Über 35 Jahre SPECTRUM-Historie

2016

Dieses Jahr hatten wir eine besondere Betriebsprüfung: Ein Audit von Microsoft

Das Jahr 2016 war bei SPECTRUM durch eine ganz besondere „Betriebsprüfung“ geprägt - nicht vom Finanzamt - nein Microsoft hat uns geprüft!

Im Rahmen unseres ASP-Geschäfts berechnen wir ja unseren Kunden die Mietlizenzen z.B. für MS-Office und wir haben hierfür ein sogenanntes Microsoft-Services-Provider-License-Agreement (SPLA). Ähnlich wie bei der monatlichen Umsatzsteuer-Voranmeldung müssen wir hier auch monatlich jeweils eine Meldung an Microsoft machen, nur dass diese schon bis zum Dritten eines jeden Monats erfolgen muss, wir nicht bis zum zehnten warten dürfen und dass es hier bei Microsoft auch keine Dauerfristverlängerung gibt. Diese Lizenzgebühren sind bei SPECTRUM mit fast einer Mill. Euro pro Jahr auch die höchsten „Steuern“ die wir jährlich zu entrichten haben.

Im April d.J. erreichte uns dann ein nettes Schreiben von Microsoft, in dem es u.a. hieß:

„Microsoft ist bestrebt, Sie als Partner beim korrekten Einsatz der genutzten Produkte und beim Lizenz-Management zu unterstützen. SPECTRUM ist nach dem Zufallsprinzip für eine Plausibilisierung ausgewählt worden, mit der Microsoft sicherstellen möchte, dass alle SPLA Partner ein klares Verständnis der Verträge, der Einsatzmöglichkeiten und der Verwaltung der Produktlizenzen haben“.

Vielleicht sollte man diesen Text einmal als Vorlage an die Finanzbehörden geben, damit auch die werbetechnisch ausgefeilter zur nächsten Steuerbetriebsprüfung einladen können.

Microsoft hat dann zur Überprüfung unserer Lizenz-Meldungen die Wirtschaftsprüfungs-Gesellschaft KPMG beauftragt und man nennt dies dann Software-Asset-Management (SAM). KPMG hat hierfür extra eine Abteilung für IT-Compliance + Contract-Governance-Service – alles tolle Begriffe, oder? - in der alleine in Deutschland über 40 Leute beschäftigt sind und die derzeit noch stark ausgebaut wird. Im Markt gibt es das Gerücht, dass ein solches Audit nie unter einer Nachzahlungs-Verpflichtung im 6-stelligen Euro-Bereich endet, da schon alleine aufgrund von falsch verstandenen oder falsch interpretierten Microsoft-Lizenz-Bestim-mungen immer etwas gefunden wird (oder gefunden werden muss, denn diese Audits müssen ja auch irgendwie refinanziert werden). Das Besondere: Microsoft-Lizenz-Bestim-mungen gibt es nur in dicken Pamphleten in irisch/amerikanischem Juristen-Englisch und die kann man eigentlich nie zu 100% richtig einhalten.

Was es 2016 sonst Wichtiges gab:

  • In der Silvesternacht 2015/2016 kam es in Köln im Bereich Hauptbahnhof und Kölner Dom zu zahlreichen sexuellen Übergriffen auf Frauen durch Gruppen junger Männer vornehmlich aus dem nordafrikanischen und arabischen Raum - die Asylanten-Willkommens-Kultur hatte ein plötzliches Ende
  • Landtagswahl in Baden-Würtemberg: Die Grünen mit Ministerpräsident Winfried Kretschmann wurden erstmals stärkste Kraft
  • Die SPD gewinnt die Landtagswahl in Rheinland-Pfalz - erste „Ampelkoalition“ aus SPD, Grünen und FDP gebildet
  • Landtagswahl in Sachsen-Anhalt, nach der CDU wird die rechtspopulistische AfD zweitstärkste Partei
  • In einem Referendum über den Verbleib des Vereinigten Königreichs in der Europäischen Union entscheiden sich 51,9 % der Briten für ein Ausscheiden aus der Europäischen Union
  • In der Türkei scheitert ein Putschversuch von Teilen des Militärs
  • Auch bei der Landtagswahl in Mecklenburg-Vorpommern wird nach der SPD die AfD zweitstärkste Kraft
  • Präsidentschaftswahl in den Vereinigten Staaten, der Republikaner Donald Trump erhält 302 Wahlmännerstimmen und wird zum 45sten US-Präsidenten gewählt
  • Bei einem Anschlag in Berliner Weihnachstmarkt an der Gedächniskirche werden 12 Menschen getötet und mehr als 50 verletzt

Endlos lange Fragen-Listen müssen hierzu ausgefüllt und zum Plausibilitäts-Check eingereicht werden:

  • Sind Sie und alle relevanten Personen Ihres Unternehmens über Ihre Rechte und Pflichten im Rahmen des Microsoft SPLA-Lizenzprogramms geschult?
  • Welche Schulungen (intern und extern) wurden absolviert?
  • Wer hat an diesen Schulungen teilgenommen?
  • Erfolgt eine Übermittlung der Produktnutzungsrechte (SPUR = Service Provider Use Rights) an den Kunden?
  • Wie werden Ihre Kunden über Änderungen in den Produktnutzungsrechten informiert?
  • Gab es größere Veränderungen in den benötigten Lizenzmengen?
  • Wer ist Eigentümer der verwendeten Hardware?
  • Wie erfolgt die Zuweisung benötigter Lizenzen zu den bereitgestellten Produkte?
  • Betreiben Sie Systeme, auf die die Kunden einen administrativen Zugriff haben?
  • Erfolgen Historisierung und Trendanalysen der benötigten und gemeldeten Lizenzen um signifikante Abweichungen nachzuvollziehen und zu identifizieren?
  • Führen Sie eine Hardwareinventarisierung für Server durch?
  • Führen Sie ein Softwareinventar pro Server?
  • Betreiben Sie auch Server, bei denen der Kunde die Software zur Verfügung gestellt hat?
  • Welchen Nachweis haben Sie für die Lizenzfreigaben zu diesen Softwarelizenzen?
  • Sind Fail-Over Server zur Ausfallüberbrückung im Einsatz?
  • Wird dem Kunden Client-Software zur Verfügung gestellt?
  • Welche Form der Authentifizierung wird gefordert?
  • KPMG fragt im Auftrag von Microsoft dann auch, ob z.B. „Multiplexing-Technologien im Einsatz sind?“ Hierunter versteht Microsoft, dass wir nachprüfen müssen und sicherstellen sollen, dass eine „Named-User-License“ auch immer nur von einer natürlichen Person genutzt wird, d.h. dass mit dem Account „Lieschen Müller“ sich nie „Peter Lustig“ anmeldet.

Mehrere Wochen war die gesamte SPECTRUM-Führungsebene mit diesem Audit beschäftigt: Wir mussten pro verbautem Hardware-Teil im RZ nachweisen, was damit exakt gemacht wird, welche Software darauf läuft, wie es genutzt wird und wie wir es lizensiert haben. Wir mussten exakt alle Prozesse detailliert darlegen, wie z.B. ein neuer Benutzer auf einem Kunden-ASP-System bei uns angelegt wird und wie wir durch verfahrensdokumentierte und nachprüfbare Prozess-Ketten sicherstellen, dass auch wirklich jede MS-Office-Nutzung, jeder Windows-Zugriff, jede MS-Exchange-Benutzung, jede MS-SQL-Server-Nutzung usw. gemäß den jeweils aktuellen und gültigen Microsoft-Service-Provider-Use-Rights (SPUR genannt) und den Microsoft-Product-Use-Rights (PUR genannt) und den Microsoft-End-User-License-Agreements (EULA genannt) lizensiert wurden. Alles ausgedruckt so ca. 3 cm dick Vertragstexte in hoch-kompliziertem Juristen-Englisch. Außerdem verlangt Microsoft, dass man diese per Work-Flow ermittelten Daten mindestens monatlich einmal auch noch mit Live-Inventory-Scan-Programme über alle Server abgleicht.

Wenn Sie jetzt fragen auf welcher Rechtsbasis das denn alles stattfindet, ganz einfach: auf Basis von ausschließlichem „Microsoft-Recht“.

Wenn man sich nicht daran halten möchte, dann beendet Microsoft einfach die Verträge und sagt man müsse ja nicht MS-Office oder Windows einsetzen, man könnte ja auch Open-Office oder Linux nutzen.

Hierbei hat Microsoft sich auch noch das Recht eingeräumt, diese Bedingungen monatlich zu ändern und einfach im Internet zu veröffentlichen, ein SPLA-Partner hat hier die Holeverpflichtung.

Außerdem unterliegt man bei einem SPLA-Vertrag nicht deutschem, sondern irischem oder US-amerikanischen Recht oder einem Konglomerat aus zig Rechtskonstrukten, welches mit den bekannten Rechtsgrundsätzen in Europa nicht mehr viel zu tun hat. TTIP- und CETA-Urheberechtsbestimmungen haben wir also im Software-Markt schon lange …


Wir wurden zum EULA-, SPUR-, PUR- und T&C-Experten und dachten schon an ein neues Berufsbild als „IT-Asset-Manager“ …

Wenn man das alles nicht gut findet, zerrt Microsoft einen nicht vor irgendein ein deutsches Gericht - nein, man verliert nur das Recht Microsoft-Software einzusetzen, zu vermarkten bzw. diese Software seinen ASP-Kunden bereitstellen zu können. Jetzt wollen wir mit den Lizenzen nicht betrügen, nur die Bedingungen müssen klar, verständlich und transparent sein.

Die KPMG-Leute erstellen dann eine sog. „Lizenz-Bilanz“, mit den zuviel und zuwenig entrichteten Lizenzgebühren. Allerdings mit dem Unterschied zu einer richtigen Bilanz bzw. zu einer steuerlichen Betriebsprüfung, dass Microsoft die Activa nicht interessiert, d.h. hat man irgendwo ggfs. zuviel Lizenzgebühren bezahlt, dann hat man eben Pech gehabt, man kann dies nicht mit Fehlbeständen in anderen Produktgruppen verrechnen.

Ähnlich wie bei der Steuergesetzgebung sind natürlich auch alle Microsoft-Steuergesetze pardon Lizenzbestimmungen interpretierbar:

Z.B. gibt es die kostenlose SQL-Server-Express-Version für kleinere SQL-Anwendungen. Hier besagt die generelle Spezifikation „Microsoft SQL-Server-Express is a version of Microsoft's SQL-Server relational database management system that is free to download, distribute and use“ - alles klar?

Irgendwo auf einer der zig EULA-Seiten steht dann aber noch, dass es nicht erlaubt ist, diesen SQL-Express-Server im sog. Hosting-Betrieb einzusetzen. D.h. Kunden dürfen dieses eigentlich kostenlose Programm zwar auf Ihrem lokalen PC oder auf einem Serverchen nutzen, der z.B. beim Kunden in der Abstellkammer steht - Kunden dürfen diesen SQL-Server-Express aber nicht auf „gehosteten Systemen“ in einem professionellen Rechenzentrum nutzen. Setzt man diesen SQL-Server-Express in einem ASP-System - also gehostet ein - kostet das monatl. 280,00 € - einfach so …

Jetzt gibt es diesen SQL-Server-Express in verschiedenen Varianten: SQL-Express-2008, SQL-Express-2012 und SQL-Express-2014. Die KPMG-Lizenz-Experten haben beim Audit nun festgestellt, dass wir im SPECTRUM-RZ auf den Kunden-Systemen ganz viele SQL-Express-2012 installiert hatten, weil die Anwenderprogramme an den neueren SQL-Express noch nicht angepasst waren. KPMG hat uns dann aufgeklärt, dass Microsoft ganz frisch den neuen SQL-Express-2014 mit einem „Addendum“, d.h. einem Nachtrag auch fürs Hosten freigegeben hat - aber nicht den SQL-Express-2012.

Also standen schwupp-di-wupp auf einmal zig tausende von Euros auf unserem Nachzahlungs-Deckel und unsere Gesichter verdunkelten sich, denn man muss immer für die gesamte, mehrjährige Nutzungszeit nachzahlen. Wir haben uns dann selbst noch einmal intensiver mit den Microsoft-T&C’s beschäftigt, wie man diese Terms & Conditions abgekürzt nennt. Dabei fanden wir dann rein zufällig auf einer Seite bei Microsoft-USA ein weiteres Addendum - was die KPMG-Leute anscheinend noch nicht kannten - aus diesem weiteren T&C’s-Nachtrag ging dann hervor, dass man in USA auch den SQL-Express-2012 im Hosting nutzen darf. Da SPECTRUM ja einen Teil der Lizenzen aus Kostengründen über SPECTRUM-USA Inc. (unserer eigene US-Tochter in Miami) bezieht, haben wir die KPMG-Leute darauf hingewiesen, dass doch wohl diese amerikanischen T&C’s auch für uns gelten müssten - denn es gibt ja kein deutsches oder amerikanisches Internet bei Hosting-Anwendungen. Und schwupp-di-wupp waren am nächsten Tage viel weniger Nachzahlungs-Euros auf unserem Deckel.

Dann hatten wir uns die verwendeten Formeln in den von KPMG benutzten Excel-Aufstellungen angeschaut und dumme Formelfehler entdeckt. Nachdem wir KPMG darauf hingewiesen hatten, standen schwupp-di-wupp noch weniger Euros auf unserem Nachzahlungs-Deckel.

Ende der Geschichte: wir mussten gesamt nur ganze 4.500 € nachzahlen und freuen uns, dass wir so gut davongekommen sind.

Diese Geschichte soll unseren Kunden einen kleinen Einblick hinter die Kulissen eines ASP-Providers verschaffen. Es ist schon eine Menge, was so ein mittelständischer RZ-Betreiber und ASP-Anbieter so alles nebenbei machen muss. Es zeigt aber auch, dass SPECTRUM-ASP mehr ist als ein reines Server-Housing mit Stromkosten, Klimatisierung und DATEV-Updates und sich z.B. hinter dem kleinen Wort „Software-Lizenz-Verwaltung“ im SPECTRUM-ASP-Vertrag ein nicht zu unterschätzender Aufwand befindet.

Wir hatten in 2016 bei SPECTRUM auch drei Kunden, die noch eine eigene Netzwerk-Infrastruktur betreiben und auch dort gab es Software-Compliance-Audits – leider mussten diese Kunden wegen unwissender Unterlizensierung erhebliche Gelder nachzahlen.

Neben den von Microsoft direkt beauftragten Autitoren ist in Deutschland auch noch die „BSA“ unterwegs - die „Business-Software-Alliance“. Die BSA ist ein internationaler Interessenverband von Softwareanbietern, die Urheberrechte und Lizenzbestimmungen u.a. von Adobe, Apple, Autodesk, Avid, Bentley, Borland, Cisco, Corel, HP, IBM, Intel, Intuit, Macromedia, Microsoft, Network-Associates, PeopleSoft, RSA, Sybase, SAP, Symantec, Trend-Micro, Veritas usw. vertreten und Software-Piraterie massivst verfolgen.

Die Fachpresse berichtet, dass auch kleinere Steuerberater-, Rechtsanwalts- und Notar-Kanzleien immer häufiger von der BSA zum Lizenz-Nachweis aufgefordert werden und bei einer Unterlizensierung sogar neben Schadensersatzklagen Anzeigen bei der Kammer erfolgen.

Sie meinen das wäre Panikmache? Nein das „Software-Asset-Management“ ist ein richtig großes Geschäft geworden – geben Sie einmal spaßeshalber „SAM-Audit“ in Goggle ein, Sie werden von SAM-Anbietern und SAM-Berichten erschlagen.

zurück

oder hier weiterlesen: