Reicht die Acceptable Use Policy für Software-Compliance?

Die Acceptable Use Policy regelt, welche Software Mitarbeitende installieren dürfen. Die IPR-Richtlinie geht weiter: Sie definiert, wie Lizenzen beschafft, nachgewiesen, überwacht und entsorgt werden — und sie deckt auch Open-Source-Compliance, eigenes geistiges Eigentum und Inhalte Dritter ab. Beide Dokumente ergänzen sich.

Brauche ich ein eigenes Lizenzregister?

Ja. ISO 27002 A 5.32 verlangt den Nachweis gültiger Lizenzen für alle eingesetzten Softwareprodukte. Ein Lizenzregister dokumentiert Produkt, Lizenztyp, erlaubte Installationen, tatsächliche Nutzung, Ablaufdatum und Eigentumsnachweise. Ohne dieses Register fehlt dir im Audit jeder Beleg.

Was muss ich bei Open-Source-Software beachten?

Jede Open-Source-Komponente unterliegt einer Lizenz (GPL, MIT, Apache, etc.), die spezifische Pflichten mitbringt — von der Namensnennung bis zur Offenlegung des Quellcodes. Du brauchst ein aktuelles SBOM (Software Bill of Materials) und idealerweise einen automatisierten Lizenz-Scanner, der neue Abhängigkeiten prüft, bevor sie in Produktion gehen.

Wem gehört geistiges Eigentum, das Mitarbeitende während der Arbeitszeit erstellen?

In den meisten Rechtsordnungen gehört es der Organisation (Work-for-Hire-Prinzip). Arbeitsverträge sollten das explizit regeln — inklusive Erfindungen, Quellcode, Designs und Dokumentation. Ohne vertragliche Klarstellung entstehen Grauzonen, die bei einer Trennung zum Problem werden.

Wie oft muss ein Software-Audit stattfinden?

Die Richtlinie empfiehlt mindestens jährlich und nach wesentlichen Änderungen an der IT-Landschaft. In der Praxis: Automatisierte Tools (Software Asset Management, Endpoint-Inventarisierung) liefern kontinuierliche Daten. Das jährliche Audit ist dann eine Validierung dieser Daten mit Stichprobenprüfung.

Richtlinie zu Rechten des geistigen Eigentums

Geistiges Eigentum schützen klingt nach einer Aufgabe für die Rechtsabteilung. In der Praxis betrifft das Thema jede Person, die Software installiert, Quellcode schreibt, Dokumente erstellt oder Inhalte Dritter verwendet. Diese Richtlinie stellt sicher, dass du fremde IP-Rechte einhältst und deine eigenen schützt — mit klaren Regeln für Software-Lizenzen, Open-Source-Compliance und den Umgang mit geschützten Werken.

ISO 27001 widmet dem Thema ein eigenes Control (A 5.32), BSI IT-Grundschutz behandelt es im Baustein ORP.5 (Compliance-Management). Verstöße gegen Urheberrecht oder Lizenzbestimmungen können zu Bußgeldern, Schadensersatzforderungen und strafrechtlichen Konsequenzen führen — und im Audit wird genau hier nachgehakt. Weiter unten findest du die komplette Vorlage auf Deutsch und Englisch.

Ein ISO-27001-Control, breites Wirkungsfeld. A 5.32 deckt Software-Lizenzen, Urheberrecht, Marken, Patente, Designschutz und Open-Source-Compliance in einem einzigen Control ab.
Nur geprüfte Bezugsquellen. Software wird ausschließlich über offizielle Kanäle, autorisierte Händler oder verifizierte Open-Source-Repositorys beschafft. Peer-to-Peer-Netzwerke, Torrent-Seiten und inoffizielle Mirrors sind verboten.
Lizenzregister mit Eigentumsnachweisen. Jedes Softwareprodukt wird mit Lizenztyp, erlaubten Installationen, tatsächlicher Nutzung und Ablaufdatum dokumentiert. Kaufbelege und Lizenzzertifikate werden aufbewahrt.
Open-Source-Compliance ist Pflicht. SBOM pflegen, Lizenz-Scanner einsetzen, Lizenzbedingungen (Copyleft, Attribution) vor dem Einsatz prüfen.
Eigenes IP aktiv schützen. Work-for-Hire-Klauseln in Arbeitsverträgen, Marken- und Patentschutz, vertragliche Regelungen mit Dritten.

Worum geht es konkret?

Software ist heute der wertvollste Betriebsstoff der meisten Organisationen — und gleichzeitig das Feld, auf dem IP-Verstöße am leichtesten passieren. Ein fehlender Lizenznachweis, eine überschrittene Installationsgrenze oder eine GPL-Komponente im proprietären Produkt reichen für ein ernsthaftes Problem.

Die Richtlinie beantwortet Fragen wie: Wo darf Software beschafft werden? Wie wird nachgewiesen, dass eine Lizenz gültig ist? Was passiert, wenn die erlaubte Anzahl an Installationen erreicht ist? Wie werden Open-Source-Abhängigkeiten überwacht? Und wer ist verantwortlich, wenn ein Mitarbeitender ein YouTube-Video in eine Schulungspräsentation einbettet?

Das Thema geht über Software hinaus. Marken, Patente, Designrechte, technische Dokumentation und kreative Werke fallen ebenfalls darunter. Die Richtlinie definiert den Rahmen für all diese Bereiche — von der Beschaffung bis zur Entsorgung, von fremden Rechten bis zum eigenen geistigen Eigentum.

Warum ist das auditrelevant?

Haftungsrisiko mit Hebelwirkung. Softwarehersteller führen Lizenz-Audits durch — manche routinemäßig, manche nach Hinweisen. Eine Unterlizenzierung von 50 Arbeitsplätzen kann sechsstellige Nachzahlungen auslösen. Bei Open-Source-Verstößen (Copyleft-Verletzungen) drohen Unterlassungsklagen und öffentliche Aufmerksamkeit, die dem Ruf der Organisation schadet.

Audit-Fokuspunkt. Auditor:innen prüfen bei A 5.32, ob ein Lizenzregister existiert, ob Eigentumsnachweise vorliegen und ob regelmäßige Software-Audits stattfinden. Fehlt eines davon, ist das ein Finding. Bei mehreren Lücken wird es eine Nonconformity.

Verbindung zu anderen Controls. Die IPR-Richtlinie berührt die Acceptable Use Policy (welche Software installiert werden darf), die Richtlinie zur sicheren Softwareentwicklung (Open-Source in eigenem Code) und das Change Management (neue Software-Einführungen). Ein schwaches IPR-Dokument zieht drei andere Bereiche in Mitleidenschaft.

Was gehört in die Richtlinie?

Die Vorlage deckt sechs Kernbereiche ab:

Software-Beschaffung (A 5.32) — ausschließlich autorisierte Quellen, keine Raubkopien, keine manipulierten Installationsdateien, keine Peer-to-Peer-Downloads. Jede Beschaffung wird im Lizenzregister erfasst.
Lizenzmanagement — Eigentumsnachweise aufbewahren, Installationsgrenzen überwachen, Lizenzmetriken (Named User, Concurrent User, CPU-basiert) tracken, regelmäßige Software-Audits durchführen.
Open-Source-Compliance — SBOM (Software Bill of Materials) pflegen, Lizenz-Scanner in die Build-Pipeline integrieren, Copyleft-Pflichten prüfen, bevor eine Komponente in Produktion geht.
Schutz von Informationen und Inhalten Dritter — Nutzungsbedingungen externer Datenquellen einhalten, kommerzielle Aufnahmen und Publikationen nur im Rahmen der Lizenz verwenden, Zitatrecht beachten.
Eigenes geistiges Eigentum — Work-for-Hire in Arbeitsverträgen regeln, Marken und Patente schützen, vertragliche IP-Klauseln mit Lieferanten und Partnern vereinbaren.
Software-Entsorgung und -Transfer — Lizenzbedingungen bei Deinstallation und Weitergabe einhalten, Lizenzschlüssel im Register als deaktiviert kennzeichnen.

So führst du die Richtlinie ein

01

Software-Bestand inventarisieren

Bevor du die Richtlinie schreibst, brauchst du Klarheit über den Ist-Zustand. Welche Software ist im Einsatz? Welche Lizenzen existieren dafür? Wo sind die Nachweise abgelegt? Gibt es Software ohne erkennbare Lizenz? Endpoint-Management-Tools oder ein Software-Asset-Management-System liefern die Rohdaten. Diese Bestandsaufnahme ist gleichzeitig die Grundlage für dein Lizenzregister.
02

Lizenzregister aufbauen

Für jedes Softwareprodukt dokumentierst du: Produktname, Hersteller, Lizenztyp (Kauf, Abo, Open Source), erlaubte Installationen oder Nutzungsmetriken, tatsächliche Nutzung, Ablaufdatum, Eigentumsnachweis und verantwortliche Person. Das Register wird mindestens jährlich geprüft und bei jeder Neuanschaffung oder Entsorgung aktualisiert.
03

Open-Source-Compliance einrichten

Wenn deine Organisation Software entwickelt, brauchst du einen SBOM-Prozess. Automatisierte Lizenz-Scanner (z.B. FOSSA, Snyk, Trivy) prüfen bei jedem Build, ob neue Abhängigkeiten Lizenzbedingungen mitbringen, die mit deinem Geschäftsmodell kollidieren. Copyleft-Lizenzen (GPL, AGPL) erfordern besondere Aufmerksamkeit, weil sie Offenlegungspflichten auslösen können.
04

Vorlage anpassen und freigeben

Die Vorlage enthält Platzhalter für Organisationsname, verantwortliche Rollen und spezifische Lizenzregeln. Ersetze sie. Streiche Abschnitte, die nicht zutreffen — keine eigene Softwareentwicklung? Der Open-Source-Abschnitt kann kürzer ausfallen. Keine Patente? Entsprechende Passagen raus. Die Geschäftsleitung genehmigt die fertige Richtlinie (ISO 27001, Clause 5.2).
05

Software-Audits operationalisieren

Plane mindestens ein jährliches Software-Audit ein, das installierte Software gegen das Lizenzregister und den genehmigten Software-Katalog abgleicht. Nicht autorisierte Software wird deinstalliert. Automatisierte Endpoint-Inventarisierung macht den Abgleich einfacher — ohne sie bleibt das Audit eine manuelle Übung mit hohem Aufwand und lückenhafter Abdeckung.

Wo es in der Praxis schiefgeht

Aus Audit-Erfahrung, nach Häufigkeit sortiert:

1. Kein Lizenzregister vorhanden. Software wird beschafft und installiert, aber niemand dokumentiert die Lizenzbedingungen zentral. Im Audit fehlen Eigentumsnachweise, Installationsgrenzen sind unklar, und Ablaufdaten werden verpasst. Das ist das häufigste Finding bei A 5.32.

2. Überschrittene Lizenzlimits. 50 Lizenzen gekauft, 73 Installationen im Netzwerk. Manche Organisationen merken das erst, wenn der Hersteller ein Lizenz-Audit ankündigt — dann wird es teuer. Kontinuierliches Monitoring der Lizenzmetriken ist die einzige zuverlässige Gegenmaßnahme.

3. Open-Source-Abhängigkeiten ohne Prüfung. Entwickler:innen binden eine npm-Bibliothek ein, ohne die Lizenz zu prüfen. Drei Ebenen tiefer in der Dependency-Kette steckt eine GPL-Komponente, die Offenlegungspflichten für den gesamten Code auslöst. Ein automatisierter Lizenz-Scanner in der CI/CD-Pipeline fängt solche Fälle ab.

4. Software aus inoffiziellen Quellen. Ein Mitarbeitender lädt eine kostenlose Version eines Tools von einer Drittanbieter-Website herunter. Die Datei enthält Malware oder ist eine Raubkopie. Die Richtlinie verbietet solche Downloads — aber wenn die Beschaffungswege nicht klar kommuniziert werden, suchen sich Leute eigene Lösungen.

5. Eigenes IP ungeschützt. Arbeitsverträge enthalten keine Work-for-Hire-Klausel, Marken sind nicht eingetragen, Quellcode ist nicht urheberrechtlich gekennzeichnet. Solange alles gut läuft, fällt das nicht auf. Bei einer Trennung oder einem Rechtsstreit fehlt die Grundlage.

Vorlage: Richtlinie zu Rechten des geistigen Eigentums

Dokumentenkontrolle
Eigentümer: [RICHTLINIEN_EIGENTÜMER_ROLLE, z. B. Informationssicherheitsbeauftragte/r]
Genehmigt von: [GENEHMIGER_NAME_UND_ROLLE]
Version: [VERSION]
Gültig ab: [GÜLTIGKEITSDATUM]
Nächste Überprüfung: [NÄCHSTES_ÜBERPRÜFUNGSDATUM]

1. Rechtliche/Regulatorische Grundlage

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Anhang A — Organisatorische Maßnahmen:

A 5.32 — Geistige Eigentumsrechte

BSI IT-Grundschutz:

ORP.5.A1 (Identifikation rechtlicher und vertraglicher Rahmenbedingungen)
ORP.5.A2 (Einhaltung rechtlicher und vertraglicher Rahmenbedingungen)
APP.3.2.A7 (Schutz sensibler Daten in Webanwendungen)
APP.6.A9 (Regelungen für die Softwareentwicklung — Lizenzaspekte)

Weitere jurisdiktionsspezifische Gesetze — insbesondere nationales Urheberrecht, Vorschriften zur Softwarelizenzierung, Open-Source-Compliance-Pflichten und sektorspezifische IP-Anforderungen — sind im Rechtsregister aufgeführt und werden durch Verweis einbezogen.

2. Zweck & Geltungsbereich

Diese Richtlinie legt Regeln zum Schutz geistiger Eigentumsrechte (IPR) bei [IHR_ORGANISATIONSNAME] fest. Sie stellt sicher, dass jede Nutzung von Software, Informationsprodukten, Daten und kreativen Werken den geltenden Urheberrechts-, Lizenz- und IP-Gesetzen entspricht, und dass das eigene geistige Eigentum der Organisation angemessen gegen unbefugte Nutzung durch Beschäftigte und Dritte geschützt wird.

Die folgenden Maßnahmen werden zum Schutz aller Materialien umgesetzt, die als geistiges Eigentum betrachtet werden können.

Geistiges Eigentum umfasst ein breites Spektrum geschützter Werte, darunter:

Software- & Dokumentenurheberrecht: Quellcode, kompilierte Anwendungen, technische Dokumentation, Schulungsmaterialien und schriftliche Werke — alle ab dem Zeitpunkt der Erstellung urheberrechtlich geschützt.
Designrechte: Das visuelle Erscheinungsbild von Produkten, Schnittstellen oder grafischen Werken, geschützt durch eingetragene oder nicht eingetragene Designrechte.
Marken: Markennamen, Logos, Dienstleistungsmarken und Trade Dress, die die Produkte und Dienstleistungen der Organisation kennzeichnen.
Patente: Erfindungen, technische Verfahren und Innovationen, die durch Patentregistrierung geschützt sind.
Quellcode-Lizenzen: Open-Source- und proprietärer Code, der spezifischen Lizenzbedingungen unterliegt (z. B. GPL, MIT, Apache, kommerzielle Lizenzen), die zulässige Nutzungen, Modifikationen und Distribution regeln.

Proprietäre Software wird unter Lizenzvereinbarungen bereitgestellt, die die Nutzung auf bestimmte Rechner beschränken und das Kopieren nur zu Sicherungszwecken erlauben. Daten aus externen Quellen werden unter Datennutzungsvereinbarungen bezogen, wobei die Herkunft der Daten klar angegeben und dokumentiert wird.

Für das Kopieren proprietären Materials gelten rechtliche, regulatorische und vertragliche Einschränkungen. Nur Software und Informationsprodukte, die von der Organisation entwickelt oder unter gültigen Lizenzen bezogen wurden, werden verwendet. Verletzungen geistiger Eigentumsrechte können zu Geldstrafen und Strafverfahren führen. Diese Richtlinie steuert auch das Risiko, dass Beschäftigte und Dritte die eigenen geistigen Eigentumsrechte der Organisation nicht wahren.

Diese Richtlinie gilt für alle Beschäftigten, Auftragnehmer, Berater und Dritten, die im Auftrag der Organisation auf Software, Daten, kreative Werke oder anderes geistiges Eigentum zugreifen, diese nutzen, entwickeln, beschaffen oder verwalten.

3. Software- & Lizenz-Compliance (A 5.32)

Sämtliche in der Organisation verwendete Software unterliegt Lizenzbedingungen, die den zulässigen Nutzungsumfang definieren. Die Einhaltung dieser Bedingungen ist eine aktive Verpflichtung — keine Annahme. Die folgenden Abschnitte legen fest, wie Software beschafft, lizenziert, überwacht und außer Betrieb genommen wird, um Rechtsverletzungen zu vermeiden und die Sorgfaltspflicht gegenüber Auditoren, Aufsichtsbehörden und Rechteinhabern nachzuweisen.

3.1 Richtlinie & Verfahren

IPR-Compliance-Richtlinie: Dieses Dokument stellt die themenspezifische Richtlinie zum Schutz geistiger Eigentumsrechte dar. Sie definiert die Regeln für die Nutzung, Verwaltung und den Schutz aller Formen von geistigem Eigentum in der gesamten Organisation. Diese Richtlinie wird allen Beschäftigten beim Eintritt kommuniziert und ist jederzeit im internen Dokumentenportal verfügbar.
IPR-Compliance-Verfahren: Dokumentierte Verfahren legen fest, was als konforme Nutzung von Software und Informationsprodukten gilt. Diese Verfahren decken die akzeptable Nutzung kommerzieller Software (einschließlich cloudbasierter und abonnementbasierter Software), Open-Source-Komponenten und Drittanbieterdaten ab. Die Verfahren spezifizieren, wie Lizenzbedingungen vor der Nutzung geprüft werden, wie Beschränkungen beim Kopieren oder Weitergeben eingehalten werden und wie Abweichungen eskaliert werden. Beschäftigte sind verpflichtet, das jeweils anwendbare Verfahren für jede von ihnen beruflich genutzte Software oder Information zu lesen und zu befolgen.

3.2 Softwarebeschaffung

Genehmigte Bezugsquellen: Software wird ausschließlich aus bekannten und seriösen Quellen bezogen — offizielle Herstellerkanäle, etablierte Reseller oder verifizierte Open-Source-Repositorien — um sicherzustellen, dass das Urheberrecht nicht durch die Nutzung unbefugter, raubkopierter oder manipulierter Kopien verletzt wird. Die Beschaffung von Software von unverifizierten Drittanbietern, Peer-to-Peer-Netzen, Torrent-Sites oder inoffiziellen Mirror-Sites ist untersagt. Die/der Informationssicherheitsbeauftragte oder die benannte IT-Beschaffungsfunktion genehmigt neue Softwarequellen vor dem Kauf. Alle Softwarebeschaffungen werden im Softwarelizenzregister erfasst, um eine vollständige Lebenszyklusverfolgung zu ermöglichen.

3.3 Lizenzverwaltung

Eigentumsnachweis & Lizenznachweise: Für alle lizenzierten Softwareprodukte und Informationsprodukte werden Eigentumsnachweise aufbewahrt. Dazu gehören ursprüngliche Lizenzvereinbarungen, Kaufbelege, Produktschlüssel, Lizenzzertifikate, Benutzerhandbücher und Berechtigungsdokumente. Physische Dokumente werden sicher aufbewahrt; digitale Datensätze werden im Softwarelizenzregister geführt. Eigentumsnachweise werden während der gesamten Nutzungsdauer und für einen Mindestaufbewahrungszeitraum nach der Außerbetriebnahme aufbewahrt, um die Einhaltung im Falle eines Audits oder rechtlicher Anfechtung nachzuweisen.
Lizenzgrenzen & gleichzeitige Nutzung: Die maximale Zahl von Nutzern, Geräten, CPUs oder virtuellen Maschinen, die unter einer Lizenz erlaubt sind, wird nie überschritten. Vor der Bereitstellung zusätzlicher Instanzen oder der Erweiterung des Zugriffs wird die aktuelle Lizenzberechtigung mit der tatsächlichen Nutzung abgeglichen. Nähert sich die Nutzung den Lizenzgrenzen, wird ein Lizenzupgrade oder eine zusätzliche Berechtigung beschafft, bevor die Grenze erreicht wird. Lizenzmetriken, die den gleichzeitigen Zugriff oder die Anzahl benannter Nutzer beschränken, werden über das Softwarelizenzregister und periodische Audits kontinuierlich überwacht.
Software-Audit & Compliance-Prüfungen: Regelmäßige Prüfungen werden durchgeführt, um zu verifizieren, dass nur autorisierte Software und lizenzierte Produkte auf organisatorischen Systemen und Endgeräten installiert sind. Diese Prüfungen vergleichen die installierte Software mit dem Softwarelizenzregister und dem Katalog genehmigter Software (siehe Richtlinie zur akzeptablen Nutzung). Nicht autorisierte Software wird umgehend entfernt. Prüfungsergebnisse werden dokumentiert und an die/den Informationssicherheitsbeauftragte/n gemeldet. Prüfungen werden mindestens jährlich und nach wesentlichen Änderungen der IT-Umgebung durchgeführt.
Aufrechterhaltung der Lizenzbedingungen: Es sind Verfahren etabliert, um die Einhaltung der Lizenzbedingungen während des gesamten Softwarelebenszyklus aufrechtzuerhalten. Ändern sich die Lizenzbedingungen — durch Herstellerupdates, Versionsupgrades oder Änderungen des Abonnementumfangs — werden die aktualisierten Bedingungen bewertet und das Softwarelizenzregister entsprechend aktualisiert. Jede Bedingung, die nicht eingehalten werden kann, führt zu einer Eskalation an die Geschäftsleitung und, sofern erforderlich, zur Einstellung der Nutzung, bis eine konforme Regelung besteht.

3.4 Software-Entsorgung & -Transfer

Software-Entsorgung & -Transfer: Wenn Software außer Betrieb genommen, deinstalliert oder an eine andere Partei übertragen wird, erfolgt die Entsorgung oder Übertragung in Übereinstimmung mit den Lizenzbedingungen des jeweiligen Produkts. Software, die gemäß ihrer Lizenz nicht übertragbar ist, wird deinstalliert, und alle zugehörigen Lizenzschlüssel oder Aktivierungsdatensätze werden im Softwarelizenzregister außer Kraft gesetzt. Wo Lizenzbedingungen eine Übertragung erlauben, wird die Übertragung mit den Angaben des Empfängers, dem Datum und den relevanten Lizenzbezeichnern dokumentiert. Beschäftigte übertragen oder geben Software — einschließlich Open-Source-Tools und Testversionen — nicht weiter, ohne zuvor verifiziert zu haben, dass die Lizenz eine solche Übertragung erlaubt.

4. Informations- & Inhaltsschutz (A 5.32)

Über die Softwarelizenzierung hinaus erstreckt sich der Schutz geistigen Eigentums auf die Nutzung von Daten, Medieninhalten und veröffentlichten Materialien aus externen Quellen. Die Bedingungen, unter denen solche Inhalte bezogen oder zugegriffen werden, erlegen verbindliche Beschränkungen für deren Nutzung, Vervielfältigung, Speicherung und Verbreitung innerhalb der Organisation auf.

4.1 Externe Datenquellen

Bedingungen für externe Quellen: Vor der Nutzung von Software, Datensätzen, APIs oder Informationsprodukten, die aus öffentlichen Netzen oder externen Quellen bezogen werden — einschließlich Open-Data-Portalen, Drittanbieter-APIs, kommerziellen Datenanbietern und gemeinfreien Repositorien — werden die geltenden Bedingungen geprüft und dokumentiert. Die Nutzung ist auf den durch diese Bedingungen zulässigen Umfang beschränkt. Wo Bedingungen Quellenangaben, Nutzungsberichte oder Lizenzgebühren erfordern, werden diese Verpflichtungen erfüllt. Nicht konforme Nutzung (z. B. Nutzung eines Datensatzes über den Umfang einer Free-Tier-Vereinbarung hinaus oder Scraping einer Website unter Verletzung der Nutzungsbedingungen) ist untersagt.

4.2 Kommerzielle Aufzeichnungen

Kommerzielle Audio- & Videoaufnahmen: Kommerzielle Aufnahmen — einschließlich Videoproduktionen, Audioaufnahmen, Filminhalten, Musiktiteln und urheberrechtlich geschützten Multimediamaterialien — werden nicht dupliziert, in ein anderes Format konvertiert oder ganz oder teilweise entnommen, außer wenn dies ausdrücklich durch das Urheberrecht oder die geltende Lizenz erlaubt ist. Das Abspielen einer kommerziellen Aufnahme zu internen Schulungs- oder Geschäftszwecken verleiht nicht das Recht, diesen Inhalt aufzuzeichnen, neu zu formatieren oder weiterzuverbreiten. Wo bestimmte Nutzungen (z. B. die Aufzeichnung eines Schulungs-Webinars mit lizenzierter Musik) eine Lizenz erfordern, wird die entsprechende Lizenz vor der Nutzung eingeholt.

4.3 Veröffentlichte Materialien

Normen, Bücher, Artikel & Berichte: Veröffentlichte Materialien — einschließlich technischer Normen (ISO, BSI, NIST, DIN), Bücher, wissenschaftlicher Artikel, Branchenberichte, White Papers, Rechtstexte und Presseveröffentlichungen — werden nicht über das hinaus kopiert, was durch das Urheberrecht oder die spezifische Lizenz, unter der darauf zugegriffen wird, zulässig ist. Kurze Zitate mit ordnungsgemäßer Quellenangabe sind zulässig, soweit dies durch geltende Zitat- oder Fair-Use-Bestimmungen erlaubt ist. Abonnements und Site-Lizenzen werden genutzt, wenn ein systematischer oder organisationsweiter Zugang zu veröffentlichten Materialien erforderlich ist. Beschäftigte geben keine vollständigen Kopien erworbener Normen oder Publikationen an Kollegen weiter, die nicht durch dieselbe Lizenzberechtigung abgedeckt sind.

5. Asset-Register & IPR-Identifikation (A 5.32)

Effektive IPR-Compliance hängt davon ab zu wissen, welche Assets IP-bezogenen Pflichten unterliegen. Assets mit Lizenzbedingungen, Urheberrechtsbeschränkungen, Datennutzungsvereinbarungen oder anderen IP-bezogenen Anforderungen werden identifiziert und erfasst, damit Compliance-Pflichten systematisch überwacht und erfüllt werden können.

5.1 IPR-Asset-Register

Identifikation IPR-relevanter Assets: Alle Assets mit Anforderungen zum Schutz geistiger Eigentumsrechte werden im Asset-Verzeichnis identifiziert (siehe Asset Management). IPR-spezifische Attribute — einschließlich der Art des anwendbaren IP-Schutzes (z. B. Softwarelizenz, Urheberrecht, Datennutzungsvereinbarung, Patent), des Rechteinhabers, wesentlicher Lizenz- oder Vertragsbedingungen, relevanter Nutzungseinschränkungen sowie des Ablauf- oder Verlängerungsdatums — werden im Softwarelizenzregister erfasst, das als eigenständiges Register geführt wird und auf Software- und Daten-Assets aus dem Asset-Verzeichnis verweist. Das Softwarelizenzregister erfasst alle kommerziellen Softwareprodukte, Open-Source-Komponenten und lizenzierten Datenprodukte und wird mindestens jährlich sowie bei Einführung neuer oder Außerbetriebnahme bestehender IP-tragender Assets überprüft und aktualisiert.

6. Rollen & Verantwortlichkeiten

Geschäftsleitung: Genehmigt diese Richtlinie, stellt Ressourcen für das Lizenzmanagement und IPR-Compliance-Aktivitäten bereit und stellt sicher, dass IPR-Pflichten in Beschaffungs- und Planungsprozesse integriert werden.
Informationssicherheitsbeauftragte/r (ISB): Pflegt diese Richtlinie, überwacht das Softwarelizenzregister, koordiniert periodische Compliance-Prüfungen, eskaliert IPR-Verletzungen und stellt sicher, dass identifizierte rechtliche, vertragliche und regulatorische IPR-Anforderungen in einer strukturierten und aktuell gehaltenen Übersicht dokumentiert sind.
IT-Beschaffung / IT-Betrieb: Stellt sicher, dass Software ausschließlich aus genehmigten Quellen bezogen wird, erfasst alle Softwarebeschaffungen im Softwarelizenzregister, überwacht Lizenzgrenzen und Nutzungsmetriken, führt geplante Software-Audits durch und koordiniert Lizenzverlängerungen und -entsorgungen.
Asset-Eigentümer: Identifizieren IPR-relevante Assets in ihrer Verantwortung, stellen sicher, dass die entsprechenden Einträge im Softwarelizenzregister aktuell sind, und benachrichtigen die IT-Beschaffung, wenn Assets mit Lizenz- oder IP-Pflichten eingeführt, geändert oder außer Betrieb genommen werden.
Recht / Compliance: Pflegt das Rechtsregister der anwendbaren IP-Gesetze und -Vorschriften (siehe Rechtsregister), berät bei der Auslegung spezifischer Lizenzbedingungen und prüft Datennutzungsvereinbarungen und die externe Inhaltsnutzung auf Einhaltung geltender Rechte.
Alle Beschäftigten: Verwenden nur autorisierte und lizenzierte Software und Informationsprodukte, enthalten sich unbefugter Vervielfältigung oder Weitergabe urheberrechtlich geschützter Materialien und melden mutmaßliche IPR-Verletzungen unverzüglich an die/den Informationssicherheitsbeauftragte/n.

7. Überprüfung & Pflege

Diese Richtlinie und das zugehörige Softwarelizenzregister werden überprüft:

Mindestens jährlich, um zu verifizieren, dass alle Lizenzbedingungen, Nutzungsgrenzen und IPR-Pflichten aktuell sind und dass Software-Audit-Feststellungen in Korrekturmaßnahmen reflektiert werden.
Wenn neue rechtliche oder regulatorische Anforderungen in Bezug auf geistiges Eigentum erlassen oder aktualisiert werden — einschließlich Änderungen des Urheberrechts, Vorschriften zur Softwarelizenzierung, Open-Source-Compliance-Pflichten oder sektorspezifischer IP-Anforderungen.
Nach jedem IPR-bezogenen Vorfall, jeder Beschwerde oder Audit-Feststellung — einschließlich Hinweisen zur Lizenz-Nichteinhaltung durch Hersteller, Verdacht auf Urheberrechtsverletzung oder unbefugter Nutzung des eigenen IPs der Organisation.
Wenn wesentliche Änderungen am Softwareportfolio, an der IT-Architektur oder an Geschäftsprozessen auftreten, die neue IP-tragende Assets einführen oder bestehende Lizenzpflichten verändern.
Wenn neue Datennutzungsvereinbarungen oder Lizenzen für Drittanbieterinhalte eingegangen werden, die Pflichten einführen, die durch die aktuellen Verfahren nicht abgedeckt sind.

Korrekturmaßnahmen, die durch Überprüfungen oder Audits identifiziert werden, werden dokumentiert, einem verantwortlichen Eigentümer zugewiesen und bis zur Lösung nachverfolgt. Festgestellte Verletzungen von Lizenzbedingungen oder Urheberrechtsbeschränkungen werden umgehend behandelt und, sofern gesetzlich oder vertraglich vorgeschrieben, dem betroffenen Rechteinhaber gemeldet.

Document control
Owner: [POLICY_OWNER_ROLE, e.g. Information Security Officer]
Approved by: [APPROVER_NAME_AND_ROLE]
Version: [VERSION]
Effective date: [EFFECTIVE_DATE]
Next review: [NEXT_REVIEW_DATE]

1. Legal/Regulatory Basis

ISO/IEC 27001:2022 / ISO/IEC 27002:2022, Annex A — Organisational Controls:

A 5.32 — Intellectual Property Rights

BSI IT-Grundschutz:

ORP.5.A1 (Identification of Legal and Contractual Framework Conditions)
ORP.5.A2 (Observance of Legal and Contractual Framework Conditions)
APP.3.2.A7 (Protection of Sensitive Data in Web Applications)
APP.6.A9 (Rules for Software Development — Licensing Aspects)

Additional jurisdiction-specific laws — in particular national copyright law, software licensing regulations, open-source compliance obligations and sector-specific IP requirements — are listed in the Legal Register and incorporated by reference.

2. Purpose & Scope

This policy establishes rules for protecting intellectual property rights (IPR) at [YOUR_ORGANISATION_NAME]. It ensures that all use of software, information products, data and creative works complies with applicable copyright, licensing and IP laws, and that the organisation's own intellectual property is adequately protected against unauthorised use by personnel and third parties.

The following measures are implemented to protect any material that can be considered intellectual property.

Intellectual property encompasses a broad range of protected assets, including:

Software & Document Copyright: Source code, compiled applications, technical documentation, training materials and written works — all protected by copyright from the moment of creation.
Design Rights: The visual appearance of products, interfaces or graphical works protected under registered or unregistered design rights.
Trademarks: Brand names, logos, service marks and trade dress that distinguish the organisation's products and services.
Patents: Inventions, technical processes and innovations protected by patent registration.
Source Code Licences: Open-source and proprietary code subject to specific licence conditions (e.g. GPL, MIT, Apache, commercial licences) that govern permitted uses, modifications and distribution.

Proprietary software is supplied under licence agreements that restrict use to specified machines and permit copying for backup purposes only. Data acquired from outside sources is obtained under data sharing agreements, with the provenance of the data clearly stated and documented.

Legal, regulatory and contractual restrictions apply to the copying of proprietary material. Only software and information products developed by the organisation or obtained under valid licences are used. Infringement of intellectual property rights can lead to fines and criminal proceedings. This policy also manages the risk of personnel and third parties failing to uphold the organisation's own intellectual property rights.

This policy applies to all personnel, contractors, consultants and third parties who access, use, develop, procure or manage software, data, creative works or other intellectual property on behalf of the organisation.

3. Software & Licence Compliance (A 5.32)

All software used across the organisation is subject to licence terms that define the permitted scope of use. Compliance with these terms is an active obligation — not an assumption. The following subsections define how software is acquired, licensed, monitored and retired in a manner that avoids infringement and demonstrates due diligence to auditors, regulators and rights holders.

3.1 Policy & Procedures

IPR Compliance Policy: This document constitutes the topic-specific policy on the protection of intellectual property rights. It defines the rules that govern how all forms of IP are used, managed and protected across the organisation. This policy is communicated to all personnel upon joining and is made available on the internal document portal at all times.
IPR Compliance Procedures: Documented procedures define what constitutes compliant use of software and information products. These procedures cover the acceptable use of commercial software (including cloud-delivered and subscription-based software), open-source components and third-party data. The procedures specify how licence terms are checked before use, how limits on copying or redistribution are observed, and how deviations are escalated. Personnel are required to read and follow the applicable procedure for any software or information product they use professionally.

3.2 Software Acquisition

Approved Acquisition Sources: Software is acquired exclusively through known and reputable sources — official vendor channels, established resellers or verified open-source repositories — to ensure that copyright is not infringed through the use of unauthorised, pirated or tampered copies. Procurement of software from unverified third parties, peer-to-peer networks, torrent sites or unofficial mirror sites is prohibited. The Information Security Officer or designated IT procurement function approves new software sources before purchase. All software acquisitions are logged in the software licence register to enable complete lifecycle tracking.

3.3 Licence Management

Proof of Ownership & Licence Evidence: Proof of ownership is retained for all licensed software and information products. This includes original licence agreements, purchase receipts, product keys, licence certificates, user manuals and entitlement documentation. Physical documents are stored securely; digital records are held in the software licence register. Proof of ownership is retained for the entire period of use and for a minimum retention period after disposal, to demonstrate compliance in the event of audit or legal challenge.
Licence Limits & Concurrent Use: The maximum number of users, devices, CPUs or virtual machines permitted under each licence is never exceeded. Before deploying additional instances or extending access, the current licence entitlement is checked against actual usage. Where usage approaches licence limits, a licence upgrade or additional entitlement is procured before the limit is reached. Licence metrics that restrict concurrent access or named-user counts are monitored continuously through the software licence register and periodic audits.
Software Audit & Compliance Reviews: Regular reviews are carried out to verify that only authorised software and licensed products are installed across organisational systems and endpoints. These reviews compare installed software against the software licence register and the approved software catalogue (see Acceptable Use Policy). Unauthorised software is removed promptly. Review results are documented and reported to the Information Security Officer. Reviews are conducted at least annually and after significant changes to the IT environment.
Licence Condition Maintenance: Procedures are in place to maintain compliance with licence conditions throughout the software lifecycle. When licence terms change — due to vendor updates, version upgrades or changes to subscription scope — the updated conditions are assessed and the software licence register is updated accordingly. Any condition that cannot be met triggers an escalation to management and, where necessary, discontinuation of use until a compliant arrangement is in place.

3.4 Software Disposal & Transfer

Software Disposal & Transfer: When software is decommissioned, uninstalled or transferred to another party, the disposal or transfer is carried out in accordance with the licence terms governing that specific product. Software that is not transferable under its licence is uninstalled and any associated licence keys or activation records are retired in the software licence register. Where licence terms permit transfer, the transfer is documented with the recipient's details, the date and the relevant licence identifiers. Personnel do not transfer or pass on software — including open-source tools and trial versions — without first verifying that the licence permits such transfer.

4. Information & Content Protection (A 5.32)

Beyond software licensing, intellectual property protection extends to the use of data, media content and published materials obtained from external sources. The terms under which such content is acquired or accessed impose binding restrictions on how it is used, reproduced, stored and distributed within the organisation.

4.1 External Data Sources

Terms & Conditions for External Sources: Before using software, datasets, APIs or information products obtained from public networks or outside sources — including open data portals, third-party APIs, commercial data providers and public-domain repositories — the applicable terms and conditions are reviewed and documented. Use is restricted to the scope permitted by those terms. Where terms require attribution, usage reporting or licensing fees, those obligations are fulfilled. Non-compliant use (e.g. using a dataset beyond the scope of a free-tier agreement, or scraping a website in violation of its terms of service) is prohibited.

4.2 Commercial Recordings

Commercial Audio & Video Recordings: Commercial recordings — including video productions, audio recordings, film content, music tracks and multimedia materials subject to copyright — are not duplicated, converted to another format or extracted in whole or in part, except where explicitly permitted by copyright law or by the applicable licence. Playing a commercial recording for internal training or business purposes does not confer the right to record, reformat or redistribute that content. Where specific uses (e.g. recording a training webinar that includes licensed music) require a licence, the appropriate licence is obtained before proceeding.

4.3 Published Materials

Standards, Books, Articles & Reports: Published materials — including technical standards (ISO, BSI, NIST, DIN), books, academic articles, industry reports, white papers, legal texts and press publications — are not copied in full or in part beyond what is permitted by copyright law or the specific licence under which they are accessed. Brief quotations with proper attribution are permissible where allowed by applicable fair use or quotation rights provisions. Subscriptions and site licences are used where systematic or organisational access to published materials is required. Personnel do not share full copies of purchased standards or publications with colleagues who are not covered by the same licence entitlement.

5. Asset Register & IPR Identification (A 5.32)

Effective IPR compliance depends on knowing which assets are subject to IP-related obligations. Assets that carry licensing conditions, copyright restrictions, data sharing terms or other IP-related requirements are identified and tracked so that compliance obligations can be monitored and discharged systematically.

5.1 IPR Asset Register

IPR-Relevant Asset Identification: All assets with requirements to protect intellectual property rights are identified in the asset inventory (see Asset Management). IPR-specific attributes — including the type of IP protection applicable (e.g. software licence, copyright, data sharing agreement, patent), the rights holder, key licence or contractual terms, relevant usage restrictions, and the expiry or renewal date — are recorded in the Software Licence Register, which is maintained as a dedicated register that references software and data assets from the asset inventory. The Software Licence Register captures all commercial software, open-source components and licensed data products and is reviewed and updated at least annually and whenever new IP-bearing assets are introduced or existing ones are retired.

6. Roles & Responsibilities

Top Management: Approves this policy, allocates resources for licence management and IPR compliance activities, and ensures that IPR obligations are integrated into procurement and planning processes.
Information Security Officer (ISO): Maintains this policy, oversees the software licence register, coordinates periodic compliance reviews, escalates IPR violations and ensures that identified legal, contractual and regulatory IPR requirements are documented in a structured overview that is kept current.
IT Procurement / IT Operations: Ensures that software is acquired exclusively from approved sources, records all software acquisitions in the software licence register, monitors licence limits and usage metrics, conducts scheduled software audits, and coordinates licence renewals and disposals.
Asset Owners: Identify IPR-relevant assets under their ownership, ensure the corresponding entries in the Software Licence Register are current, and notify IT Procurement when assets carrying licence or IP obligations are introduced, modified or retired.
Legal / Compliance: Maintains the legal register of applicable IP laws and regulations (see Legal Register), advises on the interpretation of specific licence terms, and reviews data sharing agreements and external content usage for compliance with applicable rights.
All Personnel: Use only authorised and licensed software and information products, refrain from unauthorised copying or redistribution of copyrighted materials, and report suspected IPR violations to the Information Security Officer without delay.

7. Review & Maintenance

This policy and the associated software licence register are reviewed:

At least annually, to verify that all licence terms, usage limits and IPR obligations remain current, and that the software audit findings are reflected in corrective actions.
When new legal or regulatory requirements affecting intellectual property are enacted or updated — including changes to copyright law, software licensing regulations, open-source compliance obligations or sector-specific IP requirements.
After any IPR-related incident, complaint or audit finding — including licence non-compliance notices from vendors, suspected copyright infringement or unauthorised use of the organisation's own IP.
When significant changes occur to the software portfolio, IT architecture or business processes that introduce new IP-bearing assets or alter existing licence obligations.
When new data sharing agreements or third-party content licences are entered into that introduce obligations not covered by current procedures.

Corrective actions identified through reviews or audits are documented, assigned to a responsible owner and tracked to resolution. Detected violations of licence terms or copyright restrictions are addressed promptly and, where required by law or contract, reported to the affected rights holder.

Quellen

ISO/IEC 27002:2022 Abschnitt 5.32 — Intellectual Property Rights
BSI IT-Grundschutz ORP.5 — Compliance-Management (Anforderungen an die Einhaltung rechtlicher Rahmenbedingungen)
EUPL-Lizenzkompatibilitätsmatrix — Europäische Open-Source-Lizenz mit Kompatibilitätsübersicht