Installation vs. Nutzung: Der wahre Lizenzbedarf

Installation vs. Nutzung: Wann Software wirklich lizenziert sein muss

Installation vs. Nutzung – schon der Titel deutet auf eine Unterscheidung hin, die in Microsoft-Audits und Lizenzstreitigkeiten oft übersehen oder missverstanden wird. Dabei hängt die rechtliche Bewertung, ob eine Lizenzpflicht besteht, nicht nur von der aktiven Nutzung einer Software ab. Auch allein die Installation kann – je nach Lizenztyp – bereits lizenzrelevant sein. Für Unternehmen ist es daher essenziell, die exakte Abgrenzung zu verstehen, um Risiken zu vermeiden und sich strategisch gegen überhöhte Lizenzforderungen zu schützen.

Technische Grundlagen: Installation und Nutzung im Lizenzkontext

Die Installation einer Software beschreibt den technischen Vorgang, bei dem eine Softwarekomponente auf einem physischen oder virtuellen Gerät gespeichert und systemseitig eingebunden wird. Sie ist die Voraussetzung für eine potenzielle Nutzung – aber nicht automatisch mit dieser gleichzusetzen. Ein Programm kann installiert sein, ohne dass es je gestartet wurde. Trotzdem kann allein die bloße Existenz der Software auf dem Gerät lizenzrechtliche Relevanz entfalten.

Unter Nutzung versteht man hingegen jede Form der Aktivität, die einen Zugriff oder die Verarbeitung durch die Software beinhaltet. Dies umfasst nicht nur die direkte Nutzung durch Mitarbeitende, sondern auch indirekte Zugriffe über Dienste, Schnittstellen oder automatisierte Prozesse. Entscheidend ist, ob ein Nutzen aus dem Programm gezogen wird – nicht ob eine Interaktion über Benutzeroberflächen stattfindet.

Laut Microsofts Definition – etwa im Rahmen von Enterprise Agreements oder SPLA-Verträgen – kann bereits das Vorhandensein der Software („installed and ready to use“) ausreichen, um eine Lizenzpflicht auszulösen. Die rechtliche Folge: Auch ungenutzte, aber einsatzbereite Softwareinstallationen können kostenpflichtig sein.

Rechtlicher Rahmen: Verträge, Klauseln, Verpflichtungen

Die Lizenzierung von Software erfolgt primär über End User License Agreements (EULA) oder spezifische Unternehmensverträge wie Microsoft Select Plus oder Enterprise Agreements (EA). Diese Verträge enthalten Lizenzmetriken und Nutzungskriterien, die festlegen, wann eine Lizenzpflicht entsteht.

Oft ist darin geregelt, dass jede Installation unabhängig von der tatsächlichen Nutzung lizenziert werden muss. Einige Lizenzmodelle differenzieren zudem zwischen pro Gerät, pro Benutzer oder pro Zugriffseinheit. Komplex wird es bei virtualisierten Umgebungen: Hier wird häufig auf die „potenzielle Nutzung“ abgestellt – ein Begriff, der in der Praxis oft weit ausgelegt wird.

Beispiel: Wird ein Windows-Server in einer VM-Umgebung eingerichtet, kann allein das Vorhandensein der virtuellen Instanz ausreichen, um eine Lizenzpflicht auszulösen – selbst wenn diese VM noch keinem Projekt zugeordnet ist. Entscheidend ist also nicht nur der technische Zustand, sondern die vertraglich definierte Verwendungsbereitschaft der Software.

Hinzu kommen Prüfrechte, die Microsoft in vielen Verträgen vorsieht. Diese ermöglichen Audits zur Kontrolle installierter Software – auch ohne konkrete Anhaltspunkte für Verstöße. Unternehmen sind dann in der Beweispflicht: Sie müssen nachweisen, dass eine Installation keine Nutzung darstellt oder anderweitig lizenziert war. Wer hier keine lückenlose Dokumentation hat, riskiert teure Nachlizenzierungen.

Audit-Praxis: Wo die Unterscheidung oft scheitert

In Microsoft-Audits zeigt sich immer wieder, dass die Trennlinie zwischen Installation und Nutzung nicht sauber gezogen wird – weder vom Auditor noch vom geprüften Unternehmen. Viele Audit-Tools erfassen lediglich, dass Software installiert ist. Ob diese tatsächlich produktiv eingesetzt wurde, bleibt häufig offen.

Auditoren werten diese Feststellungen oft als Lizenzpflicht – mit der Folge, dass auch Testsysteme, inaktive Maschinen oder Backup-Server in die Lizenzzählung einfließen. Das ist rechtlich nicht immer haltbar, aber nur schwer zu widerlegen, wenn keine klare Inventarisierung oder Dokumentation vorliegt.

Ebenso problematisch: „Phantom-Nutzungen“ in hybriden Cloud-Umgebungen, bei denen sich die Nutzung dynamisch verschiebt. Ein Benutzer, der theoretisch auf eine Anwendung zugreifen kann, wird unter Umständen als lizenziert gewertet – auch wenn faktisch kein Zugriff stattgefunden hat.

Besonders heikel wird es bei Tools wie Active Directory-basierten Installationen, bei denen Software automatisch auf neuen Geräten ausgerollt wird. Selbst wenn diese nie verwendet wurde, argumentieren Auditoren mit „Einsatzbereitschaft“. Wer hier keine technische Differenzierung vornimmt, wird schnell zur Kasse gebeten.

Schatten-IT, Remote-Arbeit und BYOD: Typische Risikozonen

Ein besonders risikobehafteter Bereich ist die Schatten-IT – also die Nutzung nicht genehmigter Software oder Systeme außerhalb der offiziellen IT-Infrastruktur. Hier werden Programme oft installiert, um spontane Projektbedarfe zu decken. Diese Software taucht jedoch selten in zentralen Inventaren auf – bis das Audit kommt.

Auch die Remote-Arbeit bringt neue Herausforderungen: Mitarbeitende nutzen oft eigene Geräte, auf denen Unternehmenssoftware installiert wird. In BYOD-Konstellationen (Bring Your Own Device) gelten jedoch andere Lizenzmodelle – viele Standardverträge decken diese nicht ab. Kommt es zu einer Audit-Situation, wird jede Installation – selbst bei bloßem Fernzugriff – potenziell lizenzpflichtig.

Fehlen klare Zugriffsregeln und Lizenzrichtlinien, wird jede technische Verbindung zur Software als Nutzung gewertet. Die Folge: Auch passive Geräte oder nur für Schulungszwecke gedachte Systeme fließen in die Lizenzbewertung ein. Unternehmen verlieren damit die Kontrolle über ihre Lizenzpflichten – ein strukturelles Risiko, das häufig unterschätzt wird.

Strategische Empfehlungen: Was Unternehmen jetzt tun sollten

Um sich vor überhöhten Lizenzforderungen zu schützen, sollten Unternehmen folgende Maßnahmen ergreifen:

1. Trennung von Installationen und Nutzungen dokumentieren: Erfassen Sie systematisch, welche Installationen tatsächlich produktiv genutzt werden – z. B. durch Logs oder Nutzungsberichte.
2. Test- und Schulungssysteme kennzeichnen: Weisen Sie technisch und organisatorisch aus, dass bestimmte Systeme keine produktive Nutzung erfahren – etwa durch dedizierte VLANs oder eingeschränkte Zugriffsrechte.
3. Software-Inventarisierung regelmäßig durchführen: Nutzen Sie SAM-Tools, um Ihre Installationsbasis zu kontrollieren und Schatten-IT zu identifizieren.
4. Richtlinien für Remote-Nutzung und BYOD aufstellen: Klare Regeln und technische Begrenzungen verhindern, dass versehentlich unlizenzierte Installationen erfolgen.
5. Audit-Vorbereitung implementieren: Simulieren Sie Audits intern und halten Sie Belege bereit, aus denen klar hervorgeht, ob eine Lizenzpflicht besteht oder nicht. Besonders wichtig: Die Differenzierung „installiert aber nicht genutzt“ muss technisch und organisatorisch beweisbar sein.

Fazit & Call-to-Action

Installation vs. Nutzung ist keine akademische Unterscheidung – sondern eine zentrale Verteidigungslinie im Softwarelizenzrecht. Wer Installationen ohne Nutzung beweisen kann, spart bares Geld und reduziert Audit-Risiken erheblich.

Kontaktieren Sie uns über www.hortmannlaw.com/contact – wir beraten Sie kompetent zur Lizenzprüfung in Ihrem Unternehmen.

‍

• Lizenzketten im Unternehmen richtig managen
• Überlizenzierung: Wie Sie unnötige Kosten vermeiden
• EULA-Konflikte: Risiken in Lizenzbedingungen
• Test- und Produktivsysteme: Lizenzrechtliche Unterschiede
• Software-Compliance-Scan: Was geprüft wird – und warum
• Software-Inventarisierung und Lizenzprüfung
• Schatten-IT: Lizenzverstöße durch unerlaubte Software-Nutzung
• Softwarelizenzrecht, Audits & Verteidigung: Grundlagen
• Microsoft-Lizenzaudit: Verteidigung & Strategien
• Open-Source-Lizenzen verstehen: Mit GPL, Copyleft & Unternehmensfehlern umgehen

‍