Praktische Umsetzung und not­wendige Muster­dokumente

1. Wichtige Schritte bei der Einrichtung der Instanz

Eine gesetzes- und vor allem datenschutzrechtskonforme Instanz besteht aus zwei Teilen: einer gut aufgestellten Technik und sauberen juristischen Formalitäten. Zum technischen Teil gehören grundlegende Maßnahmen der Datensicherung und der Konfiguration des Servers sowie der Mastodon-Software. Dazu finden sich in nachfolgenden Teilen dieser Handreichung Tipps, Empfehlungen und Musterdokumente. In diesem Kapitel soll es hingegen um die juristisch-formalen Schritte gehen.

Ziel dieser Handreichung ist es, dass die Instanz den gängigen rechtlichen Anforderungen gerecht wird, die im alltäglichen Betrieb zu erfüllen sind. Dazu gehören in jedem Fall die folgenden Teile:

• gesetzliche Pflichtangaben (u. a. das „Impressum“ und Angaben nach dem Digital Services Act),

• ein Auftragsverarbeitungsvertrag (bei Nutzung von Hosting-Diensten),

• die Datenschutzhinweise (teilweise auch „Datenschutzerklärung“ genannt),

• die Nutzungsbedingungen (der „Vertrag“ zwischen Instanzbetreiberinnen und Nutzerinnen) und

• allgemeine Verhaltensregeln („Instanzregeln“ über zulässige Inhalte und Moderation).

Zu allen fünf Themen wird dieser Teil der Handreichung zunächst erklären, worum es dabei geht und welches Ziel damit erreicht werden soll. Dort, wo es möglich ist, stellt diese Handreichung zusätzlich auch Muster bereit oder verweist auf vorhandene Muster. Instanzbetreiberinnen können diese verwenden und gegebenenfalls modifizieren. Außerdem enthält die Handreichung eine Checkliste.

1.1 Gesetzliche Pflichtangaben

Bei den gesetzlichen Pflichtangaben geht es im Grunde um in Textform bereitzustellende Informationen, die für alle Personen (mit und ohne Konto auf der Instanz) verfügbar sein müssen, die die Startseite der Instanz aufrufen.

Dazu gehört zuallererst das sogenannte „Impressum“. Die Impressumspflicht war lange im deutschen Telemediengesetz (TMG) geregelt, folgt mittlerweile aber aus den gesetzlichen Vorgaben des Digitale-Dienste-Gesetzes (DDG). Ziel des Impressums ist es, Nutzerinnen von Onlineangeboten (juristisch mittlerweile „Digitale Dienste“ genannt) eine konkrete Ansprechperson zu nennen. Damit soll Menschen die Möglichkeit gegeben werden, sich an eine konkrete Person zu wenden, wenn diese annehmen, dass ihre Rechte beeinträchtigt wurden. Es geht letztlich darum, die Instanzbetreiberinnen – insbesondere für gerichtliche Zustellungen – greifbar zu machen. Diese Pflicht trifft grundsätzlich alle Anbieterinnen von digitalen Diensten (darunter auch Mastodon-Instanzen). Es gibt zwar enge Ausnahmen von der Impressumspflicht. Diese Ausnahmen greifen für den Betrieb von Mastodon-Instanzen aber nur theoretisch. Praktisch müssen alle Instanzen die Impressumspflicht erfüllen.

Was genau in einem Impressum stehen muss, regelt § 5 DDG. Erforderlich sind vor allem der Name der verantwortlichen Personen (mehrere Namen sind möglich), eine Anschrift, weitere elektronische Kontaktmöglichkeiten und eventuell die Angabe gewisser Registerangaben (z.B. Registernummer und -gericht).

Vor allem die Angabe einer Anschrift ist für viele Instanzbetreiberinnen eine Herausforderung, denn vielfach haben die Betreiberinnen keine andere Adresse, über die sie postalisch erreichbar sind, als ihren privaten Wohnsitz. Die möglichen Gefahren, die für bestimmte Personengruppen mit der Impressumspflicht einhergehen, sind bisher durch die Gesetzgebung leider nicht aufgegriffen worden, so dass das deutsche Recht an dieser Stelle weiter rigoros ist. Das DDG erwartet, dass ein vollständiger Vor- und Nachname angegeben wird. Es muss eine vollständige Anschrift (Postleitzahl, Ort, Straße sowie Hausnummer) genannt werden. Entscheidend ist, dass dort Gerichtspost zugestellt werden kann. Möglichkeiten, die Angabe der eigenen Wohnanschrift zu vermeiden, gibt es nur wenige. Eine Option ist aber, eine bevollmächtige Person unter einer Büro- oder Firmenanschrift anzugeben. Ein Postfach genügt leider nicht.

Zusätzlich müssen zwei unterschiedliche Möglichkeiten zu Kontaktaufnahme angegeben werden. Eine davon muss eine „schnelle elektronische Kontaktaufnahme“ ermöglichen. In der Praxis erfolgt das durch Angabe einer E-Mail-Adresse. Daneben muss eine „unmittelbare Kommunikation“ ermöglicht werden. Dafür wird in der Praxis meist eine Telefonnummer angegeben.

Juristische Personen (Unternehmen, Vereine) müssen darüber hinaus einige weitere Angaben machen, etwa den Namen des Unternehmens, die Rechtsform, die Vertretungsberechtigten und die Registernummer.

Seit Anwendbarkeit des Digital Services Act (DSA) müssen Betreiberinnen von Mastodon-Instanzen (gleiches gilt grundsätzlich für jede Art von Fediverse-Instanz) zusätzlich die „zentrale Kontaktstelle“ (die für die Durchsetzung des DSA zuständige Behörde) nennen und eine direkte Kontaktaufnahme mit dieser Behörde ermöglichen. In Deutschland ist das die Bundesnetzagentur, die über ein Beschwerdeformular erreichbar ist. Auf weitere Pflichten, die aus dem DSA folgen, wird später eingegangen.

Bei Mastodon ist kein spezifischer Ort für den Eintrag dieser Angaben vorgesehen. Es bietet sich daher an, die nötigen Angaben mit der Überschrift „Gesetzliche Pflichtangaben“ in die „Über“- Seite aufzunehmen.

1.2 Auftragsverarbeitungsvertrag

Hinter dem juristischen Begriff „Auftragsverarbeitung“ verbirgt sich, was allgemein als IT-Outsourcing bezeichnet wird. Im Falle des Betriebes von Mastodon-Instanzen ist damit der Fall gemeint, dass der physische Server, auf dem die Instanz technisch läuft, nicht selbst betrieben und verwaltet wird, sondern von einer selbstständigen Dritten betrieben wird. Der häufigste Fall einer solchen Auftragsverarbeitung ist die Nutzung von Hostern, die blanke Server bereitstellen und grundlegende technische Leistungen in diesem Zusammenhang anbieten, aber selbst nicht entscheiden, zu welchen Zwecken dieser Server genutzt wird. Den Hostern ist es egal, ob auf dem Server ein Online-Shop, eine Website oder eine Mastodon-Instanz laufen. Sie stellen nur die Mittel bereit und befolgen im Übrigen die Anweisungen der Auftraggeberinnen.

Juristisch nennt man diese Zusammenarbeit eine „Auftragsverarbeitung“. Sie ist dadurch gekennzeichnet, dass eine Seite die Verantwortung dafür trägt, zu welchen Zwecken eine Datenverarbeitungsanlage eingesetzt wird (hier: die Betreiberinnen der Instanz), und die andere Seite nur die technischen Mittel bereitstellt und dabei weisungsabhängig handelt (hier: die Server-Hoster). Die Auftragsverarbeitung ist in Art. 28 DSGVO geregelt. Für dieses Kapitel relevant ist dabei nur, dass die DSGVO dazu verpflichtet, diese Auftragsverarbeitung durch einen Vertrag abzusichern, in dem u. a. geeignete technische und organisatorische Maßnahmen geregelt sind. Diese Auftragsverarbeitungsverträge müssen in der Regel nicht selbst formuliert oder ausgefüllt werden, sondern sind fester Bestandteil der meisten Server-Bereitstellungen von professionellen Hosting-Diensten. Meist werden Details zu den Auftragsverarbeitungsverträgen schon bei der Einrichtung des Servers abgefragt, jedenfalls aber können diese Auftragsverarbeitungsverträge in den Einstellungen oder Kundinnenmenüs der Hoster zusammengeklickt und als PDF o. ä. gesichert werden. Hier muss darauf geachtet werden, dass im Auftragsverarbeitungsvertrag die erforderlichen technischen und organisatorischen Sicherungsvorkehrungen festgehalten sind. Die Auftragsverarbeitung spielt auch in den Datenschutzhinweisen und bei anderen Formalitäten eine Rolle.

1.3 Datenschutzhinweise

Die Datenschutzhinweise (teilweise auch „Datenschutzerklärung“ genannt) sind der dritte elementare Teil einer vorschriftsmäßig betriebenen Instanz. Sie erklären den Nutzerinnen, welche Daten beim Aufruf der Instanz sowie bei der Nutzung des Kontos verarbeitet werden und klären darüber auf, welche Datenschutzrechte die Nutzerinnen haben. Kerninhalte der Datenschutzhinweise sind deshalb eine Darstellung der relevanten Datenverarbeitungen, der rechtlichen Grundlagen für diese Datenverarbeitung sowie die Bezeichnung der Rechte der Nutzerinnen und Angaben über die Verantwortlichkeit für die Datenverarbeitung. Das hier bereitgestellte Muster deckt den Betrieb einer entsprechend dem Kapitel „Datenschutzfreundliche Konfiguration eines Mastodon-Servers“ konfigurierten Instanz ab. Es muss gegebenenfalls angepasst werden, sofern die Instanz anderweitig konfiguriert wird oder weitere Datenverarbeitungen (z. B. Reichweitenmessung) eingebunden werden.

Mastodon sieht für die Datenschutzhinweise eine eigene Unterseite vor. Dort sollten sie auch eingepflegt werden, um ein schnelles Auffinden der Informationen zu ermöglichen.

1.4 Nutzungsbedingungen

Nutzungsbedingungen sind ebenfalls ein Muss. Der Digital Services Act verlangt von allen Betreiberinnen von Mastodon-Instanzen, dass in allgemeinen Geschäftsbedingungen in einfacher Sprache Angaben zu etwaigen Beschränkungen für Nutzerinnen (z. B. zu nicht erlaubten Inhalten) und zur Art der Moderation gemacht werden.

Die Nutzungsbedingungen können darüber hinaus auch juristische Fragen (Kosten der Nutzung, Mindestalter der Nutzerinnen, Gewährleistung bei Fehlern) rund um das rechtliche Verhältnis zwischen Betreiberinnen und Nutzerinnen klären. Die Nutzungsbedingungen legen dabei insbesondere fest, ob die Instanz lediglich als reine Gefälligkeit (keine vertragliche Verbindlichkeit und Haftung, aber auch geringe Zuverlässigkeit für Nutzerinnen) oder als Dienstleistung mit rechtsgeschäftlichem Bindungswillen (gegenseitige vertragliche Rechte und Pflichten, größere Zuverlässigkeit für Nutzerinnen) angeboten und betrieben wird. Abhängig von den Umständen und der Dauer des Betriebes der Instanz können die Nutzungsverhältnisse vertraglichen Charakter erhalten. Entscheidend ist dabei nicht die Einordnung durch die Instanzbetreiberinnen selbst, sondern wie die Bedingungen für die Nutzung auf objektive Dritte wirken. Dass die Nutzung der Instanz kostenfrei ist, heißt beispielsweise nicht, dass der Betrieb damit in jedem Fall als reine Gefälligkeit einzuordnen ist. Stattdessen kann je nach erwecktem Eindruck auch ein sogenanntes Gefälligkeitsverhältnis vorliegen, der zwar weniger Rechte und Pflichten erzeugt als ein normaler rechtsgeschäftlicher Dienstleistungsvertrag, aber – anders als die reine Gefälligkeit – doch gewisse wechselseitige Ansprüche auslöst. Es ist grundsätzlich ratsam, bei einer öffentlichen und auf Dauer betriebenen Instanz davon auszugehen, dass mindestens ein solches rechtsgeschäftsähnliches Gefälligkeitsverhältnis vorliegt. Dies sollte sich in den Nutzungsbedingungen widerspiegeln und wird dem beigefügten Muster zugrunde gelegt. Die Nutzungsbedingungen sind zu guter Letzt auch (mittelbar) für die in der Datenschutzerklärung anzugebenden Rechtsgrundlagen von Bedeutung.

Die Mastodon-Software sieht für Nutzungsbedingungen keinen eigenen, speziellen Ort vor. Die Nutzungsbedingungen müssen also anderswo eingefügt werden. Da die Nutzungsbedingungen eine gewisse Relevanz für die Datenschutzhinweise haben, wird hier vorgeschlagen, sie ebenfalls in die „Datenschutzerklärung“-Unterseite einzutragen.

1.5 Verhaltensregeln

Verhaltensregeln (teilweise auch „Code Of Conduct“ oder „Netiquette“ genannt) dienen dazu, die Atmosphäre und die allgemeinen Umgangsformen auf einer Instanz zu gestalten. Inhaltlich beschreiben sie vor allem, welche Inhalte und Umgangsformen auf der Instanz nicht erwünscht sind und gegebenenfalls Sanktionen mit sich bringen können. Die Mastodon-Software sieht für Verhaltensregeln unter dem Menüpunkt „Serverregeln“ als Teil des Administrationsbereichs einen eigenen Ort vor. Diese Handreichung formuliert die Verhaltensregeln deshalb von den Nutzungsregeln getrennt und empfiehlt, sie an vorgesehener Stelle separat einzufügen. Rechtlich sind sie aber Teil der Nutzungsbedingungen und sind spätestens seit Geltungsbeginn des DSA auch zwingend Teil jeder Selbstbeschreibung einer Instanz.

Der Inhalt der Verhaltensregeln ist sehr abhängig davon, an wen sich die Instanz richtet und welche Themen dort im Mittelpunkt stehen. Es wird deshalb auf die Bereitstellung eines Musters verzichtet.

Es wird aber empfohlen, mittels Verhaltensregelung darauf hinzuwirken, dass sich auf der Instanz Menschen mit vielfältigen politischen, religiösen oder sexuellen und geschlechtlichen Einstellungen sowie Identitäten willkommen fühlen und insbesondere Hass und digitale Gewalt gegen Menschen abseits der Mehrheitsgesellschaft keinen Raum haben. Wenn das Fediverse langfristig ein Safe Space sein soll, braucht es sowohl ein klares Bekenntnis zu Vielfalt als auch konkretes Vorgehen gegen jene, die diese Vielfalt – oft auch im Namen der Neutralität – missachten. Daneben empfehlen sich allgemeine Aussagen dazu, ob Bots auf der Instanz erlaubt sind und ob oder in welcher Form bezahlte Beiträge (Sponsoring, Werbung) zulässig sein sollen. In den Verhaltensregeln sollte auch eine grundsätzliche Aufklärung darüber enthalten sein, dass Inhalte gemeldet werden können und von Moderatorinnen überprüft werden. Dabei empfehlen wir aber, auch deutlich zu machen, dass – der Dezentralität des Fediverse geschuldet – die Moderatorinnen einer Instanz bei Konten anderer Instanzen weniger Möglichkeiten haben als bezüglich Konten der eigenen Instanz.

2. Pflichten während des Betriebs einer Instanz

Neben den rechtlichen Basics, die mit den genannten Formalitäten vor Start jeder Instanz abgedeckt werden müssen, gibt es auch im laufenden Betrieb einige Pflichten oder jedenfalls Empfehlungen.

2.1 Pflichten nach dem Digital Services Act

Der Digital Services Act (DSA) ist ein europäisches Gesetz, in dem geregelt wird, wofür digitale Dienste haften, welche Inhalte zulässig sind und wie diese Inhalte moderiert werden müssen. Der DSA hatte bei seiner Entstehung große, kommerzielle Dienste und Plattformen im Blick und sieht für diese umfangreiche und komplexe Pflichten vor. Grundsätzlich findet der DSA auch auf Mastodon-Instanzen Anwendung. Das Fediverse, seine dezentrale Natur und ehrenamtlich betriebenen Kleinstinstanzen sind allerdings nicht gesondert bedacht worden. Es gibt aber immerhin in Artikel 19 des DSA viele Erleichterungen für Kleinst- oder Kleinunternehmen. Für sie gilt nur ein überschaubarer Teil der vielen Pflichten des DSA. Kleinst- und Kleinunternehmen sind Unternehmen, die weniger als 10 bzw. 50 Personen beschäftigen und weniger als 2 Millionen Euro bzw. 10 Millionen Euro an Umsatz erwirtschaften.

Die allermeisten Fediverse-Instanzen beschäftigen zwar unter 50 Personen (wenn überhaupt) und verbuchen meist auch keinerlei bis kaum Umsatz. Das Problem ist allerdings, dass sie nicht von „Unternehmen“, egal welcher Größe, betrieben werden. Stattdessen sind es oft Einzelpersonen, kleine Gruppen von Menschen und ehrenamtlich Aktive, die diese Instanzen betreiben. Seltener sind es auch mal eingetragene Vereine. Juristisch lässt sich gut vertreten, dass diese kleinen nicht-unternehmerischen Instanzen durch Artikel 19 des DSA in gleicher Weise wie Kleinst- oder Kleinunternehmen vom Großteil der Pflichten des DSA ausgenommen sind. Trotzdem gibt es hier eine Restunsicherheit. Im Zweifelsfall ist nicht mit letzter Sicherheit absehbar, ob die nationalen Aufsichtsbehörden oder die Europäische Kommission Mastodon-Instanzen tatsächlich als „Kleinst- oder Kleinunternehmen“ im Sinne des Artikel 19 des DSA behandeln werden. Es ist zwar kaum zu erwarten, dass die Behörden Mastodon-Instanzen besonders ins Visier nehmen oder ihnen das Leben schwer machen werden. Ein Restrisiko geht mit dem Betrieb von Instanzen bis zu einer Klärung dieser Rechtsfrage dennoch einher.

Geht man davon aus, dass die Erleichterungen des Artikel 19 des DSA auch für Mastodon-Instanzen gelten, müssen Betreiberinnen im laufenden Betrieb lediglich folgende Pflichten erfüllen:

• Gemäß Artikel 16 DSA müssen Nutzerinnen Inhalte, die sie als rechtswidrig ansehen, mit leicht zugänglichen und benutzerfreundlichen Verfahren melden können. Betreiberinnen von Instanzen müssen diese Meldungen zeitnah bearbeiten.

• Instanzbetreiberinnen müssen auf Meldungen reagieren, angemessene Maßnahmen ergreifen und diese Maßnahmen gegenüber den Betroffenen begründen (Artikel 17 und 18 DSA).

• Erhalten Instanzbetreiberinnen Kenntnis von Informationen, die den Verdacht begründen, dass bestimmte schwere Straftaten begangen wurden oder begangen werden könnten, müssen die Strafverfolgungs- oder Justizbehörden informieren werden (Artikel 18 DSA).

• Instanzbetreiberinnen müssen mindestens alle sechs Monate öffentlich mitteilen, wie viele aktive Nutzerinnen die Instanz hat. Auf Anfrage ist dies auch im Einzelfall den Behörden mitzuteilen (Artikel 24 Absatz 2 und 3 DSA).

2.2 Verzeichnis von Verarbeitungstätigkeiten und Risikobewertung

Wer eine Mastodon- oder Fediverse-Instanz betreibt und personenbezogene Daten verarbeitet, sollte sogenannte Verzeichnisse von Verarbeitungstätigkeiten anlegen und aktualisieren. Die DSGVO versteht darunter eine jederzeit für die Datenschutzaufsichtsbehörde verfügbare Dokumentation der wesentlichen Datenverarbeitungen. Diese Dokumentation ist in Art. 30 DSGVO geregelt. Demnach müssen alle Verantwortlichen ein Verzeichnis aller Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. In diesem Verzeichnis sind u. a. Daten zu den Verantwortlichen, die Zwecke der Verarbeitung, eine Beschreibung der verarbeiteten Daten(kategorien) und Empfängerinnen dieser Daten aufzuführen. Ein teilweise vorausgefülltes Muster steht im Kapitel „Verzeichnis von Verarbeitungstätigkeiten“ zur Verfügung. Es genügt, das Verzeichnis elektronisch zu speichern und – gegebenenfalls – der Aufsichtsbehörde zur Verfügung zu stellen. Der Inhalt des Verzeichnisses sollte regelmäßig auf Aktualität überprüft werden.

Es kann sein, dass bestimmte Verarbeitungsvorgänge ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen. Finden derartige Risikoverarbeitungen während des Betriebs einer Mastodon-Instanz statt, ist vor Beginn der Datenverarbeitung eine sogenannte „Datenschutz-Folgenabschätzung“ gemäß Art. 35 DSGVO durchzuführen. Dabei handelt es sich um einen bestimmten formalisierten Prozess, mit dem nachweisbar ermittelt werden soll, dass die Risiken angemessen eingeschätzt wurden und die erforderlichen Maßnahmen zur Bewältigung der Risiken getroffen wurden. In der Regel dürfte eine solche Datenschutz-Folgenabschätzung für den Betrieb einer Mastodon-Instanz nicht erforderlich sein. Im Einzelfall und je nach inhaltlicher Ausrichtung der Instanz kann sie aber notwendig werden. Deshalb soll an dieser Stelle kurz darauf eingegangen werden.

Die DSGVO enthält nur allgemeine Hinweise dazu, wann Verfahren ein so hohes Risiko mit sich bringen, dass eine Datenschutz-Folgenabschätzung geboten ist. Die Datenschutzaufsichtsbehörden haben deshalb Kriterienkataloge entwickelt, damit Verantwortliche analysieren können, wann die eigene Datenverarbeitung die Schwelle zur Pflicht einer Datenschutz-Folgenabschätzung überschreitet. Im Rahmen dieser Schwellenwertanalyse gibt es verschiedene Kriterien, die als Indikatoren herangezogen werden. Im wissenschaftlichen Aufsatz, der als eigenständiger Text zu diesem Leitfaden gehört, sowie in dem Muster der Schwellwertanalyse, werden diese Kriterien erörtert und beispielhaft für Mastodon-Instanzen bewertet.

2.3 Datenschutzbeauftragte

Die DSGVO sieht als begleitende Schutzmaßnahme vor, dass Verantwortliche eine Datenschutzbeauftragte benennen können. Diese beauftragte Person unterstützt die Verantwortlichen dabei, sich datenschutzkonform zu verhalten, ist aber nicht selbst verantwortlich im Sinne des Datenschutzrechts. Sie ist unabhängig und hinsichtlich ihrer Tätigkeit nicht weisungsgebunden. Rechtlich ist die Benennung einer solchen Person (außerhalb von Behörden) nach Art. 37 DSGVO nur verpflichtend, wenn die Datenverarbeitung besonders sensibel ist oder wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Bezüglich Mastodon-Instanzen dürften derzeit – wenn überhaupt – nur sehr wenige große und professionell betriebene Instanzen unter die Pflicht zur Benennung fallen. Trotzdem kann es auch bei kleineren Instanzen – etwa bei solchen, die durch Vereine oder Interessengemeinschaften betrieben werden – sinnvoll und hilfreich sein, eine Datenschutzbeauftragte zu benennen, um bei dieser Person Sachverstand und Aufgaben zu bündeln. Wird eine Datenschutzbeauftragte benannt, muss diese auch in den Datenschutzhinweisen angegeben werden.

3. Besondere Situationen und die Reaktion darauf

Auch wenn die Instanz formal und technisch rechtskonform eingerichtet wurde, kann es im laufenden Betrieb Handlungsbedarf geben. Die häufigsten Situationen sind dabei, dass Personen ihre Rechte auf Auskunft und Kopie geltend machen oder dass eine Datenpanne passiert.

3.1 Auskunftsverlangen

Der praktisch häufigste Fall dürfte sein, dass Personen die Instanzbetreiberinnen kontaktieren und Auskunft über die auf der Instanz über sie verarbeiteten Daten verlangen. Das Auskunftsrecht gehört zu den zentralen Betroffenenrechten und verpflichtet Verantwortliche dazu, den Betroffenen eine Vielzahl an Informationen bereitzustellen. Nach Art. 15 DSGVO und für die Zwecke dieser Handreichung besonders relevant sind:

• die Verarbeitungszwecke;

• die Kategorien personenbezogener Daten, die verarbeitet werden;

• die Empfängerinnen oder Kategorien von Empfängerinnen, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängerinnen in Drittländern oder bei internationalen Organisationen;

• falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

• das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

• wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten.

Solche Anfragen sind jederzeit und ohne weitere Voraussetzungen möglich. Insbesondere muss kein „guter Grund“ für ein Auskunftsverlangen angegeben werden. Eine Antwort kann in der Regel auch nicht damit verweigert werden, dass das Zusammenstellen der nötigen Informationen Mühe macht oder Zeit kostet. Tatsächlich entsprechen viele der gesetzlich vorgeschriebenen Informationen aber den Informationen, die gleichzeitig auch in den Datenschutzhinweisen und dem Verzeichnis über die Verarbeitungstätigkeiten enthalten sind.

Der EuGH hat Anfang 2023 entschieden, dass in der Regel nicht nur die Kategorien von Empfängerinnen beauskunftet werden müssen, sondern auch die konkreten Empfängerinnen selbst. Im Rahmen des Betriebs einer Mastodon-Instanz dürfte sich dies trotzdem auf die Angabe beschränken, dass die Daten aus den Beiträgen grundsätzlich an alle föderierten Instanzen übermittelt werden, während die nicht-öffentlichen Daten nur mit dem Server-Hoster im Rahmen einer Auftragsverarbeitung geteilt werden.

Bezüglich der verarbeiteten Daten genügt die Angabe von Datenkategorien (etwa: Informationen aus der Registrierung und Inhalt von Beiträgen). Dies ist insbesondere relevant, wenn Personen Auskunft begehren, die kein Konto auf der Instanz haben. Auch diese haben einen Anspruch auf Auskunft darüber, welche Informationen über sie auf der Instanz gespeichert sind. Diese verbergen sich aber grundsätzlich potenziell in einer Vielzahl von Beiträgen, in denen über diese Person eventuell gesprochen wurde. Hier muss dennoch nicht der Inhalt aller entsprechenden Beiträge durchsucht und beauskunftet werden, sondern nur die Kategorie (Informationen in Beiträgen von Nutzerinnen) angegeben werden. Eine Auskunftserteilung ist insgesamt also keine unlösbare Herausforderung.

3.2 Recht auf Kopie

Das Recht auf Kopie ist in Art. 15 Abs. 3 DSGVO geregelt und räumt das Recht ein, nicht nur Auskunft über die grundsätzliche Datenverarbeitung zu erhalten, sondern eine Kopie der konkreten Daten selbst. Dieses Recht beschränkt sich nicht auf Kategorien von Daten, sondern verleiht laut EuGH ein Recht auf eine originalgetreue und verständliche Reproduktion der Daten. Praktisch empfiehlt sich hier, die Nutzerinnen auf die Möglichkeit zu verweisen, ihr Archiv herunterladen. Diese Möglichkeit räumt Mastodon allen Nutzerinnen in den Einstellungen ein. Das Recht erfasst grundsätzlich aber auch eine Kopie aller sonstigen Daten, die in den Mastodon-Datenbanken gespeichert sind. Im Kapitel „Informationen für eine Auskunft nach Art. 15 DSVGO“ sind Tipps zu finden, wie dem Recht auf Kopie insoweit genüge getan wird.

Anders als das Recht auf Auskunft steht das Recht auf Kopie unter dem Vorbehalt, dass es Rechte und Freiheiten anderer Personen nicht beeinträchtigt (Art. 15 Abs. 4 DSGVO). Das Recht auf Kopie muss nach überwiegender Lesart deshalb nur erfüllt werden, wenn es unter Abwägung mit den Rechten anderer Nutzerinnen und auch der Instanzbetreiberinnen erfüllbar ist. Die Anforderung einer Kopie ist in der Regel mit verhältnismäßigem Aufwand erfüllbar, wenn sie von Nutzerinnen der Instanz ausgehen. Kommen sie hingegen von Personen, die kein Konto auf der Instanz haben, wird es deutlich schwerer. Grundsätzlich müsste hier eine Volltextsuche über sämtliche Informationen der Mastodon-Instanz stattfinden und alle direkt oder indirekt auf die jeweilige Person beziehbaren Informationen in Kopie bereitgestellt werden. Hier dürfte die Grenze der Verhältnismäßigkeit schnell erreicht sein, da es den Betreiberinnen einer Instanz angesichts der üblicherweise begrenzten technischen Mittel nur schwer möglich ist, den Inhalt aller Beiträge kontextabhängig darauf zu untersuchen, ob über die Person gesprochen wurde, die eine Kopie fordert. Gegenüber Personen, die kein Konto auf der Instanz haben, dürfte das Verlangen nach einer Kopie in der Regel also oft abgelehnt werden können.

3.3 Datenpannen

Selbst den gewissenhaftesten Betreiberinnen von Instanzen können Fehler passieren, oder es ist einfach Pech (etwa wenn nicht bekannte Sicherheitslücken ausgenutzt wurden). Wenn beim Betrieb einer Instanz Daten an Unbefugte gelangen oder allgemein die Datenschutzrechte von Personen verletzt werden, verpflichtet Art. 33 DSGVO dazu, grundsätzlich binnen 72 Stunden Meldung bei der Datenschutzbehörde und im Falle besonderer Risiken für Personen nach Art. 34 DSGVO auch gegenüber den Betroffenen zu machen. Viele Aufsichtsbehörden haben dafür ein Online-Formular auf ihrer Webseite. Details zur Meldung von Datenpannen finden sich im Kapitel „Datenschutzfreundliche Konfiguration eines Mastodon-Servers“. Grundsätzlich sollte hier jedoch keine Sorge vor nachteiligen Folgen bestehen. Soweit die Instanz technisch sauber betrieben wird, alle nötigen Sicherheitsupdates installiert waren und die hier genannten Formalitäten eingehalten wurden, ist es sehr unwahrscheinlich, dass es Ärger mit der Datenschutzaufsicht gibt.

3.4 Pragmatischer Umgang mit Rechtsunsicherheiten

Der Betrieb von Mastodon-Instanzen ist kein juristisches Wagnis. Im Detail gibt es aber rechtliche Unklarheiten, die auch diese Handreichung nicht ohne Weiteres auflösen kann. Die größten Unsicherheiten sind die Pflichten des Digital Services Act und das Posten von sensiblen Daten in Posts mit beschränkter Öffentlichkeit. Bei ersterem ist offen, ob die Erleichterungen für kleine Unternehmen auch für Instanzen gelten. Bei zweiterem ist offen, ob das aktive Veröffentlichen sensibler Inhalte als Einwilligung im Sinne der DSGVO gewertet werden kann. Für derartige Unsicherheiten gibt es keine perfekten Lösungen.

Grundsätzlich können sich Nutzerinnen oder sonstige Personen jederzeit über (behauptete) Rechtsverstöße auf Fediverse-Instanzen bei den zuständigen Aufsichtsbehörden beschweren. Die Behörden können auch ohne Beschwerde von Amts wegen tätig werden, wenn es dafür sachliche Gründe gibt. Dabei gilt: Die Datenschutzaufsichtsbehörden sowie die Bundesnetzagentur sind Teil des staatlichen Gewaltmonopols. Grundsätzlich sind sie es also, die sich für Maßnahmen gegenüber Betreiberinnen von Mastodon-Instanzen rechtfertigen müssen. Gleichzeitig sind die Behörden von Gesetzes wegen verpflichtet, auf Beschwerden hin tätig zu werden. Sie haben dafür diverse rechtliche Befugnisse, von Fragerechten bis hin zum Recht, Datenverarbeitungsanlagen (z. B. den Server, auf dem die Instanz läuft) vor Ort zu prüfen. Bisher gibt es wenig Grund für die Annahme, dass die Behörden den Betrieb von Mastodon-Instanzen für besonders problematisch halten oder gar schwerpunktmäßig Prüfungen in diesem Bereich vornehmen. Schließlich unterhalten die Behörden oft selbst Konten auf einer Instanz oder betreiben diese gar selbst. Es spricht Einiges dafür, dass die Aufsichtsbehörden, jedenfalls bei erstmaligem Kontakt zwischen Instanzbetreiberinnen und Behörde, versuchen werden, ein Verfahren niederschwellig und eher beratend zu lösen, statt direkt Sanktionen zu verhängen. Denkbar ist auch, dass die Behörde eine Instanzbetreiberin dazu verpflichtet, bestimmte Änderungen vorzunehmen, die bisher versäumt wurden.

Instanzbetreiberinnen sollten mit dieser Situation so umgehen, dass sie die in dieser Handreichung beschrieben formalen und juristischen Empfehlungen (z. B. Verfahrensverzeichnisse anlegen, Schwellwertanalyse durchführen und Datenschutzhinweise anpassen) umsetzen und sich darüber hinaus auf dem Laufenden halten, was rechtliche Änderungen betrifft.

4. Anleitung zum Einpflegen von Texten in der Mastodon-Verwaltungsoberfläche

Die Weboberfläche von Mastodon bietet im Administrationsbereich verschiedene Eingabefelder, an denen die rechtlich notwendigen Pflichtangaben öffentlich einsehbar hinterlegt werden können. Es gibt derzeit jedoch keine getrennten Bereiche für Impressum, Datenschutzhinweise und Nutzungsbedingungen, so dass eine „kreative“ Nutzung der vorhandenen Felder notwendig ist.

Um die Texte in die vorhandenen Felder einzufügen, bietet sich das folgende Vorgehen an: Im angemeldeten Zustand befindet sich als Administrator unter Einstellungen der Administrationsbereich. Dort gibt es unter den Servereinstellungen zwei Textfelder im Bereich Über, die man mit längeren Markdown-formatierten Texten füllen kann.