EULA erstellen: Was Ihr Endbenutzer-Lizenzvertrag in Deutschland enthalten muss und warum Cookies dazugehören

Sie entwickeln eine App oder ein SaaS-Produkt und wissen, dass Sie eine EULA brauchen. Aber wussten Sie, dass ein Endbenutzer-Lizenzvertrag allein Ihre rechtlichen Pflichten nicht vollständig abdeckt? Sobald Ihre Software Nutzerdaten verarbeitet oder Cookies setzt, kommen DSGVO-Anforderungen und Cookie-Einwilligungspflichten hinzu. Diese gehören jedoch nicht in die EULA, sondern in eigene Dokumente.

In diesem Leitfaden erfahren Sie, was eine EULA bedeutet, welche Besonderheiten in Deutschland gelten und in welcher Reihenfolge Sie die rechtliche Dokumentation für Ihr Produkt aufsetzen sollten.

Was ist eine EULA? Einfach erklärt

EULA steht für „End User License Agreement", auf Deutsch: Endbenutzer-Lizenzvertrag oder Endnutzer-Lizenzvereinbarung. Es handelt sich um einen Vertrag zwischen Ihnen als Software-Anbieter:in und der Person, die Ihre Software nutzt.

Der entscheidende Punkt: Eine EULA überträgt kein Eigentum. Ihre Nutzer:innen erwerben lediglich das Recht, die Software unter bestimmten Bedingungen zu verwenden. Sie als Entwickler:in behalten die vollständigen geistigen Eigentumsrechte an Ihrem Produkt.

Typischerweise regelt eine EULA Fragen wie: Auf wie vielen Geräten darf die Software installiert werden? Ist eine Weitergabe erlaubt? Was passiert bei Missbrauch? Darf die Software dekompiliert oder rückentwickelt (Reverse Engineering)werden? Wenn Sie Software entwickeln, ob als Desktop-Anwendung, mobile App oder SaaS-Lösung, bildet die EULA das Fundament Ihres Lizenzmodells.

EULA in Deutschland: Warum der Zeitpunkt der Anzeige entscheidend ist

Hier wird es für den deutschen Markt besonders relevant: EULAs werden nach deutschem Recht als Allgemeine Geschäftsbedingungen (AGB) eingestuft und unterliegen damit den strengen Regeln der §§ 305 bis 310 BGB.

Das hat eine zentrale Konsequenz. Nach § 305 Abs. 2 BGB werden AGB nur dann wirksamer Vertragsbestandteil, wenn die Verwender:innen bei Vertragsschluss auf sie hinweisen und die Nutzer:innen die Möglichkeit haben, von ihrem Inhalt Kenntnis zu nehmen.

Konkret bedeutet das: Wenn Ihre EULA erst bei der Installation angezeigt wird, also nachdem die Nutzer:innen Ihre Software bereits gekauft haben, ist sie unter Umständen unwirksam. Das gilt sowohl für Pop-up-Fenster während des Installationsvorgangs als auch für Lizenzbedingungen, die in einer physischen Verpackung beigelegt werden, die erst nach dem Kauf geöffnet werden kann.

Für Sie als Entwickler:in bedeutet das: Ihre EULA muss bereits vor dem Kaufabschluss zugänglich sein.

Bei Apps sollte sie in der App-Store-Beschreibung oder über einen deutlich sichtbaren Link im Bestellprozess erreichbar sein.

Bei SaaS-Produkten sollte die EULA im Registrierungs- oder Checkout-Flow eingebunden sein, bevor die Zahlung erfolgt.

Darüber hinaus unterliegen EULAs der AGB-Inhaltskontrolle nach § 307 BGB. Klauseln, die Ihre Nutzer:innen unangemessen benachteiligen, sind unwirksam, unabhängig davon, ob sie ihnen zugestimmt haben. Typische Problemfälle sind pauschale Haftungsausschlüsse, einseitige Änderungsvorbehalte und übermäßig weitgehende Nutzungsbeschränkungen.

EULA vs. AGB vs. Datenschutzerklärung vs. Cookie-Richtlinie: Was ist was?

Viele Entwickler:innen verwechseln diese Dokumente oder gehen davon aus, dass eines davon ausreicht. In Wirklichkeit erfüllt jedes einen eigenen Zweck:

Die EULA schützt Ihr geistiges Eigentum. Die Datenschutzerklärung erfüllt Ihre Informationspflichten nach der DSGVO. Und die Cookie-Richtlinie sorgt dafür, dass Ihre Nutzer:innen wissen, welche Tracking-Technologien zum Einsatz kommen, und ihnen aktiv zustimmen können.

Wenn Ihre Software personenbezogene Daten verarbeitet (und das tut sie in den meisten Fällen), brauchen Sie alle vier Dokumente.

Was muss eine DSGVO-konforme EULA enthalten?

Eine EULA, die für den deutschen und europäischen Markt bestimmt ist, sollte über die reine Lizenzvereinbarung hinausgehen. Diese Bausteine sollten enthalten sein:

Lizenzumfang und Nutzungsbeschränkungen. Definieren Sie klar, was Ihre Nutzer:innen mit der Software tun dürfen: Installation, Anzahl der Geräte, kommerzielle vs. private Nutzung, Weitergabe, Reverse Engineering. Je konkreter, desto besser. Vage Formulierungen sind nach AGB-Recht ein Risiko.

Hinweis auf die Datenverarbeitung (Art. 13 DSGVO). Ihre EULA sollte zumindest darauf hinweisen, dass personenbezogene Daten verarbeitet werden, und auf die vollständige Datenschutzerklärung verlinken. Art. 13 DSGVO verlangt unter anderem Angaben zur verantwortlichen Stelle, zu Zweck und Rechtsgrundlage der Verarbeitung, zu den Empfänger:innen der Daten, zur Speicherdauer und zu den Rechten der Betroffenen.

Cookie- und Tracking-Offenlegung. Wenn Ihre Software Cookies, Pixel, SDKs oder andere Tracking-Technologien einsetzt, muss das offengelegt werden. Das gilt für Web-Apps, mobile Apps und Desktop-Anwendungen gleichermaßen. Idealerweise geschieht dies in einer separaten Cookie-Richtlinie, auf die Ihre EULA verweist.

Rechte der Nutzer:innen nach der DSGVO. Ihre Nutzer:innen haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18) und Widerspruch (Art. 21). Ein Hinweis auf diese Rechte gehört in Ihre Datenschutzerklärung. Ihre EULA sollte aber klar darauf Bezug nehmen.

Anwendbares Recht und Gerichtsstand. Besonders bei Software, die international vertrieben wird, ist die Angabe des anwendbaren Rechts unerlässlich. Für deutsche Nutzer:innen gilt: Verbraucherschützende Vorschriften des deutschen Rechts können nicht durch eine Rechtswahl umgangen werden.

Braucht Ihre EULA einen Abschnitt zu Cookies?

Kurze Antwort: Ja, wenn Ihre Software Cookies oder vergleichbare Technologien einsetzt.

Und das ist häufiger der Fall, als viele Entwickler:innen vermuten. Web-Apps setzen fast immer Session-Cookies und häufig auch Analyse- und Marketing-Tracker. Mobile Apps nutzen Advertising-IDs und SDKs von Drittanbietern, die eigene Tracking-Mechanismen mitbringen. Selbst Desktop-Software kann über integrierte Webviews, Update-Checker oder Telemetrie-Funktionen Cookies setzen.

Ihre EULA muss nicht jedes einzelne Cookie aufführen, dafür gibt es die Cookie-Richtlinie. Aber sie sollte klar kommunizieren, dass Tracking-Technologien zum Einsatz kommen, auf die Cookie-Richtlinie verweisen und erklären, wo und wie Nutzer:innen ihre Einwilligung verwalten können.

Entscheidend ist dabei: Nach dem TTDSG (§ 25) und der DSGVO ist für nicht-essenzielle Cookies eine aktive Einwilligung erforderlich. Das bloße Akzeptieren der EULA reicht dafür nicht aus. Sie brauchen einen separaten Consent-Mechanismus.

EULA-Klauseln für Cookie- und Datenverarbeitungshinweise

Copy-Paste-fertige Musterklauseln

Die folgenden Klauseln können Sie als Ausgangspunkt für Ihre EULA verwenden. Passen Sie sie an Ihr konkretes Produkt und Ihre Datenverarbeitungspraktiken an.

Klausel 1: Hinweis auf Datenverarbeitung

Diese Software verarbeitet personenbezogene Daten im Sinne der Datenschutz-Grundverordnung (DSGVO). Dazu gehören unter anderem Registrierungsdaten, Nutzungsdaten und gerätebezogene Informationen. Umfang, Zweck und Rechtsgrundlage der Datenverarbeitung sowie Ihre Rechte als betroffene Person sind in unserer Datenschutzerklärung unter [URL] beschrieben. Die Datenschutzerklärung ist Bestandteil dieses Vertrages.

Klausel 2: Cookies und Tracking-Technologien

Diese Software setzt Cookies und vergleichbare Tracking-Technologien ein, um Funktionalität, Analyse und, sofern Sie zustimmen, personalisierte Inhalte bereitzustellen. Welche Cookies und Tracker im Einzelnen verwendet werden, erfahren Sie in unserer Cookie-Richtlinie unter [URL]. Für den Einsatz nicht-essenzieller Cookies holen wir Ihre ausdrückliche Einwilligung über unseren Consent-Mechanismus ein. Sie können Ihre Einwilligung jederzeit über [Consent-Einstellungen/Link] widerrufen.

Klausel 3: Drittanbieter-SDKs und Datenübermittlung

Diese Software nutzt Software Development Kits (SDKs) und Dienste von Drittanbietern, die eigenständig Daten erheben und verarbeiten können. Eine Übersicht der eingesetzten Drittanbieter, der jeweils verarbeiteten Daten und der Zwecke finden Sie in unserer Datenschutzerklärung unter [URL]. Soweit dabei eine Übermittlung personenbezogener Daten in Drittstaaten erfolgt, geschieht dies auf Basis geeigneter Garantien gemäß Art. 46 DSGVO.

EULA für Apps vs. EULA für SaaS: Die wichtigsten Unterschiede

Obwohl sich App-EULAs und SaaS-EULAs in vielen Punkten ähneln, gibt es entscheidende Unterschiede, die sich direkt auf Cookies, Tracking und Consent auswirken.

Bei nativen Apps wird die Software auf dem Gerät der Nutzer:innen installiert. Die EULA regelt daher häufig auch Themen wie Offline-Nutzung, Geräte-Limits und automatische Updates. Was Cookies betrifft, sind hier vor allem Advertising-IDs (IDFA bei iOS, GAID bei Android) und Drittanbieter-SDKs relevant. Apple und Google Play haben eigene Standard-EULAs, die automatisch gelten. Ihre eigene EULA ergänzt diese um produktspezifische Regelungen. Wichtig: Beide App Stores verlangen zunehmend detaillierte Angaben zu Datenschutz und Tracking, etwa über App Tracking Transparency bei Apple und den Datensicherheitsbereich bei Google Play.

Bei SaaS-Produkten wird die Software nicht installiert, sondern über den Browser genutzt. Die EULA überschneidet sich hier stärker mit den AGB und den Nutzungsbedingungen. Da SaaS-Anwendungen im Browser laufen, kommen klassische Web-Cookies und Tracker zum Einsatz: Session-Cookies, Analyse-Tools wie Google Analytics, Marketing-Pixel und mehr. Ein Cookie-Banner ist hier praktisch immer erforderlich. Zusätzlich spielen bei SaaS-Produkten häufig Themen wie Service Level Agreements (SLAs), Datenverfügbarkeit und Auftragsverarbeitungsverträge (AVV) eine Rolle.

So hilft Cookiebot Software- und SaaS-Unternehmen beim Cookie-Consent

Ihre EULA regelt die Lizenz, aber für Cookies, Tracking und Datenverarbeitung brauchen Sie mehr. Und genau hier kommt Cookiebot ins Spiel.

Cookiebot scannt Ihre Website oder Web-App automatisch und erkennt alle aktiven Cookies und Tracker, auch solche, die von Drittanbieter-SDKs oder eingebetteten Diensten gesetzt werden. Auf dieser Basis erstellt Cookiebot eine stets aktuelle Cookie-Richtlinie und stellt ein DSGVO- und TTDSG-konformes Consent-Banner bereit, über das Ihre Nutzer:innen granular steuern können, welchen Cookie-Kategorien sie zustimmen.

Für SaaS-Produkte lässt sich Cookiebot nahtlos in gängige CMS-Plattformen wie WordPress, Webflow oder Shopify integrieren. Für App-Entwickler:innen bietet Cookiebot eine Lösung, die auch In-App-Consent-Anforderungen unterstützt.

Das bedeutet für Ihre Produktdokumentation: Ihre EULA schützt Ihre Software, und Cookiebot kümmert sich um die Datenschutzkonformität. So decken Sie die gesamte rechtliche Kette ab, vom Lizenzvertrag über die Datenschutzerklärung bis zur Cookie-Einwilligung.