Die Frage, ob Cheat-Software urheberrechtlich unzulässig ist, begleitet die Games-Industrie seit Jahren. Mit dem Urteil des Bundesgerichtshofs (BGH) vom 31. Juli 2025 (Az. I ZR 157/21 – „Action Replay II“) liegt nun eine höchstrichterliche Klärung vor: Der Vertrieb von Cheat-Software für die PlayStation Portable (PSP) verletzt das Urheberrecht nicht, wenn der Programmcode des Spiels unangetastet bleibt und lediglich Werte im Arbeitsspeicher während des laufenden Spiels verändert werden. Auf den ersten Blick wirkt das wie ein „Freifahrtschein“ für Cheats. Tatsächlich steckt die Tragweite in den Details der Software-Richtlinie und ihrer Umsetzung im Urheberrechtsgesetz (UrhG) – und in der klaren Abgrenzung zu anderen Rechtsinstrumenten wie dem Schutz technischer Maßnahmen, dem Lauterkeitsrecht und dem Vertragsrecht der Publisher.

Ausgangspunkt des Verfahrens war ein Konflikt zwischen Sony als Plattformbetreiberin bzw. Rechteinhaberin der betroffenen PSP-Titel und Datel als Anbieterin von Tools wie „Action Replay PSP“ und „Tilt FX“. Die Tools modifizieren nicht den Quell- oder Objektcode des Spiels, sondern überschreiben während des laufenden Spiels bestimmte Variablen im RAM. Das Ergebnis sind für Spieler sichtbare Vorteile – etwa zusätzliche Fähigkeiten, freigeschaltete Inhalte oder veränderte Spielphysik. Juristisch zentral ist damit nicht die „Moral“ des Schummelns, sondern die Frage, ob die damit bewirkten Eingriffe urheberrechtlich als „Umarbeitung“ oder sonstige Nutzungshandlung am geschützten Computerprogramm zu qualifizieren sind.

Der unionsrechtliche Rahmen ergibt sich aus der Richtlinie 2009/24/EG über den Rechtsschutz von Computerprogrammen. Diese schützt die Ausdrucksform eines Computerprogramms – also insbesondere Quell- und Objektcode – und nicht die dahinterliegenden Ideen, Algorithmen oder Funktionsprinzipien. In § 69a Abs. 2 UrhG ist diese Abgrenzung ausdrücklich nachvollzogen; geschützt ist die konkrete Ausgestaltung des Programms, nicht dessen Funktion oder der Ablauf als solcher. Folgerichtig knüpft § 69c Nr. 2 UrhG an „Übersetzung, Bearbeitung, Arrangement und andere Umarbeitungen“ an. Der Tatbestand erfordert eine Veränderung des Werkes selbst, mithin eine Modifikation der geschützten Ausdrucksform – regelmäßig also eine Änderung des Programmcodes oder einer Programmkopie.

Genau hier setzt die nun gefestigte Rechtsprechung an: Wird der Code nicht verändert und entsteht auch keine veränderte Programmkopie, sondern werden lediglich im RAM erzeugte, spielinterne Zustände vorübergehend überschrieben, liegt keine Umarbeitung im Sinne des § 69c Nr. 2 UrhG vor. Die zeitweilige Änderung des Spielergebnisses betrifft den Ablauf der Programmlogik, nicht aber die geschützte Ausdrucksform. Der BGH folgt damit konsequent der Auslegung des Gerichtshofs der Europäischen Union, der im Vorabentscheidungsverfahren (Rs. C-159/23) präzisiert hat, dass der Schutzbereich des Software-Urheberrechts nicht auf alle programmbasierten Vorgänge „ausgreift“, sondern auf den Ausdruck – den Code – beschränkt bleibt. Anders formuliert: Die Grenze verläuft nicht bei „Beeinflussung des Spiels“, sondern bei „Beeinflussung des Programmcodes oder einer Programmkopie“.

Das bedeutet allerdings nicht, dass jede Form der Cheat-Software zulässig wäre. Entscheidend ist die technische Ausgestaltung. Wird zum Beispiel durch das Tool tatsächlich Code injiziert, werden Binärteile gepatcht oder werden ausführbare Sequenzen ausgetauscht („hot patching“), handelt es sich gerade nicht mehr um ein bloßes Umschreiben von RAM-Werten, sondern um eine Veränderung der Ausdrucksform. Solche Maßnahmen können eine Umarbeitung (§ 69c Nr. 2 UrhG) oder eine unzulässige Vervielfältigungshandlung (§ 69c Nr. 1 UrhG) begründen, insbesondere wenn durch das Laden in den Arbeitsspeicher eine modifizierte Programmkopie entsteht. Die Linie ist technisch fein: Hooking-Mechanismen, die lediglich auf API-Ereignisse reagieren und dazu parameterbezogene RAM-Werte verändern, bleiben dem Grundsatz nach auf der zulässigen Seite. Verfahren, die maschinencode-nahe Instruktionen ersetzen oder Sprungziele umbiegen, überschreiten sie.

Neben dem Urheberrecht ist die Schutzschranke des § 69d UrhG zu berücksichtigen. Sie erlaubt das Beobachten, Untersuchen oder Testen der Funktionsweise eines Programms, um seine Ideen und Grundsätze zu ermitteln – wohlgemerkt im Rahmen eines rechtmäßig geladenen Programms. Diese Norm rechtfertigt keine Cheat-Verwertung, ist aber Ausdruck derselben Systematik: Ideen und Funktionsprinzipien sind nicht geschützt, sondern ihre konkrete Ausgestaltung. Wer cheatet, nutzt diese Nichtschutzfähigkeit aus; urheberrechtlich relevant wird es erst, wenn die Ausdrucksform berührt wird.

Eine zweite, praktisch oft wichtigere Grenze zieht § 95a UrhG. Die Norm schützt „wirksame technische Maßnahmen“, die bestimmungsgemäß dazu bestimmt sind, Handlungen zu verhindern oder einzuschränken, die vom Rechtsinhaber nicht erlaubt sind. Wird eine wirksame Anti-Cheat-Maßnahme – etwa ein signaturbasiertes Integritäts-Checking, ein verschlüsselter Kommunikationskanal mit serverseitigen Challenge-Response-Tests oder eine Code-Integritätsüberwachung – umgangen, kann bereits die Umgehung als solche verboten sein, unabhängig davon, ob der Code am Ende unverändert blieb. Daraus folgt ein klarer Compliance-Pfad für Publisher: Der rechtssichere Hebel verlagert sich vom Urheberrecht am Code zur Gestaltung belastbarer, als „wirksam“ einzuordnender technischer Schutzmaßnahmen und deren konsequenter Durchsetzung. Ohne solche Maßnahmen kann der urheberrechtliche Hebel gegen reine RAM-Cheats stumpf bleiben.

Dritter Baustein ist das Lauterkeitsrecht. Der Vertrieb von Cheat-Software kann eine unlautere Behinderung von Mitbewerbern darstellen (§ 4 Nr. 4 UWG), wenn gezielt in die wettbewerbliche Entfaltung eines Publishers eingegriffen wird, etwa indem Spiel-Balance, Matchmaking-Fairness oder Online-Ökonomie systematisch zerstört werden. Ebenso denkbar ist ein Rechtsbruchtatbestand (§ 3a UWG), wenn etwa an anderer Stelle – zum Beispiel über § 95a UrhG – ein Verbot greift und die Umgehungshandlung marktbezogen instrumentalisiert wird. Die lauterkeitsrechtliche Prüfung ist stets einzelfallbezogen und erfordert eine Abwägung zwischen der unternehmerischen Entfaltungsfreiheit des Tool-Anbieters und der betroffenen Marktordnung des Publishers.

Vierter Baustein ist das Vertragsrecht. Publisher verfügen über ein wirksames Instrumentarium aus Endnutzer-Lizenzbedingungen (EULA), Nutzungsbedingungen und Spielregeln. Cheats können vertraglich untersagt werden; Verstöße berechtigen regelmäßig zu Sperren und Kündigungen sowie im Einzelfall zu Schadensersatzansprüchen. Die AGB-Kontrolle (§ 307 BGB) verlangt Transparenz und verhältnismäßige Sanktionen. Klauseln, die manipulative Eingriffe, Botting oder Match-Fixing untersagen, sind branchenüblich und rechtlich tragfähig, wenn sie klar gefasst sind, dem Zweck der Aufrechterhaltung einer fairen Spielumgebung dienen und abgestufte Maßnahmen vorsehen. Für den B2C-Bereich empfiehlt sich eine deutliche, vorvertragliche Information über mögliche Sperrfolgen, über die Datenerhebung durch Anti-Cheat-Mechanismen (Stichwort: DSGVO-Konformität) sowie über Widerspruchs- und Beschwerdekanäle. Die Durchsetzbarkeit der EULA ist nicht dadurch berührt, dass urheberrechtliche Ansprüche im Kernbereich ausscheiden; vielmehr verschiebt sich der Schwerpunkt der Rechtsdurchsetzung.

Für Tool-Hersteller ergeben sich Compliance-Leitplanken. Zulässig bleibt, was ohne Codeeingriff arbeitet, keine wirksamen technischen Maßnahmen umgeht, sich nicht in unlauterer Weise am Marktgeschehen beteiligt und keine Schutzrechte Dritter nutzt (keine Verwendung von proprietären Schlüsseln, kein Einschleusen signierter Module, keine Umgehung konsoleigener Sicherheitsketten). Empfehlenswert ist eine technische und rechtliche Dokumentation, aus der hervorgeht, dass die Funktionstiefe auf RAM-Wertemanipulationen beschränkt ist, dass keine Integritätsprüfungen unterlaufen werden und dass die Software keine proprietären Inhalte enthält. Verzichten sollte man auf „Universal-Loader“-Funktionalitäten, die ohne Autorisierung signierte Bereiche laden oder signaturbasierte Prüfungen aushebeln; auch eine „Nutzungszweck-Klausel“ („nur für Single-Player“) ist kein rechtlicher Schutzschild, wenn die Praxis anderes zeigt.

Für Publisher und Entwickler empfiehlt sich ein Bündel aus technischen, vertraglichen und organisatorischen Maßnahmen. Technisch sollten Anti-Cheat-Mechanismen so implementiert werden, dass sie die „Wirksamkeits“-Schwelle des § 95a UrhG klar überschreiten (dokumentierte, dynamische Schutzkonzepte; serverseitige Plausibilitätsprüfungen; manipulationsresistente, signierte Client-Module; Telemetrie-gestützte Missbrauchserkennung mit datenschutzrechtlicher Rechtfertigung über berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO). Vertraglich sollten EULA und Spielregeln klare Definitionsklauseln („Cheat“, „Bot“, „Exploit“), abgestufte Sanktionstatbestände, Transparenz zu Beweismitteln und Audit-Optionen enthalten. Organisatorisch sind interne „Play Integrity“-Prozesse, De-Escalation-Pfad mit Verwarnungen, Logging-Konzepten und revisionssicheren Nachweisen sinnvoll, um lauterkeits- oder vertragsrechtliche Maßnahmen belastbar zu untermauern.

Die Entscheidung strahlt über den reinen Konsolen-Kontext hinaus. Für PC-Titel mit modding-freundlichen Architekturen verdeutlicht sie die Trennlinie zwischen zulässigen Modifikationen (Content-Mods, die über offiziell bereitgestellte Schnittstellen arbeiten) und unzulässigen Eingriffen (Code-Patching, signaturwidrige Binärveränderungen). Für Cloud- und Live-Service-Spiele, bei denen wesentliche Spiellogik serverseitig liegt, reduziert sich das Risiko reiner Client-Cheats: Dort verschiebt sich die Delikts- und Vertragslage ohnehin auf den Interaktionslayer zwischen Client und Server, einschließlich des Schutzes vor manipulativen Requests und Paket-Replays. Für den Esport schafft die Entscheidung keine „Cheat-Amnestie“. Ligenregeln, Hausordnungen und Vertragswerke behalten ihre Geltung; Verstöße können sanktioniert werden, unabhängig davon, ob eine Urheberrechtsverletzung vorliegt. Wichtig bleibt die klare Definition des Regelwerks und die Beweisbarkeit der jeweiligen Manipulation.

Dogmatisch überzeugt die Linie: Der Software-Schutz bleibt Ausdrucksschutz. Schutzgut ist der Code, nicht das Spielergebnis. Wäre jede Interferenz mit dem Ablauf einer Programmlogik als Urheberrechtsverletzung zu werten, kollabierte die Grenze zwischen Werk- und Funktionsschutz; Debugging-Tools, Performance-Analyzer oder Accessibility-Hilfen ließen sich kaum sauber verorten. Zugleich verschließt die Entscheidung nicht die Augen vor realen Marktstörungen. Sie verlagert die Auseinandersetzung auf die Schutzinstrumente, die hier systemadäquat sind: technische Maßnahmen, vertragliche Compliance und lauterkeitsrechtliche Flankierung. Dass diese Route anspruchsvoller ist als die schlichte Berufung auf § 69c UrhG, ist kein Fehler, sondern Absicht des Gesetzgebers, der die Software-Richtlinie bewusst auf Ausdrucksformen beschränkt hat.

Offen bleibt, wo genau die technisch-rechtliche Demarkationslinie verläuft, wenn RAM-Manipulationen in „sanftes“ Hooking umschlagen, das tatsächlich ausführbare Sequenzen ersetzt, ohne den Binärcode dauerhaft zu verändern. Auch die Qualifikation moderner „Kernel-Level“-Anti-Cheat-Treiber und deren Umgehung stellt die Praxis vor Abgrenzungsfragen: Werden bloße Monitoring-Hürden überwunden oder greift der Angreifer in signierte Codepfade ein? Im ersten Fall spricht vieles für eine Prüfung über § 95a UrhG (Wirksamkeit und Umgehung), im zweiten Fall drängt sich wieder § 69c auf. Schließlich bleibt die Frage, inwieweit Publisher produktrechtlich oder datenschutzrechtlich Grenzen bei der Telemetrie ziehen müssen: Je tiefer Anti-Cheat-Systeme in das Betriebssystem eingreifen, desto sorgfältiger müssen Zweckbindung, Transparenz und Verhältnismäßigkeit ausgestaltet werden.

Praktisch empfiehlt sich für Publisher ein „Drei-Säulen“-Vorgehen: Erstens technische Maßnahmen, die nicht nur vorhanden, sondern als „wirksam“ qualifizierbar sind, mit dokumentierter Bedrohungsanalyse und dynamischer Aktualisierung. Zweitens vertragliche Rahmenwerke, die manipulative Eingriffe präzise adressieren und abgestufte Reaktionen vorsehen, inklusive transparenter Kommunikations- und Remonstrationsprozesse. Drittens eine lauterkeitsrechtliche Strategie gegen gewerbliche Cheat-Anbieter, die auf gezielte Behinderung oder systematische Rechtsumgehung zielt. Daraus entsteht eine robuste, in sich abgestimmte Rechtsposition, die auch dann trägt, wenn urheberrechtliche Hauptansprüche im Einzelfall ausscheiden.

Für Tool-Anbieter liegt der Schwerpunkt auf technischer Selbstbeschränkung, Nachweisführung und Distanzierung von Umgehungshandlungen. Eine saubere Architektur, die ausschließlich RAM-Werte adressiert, die Integritätsprüfungen unangetastet lässt und keine proprietären Inhalte verwendet, reduziert das Risiko erheblich. Ergänzend sollten Marketing-Aussagen und Nutzerkommunikation keine falschen Anreize setzen („bypasst jeden Schutz“, „unbannbar“); solche Aussagen befördern lauterkeitsrechtliche Vorwürfe. Für Creator-Communities, die legitime Modding-Interessen verfolgen, empfiehlt sich die Nutzung offizieller Schnittstellen und Toolchains, um gar nicht erst in den Verdacht von Codeeingriffen oder Schutzmaßnahmenumgehung zu geraten.

Das Urteil des BGH ist damit keine Einladung zum Kontrollverlust, sondern eine Systementscheidung zugunsten eines klar umrissenen Software-Urheberrechts. Es zwingt die Branche, die richtigen Stellschrauben zu nutzen: wirksame technische Schutzmaßnahmen, gute Verträge, klare Spielregeln und eine konsistente Durchsetzung. Wer das beherzigt, kann auch in einer Umgebung mit „legalen“ RAM-Cheats ein faires Spielerlebnis sichern. Und wer Tools anbietet, weiß nun, in welchem Korridor sich Innovation rechtssicher bewegen kann. Der entscheidende Satz lautet seither: Nicht jeder Eingriff in den Spielablauf ist ein Eingriff in das urheberrechtlich geschützte Computerprogramm. Die Grenze verläuft beim Code – und bei seiner wirksamen Abschirmung.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.