Leser fragen, der Linux-Magazin-Ratgeber antwortet

Abbildung 1: Eine Vereinsgründung hilft steuerliche Nachteile und Frust bei den Beteiligten zu vermeiden.© Sara Robinson, 123RF.com

In dieser Ausgabe geht es um die optimale Rechtsform für Projekte, Security-Tools in eigenen Distributionen, Werbe-E-Mails und die "beste" Lizenz.

Rechtsform bei Projekten mit Einnahmen

Ich bin Entwickler in einem Open-Source-Projekt für einen Mindmap-Editor. In Kürze steht unsere erste stabile Release an und die Popularität unseres Projekts nimmt merklich zu. Unter anderem ist uns eine Kooperation mit einem Buchprojekt angeboten worden. Wir würden gerne die möglicherweise damit verbundenen Einnahmen nutzen, um unser Projekt weiter voranzutreiben, etwa um einen eigenen Webserver einzurichten und Entwicklerkonferenzen zu veranstalten. Eine mögliche zusätzliche Einnahmequelle wäre ein Donate-Button auf der Projektseite. Unser Problem: Wer soll Empfänger der Einnahmen sein? Ein einzelner Entwickler müsste die Einnahmen sicherlich normal versteuern, was mit finanziellen Nachteilen verbunden wäre. Also haben wir daran gedacht, eine Organisation für diesen Zweck zu gründen. Wir vermuten, dass dafür ein deutscher Verein am günstigsten wäre. Der größte Teil unseres internationalen Teams lebt in Deutschland, sodass wir unter Umständen eine Gründungsversammlung mit einigen Team-Mitgliedern organisieren könnten. Vielleicht könnten aber auch englische oder amerikanische Rechtsformen in Frage kommen.

Volker B.

Wenn Initiative und Organisation des Projekts in Deutschland beheimatet sind, scheint es mir sinnvoll, auch die zu errichtende Organisation hier und nach deutschem Recht aufzubauen. Schon deswegen, weil im Streitfall deutsche Gerichte das hiesige Recht kennen und ein Verfahren schneller und ohne teure Gutachten durchführbar ist. Zudem sind Experten hier schneller und kostengünstiger erreichbar und Sie vermeiden Übersetzungsfehler und Stolperfallen.

Kritischer Punkt ist die Einnahmenerzielung, also ein - zumindest zugehöriger - wirtschaftlicher Zweck der Organisation. Ohne weitere Gestaltung sieht das deutsche Gesetz bereits die Gründung einer Gesellschaft bürgerlichen Rechts vor, kurz GbR oder BGB-Gesellschaft. Dafür reicht ein gemeinsamer Zweck aus. Als Personengesellschaft ohne eigene echte Rechtsfähigkeit, insbesondere im steuerrechtlichen Sinn, würden deren Einkünfte den Gesellschaftern zugeordnet - zu gleichen Teilen, sofern nichts anderes vereinbart. Nach steuerrechtlichen Regelungen könnten dann sogar die hiesigen erreichbaren Gesellschafter zur Haftung für die Steuerschuld der Mitgesellschafter herangezogen werden.

Um diesen Nachteilen zu entgehen, sollten Sie die Gründung eines gemeinnützigen Vereins erwägen (Abbildung 1). Gemeinnützigen Organisationen ist es nicht verboten, Einkünfte zu erzielen. Es kommt aber auf die Verwendung des Geldes an. Neben Mitgliedsbeiträgen dürfen Einkünfte durch Kooperationen, Supportleistungen und Spenden Dritter entstehen.

Ein gemeinnütziger Verein genießt, ebenso wie Mitarbeiter oder Förderer, bestimmte Vorteile: Die teilweise Befreiung von Köperschafts- oder Gewerbesteuern oder steuerliche Vergünstigungen für mithelfende Personen. Außerdem dürfen gemeinnützige Vereine Zuwendungsbescheinigungen ausstellen, die für Spender zu einem Steuerabzug führen. Das gilt laut Entscheidung des Europäischen Gerichtshofs (EuGH, [1]) sogar für Spender aus anderen europäischen Staaten.

Die Anerkennung der Gemeinnützigkeit kann verschiedenen Organisations- beziehungsweise Gesellschaftsformen zugute kommen. Daher wären Sie nicht auf den "Eingetragenen Verein" als eine von zwei möglichen Vereinsformen nach deutschem Recht festgelegt, sondern könnten sich auch auf den einfachen Verein beschränken.

Der entscheidende Vorteil der Eintragung ist aber, dass die (einfachen) Mitglieder nicht für den Verein haften. Der Nachteil ist der höhere Verwaltungs- und Kostenaufwand: Sie brauchen eine Gründungsversammlung, eine Satzung, eine notarielle Beurkundung und einen Auftritt vor dem zuständigen Registergericht. Satzung und gewählten Vorstand brauchen Sie bei beiden Vereinsarten.

Detaillierte Regeln für beide Versionen finden sich im entsprechenden Abschnitt des BGB [2]. Das Bayerische Justizministerium [3] bietet auf seinen Internetseiten eine Mustersatzung als Download an, die Gerichte und Finanzbehörden als ausreichend für die Anerkennung der Gemeinnützigkeit ansehen.

Distribution mit Security-Tools

Ich habe als IT-Dienstleister im Bereich Security-Audits eine kleine Live-CD auf Basis von Debian erstellt. Darauf enthalten sind Security-Programme, die unter anderem durch die Standard-Repositories bereitgestellt werden. Da §202 StGB den Vertrieb oder den Besitz ja eigentlich verbietet, bin ich etwas verunsichert. Nun meine Frage: Darf ich diese Live-CD auf meiner Internetseite zum Download in Deutschland anbieten? Sollte dies nicht der Fall sein, warum sind die Programme in den Repositories dann noch enthalten?

Steffen F.

Zwar stellt Paragraf 202c StGB immer noch die Vorbereitungshandlungen für das Ausspähen oder Abfangen von Daten unter Strafe, wenn entweder Passwörter oder sonstige Sicherungscodes oder Programme dafür hergestellt, veröffentlicht oder erworben werden. Aber bei den Programmen ist der Vorsatz entscheidend. Das Bundesverfassungsgericht (BVerfG) hat in einer Grundsatzentscheidung [4] klargestellt, dass es darauf ankommt, für welchen Einsatz der Programmierer das Tool hergestellt hat. Dient es laut Beschreibung vornehmlich der Sicherheitsanalyse, deutet das auf einen legalen Einsatzzweck des Programms hin.

Aus den Argumenten des BVerfG folgt ein stufenweiser Aufbau der strafrechtlichen Prüfung: Die erste, oberste Stufe ist die Entwicklung des Tools und das fertige Programm selbst. Die nächste Stufe wäre der Vertrieb oder Erwerb des Tools. Die unterste Stufe ist der Einsatz des Programms. In allen drei Phasen ist die Strafbarkeit gesondert zu ermitteln.

Weil auf der untersten Ebene, also bei Verwendung eines Tools, die Tat bereits in Ausführung begriffen ist und damit zumindest das Versuchsstadium der Straftatbestände des Paragrafen 202a StGB (Ausspähen von Daten) oder des Paragrafen 202b StGB (Abfangen von Daten) erreicht, kommt es für die Strafbarkeit nur auf die subjektive Sicht des Täters (Vorsatz) oder die Rechtswidrigkeit des Eingriffs (Einwilligung des betroffenen Dateneigentümers) an.

Auf der obersten Ebene entscheidet ausschließlich die (subjektive) Intention des Programmierers über die Legalität der Software: Soll sie der Sicherheitsanalyse dienen, ist das Programm gut, sollen damit Computer-Einbruch und -Spionage gefördert werden, ist es böse. Weil bloße Angaben in der Programmbeschreibung in der Praxis keine taugliche Auskunft über die wahre Absicht des Programmierers geben können, bleibt es letztlich einer genauen Programmanalyse vorbehalten, den vorrangigen Einsatzzweck zu bestimmen. Selbst wenn mit dem Tool ausschließlich Schwachstellen aufgedeckt werden, bleibt es ein neutrales Werkzeug, bei dem erst der konkrete Einsatz entscheidet: Wie beim Messer, das Koch, Chirurg und Mörder auf unterschiedliche Weise einsetzen (Abbildung 2). Im Ergebnis läuft die Strafvorschrift des Paragrafen 202c damit leer und Sicherheitstools bleiben legal.

Abbildung 2: Ausspähen oder legale Interessen? Security-Tools bleiben rechtlich auf unsicherem Terrain. © Jim Lopes, 123RF.com

Was die mittlere Stufe betrifft, reduzieren sich die gesetzlich vorgesehenen Alternativen - Erwerb und Weitergabe eines legalen Tools oder Erwerb und Weitergabe eines illegalen Tools - auf eine. Natürlich gibt es auch hier unterschiedliche Intentionen des "Täters", im illegalen Fall handelt es sich um die Vorbereitungshandlung zu einer Straftat. Weil bloße Vorbereitungshandlungen straflos sind, wenn eine Strafvorschrift nicht explizit anderes bestimmt, genügt Paragraf 202c hier nicht: Der "Zweck" bezieht sich auf das Programm, nicht aber auf den Erwerb oder die Weitergabe.

Da Strafvorschriften eng auszulegen sind, reicht Paragraf 202c nicht aus, um das Angebot eines Sicherheitsanalyse-Tools auf Ihrer Homepage unter Strafe zu stellen. Deswegen finden sich auch solche Programme auf anderen Servern.

Confirmed- oder Double-Opt-In?

Wir nutzen einen Linux-Server, um automatisiert Newsletter per E-Mail an Kunden zu versenden. Die müssen aktiv dem Versand zustimmen und nach einer gesonderten Belehrung einen Button klicken. In allen Newsletters ist eine Unsubscribe-Adresse angegeben, deren Aufruf genügt, um den Empfänger aus der Liste zu löschen. Genügt das den gesetzlichen Anforderungen oder brauchen wir mehr? Und dürfen wir uns weitere E-Mail-Adressen kaufen, entweder von einem gewerblichen Händler oder von unserem Wirtschaftsverband, der Adressen in unterschiedlichen Kategorisierungen anbietet?

Jens P.

Die "Rücktrittsbelehrung", die in der Angabe der Unsubscribe-Adresse der ersten Werbe-E-Mail zu sehen ist, qualifiziert das System als Confirmed-Opt-In-System. Dabei kann der Empfänger jederzeit die Zusendung der E-Mail aufheben. Weil dieses Verfahren aktives Tätigwerden des Empfängers voraussetzt, genügt es den Anforderungen der Rechtsprechung nicht. Ein Dritter könnte so die E-Mail-Adresse des vermeintlichen Bestellers eingeben, der dann so lange Werbung erhält, bis er etwas unternimmt.

Die Rechtsprechung verlangt beim automatisierten Versand ein Double-Opt-In-Verfahren, bei dem der Besteller eine weitere E-Mail bekommt, auf die er aktiv reagieren muss, um den weiteren Bezug auszulösen. Ein vermeintlicher Besteller, dessen E-Mail-Adresse von einem Dritten eingegeben wurde, braucht dann nichts zu unternehmen, um vor Ihrer Werbung geschützt zu sein.

Was den Zukauf von Adressen aus zweifelhaften oder auch offiziellen Pools angeht: Als Versender müssen Sie im Zweifel nachweisen, dass eine Zustimmung zum Versand von Werbe-E-Mails vorgelegen hat. Die bloße Versicherung des Verkäufers genügt nicht. Gerade im geschäftlichen Verkehr kann das teure Abmahnungen zur Folge haben.

Möglicherweise genügt bei zugekauften Adressen der Versand nach dem Double-Opt-In-Verfahren. Insbesondere bei einem Hinweis auf die Herkunft der E-Mail-Adresse könnten Angaben über den Adressenhändler geeignet sein, die Interessen des Empfängers ausreichend zu berücksichtigen.

Lizenzfrage für Quelltextverweigerer

Welche ist die beste Lizenz, wenn ich eigene Programme so verkaufen will, dass diese kein anderer auslesen kann und ich ihm auch nicht meinen Quellcode geben muss?

S.T.

Wenn es sich um Eigenentwicklungen handelt, dürfen Sie diese unter beliebigen Lizenzmodalitäten vertreiben. In der Regel werden Sie jedoch das Rad nicht neu erfinden wollen und auf bewährte Software zurückgreifen - entweder indem Sie deren Funktionen nutzen oder Routinen per Copy&Paste in den eigenen Code packen. Dann kommt es darauf an, unter welchen (Lizenz-)Bedingungen Sie diesen Code benutzen dürfen, also unter welchen Bedingungen Ihnen der Urheber dessen Nutzung gestattet.

Für Open-Source-Software existiert eine kaum überschaubare Vielzahl von Lizenzen (Abbildung 3). Der Großteil lässt sich in zwei Kategorien einteilen: Solche mit Copyleft und solche ohne. Copyleft bedeutet dabei, dass bei Verwendung von entsprechend lizenziertem Code Ihre Bearbeitung automatisch wieder unter die gleiche Lizenz gestellt wird. "Automatisch" bedeutet in diesem Zusammenhang, dass Sie zwar mit Ihrer Bearbeitung tun und lassen dürfen, was Sie wollen, dass Sie aber, sofern Sie den Code weitergeben, dies ausschließlich unter der ursprünglichen Lizenz tun dürfen. Missachten Sie das, machen Sie sich einer Urheberrechtsverletzung schuldig und müssen Schadensersatz- und Unterlassungsansprüche befürchten.

Abbildung 3: Übersicht: Die Open Source Initiative hält Informationen zu Lizenzen vor.

Es gibt auch Lizenzen mit weicherem Copyleft, die auch den Vertrieb proprietärer Software im Verbund erlauben. Ein Beispiel ist die "Lesser GPL". Unter bestimmten Voraussetzungen dürfen Sie so lizenzierte Programme mit in Ihre Software aufnehmen. Bei Software unter der BSD- oder der MIT-License ist es erlaubt, die Bearbeitung auch unter einer anderen als der ursprünglichen Lizenz zu veröffentlichen. Diese Lizenzen räumen so die weitesten Rechte ein.

Allerdings sollten Sie die Vorteile einer freien Lizenz nicht unterschätzen. Viele Unternehmen setzen bewusst auf GPL-Software, um ihre Investitionen zu bewahren. Diese Programme können nie unbrauchbar werden. (uba)