Is the Acceptable Use Policy enough for software compliance?

The Acceptable Use Policy governs which software employees may install. The IPR policy goes further: it defines how licences are procured, evidenced, monitored and disposed of — and it also covers open-source compliance, the organisation's own intellectual property and third-party content. The two documents complement each other.

Do I need a dedicated licence register?

Yes. ISO 27002 A 5.32 requires evidence of valid licences for all software products in use. A licence register documents the product, licence type, permitted installations, actual usage, expiry date and proof of ownership. Without this register, you have no evidence to present in an audit.

What do I need to watch for with open-source software?

Every open-source component is subject to a licence (GPL, MIT, Apache, etc.) that carries specific obligations — from attribution to source code disclosure. You need a current SBOM (Software Bill of Materials) and ideally an automated licence scanner that checks new dependencies before they reach production.

Who owns intellectual property created by employees during working hours?

In most jurisdictions, the organisation does (work-for-hire principle). Employment contracts should state this explicitly — including inventions, source code, designs and documentation. Without contractual clarity, grey areas emerge that become problematic when someone leaves.

How often should a software audit take place?

The policy recommends at least annually and after significant changes to the IT landscape. In practice, automated tools (software asset management, endpoint inventory) provide continuous data. The annual audit then becomes a validation of that data with spot checks.

Intellectual Property Rights Policy

Protecting intellectual property sounds like a job for the legal department. In practice, it concerns every person who installs software, writes source code, creates documents or uses third-party content. This policy ensures that you comply with others’ IP rights and protect your own — with clear rules for software licences, open-source compliance and the handling of protected works.

ISO 27001 dedicates a specific control to the topic (A 5.32), and BSI IT-Grundschutz covers it in module ORP.5 (compliance management). Violations of copyright or licence terms can result in fines, damages claims and criminal proceedings — and auditors probe this area closely. Further down you will find the complete template in English and German.

One ISO 27001 control, broad reach. A 5.32 covers software licences, copyright, trademarks, patents, design rights and open-source compliance in a single control.
Approved sources only. Software is acquired exclusively through official channels, authorised resellers or verified open-source repositories. Peer-to-peer networks, torrent sites and unofficial mirrors are prohibited.
Licence register with proof of ownership. Every software product is documented with licence type, permitted installations, actual usage and expiry date. Purchase receipts and licence certificates are retained.
Open-source compliance is mandatory. Maintain an SBOM, deploy a licence scanner, verify licence terms (copyleft, attribution) before use.
Protect your own IP actively. Work-for-hire clauses in employment contracts, trademark and patent registration, contractual IP provisions with third parties.

What does it actually cover?

Software is the most valuable operational resource in most organisations today — and simultaneously the area where IP violations happen most easily. A missing licence record, an exceeded installation limit or a GPL component in a proprietary product is enough for a serious problem.

The policy answers questions like: where may software be procured? How do you prove that a licence is valid? What happens when the permitted number of installations is reached? How are open-source dependencies monitored? And who is responsible when an employee embeds a YouTube video in a training presentation?

The scope extends beyond software. Trademarks, patents, design rights, technical documentation and creative works all fall within it. The policy defines the framework for all of these areas — from procurement to disposal, from third-party rights to the organisation’s own intellectual property.

Why is it audit-relevant?

Liability risk with leverage. Software vendors conduct licence audits — some routinely, some after tip-offs. Under-licensing across 50 workstations can trigger six-figure back payments. For open-source violations (copyleft breaches), injunctions and public attention follow, damaging the organisation’s reputation.

Audit focal point. Auditors check A 5.32 for the existence of a licence register, proof of ownership and regular software audits. If any of these is missing, it is a finding. Multiple gaps escalate to a nonconformity.

Connection to other controls. The IPR policy touches the Acceptable Use Policy (which software may be installed), the Secure Development Policy (open source in your own code) and Change Management (introduction of new software). A weak IPR document undermines three other areas.

What goes into it?

The template covers six core areas:

Software acquisition (A 5.32) — approved sources only, no pirated copies, no tampered installation files, no peer-to-peer downloads. Every acquisition is recorded in the licence register.
Licence management — retain proof of ownership, monitor installation limits, track licence metrics (named user, concurrent user, CPU-based), conduct regular software audits.
Open-source compliance — maintain an SBOM (Software Bill of Materials), integrate a licence scanner into the build pipeline, verify copyleft obligations before a component reaches production.
Third-party information and content — comply with terms of external data sources, use commercial recordings and publications within licence scope, observe quotation rights.
Own intellectual property — regulate work-for-hire in employment contracts, protect trademarks and patents, agree IP clauses with suppliers and partners.
Software disposal and transfer — comply with licence terms when uninstalling or transferring software, mark licence keys as deactivated in the register.

How to roll it out

01

Inventory your software estate

Before you write the policy, you need clarity on the current state. What software is in use? What licences exist for it? Where are the records stored? Is there software with no identifiable licence? Endpoint management tools or a software asset management system provide the raw data. This inventory doubles as the foundation for your licence register.
02

Build the licence register

For each software product, document: product name, vendor, licence type (purchase, subscription, open source), permitted installations or usage metrics, actual usage, expiry date, proof of ownership and responsible person. The register is reviewed at least annually and updated with every new acquisition or disposal.
03

Set up open-source compliance

If your organisation develops software, you need an SBOM process. Automated licence scanners (e.g. FOSSA, Snyk, Trivy) check with every build whether new dependencies introduce licence terms that conflict with your business model. Copyleft licences (GPL, AGPL) require particular attention because they can trigger source code disclosure obligations.
04

Adapt and approve the template

The template contains placeholders for organisation name, responsible roles and specific licence rules. Replace them. Remove sections that do not apply — no in-house software development? The open-source section can be shorter. No patents? Remove those passages. Top management approves the finished policy (ISO 27001, Clause 5.2).
05

Operationalise software audits

Schedule at least one annual software audit that compares installed software against the licence register and the approved software catalogue. Unauthorised software is uninstalled. Automated endpoint inventory makes the comparison easier — without it, the audit remains a manual exercise with high effort and patchy coverage.

Where it goes wrong in practice

From audit experience, sorted by frequency:

1. No licence register exists. Software is procured and installed, but nobody documents the licence terms centrally. In an audit, proof of ownership is missing, installation limits are unclear and expiry dates are missed. This is the most common finding for A 5.32.

2. Licence limits exceeded. 50 licences purchased, 73 installations on the network. Some organisations only discover this when the vendor announces a licence audit — by which point it gets expensive. Continuous monitoring of licence metrics is the only reliable countermeasure.

3. Open-source dependencies without review. A developer adds an npm library without checking the licence. Three levels deep in the dependency chain sits a GPL component that triggers disclosure obligations for the entire codebase. An automated licence scanner in the CI/CD pipeline catches these cases.

4. Software from unofficial sources. An employee downloads a free version of a tool from a third-party website. The file contains malware or is a pirated copy. The policy prohibits such downloads — but if procurement channels are not clearly communicated, people find their own solutions.

5. Own IP left unprotected. Employment contracts contain no work-for-hire clause, trademarks are not registered, source code carries no copyright notice. As long as everything runs smoothly, nobody notices. During a separation or legal dispute, the foundation is missing.

Template: Intellectual Property Rights Policy

Dokumentenkontrolle
Eigentümer: [RICHTLINIEN_EIGENTÜMER_ROLLE, z. B. Informationssicherheitsbeauftragte/r]
Genehmigt von: [GENEHMIGER_NAME_UND_ROLLE]
Version: [VERSION]
Gültig ab: [GÜLTIGKEITSDATUM]
Nächste Überprüfung: [NÄCHSTES_ÜBERPRÜFUNGSDATUM]

1. Rechtliche/Regulatorische Grundlage

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Anhang A — Organisatorische Maßnahmen:

A 5.32 — Geistige Eigentumsrechte

BSI IT-Grundschutz:

ORP.5.A1 (Identifikation rechtlicher und vertraglicher Rahmenbedingungen)
ORP.5.A2 (Einhaltung rechtlicher und vertraglicher Rahmenbedingungen)
APP.3.2.A7 (Schutz sensibler Daten in Webanwendungen)
APP.6.A9 (Regelungen für die Softwareentwicklung — Lizenzaspekte)

Weitere jurisdiktionsspezifische Gesetze — insbesondere nationales Urheberrecht, Vorschriften zur Softwarelizenzierung, Open-Source-Compliance-Pflichten und sektorspezifische IP-Anforderungen — sind im Rechtsregister aufgeführt und werden durch Verweis einbezogen.

2. Zweck & Geltungsbereich

Diese Richtlinie legt Regeln zum Schutz geistiger Eigentumsrechte (IPR) bei [IHR_ORGANISATIONSNAME] fest. Sie stellt sicher, dass jede Nutzung von Software, Informationsprodukten, Daten und kreativen Werken den geltenden Urheberrechts-, Lizenz- und IP-Gesetzen entspricht, und dass das eigene geistige Eigentum der Organisation angemessen gegen unbefugte Nutzung durch Beschäftigte und Dritte geschützt wird.

Die folgenden Maßnahmen werden zum Schutz aller Materialien umgesetzt, die als geistiges Eigentum betrachtet werden können.

Geistiges Eigentum umfasst ein breites Spektrum geschützter Werte, darunter:

Software- & Dokumentenurheberrecht: Quellcode, kompilierte Anwendungen, technische Dokumentation, Schulungsmaterialien und schriftliche Werke — alle ab dem Zeitpunkt der Erstellung urheberrechtlich geschützt.
Designrechte: Das visuelle Erscheinungsbild von Produkten, Schnittstellen oder grafischen Werken, geschützt durch eingetragene oder nicht eingetragene Designrechte.
Marken: Markennamen, Logos, Dienstleistungsmarken und Trade Dress, die die Produkte und Dienstleistungen der Organisation kennzeichnen.
Patente: Erfindungen, technische Verfahren und Innovationen, die durch Patentregistrierung geschützt sind.
Quellcode-Lizenzen: Open-Source- und proprietärer Code, der spezifischen Lizenzbedingungen unterliegt (z. B. GPL, MIT, Apache, kommerzielle Lizenzen), die zulässige Nutzungen, Modifikationen und Distribution regeln.

Proprietäre Software wird unter Lizenzvereinbarungen bereitgestellt, die die Nutzung auf bestimmte Rechner beschränken und das Kopieren nur zu Sicherungszwecken erlauben. Daten aus externen Quellen werden unter Datennutzungsvereinbarungen bezogen, wobei die Herkunft der Daten klar angegeben und dokumentiert wird.

Für das Kopieren proprietären Materials gelten rechtliche, regulatorische und vertragliche Einschränkungen. Nur Software und Informationsprodukte, die von der Organisation entwickelt oder unter gültigen Lizenzen bezogen wurden, werden verwendet. Verletzungen geistiger Eigentumsrechte können zu Geldstrafen und Strafverfahren führen. Diese Richtlinie steuert auch das Risiko, dass Beschäftigte und Dritte die eigenen geistigen Eigentumsrechte der Organisation nicht wahren.

Diese Richtlinie gilt für alle Beschäftigten, Auftragnehmer, Berater und Dritten, die im Auftrag der Organisation auf Software, Daten, kreative Werke oder anderes geistiges Eigentum zugreifen, diese nutzen, entwickeln, beschaffen oder verwalten.

3. Software- & Lizenz-Compliance (A 5.32)

Sämtliche in der Organisation verwendete Software unterliegt Lizenzbedingungen, die den zulässigen Nutzungsumfang definieren. Die Einhaltung dieser Bedingungen ist eine aktive Verpflichtung — keine Annahme. Die folgenden Abschnitte legen fest, wie Software beschafft, lizenziert, überwacht und außer Betrieb genommen wird, um Rechtsverletzungen zu vermeiden und die Sorgfaltspflicht gegenüber Auditoren, Aufsichtsbehörden und Rechteinhabern nachzuweisen.

3.1 Richtlinie & Verfahren

IPR-Compliance-Richtlinie: Dieses Dokument stellt die themenspezifische Richtlinie zum Schutz geistiger Eigentumsrechte dar. Sie definiert die Regeln für die Nutzung, Verwaltung und den Schutz aller Formen von geistigem Eigentum in der gesamten Organisation. Diese Richtlinie wird allen Beschäftigten beim Eintritt kommuniziert und ist jederzeit im internen Dokumentenportal verfügbar.
IPR-Compliance-Verfahren: Dokumentierte Verfahren legen fest, was als konforme Nutzung von Software und Informationsprodukten gilt. Diese Verfahren decken die akzeptable Nutzung kommerzieller Software (einschließlich cloudbasierter und abonnementbasierter Software), Open-Source-Komponenten und Drittanbieterdaten ab. Die Verfahren spezifizieren, wie Lizenzbedingungen vor der Nutzung geprüft werden, wie Beschränkungen beim Kopieren oder Weitergeben eingehalten werden und wie Abweichungen eskaliert werden. Beschäftigte sind verpflichtet, das jeweils anwendbare Verfahren für jede von ihnen beruflich genutzte Software oder Information zu lesen und zu befolgen.

3.2 Softwarebeschaffung

Genehmigte Bezugsquellen: Software wird ausschließlich aus bekannten und seriösen Quellen bezogen — offizielle Herstellerkanäle, etablierte Reseller oder verifizierte Open-Source-Repositorien — um sicherzustellen, dass das Urheberrecht nicht durch die Nutzung unbefugter, raubkopierter oder manipulierter Kopien verletzt wird. Die Beschaffung von Software von unverifizierten Drittanbietern, Peer-to-Peer-Netzen, Torrent-Sites oder inoffiziellen Mirror-Sites ist untersagt. Die/der Informationssicherheitsbeauftragte oder die benannte IT-Beschaffungsfunktion genehmigt neue Softwarequellen vor dem Kauf. Alle Softwarebeschaffungen werden im Softwarelizenzregister erfasst, um eine vollständige Lebenszyklusverfolgung zu ermöglichen.

3.3 Lizenzverwaltung

Eigentumsnachweis & Lizenznachweise: Für alle lizenzierten Softwareprodukte und Informationsprodukte werden Eigentumsnachweise aufbewahrt. Dazu gehören ursprüngliche Lizenzvereinbarungen, Kaufbelege, Produktschlüssel, Lizenzzertifikate, Benutzerhandbücher und Berechtigungsdokumente. Physische Dokumente werden sicher aufbewahrt; digitale Datensätze werden im Softwarelizenzregister geführt. Eigentumsnachweise werden während der gesamten Nutzungsdauer und für einen Mindestaufbewahrungszeitraum nach der Außerbetriebnahme aufbewahrt, um die Einhaltung im Falle eines Audits oder rechtlicher Anfechtung nachzuweisen.
Lizenzgrenzen & gleichzeitige Nutzung: Die maximale Zahl von Nutzern, Geräten, CPUs oder virtuellen Maschinen, die unter einer Lizenz erlaubt sind, wird nie überschritten. Vor der Bereitstellung zusätzlicher Instanzen oder der Erweiterung des Zugriffs wird die aktuelle Lizenzberechtigung mit der tatsächlichen Nutzung abgeglichen. Nähert sich die Nutzung den Lizenzgrenzen, wird ein Lizenzupgrade oder eine zusätzliche Berechtigung beschafft, bevor die Grenze erreicht wird. Lizenzmetriken, die den gleichzeitigen Zugriff oder die Anzahl benannter Nutzer beschränken, werden über das Softwarelizenzregister und periodische Audits kontinuierlich überwacht.
Software-Audit & Compliance-Prüfungen: Regelmäßige Prüfungen werden durchgeführt, um zu verifizieren, dass nur autorisierte Software und lizenzierte Produkte auf organisatorischen Systemen und Endgeräten installiert sind. Diese Prüfungen vergleichen die installierte Software mit dem Softwarelizenzregister und dem Katalog genehmigter Software (siehe Richtlinie zur akzeptablen Nutzung). Nicht autorisierte Software wird umgehend entfernt. Prüfungsergebnisse werden dokumentiert und an die/den Informationssicherheitsbeauftragte/n gemeldet. Prüfungen werden mindestens jährlich und nach wesentlichen Änderungen der IT-Umgebung durchgeführt.
Aufrechterhaltung der Lizenzbedingungen: Es sind Verfahren etabliert, um die Einhaltung der Lizenzbedingungen während des gesamten Softwarelebenszyklus aufrechtzuerhalten. Ändern sich die Lizenzbedingungen — durch Herstellerupdates, Versionsupgrades oder Änderungen des Abonnementumfangs — werden die aktualisierten Bedingungen bewertet und das Softwarelizenzregister entsprechend aktualisiert. Jede Bedingung, die nicht eingehalten werden kann, führt zu einer Eskalation an die Geschäftsleitung und, sofern erforderlich, zur Einstellung der Nutzung, bis eine konforme Regelung besteht.

3.4 Software-Entsorgung & -Transfer

Software-Entsorgung & -Transfer: Wenn Software außer Betrieb genommen, deinstalliert oder an eine andere Partei übertragen wird, erfolgt die Entsorgung oder Übertragung in Übereinstimmung mit den Lizenzbedingungen des jeweiligen Produkts. Software, die gemäß ihrer Lizenz nicht übertragbar ist, wird deinstalliert, und alle zugehörigen Lizenzschlüssel oder Aktivierungsdatensätze werden im Softwarelizenzregister außer Kraft gesetzt. Wo Lizenzbedingungen eine Übertragung erlauben, wird die Übertragung mit den Angaben des Empfängers, dem Datum und den relevanten Lizenzbezeichnern dokumentiert. Beschäftigte übertragen oder geben Software — einschließlich Open-Source-Tools und Testversionen — nicht weiter, ohne zuvor verifiziert zu haben, dass die Lizenz eine solche Übertragung erlaubt.

4. Informations- & Inhaltsschutz (A 5.32)

Über die Softwarelizenzierung hinaus erstreckt sich der Schutz geistigen Eigentums auf die Nutzung von Daten, Medieninhalten und veröffentlichten Materialien aus externen Quellen. Die Bedingungen, unter denen solche Inhalte bezogen oder zugegriffen werden, erlegen verbindliche Beschränkungen für deren Nutzung, Vervielfältigung, Speicherung und Verbreitung innerhalb der Organisation auf.

4.1 Externe Datenquellen

Bedingungen für externe Quellen: Vor der Nutzung von Software, Datensätzen, APIs oder Informationsprodukten, die aus öffentlichen Netzen oder externen Quellen bezogen werden — einschließlich Open-Data-Portalen, Drittanbieter-APIs, kommerziellen Datenanbietern und gemeinfreien Repositorien — werden die geltenden Bedingungen geprüft und dokumentiert. Die Nutzung ist auf den durch diese Bedingungen zulässigen Umfang beschränkt. Wo Bedingungen Quellenangaben, Nutzungsberichte oder Lizenzgebühren erfordern, werden diese Verpflichtungen erfüllt. Nicht konforme Nutzung (z. B. Nutzung eines Datensatzes über den Umfang einer Free-Tier-Vereinbarung hinaus oder Scraping einer Website unter Verletzung der Nutzungsbedingungen) ist untersagt.

4.2 Kommerzielle Aufzeichnungen

Kommerzielle Audio- & Videoaufnahmen: Kommerzielle Aufnahmen — einschließlich Videoproduktionen, Audioaufnahmen, Filminhalten, Musiktiteln und urheberrechtlich geschützten Multimediamaterialien — werden nicht dupliziert, in ein anderes Format konvertiert oder ganz oder teilweise entnommen, außer wenn dies ausdrücklich durch das Urheberrecht oder die geltende Lizenz erlaubt ist. Das Abspielen einer kommerziellen Aufnahme zu internen Schulungs- oder Geschäftszwecken verleiht nicht das Recht, diesen Inhalt aufzuzeichnen, neu zu formatieren oder weiterzuverbreiten. Wo bestimmte Nutzungen (z. B. die Aufzeichnung eines Schulungs-Webinars mit lizenzierter Musik) eine Lizenz erfordern, wird die entsprechende Lizenz vor der Nutzung eingeholt.

4.3 Veröffentlichte Materialien

Normen, Bücher, Artikel & Berichte: Veröffentlichte Materialien — einschließlich technischer Normen (ISO, BSI, NIST, DIN), Bücher, wissenschaftlicher Artikel, Branchenberichte, White Papers, Rechtstexte und Presseveröffentlichungen — werden nicht über das hinaus kopiert, was durch das Urheberrecht oder die spezifische Lizenz, unter der darauf zugegriffen wird, zulässig ist. Kurze Zitate mit ordnungsgemäßer Quellenangabe sind zulässig, soweit dies durch geltende Zitat- oder Fair-Use-Bestimmungen erlaubt ist. Abonnements und Site-Lizenzen werden genutzt, wenn ein systematischer oder organisationsweiter Zugang zu veröffentlichten Materialien erforderlich ist. Beschäftigte geben keine vollständigen Kopien erworbener Normen oder Publikationen an Kollegen weiter, die nicht durch dieselbe Lizenzberechtigung abgedeckt sind.

5. Asset-Register & IPR-Identifikation (A 5.32)

Effektive IPR-Compliance hängt davon ab zu wissen, welche Assets IP-bezogenen Pflichten unterliegen. Assets mit Lizenzbedingungen, Urheberrechtsbeschränkungen, Datennutzungsvereinbarungen oder anderen IP-bezogenen Anforderungen werden identifiziert und erfasst, damit Compliance-Pflichten systematisch überwacht und erfüllt werden können.

5.1 IPR-Asset-Register

Identifikation IPR-relevanter Assets: Alle Assets mit Anforderungen zum Schutz geistiger Eigentumsrechte werden im Asset-Verzeichnis identifiziert (siehe Asset Management). IPR-spezifische Attribute — einschließlich der Art des anwendbaren IP-Schutzes (z. B. Softwarelizenz, Urheberrecht, Datennutzungsvereinbarung, Patent), des Rechteinhabers, wesentlicher Lizenz- oder Vertragsbedingungen, relevanter Nutzungseinschränkungen sowie des Ablauf- oder Verlängerungsdatums — werden im Softwarelizenzregister erfasst, das als eigenständiges Register geführt wird und auf Software- und Daten-Assets aus dem Asset-Verzeichnis verweist. Das Softwarelizenzregister erfasst alle kommerziellen Softwareprodukte, Open-Source-Komponenten und lizenzierten Datenprodukte und wird mindestens jährlich sowie bei Einführung neuer oder Außerbetriebnahme bestehender IP-tragender Assets überprüft und aktualisiert.

6. Rollen & Verantwortlichkeiten

Geschäftsleitung: Genehmigt diese Richtlinie, stellt Ressourcen für das Lizenzmanagement und IPR-Compliance-Aktivitäten bereit und stellt sicher, dass IPR-Pflichten in Beschaffungs- und Planungsprozesse integriert werden.
Informationssicherheitsbeauftragte/r (ISB): Pflegt diese Richtlinie, überwacht das Softwarelizenzregister, koordiniert periodische Compliance-Prüfungen, eskaliert IPR-Verletzungen und stellt sicher, dass identifizierte rechtliche, vertragliche und regulatorische IPR-Anforderungen in einer strukturierten und aktuell gehaltenen Übersicht dokumentiert sind.
IT-Beschaffung / IT-Betrieb: Stellt sicher, dass Software ausschließlich aus genehmigten Quellen bezogen wird, erfasst alle Softwarebeschaffungen im Softwarelizenzregister, überwacht Lizenzgrenzen und Nutzungsmetriken, führt geplante Software-Audits durch und koordiniert Lizenzverlängerungen und -entsorgungen.
Asset-Eigentümer: Identifizieren IPR-relevante Assets in ihrer Verantwortung, stellen sicher, dass die entsprechenden Einträge im Softwarelizenzregister aktuell sind, und benachrichtigen die IT-Beschaffung, wenn Assets mit Lizenz- oder IP-Pflichten eingeführt, geändert oder außer Betrieb genommen werden.
Recht / Compliance: Pflegt das Rechtsregister der anwendbaren IP-Gesetze und -Vorschriften (siehe Rechtsregister), berät bei der Auslegung spezifischer Lizenzbedingungen und prüft Datennutzungsvereinbarungen und die externe Inhaltsnutzung auf Einhaltung geltender Rechte.
Alle Beschäftigten: Verwenden nur autorisierte und lizenzierte Software und Informationsprodukte, enthalten sich unbefugter Vervielfältigung oder Weitergabe urheberrechtlich geschützter Materialien und melden mutmaßliche IPR-Verletzungen unverzüglich an die/den Informationssicherheitsbeauftragte/n.

7. Überprüfung & Pflege

Diese Richtlinie und das zugehörige Softwarelizenzregister werden überprüft:

Mindestens jährlich, um zu verifizieren, dass alle Lizenzbedingungen, Nutzungsgrenzen und IPR-Pflichten aktuell sind und dass Software-Audit-Feststellungen in Korrekturmaßnahmen reflektiert werden.
Wenn neue rechtliche oder regulatorische Anforderungen in Bezug auf geistiges Eigentum erlassen oder aktualisiert werden — einschließlich Änderungen des Urheberrechts, Vorschriften zur Softwarelizenzierung, Open-Source-Compliance-Pflichten oder sektorspezifischer IP-Anforderungen.
Nach jedem IPR-bezogenen Vorfall, jeder Beschwerde oder Audit-Feststellung — einschließlich Hinweisen zur Lizenz-Nichteinhaltung durch Hersteller, Verdacht auf Urheberrechtsverletzung oder unbefugter Nutzung des eigenen IPs der Organisation.
Wenn wesentliche Änderungen am Softwareportfolio, an der IT-Architektur oder an Geschäftsprozessen auftreten, die neue IP-tragende Assets einführen oder bestehende Lizenzpflichten verändern.
Wenn neue Datennutzungsvereinbarungen oder Lizenzen für Drittanbieterinhalte eingegangen werden, die Pflichten einführen, die durch die aktuellen Verfahren nicht abgedeckt sind.

Korrekturmaßnahmen, die durch Überprüfungen oder Audits identifiziert werden, werden dokumentiert, einem verantwortlichen Eigentümer zugewiesen und bis zur Lösung nachverfolgt. Festgestellte Verletzungen von Lizenzbedingungen oder Urheberrechtsbeschränkungen werden umgehend behandelt und, sofern gesetzlich oder vertraglich vorgeschrieben, dem betroffenen Rechteinhaber gemeldet.

Document control
Owner: [POLICY_OWNER_ROLE, e.g. Information Security Officer]
Approved by: [APPROVER_NAME_AND_ROLE]
Version: [VERSION]
Effective date: [EFFECTIVE_DATE]
Next review: [NEXT_REVIEW_DATE]

1. Legal/Regulatory Basis

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Annex A — Organisational Controls:

A 5.32 — Intellectual Property Rights

BSI IT-Grundschutz:

ORP.5.A1 (Identification of Legal and Contractual Framework Conditions)
ORP.5.A2 (Observance of Legal and Contractual Framework Conditions)
APP.3.2.A7 (Protection of Sensitive Data in Web Applications)
APP.6.A9 (Rules for Software Development — Licensing Aspects)

Additional jurisdiction-specific laws — in particular national copyright law, software licensing regulations, open-source compliance obligations and sector-specific IP requirements — are listed in the Legal Register and incorporated by reference.

2. Purpose & Scope

This policy establishes rules for protecting intellectual property rights (IPR) at [YOUR_ORGANISATION_NAME]. It ensures that all use of software, information products, data and creative works complies with applicable copyright, licensing and IP laws, and that the organisation's own intellectual property is adequately protected against unauthorised use by personnel and third parties.

The following measures are implemented to protect any material that can be considered intellectual property.

Intellectual property encompasses a broad range of protected assets, including:

Software & Document Copyright: Source code, compiled applications, technical documentation, training materials and written works — all protected by copyright from the moment of creation.
Design Rights: The visual appearance of products, interfaces or graphical works protected under registered or unregistered design rights.
Trademarks: Brand names, logos, service marks and trade dress that distinguish the organisation's products and services.
Patents: Inventions, technical processes and innovations protected by patent registration.
Source Code Licences: Open-source and proprietary code subject to specific licence conditions (e.g. GPL, MIT, Apache, commercial licences) that govern permitted uses, modifications and distribution.

Proprietary software is supplied under licence agreements that restrict use to specified machines and permit copying for backup purposes only. Data acquired from outside sources is obtained under data sharing agreements, with the provenance of the data clearly stated and documented.

Legal, regulatory and contractual restrictions apply to the copying of proprietary material. Only software and information products developed by the organisation or obtained under valid licences are used. Infringement of intellectual property rights can lead to fines and criminal proceedings. This policy also manages the risk of personnel and third parties failing to uphold the organisation's own intellectual property rights.

This policy applies to all personnel, contractors, consultants and third parties who access, use, develop, procure or manage software, data, creative works or other intellectual property on behalf of the organisation.

3. Software & Licence Compliance (A 5.32)

All software used across the organisation is subject to licence terms that define the permitted scope of use. Compliance with these terms is an active obligation — not an assumption. The following subsections define how software is acquired, licensed, monitored and retired in a manner that avoids infringement and demonstrates due diligence to auditors, regulators and rights holders.

3.1 Policy & Procedures

IPR Compliance Policy: This document constitutes the topic-specific policy on the protection of intellectual property rights. It defines the rules that govern how all forms of IP are used, managed and protected across the organisation. This policy is communicated to all personnel upon joining and is made available on the internal document portal at all times.
IPR Compliance Procedures: Documented procedures define what constitutes compliant use of software and information products. These procedures cover the acceptable use of commercial software (including cloud-delivered and subscription-based software), open-source components and third-party data. The procedures specify how licence terms are checked before use, how limits on copying or redistribution are observed, and how deviations are escalated. Personnel are required to read and follow the applicable procedure for any software or information product they use professionally.

3.2 Software Acquisition

Approved Acquisition Sources: Software is acquired exclusively through known and reputable sources — official vendor channels, established resellers or verified open-source repositories — to ensure that copyright is not infringed through the use of unauthorised, pirated or tampered copies. Procurement of software from unverified third parties, peer-to-peer networks, torrent sites or unofficial mirror sites is prohibited. The Information Security Officer or designated IT procurement function approves new software sources before purchase. All software acquisitions are logged in the software licence register to enable complete lifecycle tracking.

3.3 Licence Management

Proof of Ownership & Licence Evidence: Proof of ownership is retained for all licensed software and information products. This includes original licence agreements, purchase receipts, product keys, licence certificates, user manuals and entitlement documentation. Physical documents are stored securely; digital records are held in the software licence register. Proof of ownership is retained for the entire period of use and for a minimum retention period after disposal, to demonstrate compliance in the event of audit or legal challenge.
Licence Limits & Concurrent Use: The maximum number of users, devices, CPUs or virtual machines permitted under each licence is never exceeded. Before deploying additional instances or extending access, the current licence entitlement is checked against actual usage. Where usage approaches licence limits, a licence upgrade or additional entitlement is procured before the limit is reached. Licence metrics that restrict concurrent access or named-user counts are monitored continuously through the software licence register and periodic audits.
Software Audit & Compliance Reviews: Regular reviews are carried out to verify that only authorised software and licensed products are installed across organisational systems and endpoints. These reviews compare installed software against the software licence register and the approved software catalogue (see Acceptable Use Policy). Unauthorised software is removed promptly. Review results are documented and reported to the Information Security Officer. Reviews are conducted at least annually and after significant changes to the IT environment.
Licence Condition Maintenance: Procedures are in place to maintain compliance with licence conditions throughout the software lifecycle. When licence terms change — due to vendor updates, version upgrades or changes to subscription scope — the updated conditions are assessed and the software licence register is updated accordingly. Any condition that cannot be met triggers an escalation to management and, where necessary, discontinuation of use until a compliant arrangement is in place.

3.4 Software Disposal & Transfer

Software Disposal & Transfer: When software is decommissioned, uninstalled or transferred to another party, the disposal or transfer is carried out in accordance with the licence terms governing that specific product. Software that is not transferable under its licence is uninstalled and any associated licence keys or activation records are retired in the software licence register. Where licence terms permit transfer, the transfer is documented with the recipient's details, the date and the relevant licence identifiers. Personnel do not transfer or pass on software — including open-source tools and trial versions — without first verifying that the licence permits such transfer.

4. Information & Content Protection (A 5.32)

Beyond software licensing, intellectual property protection extends to the use of data, media content and published materials obtained from external sources. The terms under which such content is acquired or accessed impose binding restrictions on how it is used, reproduced, stored and distributed within the organisation.

4.1 External Data Sources

Terms & Conditions for External Sources: Before using software, datasets, APIs or information products obtained from public networks or outside sources — including open data portals, third-party APIs, commercial data providers and public-domain repositories — the applicable terms and conditions are reviewed and documented. Use is restricted to the scope permitted by those terms. Where terms require attribution, usage reporting or licensing fees, those obligations are fulfilled. Non-compliant use (e.g. using a dataset beyond the scope of a free-tier agreement, or scraping a website in violation of its terms of service) is prohibited.

4.2 Commercial Recordings

Commercial Audio & Video Recordings: Commercial recordings — including video productions, audio recordings, film content, music tracks and multimedia materials subject to copyright — are not duplicated, converted to another format or extracted in whole or in part, except where explicitly permitted by copyright law or by the applicable licence. Playing a commercial recording for internal training or business purposes does not confer the right to record, reformat or redistribute that content. Where specific uses (e.g. recording a training webinar that includes licensed music) require a licence, the appropriate licence is obtained before proceeding.

4.3 Published Materials

Standards, Books, Articles & Reports: Published materials — including technical standards (ISO, BSI, NIST, DIN), books, academic articles, industry reports, white papers, legal texts and press publications — are not copied in full or in part beyond what is permitted by copyright law or the specific licence under which they are accessed. Brief quotations with proper attribution are permissible where allowed by applicable fair use or quotation rights provisions. Subscriptions and site licences are used where systematic or organisational access to published materials is required. Personnel do not share full copies of purchased standards or publications with colleagues who are not covered by the same licence entitlement.

5. Asset Register & IPR Identification (A 5.32)

Effective IPR compliance depends on knowing which assets are subject to IP-related obligations. Assets that carry licensing conditions, copyright restrictions, data sharing terms or other IP-related requirements are identified and tracked so that compliance obligations can be monitored and discharged systematically.

5.1 IPR Asset Register

IPR-Relevant Asset Identification: All assets with requirements to protect intellectual property rights are identified in the asset inventory (see Asset Management). IPR-specific attributes — including the type of IP protection applicable (e.g. software licence, copyright, data sharing agreement, patent), the rights holder, key licence or contractual terms, relevant usage restrictions, and the expiry or renewal date — are recorded in the Software Licence Register, which is maintained as a dedicated register that references software and data assets from the asset inventory. The Software Licence Register captures all commercial software, open-source components and licensed data products and is reviewed and updated at least annually and whenever new IP-bearing assets are introduced or existing ones are retired.

6. Roles & Responsibilities

Top Management: Approves this policy, allocates resources for licence management and IPR compliance activities, and ensures that IPR obligations are integrated into procurement and planning processes.
Information Security Officer (ISO): Maintains this policy, oversees the software licence register, coordinates periodic compliance reviews, escalates IPR violations and ensures that identified legal, contractual and regulatory IPR requirements are documented in a structured overview that is kept current.
IT Procurement / IT Operations: Ensures that software is acquired exclusively from approved sources, records all software acquisitions in the software licence register, monitors licence limits and usage metrics, conducts scheduled software audits, and coordinates licence renewals and disposals.
Asset Owners: Identify IPR-relevant assets under their ownership, ensure the corresponding entries in the Software Licence Register are current, and notify IT Procurement when assets carrying licence or IP obligations are introduced, modified or retired.
Legal / Compliance: Maintains the legal register of applicable IP laws and regulations (see Legal Register), advises on the interpretation of specific licence terms, and reviews data sharing agreements and external content usage for compliance with applicable rights.
All Personnel: Use only authorised and licensed software and information products, refrain from unauthorised copying or redistribution of copyrighted materials, and report suspected IPR violations to the Information Security Officer without delay.

7. Review & Maintenance

This policy and the associated software licence register are reviewed:

At least annually, to verify that all licence terms, usage limits and IPR obligations remain current, and that the software audit findings are reflected in corrective actions.
When new legal or regulatory requirements affecting intellectual property are enacted or updated — including changes to copyright law, software licensing regulations, open-source compliance obligations or sector-specific IP requirements.
After any IPR-related incident, complaint or audit finding — including licence non-compliance notices from vendors, suspected copyright infringement or unauthorised use of the organisation's own IP.
When significant changes occur to the software portfolio, IT architecture or business processes that introduce new IP-bearing assets or alter existing licence obligations.
When new data sharing agreements or third-party content licences are entered into that introduce obligations not covered by current procedures.

Corrective actions identified through reviews or audits are documented, assigned to a responsible owner and tracked to resolution. Detected violations of licence terms or copyright restrictions are addressed promptly and, where required by law or contract, reported to the affected rights holder.

Sources

ISO/IEC 27002:2022 clause 5.32 — Intellectual Property Rights
BSI IT-Grundschutz ORP.5 — Compliance management (requirements for observance of legal framework conditions)
EUPL licence compatibility matrix — European open-source licence with compatibility overview