Zusammen mit einem Softwarehaus haben Sie für Ihr Unternehmen eine moderne Softwarelösung entwickelt, damit Sie für die digitale Zukunft bestens gewappnet sind. Das ist vielleicht ein CRM-Tool, ein ERP-System, eine mobile App, oder eine Dokumentenverwaltungssoftware, ohne die Sie sich Ihren Geschäftsbetrieb jetzt nicht mehr vorstellen können. Ihr Softwarehaus unterstützt Sie durch Support und Pflege der Software aber Sie möchten auf Nummer sicher gehen: Was wenn das Softwarehaus pleite geht und sich nicht mehr um Ihre Softwarelösung kümmern kann? Ihr Unternehmen können Sie durch Software Escrow – die Softwarehinterlegung schützen.
Was ist überhaupt das Problem?
Software ist in Unternehmen schon lange nicht mehr wegzudenken. Je nachdem, um welche Branche, Leistung und Vertriebsart es sich handelt, kann eine funktionstüchtige Softwarelösung den Erfolg des Unternehmens am Markt ausmachen.
In der Softwarebranche unterscheidet man zwischen Standardsoftware und Individualsoftware. Standardsoftware ist Massenware, die funktioniert, ohne erst an die Bedürfnisse der Nutzer angepasst zu werden. Dazu gehören z.B. die Windows-, macOS- oder Linux-Betriebssysteme, Browser wie Firefox, Google Chrome und Safari, die Microsoft Office Programme und Open Source Software. Um Individualsoftware handelt es sich, wenn eine Software maßgeschneidert für einen Auftraggeber entwickelt und an seine Bedürfnisse angepasst wird. Das kann eine Unternehmens-App sein, oder spezielle Lösungen, die die Gegebenheiten des Auftraggebers passgenau abbilden. Diese Lösung kann attraktiv sein, wenn es keine geeignete oder günstige Standardsoftware auf dem Markt gibt oder man durch eine eigene Software Wettbewerbsvorteile erzielen möchte. Auch tiefgreifendere Anpassungen von Standardsoftware sind vergleichbar mit individuellen Lösungen.
Software muss regelmäßig gepflegt werden, insbesondere wenn Sicherheitslücken auftauchen, die Software mit Änderungen in der IT-Umgebung nicht weiter kompatibel ist oder sich Schnittstellen oder Anforderungen der Nutzer ändern. In diesen Fällen passt der Softwareentwickler seine Software an und stellt seinen Kunden ein Patch, ein Update oder eine neue Version zur Verfügung.
Solche Anpassungen können die Kunden nicht selbst vornehmen, denn sie haben häufig keinen Quellcode für die Software. Softwareentwickler geben oft nur ungern den Quellcode Ihrer Arbeit an Dritte heraus. Aus dem Quellcode kann jeder die ausführbare Software erzeugen. Er ist urheberrechtlich geschützt und in der Regel das wichtigste Geschäftsgeheimnis der Softwareentwickler. Die Kunden sind deshalb auf jemanden mit Zugang zum Quellcode angewiesen. Das ist in der Regel nur der Softwareentwickler selbst.
Auf der einen Seite steht also das Interesse des Softwareentwicklers, seine Geschäftsgeheimnisse nicht zu offenbaren. Auf der anderen Seite steht das Interesse der Kunden, die Software auch in Zukunft nutzen zu können, falls der Softwareentwickler vom Markt verschwindet.
Was passiert bei Software Escrow?
Bei der Softwarehinterlegung oder Software Escrow hinterlegt der Softwareentwickler eine Kopie des Quellcodes beim Kunden oder einem Treuhänder. Der Quellcode wird dabei z.B. auf einem Datenträger wie einer CD oder einem USB-Stick übergeben oder wird verschlüsselt übertragen. Rechtlich ist das ein Verwahrungsvertrag nach § 688 BGB.
Der Kunde, die Hinterlegungsstelle oder Dritte überprüfen dann, ob der hinterlegte Quellcode wirklich zur richtigen Software gehört. Die Vertragspartner vereinbaren, dass der Kunde nur in bestimmten Fällen Zugriff auf den Quellcode erhält – z.B. wenn der Softwareentwickler vom Markt verschwindet oder sich nicht mehr um die Pflege der Software kümmert. In einem solchen Fall darf der Kunde dann den Quellcode nutzen und kann damit, in der Theorie, die Software selbst pflegen und weiterentwickeln.
Software Escrow ist eine Zusatzleistung des Softwareentwicklers, die den Kunden mehr Sicherheit bieten soll. In der Regel bezahlen die Kunden für die Softwarehinterlegung deshalb eine Vergütung. Wenn ein Dritter als Hinterlegungsstelle den Quellcode verwahrt, wird auch für den Dritten eine Vergütung vereinbart.
Wer braucht Software Escrow?
Nicht jeder Softwareentwickler ist bereit, seinen Quellcode im Rahmen von Software Escrow zu hinterlegen und nicht jede Software ist dafür geeignet. Wenn es genügend Alternativen gibt oder die Software seit Jahren ohne Schwierigkeiten läuft, ist in der Regel eine Softwarehiterlegung nicht notwendig. In bestimmten Fällen sollten Sie über Software Escrow nachdenken:
Rechtliche Hürden bei der Vertragsgestaltung
Das rechtliche Kernthema von Software Escrow Verträgen ist die Insolvenzfestigkeit. Wenn der Softwareentwickler insolvent wird und ein Insolvenzverwalter zur Vertretung des Unternehmens ernannt wird, hat dieser grundsätzlich bei noch nicht vollständig erfüllten Verträgen die Wahl, den Vertrag fortlaufen zu lassen oder zu kündigen.
Das betrifft auch Lizenzverträge durch die der Softwareentwickler seinen Kunden das Recht zur Nutzung und Bearbeitung des Quellcodes der Software eingeräumt hat. Nur wenn der Kunde bereits eine gesicherte Rechtsposition erworben hat, besteht keine Gefahr mehr, dass er diese in einer Insolvenz durch eine Kündigung nicht verliert. Der Software Escrow Vertrag muss die Rechteübertragung daher so regeln, dass der Kunde eine solche gesicherte Rechtsposition erwerben kann. Insbesondere darf der Softwareentwickler keine Möglichkeit mehr haben, in den vertraglich bestimmten Herausgabefällen die Offenlegung des Quellcodes an den Kunden zu verhindern.
Das sind die wichtigsten Punkte im Deutschen Recht. Jeder Staat kann sein Urheberrecht selbst regeln. Je nach anwendbarem Recht können weitere Bereiche problematisch werden. Achten Sie deshalb immer darauf, welches Recht für den Vertrag gelten soll.
Worauf achten Profis?
Es gibt eine Menge Fragen, die man für sich vor der Auswahl einer Software Escrow Lösung beantworten muss, und eine Menge verschiedenster Anbieter auf dem Markt. Was schreibe ich in den Vertrag? Wie stelle ich sicher, dass auch der richtige Quellcode hinterlegt wurde? Hinterlegen wir auch Updates? Brauche ich einen Anwalt? Wo wird der Quellcode aufbewahrt? Wann erlauben wir den Zugriff auf den Code? Unabhängig davon, welchem Recht Ihr Vertrag später unterliegt, gibt es eine Handvoll Punkte, die Sie immer beachten sollten.
Wer den Vertrag gestaltet
Gleich zu Beginn stehen Sie vor der wichtigen Frage, wer den Vertrag zwischen Ihnen und dem Softwareentwickler gestalten soll. Auf dem Markt gibt es zahlreiche Anbieter im In- und Ausland, die die verschiedensten Escrow Services und eigene Vertragsvorlagen anbieten. Vielleicht hat Ihr Softwareentwickler eine eigene Vorlage oder der Notar oder Anwalt Ihres Vertrauens haben eine Idee.
Wir empfehlen, einen Software Escrow Vertrag von einem Spezialisten begleiten zu lassen. Einige rechtliche Fragen müssen bei diesem besonderen Vertragstyp genau geklärt und richtig abgebildet werden, da ansonsten der ganze Vertragszweck verfehlt werden kann. Insbesondere muss die Insolvenzfestigkeit hergestellt werden, ansonsten hilft der Vertrag im Insolvenzfall dem Kunden auch dann nicht, wenn der Softwareentwickler ihm gar nichts böses will.
Bei dreiseitigen Verträgen, in denen der Quellcode bei einem Dritten als Verwahrungsstelle hinterlegt wird, muss nicht in jedem Fall ein neuer Vertrag von null auf erstellt und in vielen Verhandlungsrunden mühsam überarbeitet werden. Hier haben seriöse Anbieter oft eigene Vertragsvorlagen, die sie den Vertragspartnern zur Verfügung stellen. Diese bilden zwar nicht immer die Interessen der Softwareentwickler und der Kunden vollständig ab. Häufig können die Vertragspartner diese Vorlagen aber mithife von Rechtsberatern leicht an ihre Bedürfnisse anpassen.
Eine solche Anpassung hat einen weiteren Vorteil: Der Vertrag passt zum Geschäftsmodell des jeweiligen Anbieters und bildet schon ab, wie der Quellcode übermittelt und verwahrt und die Software überprüft wird.
Beide Vertragspartner sollten schon in der Vertragsgestaltung ihre eigenen IT-Mitarbeiter einbinden. Der Softwareentwickler braucht den Input seiner IT, um zusagen zu können, wie und in welcher Form er den Quellcode für seine Software und Updates aufbereiten und übermitteln kann. Der Kunde braucht den Input seiner IT, um zu planen, wie der Quellcode beschaffen sein muss, um ihn im Insolvenzfall schnell abrufen, verstehen und auswerten zu können. Idealerweise sollten beide Vertragspartner also im Vertrag schon sicherstellen, dass der Kunde im Insolvenzfall den Quellcode ohne Verzögerung selbst produktiv nutzen kann.
Die Beschreibung des Quellcodes
Der Software Escrow Vertrag ist nur so wertvoll wie die Software, die der Kunde im Insolvenzfall tatsächlich aus dem Quellcode erstellen kann. Alles was hinterlegt wird, bezeichnet man im gesamten als den Hinterlegungsgegenstand. Der Vertrag muss die Software so genau wie möglich beschreiben, sollte also insbesondere die Version erwähnen.
Achten Sie darauf, dass es der Hinterlegungsgegenstand ermöglicht, die gesamte Software wiederherzustellen. Das kann unter Umständen bedeuten, dass Sie vereinbaren, dass auch bestimmte Daten mit hinterlegt werden. Der Quellcode sollte als Ganzes und nicht Stück für Stück hinterlegt werden. So vermeiden Sie Inkompatibilitäten durch z.B. unterschiedliche Versionen.
Der Hinterlegungsgegenstand sollte auch eine Anleitung zur Nutzung und zum Kompilieren des Codes und der Software enthalten. Diese Anleitung hilft der IT des Kunden, sich im Ernstfall schnell mit der Software vertraut zu machen.
Der Quellcode sollte außerdem die Dokumentation enthalten. Ohne Dokumentation werden auch die brilliantesten IT-Mitarbeiter des Kunden große Probleme beim Verständnis des Quellcodes haben.
Im Insolvenzfall hilft ein Software Escrow Vertrag dem Kunden nur, wenn er den Quellcode zu seiner aktuell genutzten Softwareverison enthält, also mit allen Updates und Patches. Mit dem ursprünglichen Quellcode kann er nur den Maschinencode für eine Vorversion erzeugen. Der Vertrag sollte also auch die fortlaufende Hinterlegung von Updates und Patches regeln. Im Idealfall wird jedes Update und jedes Patch hinterlegt. Auch bei kostensparenden Lösungen sollte der Kunde zumindest das Recht haben, die Hinterlegung von bestimmten Updates und Patches zu verlangen.
Wer ist Verwahrungsstelle?
Software Escrow Verträge können zweiseitig und dreiseitig sein.
Bei zweiseitigen Verträgen deponiert der Softwareentwickler die Kopie des Quellcodes direkt beim Kunden z.B. in einem versiegelten Umschlag. Für den Softwareentwickler werden dann Kontrollrechte vereinbart, zur Überprüfung, ob der Kunde den Umschlag geöffnet hat. Diese Lösung ist wesentlich günstiger als dreiseitige Verträge, da die dritte Hinterlegungsstelle wegfällt. Der Softwareentwickler hat dabei jedoch nicht dieselbe Sicherheit, dass der Kunde nur dann Einsicht in den Quellcode nimmt, wenn es zum Insolvenzfall kommt.
Wenn der Quellcode bei einem Notar, Anwalt oder einer Hinterlegungsstelle deponiert wird, wird oft ein dreiseitiger Vertrag mit dieser Stelle geschlossen. Diese Lösung ist wesentlich teurer, da die Vertragspartner dabei auch die Leistungen dieses Dritten bezahlen müssen. Der Dritte muss besonders vertrauenswürdig sein. Er muss den Quellcode physisch sicher verwahren und darf ihn nur in den vertraglich bestimmten Fällen herausgeben. In diesen Fällen muss er ihn an den Kunden unverzüglich herausgeben, denn mit jeder Verzögerung drohnt beim Kunden oftmals ein Geschäftsausfall. Der Ruf des Dritten ist also entscheidend.
Die Übergabe des Quellcodes
Wenn der Vertrag geschlossen ist, machen sich viele Vertragspartner keine Gedanken mehr darüber, wie der wertvolle Quellcode auf sicherem Weg zur Hinterlegungsstelle kommt. Hier haben wir im Interesse des Softwareentwicklers ein paar klare Empfehlungen.
Vermeiden Sie einen unsicheren Transport:
Für eine sichere Übermittlung sollte der gesamte Hinterlegungsgegenstand
Für den Fall dass vereinbart ist, dass auch Updates und Patches hinterlegt werden, bieten viele professionelle Hinterlegungsstellen Systeme zur komfortablen Übermittlung der Daten an. Diese Systeme ermöglichen in der Regel eine schnelle Übermittlung an die Hinterlegungsstelle oder die Kontrollstelle (siehe unten).
Die Kontrolle, Prüfung und Validierung
Die Kunden erwerben beim Software Escrow zusätzliche Sicherheit. Diese Sicherheit besteht nur, wenn die Hinterlegten Dateien wirklich der vereinbarte Quellcode ist. Wenn Dateien fehlen oder der Quellcode einer falschen Version hinterlegt ist, kann der Kunde im Insolvenzfall die Software nicht nutzen.
Um die nötige Sicherheit herzustellen, muss der Hinterlegungsgegenstand von jemandem geprüft werden, dem der Kunde vertraut. Bei der Kontrolle wird die Software aus dem Quellcode kompiliert und die begleitenden Daten, wie die Dokumentation oder Nutzungsanleitung geprüft.
Manche Hinterlegungsstellen bieten selbst diese Kontrollleistungen an. Oft wird für jede Kontrolle neben der Verwahrungsvergütung eine gesonderte Vergütung vereinbart.
Neben den Hinterlegungsstellen können sich die Vertragspartner auch auf unabhängige IT-Sachverständige und Gutachter einigen, die eine solche Kontrolle auf Auftrag vornehmen.
Es ist auch möglich, den Kunden selbst prüfen zu lassen, ob der Quellcode zur genutzten Software passt. Dafür kann der Softwareentwickler z.B. die Software mit dem Quellcode auf Rechnern des Kunden kompilieren und ihm dann nur das Maschinenprogramm zur Prüfung überlassen.
Welche Lösungen in Betracht kommen hängt von der individuellen Situation der Vertragspartner ab. Die Prüfung durch Hinterlegungsstellen und Sachverständige ist spürbar teuer als eine Prüfung durch die Kunden selbst. Insbesondere wenn häufig Updates oder Patches hinterlegt werden, sollten die Vertragspartner regeln, was zu prüfen ist. Am sichersten ist es, alle Hinterlegungsgegenstände zu prüfen. Wenn das dem Kunden zu teuer ist, kann auch vereinbart werden, dass ein neuer Hinterlegungsgegenstand nur auf Anforderung des Kunden überprüft wird.
Der Vertrag sollte auch regeln, was genau die Prüfstelle prüfen und bestätigen soll. In der Regel wird das eine Vollständigkeitsprüfung sein. Die Prüfstelle bestätigt dann, dass der hinterlegte Quellcode zu der Software gehört, die im Vertrag beschrieben ist. Schon deshalb sollten die Vertragspartner darauf achten, die Software so genau wie möglich zu beschreiben.
Der Softwareentwickler sollte die Kosten für eine Prüfung tragen müssen, die ergibt, dass der Hinterlegungsgegenstand nicht vollständig ist oder nicht zur genutzten Software passt.
Wie der Quellcode verwahrt wird
Wie bei der Übermittlung des Quellcodes sollten die Vertragspartner darauf achten, dass die Hinterlegungsstelle den Quellcode so verwahrt, dass er nicht für Unberechtigte zugänglich ist und auch im Laufe der Zeit nicht verloren gehen kann.
Eine gute Hinterlegungsstelle wird den Quellcode z.B. redundant an mehreren Orten speichern und verwahren, das Aufbewahrungsgebäude gegen Witterungen und Einbruch schützen und zur Speicherung Datenträger nutzen, auf denen die Daten auch nach Jahren noch lesbar sind.
Wann der Quellcode herausgegeben wird
Im Software Escrow Vertrag muss der Hinterlegungsstelle genau vorgeschrieben werden, wann der Quellcode an den Kunden herausgegeben wird.
Dabei wird in erster Linie an die Insolvenz des Softwareentwicklers angeknüpft. Wer hier auch die Feinheiten regelt, wird später für die Klarheit dankbar sein, die ein präziser Vertrag vermitteln kann:
In einem guten Vertrag decken Sie so viele Fälle wie möglich rechtssicher ab, sodass es weniger unvorhergesehene Ereignisse gibt, die Sie überraschen können.
Wie lange der Quellcode aufbewahrt wird
Die Frage, wie lange der hinterlegte Quellcode gespeichert werden soll, sollte nicht offen bleiben. Darf die Hinterlegungsstelle die Daten einfach löschen, wenn der Software Escrow Vertrag beendet wird? Braucht der Kunde alte Versionen des Quellcodes noch, auch wenn er diese Version oder die Software generell nicht mehr nutzt? Hierüber machen sich die Vertragspartner idealerweise schon bei der Vertragsgestaltung Gedanken.
Die Zukunft von Software Escrow
Der Markt für Software Escrow Lösungen ist genauso dynamisch, wie der Softwaremarkt selbst. Neue technische Möglichkeiten und Branchenstandards erweitern auch die Möglichkeiten, im Rahmen einer Softwarehinterlegung die Daten zu übermitteln, zu verifizieren, zu hinterlegen und im Ernstfall freizugeben.
An zwei Stellen benötigen die Vertragspartner Vertrauen in Dritte: Bei der Verifizierung des hinterlegten Quellcodes und bei der Frage, ob der Code im Ernstfall auch tatsächlich herausgegeben wird. Für diese beiden Stellen werden die unbeteiligten Dritten, wie die Hinterlegungsstellen eingesetzt. Moderne Technologien wie etwa dezentrale Blockchain-Lösungen versprechen, zumindest die Entscheidung über die Herausgabe des Quellcodes gänzlich ohne Dritte vorzunehmen. Dafür könnte z.B. ein geeigneter Smart Contract eingesetzt werden.
Fazit
Korrekt geregelte und durchgeführte Software Escrow ist teuer. Hohe Sicherheit erreichen die Vertragspartner nur, wenn Sie den Vertrag richtig gestalten, eine vertrauenswürdige Hinterlegungsstelle wählen und jedes Update und jedes Patch hinterlegen und auch validieren. In rechtlicher Hinsicht muss unbedingt die Insolvenzfestigkeit hergestellt werden.
Oft ist es schwierig, einen guten Software Escrow Anbieter auszumachen. Einige der in Deutschland tätigen Software Escrow Unternehmen haben sich zum Dachverband OSE Organisation pro Software Escrow zusammengeschlossen. Bei kritischer Software, die für das Funktionieren des Geschäftsbetriebs unabdingbar ist, sollte ein rechtlicher Berater die Vertragsgestaltung begleiten.