Software & Lizenzen

Software Asset Management ist die strukturierte Verwaltung sämtlicher Software-Vermögenswerte einer Organisation – von der Beschaffung über den Einsatz bis zur Außerbetriebnahme. Maßgeblicher Standardrahmen ist die Normenfamilie ISO/IEC 19770, insbesondere ISO/IEC 19770-1:2017 („IT asset management systems – Requirements", ein Managementsystem analog zu ISO/IEC 27001 für ISMS), ISO/IEC 19770-2 (SWID-Tags) und ISO/IEC 19770-3 (Berechtigungs-/Entitlement-Tags, ENT). Das klassische SAM-Prozessmodell war Bestandteil der älteren Fassung ISO/IEC 19770-1:2012; mit der Revision 2017 wurde es in ein Managementsystem überführt.

Die wesentlichen Ziele eines SAM in öffentlichen Stellen lassen sich wie folgt zusammenfassen:

• Vollständige Kenntnis des installierten Software-Bestands.
• Vergleich von Berechtigung (lizenziert) und Nutzung (installiert).
• Wirtschaftlicher Einsatz öffentlicher Mittel durch Vermeidung von Über- und Unterlizenzierung.
• Sicherstellung der Lizenz-Compliance.
• Schaffung einer belastbaren Faktengrundlage für Verhandlungen mit Anbietern.

1. Software-Inventar Vollständige Erfassung aller installierten Anwendungen – idealerweise automatisiert über Discovery-Werkzeuge, Konfigurations-Datenbanken (CMDB) oder MDM/EMM-Systeme. Erfasst werden Hersteller, Produkt, Version, Edition, Aktivierungsstatus.
2. Lizenz-Inventar Vollständige Erfassung aller erworbenen Lizenzen mit Bestellnummer, Lizenzmetrik, Anzahl, Laufzeit, Vertragsart, Bezugsweg. Quellen sind Bestellunterlagen, Rechnungen, Auftragsbestätigungen, Volume-License-Portale.
3. Effective License Position (ELP) Strukturierter Abgleich von Lizenz- und Software-Inventar unter Berücksichtigung der jeweiligen Lizenzbedingungen. Die ELP ist die zentrale Faktengrundlage in jedem Audit- und Verhandlungsverfahren.
4. Lifecycle-Management Klare Prozesse für Beschaffung, Bereitstellung, Updates, Reassignment und Außerbetriebnahme. Empfehlung: Schnittstelle zum HR-Prozess (Onboarding/Offboarding) und zum Asset-Management-System.
5. Vertragsverwaltung Zentrale Ablage aller Lizenzverträge, EULAs, OEM-Bedingungen, Preislisten und Volumenvereinbarungen mit Versionierung. Wird empfohlen, da Hersteller im Audit häufig auf Vertragsklauseln Bezug nehmen, die ohne Vertrag nicht überprüfbar sind.
6. Schulung und Awareness Insbesondere bei Beschaffung, IT-Administration und Fachbereichen wird ein Mindeststandard an Lizenzverständnis empfohlen, um Schatten-IT und Lizenzbrüche zu vermeiden.

In der öffentlichen Verwaltung wird empfohlen, jede Software-Beschaffung durch einen strukturierten Freigabeprozess zu führen, der mindestens folgende Stationen umfasst:

• fachliche Anforderungserhebung,
• Marktrecherche und Wirtschaftlichkeitsbetrachtung,
• technische Bewertung (IT, Architektur, Sicherheit),
• datenschutzrechtliche Bewertung (Verarbeitungsverzeichnis, ggf. DSFA, AVV),
• informationssicherheitsrechtliche Bewertung (Schutzbedarf, BSI-Bausteine),
• vergaberechtliche Prüfung,
• Lizenzrechtliche Bewertung (Lizenzmetrik, Skalierbarkeit, Vertragsbedingungen),
• formelle Freigabe und Aufnahme ins SAM.

Eine zentrale Beschaffungsstelle und ein Software-Katalog („whitelist") helfen, Schatten-IT zu reduzieren und unautorisierte Eigenbeschaffungen einzudämmen. Beides wird besonders in arbeitsteiligen Hochschulstrukturen empfohlen.

Audit-Klauseln finden sich in nahezu allen großen Software-Verträgen. Sie räumen dem Hersteller das Recht ein, die ordnungsgemäße Nutzung der lizenzierten Software in vertraglich geregelten Abständen zu überprüfen. Auditierungen werden in der Regel mit einem Ankündigungsschreiben eingeleitet.

Empfehlungen für die Reaktion auf ein Audit-Ankündigungsschreiben:

• Rechtsstelle und SAM-Verantwortliche zeitnah einbinden. Vor jeder inhaltlichen Reaktion sollte die Anspruchsgrundlage geprüft werden.
• Anspruchsgrundlage prüfen. Welche Vertragsklausel soll das Audit-Recht begründen? Liegt der zitierte Vertrag in aktueller Fassung vor? Welche zeitlichen und sachlichen Grenzen sind vertraglich vereinbart?
• Datenschutz- und Geheimhaltungsfragen klären. Eine Übermittlung von Personalstammdaten oder Identifikationsmerkmalen an den Hersteller bedarf einer eigenen Rechtsgrundlage; eine pauschale Übermittlung wird nicht empfohlen.
• Eigenes Inventar als Grundlage nutzen. Die ELP sollte dem Audit als Faktenbasis dienen. Eine umfassende Datenherausgabe an Tools des Herstellers wird ohne sorgfältige vorherige Prüfung nicht empfohlen.
• Schriftform und Dokumentation. Sämtliche Korrespondenz, Anfragen, Übermittlungen und Bewertungen sollten schriftlich geführt und revisionsfähig dokumentiert werden.
• Frühzeitige anwaltliche Begleitung. Bei substantiellen Forderungen wird die Einschaltung einer spezialisierten Kanzlei empfohlen – nicht erst nach Eingang der Schlussrechnung.

Lizenzforderungen erreichen öffentliche Stellen in unterschiedlichsten Konstellationen – von routinemäßigen Audit-Ergebnissen bis hin zu unaufgeforderten Schreiben mit Forderungen wegen vermeintlicher unzulässiger Nutzung von Bildmaterial, Schriftarten oder Software-Komponenten. Folgendes Vorgehen hat sich in der Praxis bewährt:

Häufig zeigt eine sorgfältige Prüfung, dass Lizenzforderungen aus mehreren Gründen nicht oder nicht in der geltend gemachten Höhe durchsetzbar sind: unklare Anspruchsgrundlage, fehlerhafte Tatsachenermittlung, falsche Lizenzmetrik, überhöhte Schadensersatzforderung oder Verjährung. Der erste Anschein einer scheinbar eindeutigen Forderung trägt deshalb nach hier vertretener Auffassung selten weiter als bis zur ersten substantiellen Gegendarstellung.

Die folgenden Punkte werden zur eigenen Prüfung empfohlen, wenn eine Lizenzforderung an die Stelle herangetragen wird:

• Unklarheit über die behaupteten Tatsachen: Wurde die behauptete Nutzung tatsächlich nachgewiesen, oder beruht sie auf Annahmen, automatisierten Crawlings, IP-Adress-Auswertungen oder Hashwert-Treffern? Letztere sind regelmäßig indizienhaft – nicht beweisbar.
• Lückenhafte Lizenzkette: Insbesondere bei Schriftarten und Bildmaterial liegen häufig Lizenzkettenbrüche vor (Hersteller → Distributor → Fachgeschäft → Endnutzer). Eine Forderung ohne lückenlose Aktivlegitimation dürfte schwer durchsetzbar sein.
• Pauschale Schadensberechnung: Pauschale Zuschläge, Strafzahlungen oder Aufschläge für angebliche Verletzungen sind im deutschen Recht eng begrenzt. Eine Schadensberechnung, die den marktüblichen Lizenzwert deutlich übersteigt, ist kritisch zu hinterfragen.
• Überschätzte Audit-Befugnisse: Audit-Klauseln berechtigen den Hersteller in der Regel nicht zu unbeschränktem Datenzugriff oder zur Übermittlung personenbezogener Daten. Es wird empfohlen, jede vom Hersteller angeforderte Datenherausgabe auf ihre Erforderlichkeit und Verhältnismäßigkeit zu prüfen.
• Verschiebung der Beweislast: Häufig wird die Beweislast vom Hersteller auf den Nutzer verschoben („Bitte weisen Sie nach, dass Sie die Software nicht in Version X eingesetzt haben"). Es wird empfohlen, klar zu benennen, wer welche Tatsache zu beweisen hat.
• Verjährung: Insbesondere bei jahrealten Behauptungen ist die regelmäßige dreijährige Verjährungsfrist (§ 195 BGB i. V. m. § 199 BGB) zu prüfen.

1. Fehlendes Software-Inventar: Ohne aktuelles Inventar lässt sich keine belastbare ELP erstellen. Es wird empfohlen, vor jedem Audit zumindest eine Stichprobe-Erhebung durchzuführen, um die eigene Datenlage einschätzen zu können.
2. Verträge unvollständig oder schwer auffindbar: Ohne den vollständigen Vertragsbestand lassen sich Audit-Klauseln und Lizenzmetriken nicht belastbar bewerten. Eine zentrale Vertragsablage mit Versionierung wird empfohlen.
3. Vorschnelles Anerkenntnis von Forderungen: Die Praxis zeigt, dass auch substantielle Forderungen nach sorgfältiger Prüfung häufig in deutlich reduzierter Höhe oder gar nicht durchsetzbar sind. Zahlungen sollten erst nach abgeschlossener juristischer Prüfung erfolgen.
4. Datenherausgabe ohne Prüfung: Eine ungeprüfte Übermittlung von Personal-, Konfigurations- oder Logdaten an Hersteller oder deren beauftragte Auditoren wirft datenschutzrechtliche Fragen auf. Vor jeder Übermittlung wird eine eigene Rechtsgrundlagenprüfung empfohlen.
5. Keine Trennung zwischen technischer und vertraglicher Bewertung: Audit-Ergebnisse beruhen häufig auf Inventarisierungs-Tools, deren Ergebnisse interpretationsbedürftig sind. Eine kritische Gegenprüfung wird empfohlen.
6. Schatten-IT als Disziplinarproblem statt Strukturproblem behandeln: Eigeninstallationen entstehen häufig dort, wo zentrale Angebote fehlen oder zu langsam reagieren. Es wird empfohlen, neben Awareness und technischen Sperren auch das Beschaffungsverfahren zu modernisieren.
7. SAM ohne Anbindung an Datenschutz und IT-Sicherheit: Eine isolierte Sicht auf Lizenzfragen lässt Synergien ungenutzt. Die Verarbeitungsverzeichnis-, AVV- und TOM-Prozesse können vom SAM profitieren – und umgekehrt.

Rechtsquellen und Standards

• ISO/IEC 19770-Reihe – internationale Normen für Software Asset Management (SAM).
• § 69d UrhG – zustimmungsfreie Vervielfältigungshandlungen bei Computerprogrammen.
• Verordnung (EU) 2016/679 (DSGVO) – Art. 5 (Grundsätze) und Art. 32 (Sicherheit), soweit Lizenzmanagement-Tools personenbezogene Daten verarbeiten.

Rechtsprechung

• EuGH, Urteil v. 03.07.2012 – C-128/11 (UsedSoft) – Erschöpfung des Verbreitungsrechts bei „gebrauchten" Software-Lizenzen.

Aufsichtspraxis und Mustervorlagen

• BSI, IT-Grundschutz – Baustein OPS.1.1.1 (Allgemeiner IT-Betrieb) – Anforderungen an die ordnungsgemäße Lizenz- und Softwareverwaltung.
• EVB-IT (Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen) – Standardvertragstypen des Bundes für die öffentliche IT- und Software-Beschaffung (CIO Bund); für Bauleistungen ergänzend das VHB-Bau.

Querverweise auf eigene Themenseiten

• Auftragsverarbeitung (Art. 28 DSGVO) – AVV-Pflicht bei SAM-Tools mit Cloud-Backend.
• Microsoft 365 an öffentlichen Hochschulen – einschlägig für Microsoft-Lizenzaudits.
• Technisch-organisatorische Maßnahmen (TOMs) – TOM-Anforderungen für SAM-Werkzeuge.