Knowledge Hub
Software Agreements

Lizenzketten im Unternehmen richtig managen

Verfasst von
Max Hortmann
14 Nov 2025
Lesezeit:
Diesen Beitrag teilen

Lizenzketten im Unternehmen richtig managen: Risiken erkennen, Pflichten erfüllen

Lizenzketten im Unternehmen sind eine der unsichtbarsten, aber zugleich folgenreichsten Gefahrenquellen im Softwarelizenzrecht. Sobald ein Unternehmen auf mehrere Dienstleister, Subunternehmer oder Cloud-Plattformen zurückgreift – sei es für IT-Support, Outsourcing, DevOps oder interne Projektarbeit – entstehen Verflechtungen, die unmittelbare Auswirkungen auf die Lizenzpflichten und Audit-Feststellungen haben können. Diese Ketten wirken nicht nur nach außen, sondern auch innerhalb von Unternehmensgruppen. Die Herausforderungen liegen in der Transparenz, Zurechnung und Vertragskontrolle – und sie betreffen praktisch jedes mittlere und größere Unternehmen.

Definition: Was sind Lizenzketten und wie entstehen sie?

Eine Lizenzkette entsteht, wenn mehrere Parteien – z. B. Muttergesellschaft, Tochtergesellschaft, IT-Dienstleister, externer Entwickler – gemeinsam auf Software zugreifen, sie installieren, hosten oder nutzen, ohne dass die Lizenzbedingungen eindeutig klären, welche Partei für welchen Teil der Lizenzverwendung verantwortlich ist.

Beispiele:

  • Eine Holding lizenziert Software zentral, Tochtergesellschaften nutzen sie dezentral – ohne klare Zuweisung.
  • Ein Unternehmen beauftragt einen externen Dienstleister, der im Rahmen seiner Tätigkeit Zugriff auf lizenzpflichtige Tools erhält.
  • Eine Cloud-Anwendung wird gemeinsam von Projektpartnern genutzt, aber nur eine Partei ist Vertragspartner.
  • In DevOps-Prozessen greifen mehrere Abteilungen auf gemeinsam installierte Entwicklungsumgebungen zu, ohne konsolidierte Nutzungszuordnung.

In all diesen Fällen entstehen „Lizenzketten“ – also Nutzungspflichten, die über mehrere Organisationseinheiten verteilt sind, aber häufig nur unzureichend dokumentiert oder technisch nachvollziehbar sind. Das Problem: In Audits oder rechtlichen Auseinandersetzungen kann die gesamte Kette haften, wenn der Lizenzverstoß nicht klar abgegrenzt werden kann.

Rechtslage: Wer haftet in der Lizenzkette?

Rechtlich gilt: Derjenige, der Software nutzt oder Dritten zur Nutzung überlässt, benötigt grundsätzlich eine gültige Lizenz. Dabei ist unerheblich, ob er die Software selbst installiert oder nur den Zugriff ermöglicht. Das gilt auch bei Unterbeauftragten (§ 11 Abs. 2 Satz 2 UrhG analog).

Wird eine Softwarelizenz in einem Unternehmen beschafft, aber faktisch von einer anderen juristischen Einheit genutzt (z. B. Tochtergesellschaft), liegt ein sogenannter Cross-Use oder ein Lizenztransfer vor. Solche Überlassungen sind nur mit Zustimmung des Rechteinhabers zulässig – andernfalls droht ein Lizenzverstoß. Auch im Konzernverbund können zentrale Lizenzpools (z. B. bei Microsoft EA) problematisch sein, wenn die tatsächliche Nutzung nicht vertraglich sauber geregelt ist.

Das Haftungsrisiko ist besonders hoch, wenn Dienstleister oder Externe Zugriff auf interne Systeme erhalten, ohne dass deren Lizenzpflicht geklärt wurde. Denn: Unternehmen haften auch für das Verhalten von Subunternehmern, wenn sie diesen Zugriff gewähren und dadurch eine nichtlizenzierte Nutzung ermöglichen.

Ebenso kritisch: Wird Software gemeinsam genutzt (z. B. in Cloud-Umgebungen), haftet im Zweifel der Hauptvertragspartner – selbst wenn der Verstoß von einem Dritten begangen wurde. Die Beweislast für eine rechtmäßige Nutzung liegt beim Unternehmen – nicht beim Auditor.

Alt: "Visualisierung komplexer Softwarelizenzketten in Unternehmen mit internen und externen Zugriffspunkten"
"Das Bild zeigt eine moderne Darstellung eines Lizenznetzwerks innerhalb eines Unternehmens. Es symbolisiert die komplexen Abhängigkeiten zwischen Muttergesellschaften, Tochterfirmen und externen Dienstleistern bei der Nutzung lizenzpflichtiger Software. Besonders hervorgehoben sind Zugriffspfade, Nutzerrollen und Lizenzverantwortlichkeiten."

Interne Lizenzketten: Die Risiken innerhalb der Organisation

Lizenzketten entstehen nicht nur über externe Partner, sondern auch innerhalb der Organisation – etwa wenn verschiedene Abteilungen oder Business Units gemeinsam auf Software zugreifen. Besonders in Konzernen mit geteilten IT-Strukturen oder Shared Services ist dies die Regel.

Typische interne Risikofelder:

  • Mehrfachnutzung ohne Zuweisung: Eine Lizenz wird von verschiedenen Abteilungen parallel genutzt, ohne dass technisch klar ist, welche Nutzung legitim ist.
  • Verborgene Installationen: Veraltete Systeme mit aktiven Softwarekomponenten, die nicht mehr aktiv genutzt, aber auch nicht gelöscht wurden.
  • Automatische Installationen: Deployment-Prozesse, die Software auf Geräten ausrollen, ohne dass diese Geräte lizenziert sind.
  • Fehlende Trennung von Entwicklungs- und Produktivsystemen: Entwicklerumgebungen greifen auf lizenziere Systeme zu, ohne separate Lizenzierung.

Diese internen Ketten sind besonders schwer zu kontrollieren, da sie oft nicht in der Lizenzinventarisierung auftauchen, aber trotzdem lizenzpflichtige Nutzung erzeugen.

Technische Erkennbarkeit: Warum viele Lizenzketten unsichtbar sind

In klassischen Audit-Tools (z. B. Microsoft Assessment and Planning Toolkit oder Snow License Manager) werden Lizenzketten nur teilweise oder gar nicht erfasst. Die Tools erkennen installierte Software und oft auch Benutzermuster, aber sie wissen nicht, ob ein Zugriff z. B. von einem Dienstleister, einem Tochterunternehmen oder einer Externeinheit aus erfolgt.

Das bedeutet: Unternehmen sind selbst dafür verantwortlich, ihre Lizenzketten aufzudecken und nachzuweisen, wer was wie nutzt. Ohne saubere Nutzer- und Gerätezuordnung ist dieser Nachweis oft unmöglich – mit der Folge, dass alle Zugriffe dem auditierenden Unternehmen zugerechnet werden. Auch SaaS- und Cloud-Systeme sind davon betroffen: Bei vielen Cloud-Anwendungen werden Nutzerrollen und Rechte nicht sauber dokumentiert, sodass nicht nachvollziehbar ist, wer zur Nutzung berechtigt war.

Typische Audit-Fallen bei Lizenzketten

Aus Sicht eines Auditors sind Lizenzketten ein gefundenes Fressen – sie bieten zahlreiche Ansatzpunkte, um weitreichende Lizenzverstöße zu behaupten, wenn keine eindeutigen Verträge oder Dokumentationen vorliegen. Häufige Audit-Taktiken:

  • Generalvermutung der Nutzung: Wenn ein Tool irgendwo installiert ist, wird angenommen, dass es jeder in der Kette nutzt.
  • Sammelzuschreibung: Nutzungen von Externen werden dem Unternehmen zugerechnet, wenn keine Lizenzübertragung oder Abgrenzung dokumentiert ist.
  • Fehlende Subunternehmervereinbarungen: Auditoren fordern Nachweise, dass Dritte lizenziert wurden oder im Rahmen eines Werkvertrags tätig waren.
  • Verdacht auf nicht autorisierte Überlassung: Sobald Cloud-Zugänge oder Remote-Tools für Dritte bereitstehen, unterstellt der Auditor eine unerlaubte Lizenzweitergabe.

Diese Situationen führen oft zu teuren Nachlizenzierungen, Strafzahlungen oder Vertragsstrafen – nicht, weil das Unternehmen vorsätzlich gehandelt hätte, sondern weil die Lizenzkette nicht nachvollziehbar war.

Strategien zum sauberen Management von Lizenzketten

Unternehmen sollten folgende Maßnahmen umsetzen, um ihre Lizenzketten transparent und audit-sicher zu gestalten:

  1. Vertragliche Zuweisung: Jeder Lizenzvertrag sollte eindeutig regeln, wer Nutzungsberechtigter ist – insbesondere bei Gruppenverträgen oder Shared Services.
  2. Subunternehmer-Klauseln: Bei der Beauftragung Dritter müssen deren Lizenzpflichten geregelt werden. Empfehlenswert sind Auditschutz- und Freistellungsklauseln.
  3. Technische Zugriffssteuerung: Wer Zugriff auf lizenzierte Software hat, muss nachvollziehbar erfasst werden. Rollenmanagement und Rechtesysteme helfen dabei.
  4. Dokumentation und Nachweise: Jeder Zugriff durch Dritte oder Gruppenmitglieder sollte protokolliert und der Lizenzstelle gemeldet werden.
  5. Zentrale Lizenzverwaltungsstelle: Eine interne Compliance-Stelle kann Lizenzen übergreifend verwalten, Zuweisungen prüfen und Auditfeststellungen vorbereiten.
  6. Audit-Simulationen: Führen Sie regelmäßig interne Prüfungen durch, bei denen insbesondere Lizenzketten aufgedeckt und bewertet werden.

Fazit & Call-to-Action

Lizenzketten im Unternehmen sind komplex, aber beherrschbar – wenn sie erkannt, dokumentiert und aktiv gesteuert werden. Wer diese Strukturen ignoriert, riskiert im Auditfall pauschale Haftung für das Verhalten anderer – selbst ohne eigenes Verschulden.

Kontaktieren Sie uns über www.hortmannlaw.com/contact – wir analysieren Ihre Lizenzketten, identifizieren Risiken und gestalten auditfeste Strukturen für Ihr Unternehmen.

  1. Lizenzmetriken verstehen: User-, Device- und Core-Modelle
  2. Unterlizenzierung erkennen und vermeiden
  3. Installation vs. Nutzung: Wann greift das Lizenzrecht?
  4. Überlizenzierung: Wie Sie unnötige Kosten vermeiden
  5. EULA-Konflikte: Risiken in Lizenzbedingungen
  6. Test- und Produktivsysteme: Lizenzrechtliche Unterschiede
  7. Software-Compliance-Scan: Was geprüft wird – und warum
  8. Software-Inventarisierung und Lizenzprüfung
  9. Schatten-IT: Lizenzverstöße durch unerlaubte Software-Nutzung
  10. Softwarelizenzrecht, Audits & Verteidigung: Grundlagen
  11. Microsoft-Lizenzaudit: Verteidigung & Strategien
  12. Open-Source-Lizenzen verstehen: Mit GPL, Copyleft & Unternehmensfehlern umgehen

Max Hortmann
Rechtsanwalt
,
Hortmann Law

Suchen Sie dringend diskrete, juristische Unterstüzung?

Wir helfen Ihnen gerne persönlich weiter – schildern Sie uns Ihr Anliegen und wir finden gemeinsam eine Lösung.

Kontakt aufnehmen
Verwandte Artikel

Das könnte Sie auch interessieren

Entdecken Sie weitere Beiträge zu aktuellen Themen rund um Digitalrecht, Cybercrime, Datenschutz, KI und Steuerrecht. Unsere verwandten Artikel geben Ihnen zusätzliche Einblicke und vertiefende Analysen.

Software Agreements
11/14/2025
November 14, 2025

Schatten-IT als Lizenzrisiko im Unternehmen

Schatten-IT ist eine stille Lizenzgefahr. In diesem Aufsatz erfahren Sie, wie Sie unkontrollierte Softwareinstallationen entdecken, rechtlich bewerten und im Audit absichern – mit klarer Verteidigungsstrategie und juristischer Prävention. Für IT-Leitungen, Geschäftsführung und Compliance.

Artikel lesen
Software Agreements
11/14/2025
November 14, 2025

Software-Inventarisierung: Die Basis jeder Lizenzprüfung

Ohne Inventarisierung keine Verteidigung. Wer seine Software nicht sauber dokumentiert, wird im Audit schnell angreifbar. Dieser Artikel zeigt, wie Unternehmen ihre Lizenzstruktur strukturiert, auditfest und juristisch abgesichert aufbauen – mit konkreten Tipps für Legal, IT und Einkauf.

Artikel lesen
Software Agreements
11/14/2025
November 14, 2025

Compliance-Scans: Wie Software richtig geprüft wird

Compliance-Scans schützen nur, wenn sie richtig eingesetzt werden. Dieser Artikel zeigt, wie Unternehmen Fehler vermeiden, Ergebnisse richtig interpretieren und Herstellerforderungen abwehren – mit klarer anwaltlicher Strategie für IT-Leitung, Legal und Geschäftsführung.

Artikel lesen
Mehr anzeigen