Software-Inventarisierung und Lizenzprüfung: Strukturen, Risiken, Verteidigung

Einleitung: Warum Inventarisierung keine IT-Aufgabe ist – sondern Compliance

Software-Inventarisierung klingt zunächst nach IT-Verwaltung. Doch juristisch betrachtet ist sie weit mehr: Sie ist die Grundlage für jeden Lizenznachweis, jedes Audit und jede Verteidigungsstrategie bei Herstellervorwürfen. Wer nicht weiß, welche Software im Einsatz ist, auf welchen Systemen, mit welchen Lizenzen, riskiert im Ernstfall nicht nur Nachzahlungen, sondern auch Vertragskündigungen oder persönliche Haftungsfragen. Als Anwalt für Lizenzrecht erlebe ich regelmäßig, dass Unternehmen erst durch eine Herstellerprüfung erkennen, wie unstrukturiert ihre Softwareverwaltung war.

Dieser Beitrag zeigt, warum die Inventarisierung ein zentraler Compliance-Baustein ist, wo typische Schwächen liegen – und wie man sich gegen überzogene Auditforderungen verteidigt.

Was bedeutet Software-Inventarisierung eigentlich?

Inventarisierung meint die systematische Erfassung, Zuordnung und Dokumentation von Software-Assets im Unternehmen. Dazu zählen:

• Name, Version und Installationsstand der Software
• Installationsort (Gerät, Server, VM)
• Lizenztyp (Kauf, Subscription, OEM etc.)
• Lizenzmetrik (User, Device, Core etc.)
• Lizenznachweis (Vertrag, Rechnung, Key, Portalzugang)
• Gültigkeitsdauer und Verlängerungsmodalitäten

Diese Daten müssen technisch ausgelesen, rechtlich bewertet und organisatorisch gepflegt werden. Sie bilden die Verteidigungsgrundlage für jedes Audit.

Typische Schwachstellen bei der Softwareerfassung

1. Veraltete oder fehlende Lizenznachweise

Viele Unternehmen verfügen über keine zentrale Lizenzdatenbank. Rechnungen liegen in der Buchhaltung, Keys bei der IT, Verträge im Einkauf – oder bei ausgeschiedenen Mitarbeitenden. Im Auditfall fehlt dann der Nachweis – mit der Folge: Lizenzpflicht wird unterstellt.

2. Schatteninstallationen

Geräte mit lokaler Adminfreiheit oder historische Altgeräte enthalten oft Software, die nie ordnungsgemäß inventarisiert wurde. Diese „blinden Flecken“ werden bei Scans erkannt und führen zu sofortigem Lizenzbedarf – auch ohne aktive Nutzung.

3. Nicht zugeordnete Nutzer

Insbesondere bei User-basierten Modellen ist entscheidend, wer Zugriff hat, nicht nur wer nutzt. Shared Accounts, technische Nutzer oder externe Admins werden oft vergessen – und im Audit trotzdem mitgezählt.

4. Keine Trennung von produktiv, test, schulung

Viele Inventare erfassen Software rein technisch – nicht funktional. Ob eine Installation produktiv genutzt wird, testweise läuft oder für Schulungen vorgesehen ist, muss dokumentiert sein – sonst wird sie voll lizenziert.

5. Unklare Lizenzmetriken

Fehlt die Metrik-Zuordnung (z. B. User vs. Device), können Lizenzvergleiche nicht sauber gezogen werden. Im Zweifel wird die strengere Metrik angenommen – und das wird teuer.

Was verlangt der Hersteller im Audit?

Ein Hersteller prüft im Rahmen eines Audits nicht nur, was installiert ist, sondern auch:

• Welche Rechte haben Sie konkret erworben?
• Wurden diese Rechte überschritten?
• Wurden Nutzungen korrekt abgebildet?
• Gibt es parallele Nutzung, Cluster, Remote-Zugriffe?
• Haben Sie Dritte zur Nutzung berechtigt?

Die Beweislast liegt beim Unternehmen. Wer keine strukturierte Inventarisierung nachweisen kann, wird unterstellt, nicht korrekt lizenziert zu haben.

Der Unterschied zwischen technischer und rechtlicher Sicht

Die IT sagt: „Wir haben alle Systeme im Blick.“
Der Anwalt sagt: „Das reicht nicht.“

Denn: Die technische Sicht zeigt nur Installationen, aber nicht:

• welche Lizenzen gelten
• welche Versionen erlaubt sind
• ob Upgrades zulässig waren
• ob Add-ons separat lizenziert werden müssen
• ob eine Nutzung überhaupt zulässig war (z. B. bei privaten Geräten)

Nur durch die Kombination aus technischer Datenerhebung und juristischer Bewertung entsteht eine valide Verteidigung gegen Auditforderungen.

Der Weg zur auditfesten Inventarisierung

1. Zentrale Lizenzdatenbank einrichten

Alle relevanten Informationen müssen an einem Ort zusammenlaufen:

• Installationsdaten
• Nutzerzuordnung
• Lizenzverträge
• Rechnungen, Keys
• Vertragslaufzeiten
• Software-Typen (Produktiv, Test, Schulung)

2. Toolgestützte Erfassung mit juristischer Korrektur

SAM-Tools helfen bei der technischen Inventarisierung – doch sie ersetzen keine rechtliche Analyse. Lizenzmetriken, Vertragslaufzeiten oder Nutzungsrechte müssen geprüft und zugeordnet werden.

3. Dokumentation der Nutzungsszenarien

Wichtig ist nicht nur „wo installiert“, sondern auch: Wofür genutzt? Von wem? Unter welchen Bedingungen? Das gehört in die Lizenzakte – mit Screenshots, Logs, Mailverläufen, Dokumentationsvermerken.

4. Vertragsprüfungen regelmäßig einplanen

Besonders bei Subscription-Lizenzen, Hybridmodellen oder komplexen Cloud-Umgebungen ändern sich Nutzungsrechte regelmäßig. Die Inventarisierung muss das abbilden – sonst entstehen stille Risiken.

5. Rollen und Verantwortlichkeiten definieren

Wer ist für welche Software verantwortlich? Wer vergibt Rechte, wer prüft sie, wer meldet Änderungen? Klare Prozesse sind die Voraussetzung für Auditfestigkeit.

Risikobereiche mit hoher Prüfungsanfälligkeit

• Virtualisierung & Cluster: Wo laufen Instanzen physisch, welche sind aktiv, welche gelten als produktiv?
• Cloud-Verträge mit Offline-Nutzung: Wurde Software heruntergeladen, gespeichert, weiterverteilt?
• Freemium-Modelle: Hat jemand ein Upgrade aktiviert, das lizenzpflichtig ist?
• DevOps / Git-Umgebungen: Werden Bibliotheken eingebunden, deren Lizenzbedingung unklar ist?
• Bring Your Own Device (BYOD): Greifen private Geräte auf Software zu?

Diese Konstellationen sind gefährlich – sie tauchen oft nicht in klassischen Inventaren auf, sind aber lizenzrechtlich höchst relevant.

Verteidigungsstrategie bei unklarer Inventarisierung

A) Kommunikation stoppen, Prüfung vorbereiten

Sobald der Hersteller Daten anfordert, keine voreiligen Tabellen senden. Erst: interne Prüfung, juristische Einordnung, Strategiebesprechung.

B) Nachweise rekonstruieren

Wenn Unterlagen fehlen: Kontakt zu Vertriebspartnern, Systemhäusern, Recherchen in Portalen, Protokollierung von Logs – alles kann helfen, den Lizenznachweis zu rekonstruieren.

C) Metriken auslegen

Nicht jede Auffassung des Herstellers zur Metrik ist richtig. Beispiel: Microsoft zählt alle „qualified users“ – das kann oft angegriffen werden, wenn keine reale Nutzung vorliegt.

D) Lizenznachweise strategisch verwenden

Wichtig ist: Kein Schuldanerkenntnis! Auch vorhandene Lizenzen sollten nur im Kontext übermittelt werden – inklusive Nutzungszweck, Zuordnung und Historie.

E) Prüfung der Auditklausel

Ist das Audit überhaupt zulässig? Gibt es eine vertragliche Grundlage? Wer darf prüfen? Gibt es Fristen? Muss ein neutraler Dritter beauftragt werden?

Als Anwalt prüfe ich solche Klauseln regelmäßig und setze sie auch durch – oder blocke unberechtigte Audits ab.

Fazit & Call-to-Action

Inventarisierung ist nicht nur IT-Pflicht – sondern Lizenzschutz. Wer seine Software nicht systematisch erfasst, schafft Lücken, die in Audits teuer werden. Wer strukturiert, sauber dokumentiert und juristisch absichert, kann selbst bei Nutzungslücken Verhandlungsspielraum schaffen.

Ich unterstütze Sie als Anwalt dabei, Ihre Inventarisierung auditfest zu gestalten, Nachweise aufzubereiten und Lizenzrisiken zu kontrollieren – strategisch, juristisch und durchsetzungsstark.

👉 Jetzt unverbindlich Beratung sichern: hortmannlaw.com/contact

‍

• Lizenzmetriken verstehen: User-, Device- und Core-Modelle
• Unterlizenzierung erkennen und vermeiden
• Installation vs. Nutzung: Wann greift das Lizenzrecht?
• Lizenzketten im Unternehmen richtig managen
• Überlizenzierung: Wie Sie unnötige Kosten vermeiden
• EULA-Konflikte: Risiken in Lizenzbedingungen
• Test- und Produktivsysteme: Lizenzrechtliche Unterschiede
• Software-Compliance-Scan: Was geprüft wird – und warum
• Schatten-IT: Lizenzverstöße durch unerlaubte Software-Nutzung
• Softwarelizenzrecht, Audits & Verteidigung: Grundlagen
• Microsoft-Lizenzaudit: Verteidigung & Strategien
• Open-Source-Lizenzen verstehen: Mit GPL, Copyleft & Unternehmensfehlern umgehen

‍

‍