Schatten-IT: Wie unkontrollierte Systeme Ihre Lizenzstruktur gefährden

Einleitung: Schatten-IT ist kein Technikproblem – sondern ein Compliance-Risiko

Schatten-IT entsteht nicht, weil Unternehmen fahrlässig handeln – sondern weil Fachabteilungen Lösungen brauchen, bevor die IT liefern kann. Schnell wird ein Cloud-Dienst gebucht, eine Software heruntergeladen oder ein Projektserver installiert – vorbei an zentraler Kontrolle. Was dabei oft übersehen wird: Jede unautorisierte Softwareinstallation kann zu einem Lizenzverstoß führen. Und was im Alltag funktioniert, wird im Auditfall zur finanziellen Belastung. Als Anwalt für Softwarelizenzrecht sehe ich regelmäßig Fälle, in denen Schatten-IT Millionenrisiken ausgelöst hat – ohne dass jemand wusste, dass ein Lizenzverstoß vorliegt.

Was ist Schatten-IT?

Schatten-IT umfasst alle IT-Ressourcen, die außerhalb des zentralen IT-Bereichs betrieben werden – meist ohne Wissen oder Genehmigung der IT-Abteilung. Dazu gehören:

• selbst installierte Software auf dienstlichen Geräten
• eigenständig gebuchte SaaS-Lösungen
• unkontrollierte Cloud-Speicher oder externe Tools
• Projektserver, Testumgebungen, Skripte, Prototypen
• BYOD-Geräte mit dienstlicher Nutzung

Entscheidend ist nicht, ob die Software gefährlich ist – sondern ob sie lizenzpflichtig ist und ob ihr Einsatz den vertraglichen Regeln entspricht. Genau hier liegt das Risiko.

Juristische Risiken durch Schatten-IT

1. Verletzung von Lizenzpflichten

Wenn Schatten-IT-Produkte installiert oder genutzt werden, ohne dass eine gültige Lizenz vorliegt, liegt ein Verstoß gegen das Urheberrecht (§ 69c UrhG) vor. Das gilt unabhängig davon, ob die Nutzung absichtlich oder versehentlich erfolgt. Bereits die Installation oder der Zugriff auf einen Cloud-Dienst kann ausreichen, um Lizenzpflicht auszulösen.

2. Verletzung vertraglicher Pflichten

Viele Softwareverträge enthalten strenge Nutzungsbedingungen – etwa zur geografischen Nutzung, zur Zahl der berechtigten User, zur Produktivnutzung oder zur Nutzung durch Dritte. Schatten-IT bricht diese Regeln regelmäßig. Im schlimmsten Fall drohen Vertragsstrafen oder Kündigungen.

3. Haftung der Geschäftsleitung

Nach § 43 GmbHG bzw. § 93 AktG müssen Geschäftsleiter geeignete Kontrollsysteme einführen. Wer Schatten-IT toleriert oder keine Schutzmaßnahmen etabliert, riskiert persönliche Haftung – insbesondere bei hohen Nachlizenzierungskosten oder Datenschutzverstößen.

4. Datenschutzverstöße

Schatten-IT-Lösungen verarbeiten häufig personenbezogene Daten – ohne Datenschutzprüfung, AV-Vertrag oder technische Absicherung. Die Folge können Bußgelder nach der DSGVO oder Reputationsschäden sein.

5. Angreifbarkeit im Audit

Hersteller wie Microsoft, Oracle oder Adobe verlangen im Audit einen vollständigen Überblick über alle Systeme. Wird Schatten-IT nicht offengelegt – und im Nachgang entdeckt – entsteht der Verdacht vorsätzlicher Lizenzumgehung. Die Folge: Härtere Verhandlungen, rückwirkende Lizenzpflichten, Vertrauensverlust.

Typische Formen von Schatten-IT

a) Eigenmächtige Software-Downloads

Ein Mitarbeitender lädt ein Grafiktool, Datenbankmanagementsystem oder Collaboration-Tool herunter – ohne Freigabe. Die Lizenzbedingungen werden nicht gelesen, Installationen nicht dokumentiert – und im Audit taucht das Produkt plötzlich auf.

b) SaaS-Nutzung auf eigene Rechnung

Fachabteilungen buchen eigenständig Tools wie Canva, Miro, Trello oder Google Drive – mit Geschäftsmailadresse und Teamfreigabe. Diese Dienste unterliegen Lizenz- und Datenschutzrecht – werden aber oft nicht in den Lizenzbestand aufgenommen.

c) BYOD ohne Kontrolle

Private Geräte mit dienstlicher Softwarenutzung – etwa Office, Adobe oder Projekttools – sind besonders gefährlich. Der Zugriff auf lizenzpflichtige Systeme über nicht inventarisierte Endgeräte führt regelmäßig zu Compliance-Lücken.

d) Projektserver und Testinstanzen

Schnell aufgesetzte Testumgebungen oder interne Workarounds bleiben oft nach Projektende aktiv – aber unkontrolliert. Hier laufen Installationen, die nie lizenziert wurden – oft mit sensiblen oder produktiven Daten.

Wie entsteht Schatten-IT?

• Zeitdruck in Projekten
• Unklare IT-Beschaffungsprozesse
• Fehlendes Lizenzbewusstsein in Fachabteilungen
• Unzureichende Kommunikation zwischen IT, Legal und Einkauf
• Keine technischen Hürden für Installationen oder Buchungen

In agilen Unternehmen mit vielen selbstständigen Teams ist Schatten-IT strukturell eingebaut – und erfordert gezielte Gegenmaßnahmen.

Technische Auditierung deckt Schatten-IT auf

Moderne Lizenzprüfungstools erkennen installierte Software, Datenverkehr, Nutzerverhalten und Cloudzugriffe. Häufige Audit-Fundstellen:

• nicht zugewiesene Softwareinstallationen
• Nutzer mit mehrfachen Konten
• Zugriffe auf nicht genehmigte SaaS-Dienste
• Geräte ohne zentrale Verwaltung
• fehlende oder doppelte Lizenzmetriken

Diese Datenbasis wird in Auditverhandlungen verwendet – und ohne saubere Inventarisierung kaum widerlegbar.

Verteidigungsstrategie bei Schatten-IT

1. Erhebung und Dokumentation

Zuerst muss Schatten-IT identifiziert werden – durch technische Tools, Mitarbeiterbefragung und Plausibilitätsprüfung. Die Ergebnisse müssen dokumentiert, klassifiziert und rechtlich bewertet werden.

2. Nachlizenzierung oder Entfernung

Installationen ohne Lizenznachweis sollten entfernt oder rückwirkend lizenziert werden. Dabei zählt: dokumentieren, nachvollziehbar machen, sauber trennen (Produktiv / Test / Legacy).

3. Herstellerkommunikation absichern

Schatten-IT darf nicht „ungefragt“ eingeräumt werden – sonst droht Schuldanerkenntnis. Stattdessen: anwaltlich abgesicherte Darstellung mit Kontext, Einschränkungen und Prüfung der Auditklausel.

4. Interne Prozesse korrigieren

Zentraler Punkt jeder Verteidigungsstrategie ist die Struktur: Wer darf beschaffen? Wer darf installieren? Wer trägt Lizenzverantwortung? Wer meldet neue Tools? Ohne klare Prozesse wiederholt sich das Problem.

Prävention: So bauen Sie einen Schatten-IT-Radar auf

• Zentrale IT-Governance mit klaren Freigabeverfahren
• Lizenz-Policy, die auch Fachbereiche und Führungskräfte einbindet
• Schulungen für Projektleitungen und neue Mitarbeitende
• Cloud Access Management mit Einschränkungen für externe Tools
• Monitoring-Tools, die nicht nur Technik, sondern auch Lizenzbedingungen prüfen
• Regelmäßige Compliance-Scans, kombiniert mit jurischer Bewertung

Je früher Schatten-IT erkannt wird, desto geringer ist das Risiko. Wer regelmäßig prüft, kann Risiken frühzeitig begrenzen – und im Ernstfall beweisen, dass das Unternehmen seine Pflichten erfüllt hat.

Fazit & Call-to-Action

Schatten-IT ist keine Bagatelle, sondern eine zentrale Lizenzgefahr. Wer nicht weiß, was im Unternehmen läuft, kann sich im Audit nicht verteidigen. Wer aktiv kontrolliert, dokumentiert und korrigiert, schafft eine belastbare Lizenzstruktur.

Ich unterstütze Sie als Anwalt dabei, Ihre Lizenzprozesse auditfest zu strukturieren, Schatten-IT rechtlich zu bewerten und im Konfliktfall konsequent zu verteidigen – bevor Herstellerforderungen Realität werden.

👉 Jetzt unverbindlich Beratung sichern: hortmannlaw.com/contact

‍

• Lizenzmetriken verstehen: User-, Device- und Core-Modelle
• Unterlizenzierung erkennen und vermeiden
• Installation vs. Nutzung: Wann greift das Lizenzrecht?
• Lizenzketten im Unternehmen richtig managen
• Überlizenzierung: Wie Sie unnötige Kosten vermeiden
• EULA-Konflikte: Risiken in Lizenzbedingungen
• Test- und Produktivsysteme: Lizenzrechtliche Unterschiede
• Software-Compliance-Scan: Was geprüft wird – und warum
• Software-Inventarisierung und Lizenzprüfung
• Softwarelizenzrecht, Audits & Verteidigung: Grundlagen
• Microsoft-Lizenzaudit: Verteidigung & Strategien
• Open-Source-Lizenzen verstehen: Mit GPL, Copyleft & Unternehmensfehlern umgehen

‍