Wirksames Management von Softwarelizenzen im Unternehmen dient der Kosteneffizienz und hilft Unterlassungs- und Schadensersatzansprüche zu vermeiden. Obwohl beim Lizenzmanagement Daten direkt beim und über den Mitarbeiter verarbeitet werden, klammert man datenschutzrechtliche Fragen in der Praxis aber oft aus.
Der Inhalt im Überblick
- Lizenzmanagement als Compliance-Aufgabe
- Sorgfaltspflicht nicht abwälzbar
- Installation bereits ausreichend
- Unnötige Kosten bei Überlizenzierung
- Art der Kontrolle
- Mitarbeiter-Datenschutz
- Eingriffsgrundlage für das Lizenzmanagement
- Datenschutzkonforme Ausgestaltung
- Vorabkontrolle
- Kontrolle der Mitarbeiter
- Beteiligung des Betriebsrates
- Lizenzmanagement und BYOD
- Fazit
Lizenzmanagement als Compliance-Aufgabe
Das Management von Lizenzen ist eine der Kernaufgaben der IT Compliance.
Denn die Nutzung von Software ohne entsprechende Nutzungsbefugnis ist grundsätzlich strafbar. Zusätzlich, und in der Praxis relevanter, drohen dem Unternehmen Abmahnungen, Nachzahlungen und Schadensersatz. Das gilt sowohl bei Übernutzung eigentlich berechtigt genutzter Software im Unternehmen (etwa durch mehr Arbeitsplätze als vertraglich eingeräumt) als auch bei Nutzung von Software ohne jegliche Lizenz.
Sorgfaltspflicht nicht abwälzbar
Im Rahmen der allgemeinen Compliance haben Unternehmen dafür Sorge zu tragen, dass ihre Mitarbeiter keine derartigen Urheberrechtsverstöße begehen. Zwar haftet primär der jeweilige Nutzer als „Täter“, daneben aber auch das Unternehmen selbst.
Die Verantwortung hier auf den Mitarbeiter zu schieben, geht aber wegen § 99 UrhG nicht:
Ist in einem Unternehmen von einem Arbeitnehmer oder Beauftragten ein nach diesem Gesetz geschütztes Recht widerrechtlich verletzt worden, hat der Verletzte die Ansprüche aus § 97 Abs. 1 und § 98 auch gegen den Inhaber des Unternehmens.
Installation bereits ausreichend
Das OLG Karlsruhe (Az.: 6 U 180/06) sah bereits in der bloßen Installation eine unerlaubte Vervielfältigung einer Software.
„Ob und in welchem Umfang diese in der Folge genutzt wird, ist unerheblich“.
Die Höhe der nachzuzahlenden Lizenzgebühren bestimme sich allein danach, welchen Preis die Beklagten hätten zahlen müssen, wenn sie die auf den Computern installierte Software legal erworben hätten. Zudem erging hier neben der zivilrechtlichen Urteil auch ein strafrechtliches Verfahren gegen den Geschäftsführer wegen strafbaren Urheberrechtsverstoßes gemäß §106 UrhG.
Unnötige Kosten bei Überlizenzierung
Zudem entstehen bei Überlizenzierung, d.h. Lizenzierung tatsächlich nicht (mehr) benötigter bzw. genutzter Software unnötige Lizenzkosten, die je nach Art der Software schnell erhebliche Summen ausmachen können.
Art der Kontrolle
Wie die erforderliche Lizenzkontrolle umgesetzt wird, steht dem Unternehmen frei und hängt in der Praxis meist von der Komplexität des Unternehmens und der Zahl der eingesetzten Software ab. Häufig lassen sich Softwarehersteller vertraglich das Recht einräumen, beim Unternehmen Audits zur Kontrolle der Lizenzen durchführen zu lassen – entweder selbst oder durch Wirtschaftsprüfer.
Mitarbeiter-Datenschutz
Werden hierzu Screening-Software oder Client Management Systeme eingesetzt, die automatisch Arbeitsplatzrechner und Laufwerksordner der Mitarbeiter hinsichtlich nutzungsabhängiger Lizenzen und etwaig unzulässig installierter Software untersuchen, stellen sich datenschutzrechtliche Fragen, die in der Praxis oft vernachlässigt werden.
Eingriffsgrundlage für das Lizenzmanagement
Es stehen hier die berechtigten Interessen der Mitarbeiter gegen ausufernde Kontrollen neben denen des Unternehmens sich gegen Ansprüche Dritter (Rechteinhaber) zu schützen und die ITK Systeme vor Fremdsoftware und die damit verbundenen Risiken zu schützen.
Insofern ist die Frage akademisch, ob man die Berechtigung des Unternehmens hier unter §32 BDSG („zur Durchführung des Beschäftigungsverhältnisses“) fasst oder unter die „Auffangnorm“ des §28 I Nr. 2 BDSG fasst. Denn letztlich wird eine Interessensabwägung regelmäßig zum Ergebnis gelangen, dass Interessen der Mitarbeiter nicht höherrangig als die des Unternehmens einzuschätzen sind.
Datenschutzkonforme Ausgestaltung
Zu beachten ist aber, dass das Verfahren selbst datenschutzkonform ausgestaltet ist. Dies bedeutet etwa, dass
- die erhobenen Mitarbeiterdaten grundsätzlich nur zu dem Zweck genutzt werden dürfen, zu dem sie erhoben worden sind,
- die Daten, soweit sie nicht mehr erforderlich gelöscht werden,
- die Kontrolle möglichst pseudonymisiert erfolgen sollte und
- das Lizenzmanagement nicht in eine Dauerüberwachung der Mitarbeiter ausartet.
Vorabkontrolle
Zudem sollte das Screening im Rahmen des Lizenzmanagements Verfahren als „Verfahren automatisierter Datenverarbeitung“ durch den Datenschutzbeauftragten im Wege einer Vorabkontrolle gem. §4d BDSG förmlich aufgenommen werden um sicherzugehen, dass die Rechte der betroffenen Mitarbeiter gewahrt sind.
Kontrolle der Mitarbeiter
Anders fällt die Bewertung aber aus, wenn alleiniges Ziel die Überwachung oder eine Verhaltens und Leistungskontrolle der Mitarbeiter durch Massenscreenings bezweckt ist. Denn unter dem Vorwand des Lizenzmanagements könnte theoretisch das Nutzungsverhalten der Mitarbeiter gezielt ausgewertet werden.
Eine dauerhafte Totalüberwachung der Mitarbeiter dürfte hier regelmäßig unverhältnismäßig und damit unzulässig sein. Analog zu § 32 I 2 BDSG bzw. der Rechtsprechung des BAG zur heimlichen Videoüberwachung (vgl. BAG Urteil vom 21.6.2012, 2 AZR 153/11), müssten zumindest folgenden Voraussetzungen gegeben sein:
- es besteht der konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers
- es sind weniger einschneidende Mittel zur Aufklärung des Verdachts ergebnislos ausgeschöpft, und das Screening stellt damit praktisch das einzige verbleibende Mittel dar und
- ist insgesamt nicht unverhältnismäßig.
Diese Kriterien hat das BAG dahingehend ergänzt, dass der Verdacht sich gegen einen zumindest räumlich und funktional abgrenzbaren Kreis von Arbeitnehmern richten muss. Auch darf der Verdacht keine allgemeine Mutmaßung darstellen, es könnten Straftaten begangen werden. Er muss sich jedoch nicht notwendig nur gegen einen einzelnen, bestimmten Arbeitnehmer richten. Im Hinblick auf die Möglichkeit einer weiteren Einschränkung des Kreises der Verdächtigen müssen weniger einschneidende Mittel zuvor ausgeschöpft worden sein.
Beteiligung des Betriebsrates
Zu beachten ist, dass das Verfahren als solches wohl nach § 87 Nr. 6 BetrVG mitbestimmungspflichtig ist. Dies gilt unproblematisch immer, wenn eine Leistungskontrolle bezweckt ist. Aber auch denn, wenn primär „nur“ das Lizenzmanagement zur Abwehr von Ansprüchen Dritter bezweckt ist, hat der Betriebsrat mitzubestimmen.
Zwar spricht das Gesetz davon, dass die Einführung und Anwendung von technischen Einrichtungen mitbestimmungspflichtig sind, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Allerdings lässt das Bundesarbeitsgericht für die Anwendbarkeit des §87 Nr. 6 BetrVG genügen, dass das Verfahren eine „objektiv eigenständige Überwachungswirkung“ hat.
Wenn aber Daten auf Laufwerksordner der Mitarbeiter über die verwendete Software erhoben, ausgewertet und ggf. die Software nach Art der Datei anschließend gelöscht wird, so muss wohl von einer Eignung des Verfahrens zur „Überwachung des Mitarbeiterverhaltens“ ausgegangen werden.
Lizenzmanagement und BYOD
Ist die Nutzung der ITK Systeme auf den betrieblichen Umfang beschränkt, lässt sich eine Lizenzmanagement datenschutzrechtlich relativ sauber umsetzen.
Schwieriger wird die Umsetzung allerdings dann, wenn den Mitarbeitern die Privatnutzung erlaubt oder dies geduldet ist. Denn hier greift der Scan der Laufwerksordner/Rechner möglicherweise auch in ausschließlich privat genutzte Bereiche und damit in grundrechtlich geschützte Bereiche der Mitarbeiter (vgl. instruktiv zum Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, BVerfG vom 27. Februar 2008, – 1 BvR 370/07 -, – 1 BvR 595/07 -).
In diesem Fall ist unbedingt eine klare Regelung im Rahmen einer Individualvereinbarung sowie Betriebsvereinbarung erforderlich, die Umfang und Art des Screening sorgfältig regeln. Der Mitarbeiter muss aufgeklärt werden, welcher Art der Scan seiner Ordner sein kann damit er sein Verhalten danach ausrichten kann, welche Daten er privat speichert.
Die Probleme potenzieren sich bei der Thematik BYOD, bei denen die Arbeitsmittel ja grundsätzlich ohnehin privat genutzt sind. Eine wirksame Kontrolle unter tatsächlicher Berücksichtigung der datenschutzrechtliche Belange der Mitarbeiter ist hier in der Praxis kaum möglich. Auch Zugriffsrechte der Lizenzgeber sind in diesem Fall kaum umsetzbar. Vorausssetzung ist hier in jedem Fall eine klare Trennung zwischen den dienstlichen und den privat genutzten Bereichen.
Fazit
Lizenzmanagement als Schutz gegen Ansprüche Dritter und Schutz gegen unberechtigte genutzte Software berechtigen Unternehmen zu weitreichender Kontrolle der Arbeitsplatzrechner und Laufwerkordner der Mitarbeiter. Allerdings ist das Verfahren datenschutzkonform auszugestalten.
Aus Datenschutzsicht sind hier aber zu beachten:
- Die Verarbeitung der Daten ist an den Zweck der Erhebung gebunden.
- Nur die erforderlichen Daten sind zu erheben und zu verarbeiten.
- Die Daten sind, soweit nicht mehr erforderlich zu löschen.
- Der Datenschutzbeauftragte ist zu beteiligen.
- Das Verfahren unterliegt einer Vorabkontrolle.
- Der Betriebsrat ist zu beteiligen.
- Etwaige Betriebsvereinbarungen zur Privatnutzung der ITK Systeme sind anzupassen.