benötigen eine eigene Lizenz.

Welche Folgen das Urteil für Deutschland hat bleibt abzuwarten. Es gilt zu prüfen, inwieweit die international einheitlichen Lizenzbedingungen von SAP auch auf deutsches Recht zutreffen, auf welchem Weg die indirekte Nutzung erfolgt (zum Beispiel Schnittstelle, SAP-Code) und in welchem Umfang der Zugang genutzt wird. SAP hat auf der diesjährigen Kunden- und Partnerkonferenz SAPphire Now in Florida bereits angekündigt, neue Lizenz-Optionen für indirekte Nutzung zur Verfügung zu stellen. Die Preisgestaltung ist jedoch noch unausgereift und es bleiben essentielle Fragen offen.

Dieses Beispiel verdeutlicht wie vielschichtig und komplex eine Softwarelizenzierung sein kann. Wird sie zudem falsch interpretiert, können hohe Kosten für das Unternehmen entstehen.

Fazit

Grundsätzlich empfiehlt es sich für Unternehmen, genau zu prüfen, ob eine indirekte Nutzung von Software durch nicht-lizensierte Mitarbeiter vorliegt. Dazu gehört eine automatische Optimierung von Named-User-Lizenzen und Business-Paketen in Vorbereitung für etwaige Reports sowie die Definition von Transaktionsprofilen. Letztere kann als Grundlage dienen, um diese Nutzer zum Beispiel in einen anderen Lizenztyp umzuwandeln.

Darüber hinaus sollten beim Einsatz von Drittanwendungen alle indirekten Zugänge offengelegt werden können. Dabei lohnt sich ein ganz genauer Blick in die Rahmenbedingungen, die bei der Einbindung von Produkten Dritter gelten. Sind solche Prozesse erst einmal implementiert, lassen sich Nutzungsdaten genauer und zuverlässiger erfassen. Das verringert nicht nur Unsicherheiten und Risiken bei Fragen der Compliance, sondern erleichtert auch die Planung und Budgetierung. (hal)