Geschäftskritische Software ist für viele Unternehmen längst so wichtig wie Maschinenpark oder Lieferkette — doch anders als bei der Maschine gehört das Innenleben der Software meist nicht dem Anwender. Lizenziert wird der ausführbare Code; der Quellcode, ohne den sich Fehler nicht beheben und Anpassungen nicht vornehmen lassen, bleibt Betriebsgeheimnis des Herstellers. Was aber, wenn dieser Hersteller insolvent wird, den Support einstellt oder von einem Wettbewerber übernommen wird? Software-Escrow beantwortet genau diese Frage: Der Quellcode wird bei einem neutralen Dritten hinterlegt und nur in vertraglich definierten Fällen an den Kunden herausgegeben. Richtig aufgesetzt ist das eine Versicherung gegen den Totalausfall — schlecht aufgesetzt ein teures Ritual ohne Wert.

Das Risiko: Abhängigkeit von einem Softwareanbieter

Die Abhängigkeit entsteht schleichend. Ein Unternehmen lässt eine Branchenlösung entwickeln oder passt eine Standardsoftware tief an die eigenen Prozesse an. Nach einigen Jahren stecken Warenwirtschaft, Produktionssteuerung oder Abrechnungslogik komplett in diesem System. Der Anbieter ist häufig ein kleines Softwarehaus mit einer Handvoll Entwicklern — wirtschaftlich solide, aber ohne Garantie auf Ewigkeit. Fällt er aus, steht der Kunde vor einem Dilemma: Er darf die Software zwar weiter nutzen, kann sie aber weder an neue gesetzliche Anforderungen noch an eigene Prozessänderungen anpassen. Sicherheitslücken bleiben offen, Schnittstellen veralten, und die Migration auf ein neues System dauert unter Druck Jahre und kostet ein Vielfaches des geplanten Budgets.

Das Urheberrecht verschärft die Lage: Der Quellcode ist nach §§ 69a ff. UrhG geschützt, und ohne vertragliche Grundlage hat der Kunde keinerlei Anspruch auf seine Herausgabe — auch nicht in der Insolvenz des Anbieters. Selbst Dekompilierung ist nur in engen gesetzlichen Grenzen erlaubt und praktisch selten ein gangbarer Weg. Wer die Kontinuität seiner IT sichern will, muss also vorher handeln.

Tresorraum mit Schließfächern als Sinnbild für die Quellcode-Hinterlegung
Der Escrow-Agent verwahrt den Quellcode neutral und gibt ihn nur im definierten Fall heraus. Foto: RTB

Wie Software-Escrow funktioniert

Im Kern ist Software-Escrow ein klassisches Treuhandmodell, verwandt mit dem Treuhandkonto im Zahlungsverkehr: Ein neutraler Dritter verwahrt einen Vermögenswert und gibt ihn nur bei Eintritt definierter Bedingungen heraus. Beteiligt sind drei Parteien. Der Softwareanbieter hinterlegt den Quellcode samt Begleitmaterial beim Escrow-Agenten — spezialisierte Dienstleister, teils auch Notare oder Industrie- und Handelskammern bieten solche Verwahrung an. Der Kunde erhält einen vertraglich gesicherten Herausgabeanspruch für den Ernstfall. Der Agent prüft, verwahrt und entscheidet im Herausgabefall nach dem vereinbarten Verfahren.

Entscheidend ist, was hinterlegt wird. Der nackte Quellcode genügt fast nie: Um eine Software tatsächlich weiterzupflegen, braucht es die vollständige Build-Umgebung oder deren Dokumentation, Abhängigkeiten und Bibliotheken samt Versionsständen, Datenbankschemata, Konfigurationsdateien, Entwicklerdokumentation und idealerweise eine Anleitung, wie aus dem Material ein lauffähiges System entsteht. Ebenso wichtig ist die Aktualität: Ein Depot mit dem Stand von vor drei Jahren hilft wenig, wenn seither zwanzig Releases erschienen sind. Gute Escrow-Verträge verpflichten den Anbieter deshalb zu regelmäßigen Einlieferungen — etwa bei jedem Major-Release oder mindestens halbjährlich — und geben dem Agenten ein Mahn- und Eskalationsrecht bei ausbleibenden Updates.

Drei Parteien unterzeichnen einen Escrow-Vertrag
Der Escrow-Vertrag bindet Anbieter, Kunde und Agent in einem Dreiecksverhältnis. Foto: RTB

Herausgabefälle und die Insolvenzfrage

Das Herzstück jedes Escrow-Vertrags sind die Release-Bedingungen. Üblich sind: Eröffnung des Insolvenzverfahrens über das Vermögen des Anbieters oder Abweisung mangels Masse, dauerhafte Einstellung von Support oder Weiterentwicklung, nachhaltige Verletzung wesentlicher Pflege- und Wartungspflichten trotz Fristsetzung sowie die Einstellung des Geschäftsbetriebs. Ergänzend braucht es ein klares Verfahren: Wer meldet den Herausgabefall, wie kann der Anbieter widersprechen, wer entscheidet bei Streit — der Agent selbst, ein Schiedsgutachter oder ein Schiedsgericht — und in welcher Frist? Ein Herausgabeprozess, der sich über Monate zieht, verfehlt seinen Zweck.

Ein Escrow-Depot ist nur so viel wert wie sein letzter verifizierter Stand — Hinterlegung ohne Aktualisierung und Prüfung ist Sicherheitstheater.

Die heikelste Rechtsfrage ist die Insolvenzfestigkeit. Bei gegenseitigen, nicht vollständig erfüllten Verträgen hat der Insolvenzverwalter nach § 103 InsO ein Wahlrecht, ob er die Erfüllung fortsetzt — er könnte also versuchen, die Herausgabe zu blockieren, um den Quellcode als Masseverwertungsobjekt zu behalten. Die Vertragsgestaltung muss dem entgegenwirken: bewährte Bausteine sind die Ausgestaltung als echter Dreiecksvertrag mit eigenem, unbedingtem Herausgabeanspruch des Kunden gegen den Agenten, bereits im Voraus aufschiebend bedingt eingeräumte Nutzungs- und Bearbeitungsrechte am hinterlegten Material sowie die Klarstellung, dass die Hinterlegung mit Einlieferung vollzogen und vom Anbieter nichts mehr geschuldet ist. Eine hundertprozentige, höchstrichterlich abgesicherte Garantie gibt es nicht — aber ein sorgfältig konstruierter Escrow-Vertrag verschiebt die Ausgangslage deutlich zugunsten des Kunden, ähnlich wie andere treuhänderische Sicherungsinstrumente, deren Prüfung wir im Beitrag zur Kontrolle von Treuhandkonten beschreiben.

IT-Spezialist verifiziert hinterlegten Quellcode im Serverraum
Erst die technische Verifikation macht das hinterlegte Material im Ernstfall brauchbar. Foto: RTB

Verifikation: Ohne Prüfung ist die Hinterlegung wenig wert

Die zweite Achillesferse neben veralteten Depots ist unbrauchbares Material. Ob ein eingelieferter Datenträger tatsächlich den vollständigen, kompilierbaren Quellcode der produktiv eingesetzten Version enthält, sieht man ihm nicht an. Professionelle Escrow-Agenten bieten deshalb gestufte Verifikationen an: Die Basisprüfung kontrolliert Lesbarkeit, Virenfreiheit und Verzeichnisstruktur. Die mittlere Stufe gleicht Versionsstände ab und prüft die Vollständigkeit gegen eine Stückliste. Die höchste Stufe ist der Full Build: Der Agent oder ein Sachverständiger kompiliert die Software aus dem hinterlegten Material und vergleicht das Ergebnis mit der ausgelieferten Version.

Für wirklich geschäftskritische Systeme ist mindestens ein initialer Full Build dringend zu empfehlen, danach regelmäßige Stichproben. Die Erfahrung der Branche zeigt, dass unverifizierte Depots im Ernstfall häufig Lücken aufweisen — fehlende Bibliotheken, nicht dokumentierte Build-Schritte, vergessene Konfigurationsdateien. Bei SaaS-Lösungen verschiebt sich der Fokus: Hier gehören neben dem Code auch die Kundendaten (oder ein Anspruch auf regelmäßige Datenexporte), Deployment-Skripte, Infrastrukturbeschreibungen und Hinweise zum Betrieb in einer neutralen Cloud-Umgebung ins Depot, damit der Kunde den Dienst notfalls selbst oder über einen Dritten weiterbetreiben kann.

Wann sich Escrow lohnt — und was es kostet

Escrow ist kein Standardzubehör für jede Softwarelizenz. Die Abwägung folgt drei Fragen: Wie kritisch ist die Software für den Geschäftsbetrieb? Wie realistisch ist der Ausfall des Anbieters — kleines Softwarehaus oder Konzern? Und wie schnell ließe sich im Ernstfall migrieren? Je kritischer, je kleiner der Anbieter und je schwerer die Migration, desto klarer der Fall für die Hinterlegung. Typische Kandidaten sind Individualentwicklungen, tief angepasste Branchenlösungen und eingebettete Software in langlebigen Investitionsgütern. Für austauschbare Standardtools lohnt der Aufwand selten.

Die Kosten sind überschaubar: Einrichtung und Vertragsprüfung einmalig, dazu eine Jahresgebühr für Verwahrung und Updates; mit technischer Verifikation liegt das Gesamtpaket je nach Tiefe meist im unteren vier- bis niedrigen fünfstelligen Bereich pro Jahr — verglichen mit den Kosten eines ungeplanten Systemwechsels ein kleiner Posten. Verhandlungstaktisch lässt sich die Hinterlegung am besten beim Vertragsschluss oder bei großen Erweiterungen durchsetzen; seriöse Anbieter verweigern sich dem selten, zumal der Agent ihr Geschäftsgeheimnis gerade schützt, statt es preiszugeben. Auch wer Software-Anbieter ist, kann Escrow aktiv als Vertrauenssignal im Vertrieb nutzen. Weitere Beiträge zu treuhänderischen Sicherungsinstrumenten finden Sie im Ressort Treuhand & Recht.

Häufige Fragen

Reicht es nicht, wenn der Anbieter mir den Quellcode direkt gibt?

Meist scheitert das am berechtigten Geheimhaltungsinteresse des Anbieters — der Quellcode ist sein Kernvermögen. Der neutrale Escrow-Agent löst genau diesen Konflikt: Der Anbieter behält die Kontrolle im Normalbetrieb, der Kunde erhält Zugriff nur im definierten Ernstfall.

Ist die Herausgabe in der Insolvenz des Anbieters wirklich sicher?

Eine absolute Garantie gibt es nicht, weil der Insolvenzverwalter nach § 103 InsO Wahlrechte hat. Ein als Dreiecksvertrag konstruiertes Escrow mit eigenem Herausgabeanspruch des Kunden, im Voraus bedingt eingeräumten Nutzungsrechten und vollzogener Hinterlegung gilt aber als weitgehend belastbar und ist der Zwei-Parteien-Hinterlegung klar überlegen.

Wie oft muss das hinterlegte Material aktualisiert werden?

Als Faustregel: bei jedem Major-Release, mindestens aber halb- oder vierteljährlich bei aktiv weiterentwickelter Software. Der Vertrag sollte feste Einlieferungspflichten, Erinnerungen durch den Agenten und Sanktionen bei Versäumnis vorsehen.

Funktioniert Escrow auch bei Cloud- und SaaS-Lösungen?

Ja, aber mit erweitertem Depot: Neben dem Quellcode gehören Deployment-Skripte, Infrastruktur- und Betriebsdokumentation sowie regelmäßige Datenexporte hinein. Ziel ist, dass der Kunde den Dienst im Ernstfall in einer eigenen oder neutralen Umgebung weiterbetreiben kann — reine Code-Hinterlegung greift bei SaaS zu kurz.