Software-Compliance-Scan: Pflicht oder Risiko?

Einleitung: Wenn Softwareprüfung zum Bumerang wird

Software-Compliance-Scans gelten vielen Unternehmen als technische Formalität – ein kurzer Lizenzabgleich, ein paar Excel-Tabellen, ein automatisierter Systemdurchlauf. Doch was als Schutzmaßnahme gedacht ist, kann schnell zur juristischen und wirtschaftlichen Gefahr werden. Wer einen Scan durchführt, ohne seine Lizenzstruktur, Rollenverteilung und Vertragspflichten zu kennen, schafft eine Beweislage, die sich im Audit gegen das eigene Unternehmen richtet. Als Anwalt für Softwarelizenzrecht begleite ich regelmäßig Fälle, in denen der vermeintliche Compliance-Scan zur eigentlichen Eskalation geführt hat.

Dieser Aufsatz zeigt, warum Compliance-Scans rechtlich heikel sind, welche Herstellerstrategien dahinterstehen – und wie Unternehmen sie richtig einsetzen, dokumentieren und juristisch absichern.

Begriffsklärung: Was ist ein Software-Compliance-Scan?

Ein Software-Compliance-Scan ist eine systematische Überprüfung des Softwareeinsatzes im Unternehmen. Ziel ist es, festzustellen:

• Welche Software ist installiert?
• Wer nutzt sie, in welcher Form, auf welchen Geräten?
• Stimmen Nutzung und Lizenzen überein?
• Gibt es Schatteninstallationen oder Übernutzung?

Technisch erfolgen solche Scans meist über Tools wie:

• Microsoft MAP Toolkit
• Flexera
• Snow License Manager
• Matrix42
• SCCM-basierte Installationen

Die Ergebnisse werden in Lizenzbilanzen überführt, um Unter- oder Überlizenzierung zu erkennen – oder gegenüber dem Hersteller zu dokumentieren.

Scan oder Audit? – Der feine Unterschied

Hersteller unterscheiden oft nicht sauber zwischen einem internen „Compliance-Scan“ und einem „Lizenzaudit“. Doch die rechtlichen Konsequenzen sind unterschiedlich:

• Ein interner Scan wird vom Unternehmen selbst oder einem beauftragten Dienstleister durchgeführt.
• Ein Audit ist eine formelle Maßnahme des Herstellers mit vertraglich festgelegten Rechten, Fristen und Beweislastregelungen.

Problematisch wird es, wenn ein interner Scan ungesichert an den Hersteller übermittelt wird – oder wenn der Hersteller einen Scan vorschreibt, der faktisch ein Audit ersetzt, aber ohne vertragliche Rahmenbedingungen erfolgt. Solche Szenarien führen regelmäßig zu Mandaten – oft erst dann, wenn die Forderung bereits im Raum steht.

Typische Risiken bei Compliance-Scans

1. Selbstbelastung durch überhastete Datenauswertung

Unternehmen liefern Lizenzdaten aus dem Scan direkt an den Hersteller – ohne juristische Einordnung, ohne Gegenprüfung, ohne Darstellung technischer Einschränkungen. Die Folge: Falsch positive Ergebnisse (z. B. doppelte Installationen, Testsysteme) werden als voll lizenzpflichtig gewertet.

2. Fehlende Trennung von aktiver Nutzung und bloßer Installation

Scan-Ergebnisse zeigen installierte Software – nicht unbedingt, ob sie aktiv genutzt wird. Doch Hersteller werten jede Installation als potenzielle Lizenzverletzung, wenn keine dokumentierte Gegendarstellung vorliegt.

3. Verstöße gegen Datenschutz und Arbeitsrecht

Einige Scan-Tools erfassen personenbezogene Nutzungsdaten oder greifen auf Benutzerprofile, Systemlogins und Zugriffshistorien zu. Ohne Betriebsvereinbarung oder datenschutzrechtliche Legitimation ist das riskant – insbesondere bei BYOD, Homeoffice oder externen Zugriffen.

4. Missverständnisse über Lizenzmetriken

Viele Compliance-Scans liefern „Nutzungszahlen“ – aber ohne Einordnung nach dem konkreten Lizenzmodell (User, Device, Core). Unternehmen gehen davon aus, sie seien korrekt lizenziert – und liefern dem Hersteller unbewusst Belege für Unterlizenzierung.

5. Versehentliche Aufdeckung interner Schwächen

Der Scan bringt oft mehr zutage, als beabsichtigt: veraltete Systeme, Schatten-IT, Drittsoftware ohne Erlaubnis. Diese Erkenntnisse sind wichtig – können aber haftungsrechtlich relevant werden, etwa für Geschäftsführung oder Compliance-Beauftragte (§§ 93 AktG, § 43 GmbHG).

Herstellerstrategie: Scans als Türöffner für Nachforderungen

Viele Hersteller fördern aktiv Compliance-Scans – sei es durch Hinweise in Lizenzverträgen, automatische Tool-Implementierungen oder durch Partnerfirmen, die „Lizenzreviews“ anbieten. Was dabei oft verschwiegen wird:

• Der Scan ersetzt das Audit nicht – schafft aber eine Beweisbasis, die im Streitfall verwertet wird.
• Wer Scanergebnisse teilt, verzichtet häufig auf spätere Einwendungen (Stichwort: Schuldanerkenntnis durch Verhalten).
• Einige Scans enthalten verdeckte Zustimmungsklauseln – etwa durch Aktivierung bestimmter Funktionen oder Portale.

Insbesondere bei Microsoft, Oracle oder Adobe werden Scaninitiativen zunehmend aggressiv – nicht selten unter Androhung eines Audits, wenn keine „freiwillige Mitwirkung“ erfolgt.

Compliance-Scans richtig absichern: Was Unternehmen tun sollten

A) Interne Kontrollstruktur schaffen

Scans dürfen nicht unkoordiniert durch IT oder Einkauf angestoßen werden. Verantwortlich sollte ein lizenzrechtlich unterwiesenes Team aus IT, Legal und Compliance sein – mit festen Freigabewegen und Kommunikationsregeln.

B) Technische Interpretation absichern

Scan-Daten sollten niemals „roh“ weitergeleitet werden. Es braucht eine juristisch fundierte Interpretation:

• Was sind produktive vs. Testsysteme?
• Welche Nutzer sind aktiv, welche inaktiv?
• Welche Lizenzmetriken gelten konkret?

Nur auf dieser Basis kann eine realistische Lizenzbilanz erstellt werden.

C) Herstellerkontakt juristisch begleiten

Sobald Scan- oder Review-Anfragen eingehen, sollte die Kommunikation anwaltlich flankiert werden. Besonders kritisch: vorgefertigte Auditformulare, automatische Datenuploads oder die Zusendung von Lizenzberichten ohne Klarstellung.

D) Betriebsvereinbarungen prüfen

Wenn personenbezogene Daten oder Zugriffsdaten verarbeitet werden, muss eine rechtliche Grundlage existieren – meist durch eine Betriebsvereinbarung, eine Datenschutzerklärung oder eine explizite Einwilligung der betroffenen Personen.

E) Risikobewertung protokollieren

Jeder Scan sollte mit einem internen Risikobericht enden:

• Welche Schwächen wurden erkannt?
• Besteht Nachlizenzierungsbedarf?
• Gibt es Handlungsempfehlungen?

Dieser Bericht bildet die Grundlage für Compliance-Reporting und etwaige Selbstanzeigen oder Verhandlungen mit Herstellern.

Selbstschutz statt Selbstoffenbarung

Ein Compliance-Scan kann ein mächtiges Werkzeug sein – oder ein gefährliches Eigentor. Entscheidend ist, wer ihn kontrolliert, wie er ausgewertet wird, und ob das Unternehmen in der Lage ist, die Ergebnisse rechtlich einzuordnen. Als Anwalt empfehle ich: Scans sollten nie unkritisch, nie isoliert und nie ohne juristische Rahmung erfolgen.

Wer seine Lizenzstruktur kennt, Testsysteme sauber trennt, Schatten-IT im Griff hat und die Scanergebnisse dokumentiert – der kann sie sogar proaktiv zur Stärkung seiner Verhandlungsposition nutzen.

Fazit & Call-to-Action

Ein Software-Compliance-Scan ist kein bloßer IT-Prozess – sondern ein juristisches Risiko mit strategischem Potenzial. Wer ihn klug nutzt, schützt sich. Wer ihn blind einsetzt, öffnet dem Hersteller die Tür zu Nachforderungen, Vertragskündigungen und Reputationsschäden.

Ich unterstütze Sie als Anwalt dabei, Ihre Scanprozesse rechtssicher aufzustellen, Ergebnisse zu bewerten und Herstellerforderungen zu kontrollieren – bevor der Schaden entsteht.

👉 Jetzt unverbindlich Beratung sichern: hortmannlaw.com/contact

‍

• Lizenzmetriken verstehen: User-, Device- und Core-Modelle
• Unterlizenzierung erkennen und vermeiden
• Installation vs. Nutzung: Wann greift das Lizenzrecht?
• Lizenzketten im Unternehmen richtig managen
• Überlizenzierung: Wie Sie unnötige Kosten vermeiden
• EULA-Konflikte: Risiken in Lizenzbedingungen
• Test- und Produktivsysteme: Lizenzrechtliche Unterschiede
• Software-Inventarisierung und Lizenzprüfung
• Schatten-IT: Lizenzverstöße durch unerlaubte Software-Nutzung
• Softwarelizenzrecht, Audits & Verteidigung: Grundlagen
• Microsoft-Lizenzaudit: Verteidigung & Strategien
• Open-Source-Lizenzen verstehen: Mit GPL, Copyleft & Unternehmensfehlern umgehen

a

‍