Praktische Umsetzung und not­wendige Muster­dokumente

1. Wichtige Schritte bei der Einrichtung der Instanz

Eine datenschutzkonforme Instanz besteht aus zwei Teilen: einer gut aufgestellten Technik und sauberen juristischen Formalitäten. Zum technischen Teil gehören grundlegende Maßnahmen der Datensicherung und der Konfiguration des Servers sowie der Mastodon-Software. Um die juristisch-formalen Schritte soll es hingegen in diesem Kapitel gehen.

Ziel dieser Handreichung ist es, dass die Instanz den gängigen rechtlichen Anforderungen gerecht wird, die im alltäglichen Betrieb bestehen. Dazu gehören gewisse Mindestanforderungen (die Pflicht), und zwar:

• Das sogenannte Impressum (Kontaktdaten der Betreiberinnen),

• ein Auftragsverarbeitungsvertrag (bei Nutzung von Hostingdiensten) und

• die Datenschutzhinweise (teilweise auch „Datenschutzerklärung“ genannt).

Zusätzlich gibt es empfehlenswerte Extras (die Kür), deren Fehlen zwar keine unmittelbaren juristischen Problem auslösen, die aber trotzdem vorhanden sein sollten, um einen möglichst reibungslosen Betrieb zu ermöglichen. Das sind:

• Die Nutzungsbedingungen (der „Vertrag“ zwischen Instanzbetreiberinnen und Nutzerinnen) und

• allgemeine Verhaltensregeln („Instanzregeln“).

Zu allen fünf Themen wird dieser Teil der Handreichung zunächst erklären, worum es geht und welches Ziel damit erreicht werden soll. Dort, wo es möglich ist, stellt diese Handreichung zusätzlich auch Muster bereit oder verweist auf vorhandene Muster, die Instanzbetreiberinnen verwenden und gegebenenfalls modifizieren können. Außerdem enthält die Handreichung eine Checkliste.

1.1 Impressum

Die Impressumspflicht folgt aus den gesetzlichen Vorgaben des Telemediengesetzes (TMG). Ziel des Impressums ist es, Nutzerinnen von Onlineangeboten (juristisch „Telemedien“ genannt) eine konkrete Ansprechperson zu nennen. Damit soll Nutzerinnen die Möglichkeit gegeben werden, sich an eine konkrete Person zu wenden, wenn diese annehmen, dass ihre Rechte beeinträchtigt wurden. Es geht letztlich darum, die Instanzbetreiberinnen – insbesondere für gerichtliche Zustellungen – greifbar zu machen. Diese Pflicht trifft grundsätzlich alle Anbieterinnen von Telemedien (darunter wie gesagt auch Mastodon-Instanzen). Es gibt zwar enge Ausnahmen von der Impressumspflicht. Diese Ausnahmen greifen für den Betrieb von Mastodon-Instanzen aber nur theoretisch. Praktisch müssen alle Instanzen die Impressumspflicht erfüllen.

Was genau in einem Impressum stehen muss, regelt § 5 TMG. Erforderlich sind vor allem der Name der verantwortlichen Personen (mehrere Namen sind möglich) und eine Anschrift, weitere elektronische Kontaktmöglichkeiten und eventuell die Angabe gewisser Behörden (z. B. das Vereinsregister) und Registernummern.

Vor allem die Angabe einer Adresse ist für viele Instanzbetreiberinnen eine Herausforderung, denn vielfach haben die Verantwortlichen keine andere Adresse als ihren privaten Wohnsitz. Die möglichen Gefahren, die für bestimmte Personengruppen mit der Impressumspflicht einhergehen, sind leider bisher nicht durch die Gesetzgebung aufgegriffen worden, so dass das deutsche Recht an dieser Stelle weiter rigoros ist. Das TMG erwartet, dass der vollständige Vor- und Nachname angegeben wird. Als Anschrift muss eine vollständige Adresse (Postleitzahl, Ort, Straße sowie Hausnummer) genannt werden. Entscheidend ist, dass Gerichtspost an dieser Adresse zugestellt werden kann. Das kann auch eine bevollmächtige Person unter einer Büro- oder Firmenanschrift sein. Ein Postfach genügt nicht.

Zusätzlich müssen zwei unterschiedliche Möglichkeiten zu Kontaktaufnahme angegeben werden. Eine davon muss eine „schnelle elektronische Kontaktaufnahme“ ermöglichen. In der Praxis erfolgt das durch Angabe einer E-Mail-Adresse. Daneben muss eine „unmittelbare Kommunikation“ ermöglicht werden. Dafür wird in Praxis meist eine Telefonnummer angegeben.

Juristische Personen (Unternehmen, Vereine) müssen darüber hinaus einige weitere Angaben machen, etwa den Namen des Unternehmens, die Rechtsform, die Vertretungsberechtigten und die Registernummer angeben.

Bei Mastodon ist kein spezifischer Ort für den Eintrag eines Impressums vorgesehen. Es bietet sich daher an, die nötigen Angaben mit der Überschrift „Impressum“ in die „Über“-Unterseite aufzunehmen.

1.2 Auftragsverarbeitungsvertrag

Hinter dem juristischen Begriff „Auftragsverarbeitung“ verbirgt sich, was allgemein als IT-Outsourcing bezeichnet wird. Im Falle des Betriebes von Mastodon-Instanzen ist damit der Fall gemeint, dass der physische Server, auf dem die Instanz technisch läuft, nicht selbst betrieben und verwaltet wird, sondern von einer selbstständigen Dritten betrieben wird. Der häufigste Fall einer solchen Auftragsverarbeitung ist die Nutzung von Hostern, die blanke Server bereitstellen und grundlegende technische Leistungen in diesem Zusammenhang anbieten, aber selbst nicht entscheiden, zu welchen Zwecken dieser Server genutzt wird. Den Hostern ist es egal, ob auf dem Server ein Online-Shop, eine Webseite oder eine Mastodon-Instanz laufen. Sie stellen nur die Mittel bereit und befolgen im Übrigen die Anweisungen der Auftraggeberinnen.

Juristisch nennt man diese Zusammenarbeit eine „Auftragsverarbeitung“. Sie ist dadurch gekennzeichnet, dass eine Seite die Verantwortung dafür trägt, zu welchen Zwecken eine Datenverarbeitungsanlage eingesetzt wird (hier: die Betreiberinnen der Instanz) und die andere Seite nur die technischen Mittel bereitstellt und dabei weisungsabhängig handelt (hier: die Server-Hoster). Die Auftragsverarbeitung ist in Art. 28 DSGVO geregelt. Für dieses Kapitel relevant ist dabei nur, dass die DSGVO dazu verpflichtet, diese Auftragsverarbeitung durch einen Vertrag abzusichern, in dem u. a. geeignete technische und organisatorische Maßnahmen geregelt sind. Diese Auftragsverarbeitungsverträge müssen in der Regel nicht selbst formuliert oder ausgefüllt werden, sondern sind fester Bestandteil der meisten Server-Bereitstellungen von professionellen Hosting-Diensten. Meist werden Details zu den Auftragsverarbeitungsverträgen schon bei der Einrichtung des Servers abgefragt, jedenfalls aber können diese Auftragsverarbeitungsverträge in den Einstellungen oder Kundinnenmenüs der Hoster zusammengeklickt und als PDF o. ä. gesichert werden. Hier muss darauf geachtet werden, dass in dem Auftragsverarbeitungsvertrag die erforderlichen technischen und organisatorischen Sicherungsvorkehrungen festgehalten sind. Die Auftragsverarbeitung spielt auch in den Datenschutzhinweisen und bei anderen Formalitäten eine Rolle.

1.3 Datenschutzhinweise

Die Datenschutzhinweise (teilweise auch „Datenschutzerklärung“ genannt) sind der dritte elementare Teil einer vorschriftsmäßig betriebenen Instanz. Sie erklären den Nutzerinnen, welche Daten beim Aufruf der Instanz sowie bei der Nutzung des Kontos verarbeitet werden und klären darüber auf, welche Datenschutzrechte die Nutzerinnen haben. Kerninhalte der Datenschutzhinweise sind deshalb eine Darstellung der relevanten Datenverarbeitungen, der rechtlichen Grundlagen für diese Datenverarbeitung, die Bezeichnung der Rechte der Nutzerinnen und Angaben über die Verantwortlichkeit für die Datenverarbeitung. Das hier bereitgestellte Muster deckt den Betrieb einer entsprechend dem Kapitel „Datenschutzfreundliche Konfiguration eines Mastodon-Servers" datensparsam konfigurierten Instanz ab. Es muss gegebenenfalls angepasst werden, sofern die Instanz anderweitig konfiguriert wird oder weitere Datenverarbeitungen (z. B. Reichweitenmessung) eingebunden werden.

Mastodon sieht für die Datenschutzhinweise eine eigene Unterseite vor. Dort sollten sie auch eingepflegt werden, um ein schnelles Auffinden der Informationen zu ermöglichen.

1.4 Nutzungsbedingungen

Nutzungsbedingungen sind kein Muss, aber ratsam. Sie haben den Zweck, bestimmte juristische Fragen (Kosten der Nutzung, Mindestalter der Nutzerinnen, Gewährleistung bei Fehlern) zu klären. Die Nutzungsbedingungen sind außerdem mittelbar für die in der Datenschutzerklärung anzugebenden Rechtsgrundlagen von Bedeutung. Die Nutzungsbedingungen legen außerdem fest, ob die Instanz lediglich als Gefälligkeit (wenig Verbindlichkeit und Haftung, aber auch geringe Zuverlässigkeit für Nutzerinnen) oder als Dienstleistung mit Bindungswillen (gegenseitige vertragliche Rechte und Pflichten, größere Zuverlässigkeit für Nutzerinnen) angeboten und betrieben wird. Abhängig von den Umständen und der Dauer des Betriebes der Instanz können die Nutzungsverhältnisse vertraglichen Charakter erhalten. Entscheidend ist dabei nicht die Einordnung als Gefälligkeit durch die Instanzbetreiberinnen selbst, sondern wie die Bedingungen für die Nutzung auf objektive Dritte wirken. Dass die Nutzung der Instanz kostenfrei ist, heißt beispielsweise nicht, dass der Betrieb damit in jedem Fall als reine Gefälligkeit einzuordnen ist. Stattdessen kann je nach erwecktem Eindruck auch ein sogenannter Gefälligkeitsvertrag vorliegen, der zwar weniger Rechte und Pflichten erzeugt als ein normaler Dienstleistungsvertrag, aber doch gewisse wechselseitige Ansprüche auslöst. Es ist grundsätzlich ratsam, bei einer öffentlichen und auf Dauer betriebenen Instanz davon auszugehen, dass mindestens ein solcher Gefälligkeitsvertrag vorliegt. Dies sollte sich dann in den Nutzungsbedingungen widerspiegeln und wird dem beigefügten Muster zugrunde gelegt.

Die Mastodon-Software sieht für Nutzungsbedingungen keinen eigenen, speziellen Ort vor. Die Nutzungsbedingungen müssen also anderswo eingefügt werden. Da die Nutzungsbedingungen eine gewisse Relevanz für die Datenschutzhinweise haben, wird hier vorgeschlagen, sie in die „Datenschutzerklärung“-Unterseite einzutragen.

1.5 Verhaltensregeln

Verhaltensregeln (teilweise auch „Code Of Conduct“ oder „Netiquette“ genannt) dienen dazu, die Atmosphäre und die allgemeinen Umgangsformen auf einer Instanz zu gestalten. Inhaltlich ähneln sich Nutzungsbedingungen und Verhaltensregeln teilweise. Die Mastodon-Software sieht für Verhaltensregeln unter dem Menüpunkt „Serverregeln“ als Teil des Administrationsbereichs einen eigenen Ort vor. Diese Handreichung formuliert die Verhaltensregeln deshalb von den Nutzungsregeln getrennt und empfiehlt, sie an vorgesehener Stelle separat einzufügen.

Verstöße gegen Verhaltensregeln können sich auf das Nutzungsverhältnis auswirken, weshalb im Rahmen dieser Handreichung empfohlen wird, in den Nutzungsbedingungen auf die Verhaltensregeln zu verweisen. Der Inhalt der Verhaltensregeln ist sehr abhängig davon, an wen sich die Instanz richtet, welche Themen dort im Mittelpunkt stehen und wie sehr die Betreibenden der Instanz überhaupt Vorgaben machen wollen. Es wird deshalb auf die Bereitstellung eines Musters verzichtet.

Es wird aber empfohlen, mittels Verhaltensregelung darauf hinzuwirken, dass sich auf der Instanz Menschen mit vielfältigen politischen, religiösen oder sexuellen und geschlechtlichen Einstellungen sowie Identitäten willkommen fühlen und insbesondere Hass und digitale Gewalt gegen Menschen abseits der Mehrheitsgesellschaft keinen Raum haben. Wenn das Fediverse langfristig ein Safe Space sein soll, braucht es sowohl ein klares Bekenntnis zu Vielfalt als auch konkretes Vorgehen gegen jene, die diese Vielfalt – oft auch im Namen der Neutralität – missachten. Daneben empfehlen sich allgemeine Aussagen dazu, ob Bots auf der Instanz erlaubt sind und ob oder in welcher Form bezahlte Beiträge (Sponsoring, Werbung) zulässig sein sollen.

2. Datenmanagement

Neben den rechtlichen Basics, die mit den genannten Formalitäten vor Start jeder Instanz abgedeckt werden müssen oder sollten, gibt es auch im laufenden Betrieb einige Pflichten oder jedenfalls Empfehlungen.

2.1 Verzeichnis von Verarbeitungstätigkeiten

Zu den echten Pflichten gehört das sogenannte Verzeichnis von Verarbeitungstätigkeiten. Die DSGVO versteht darunter eine jederzeit für die Datenschutzaufsichtsbehörde verfügbare Dokumentation der wesentlichen Datenverarbeitungen. Diese Dokumentation ist in Art. 30 DSGVO geregelt. Demnach müssen alle Verantwortlichen (und gegebenenfalls ihre Vertreterinnen) ein Verzeichnis aller Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. In diesem Verzeichnis sind u. a. Daten zu den Verantwortlichen, die Zwecke der Verarbeitung, eine Beschreibung der verarbeiteten Daten(kategorien) und Empfängerinnen dieser Daten aufzuführen. Ein teilweise vorausgefülltes Muster steht im Kapitel "Verzeichnis von Verarbeitungstätigkeiten" zur Verfügung. Es genügt, das Verzeichnis elektronisch zu speichern und – gegebenenfalls – der Aufsichtsbehörde zur Verfügung zu stellen. Der Inhalt des Verzeichnisses sollte regelmäßig auf Aktualität überprüft werden.

2.2 Datenschutzbeauftragte

Die DSGVO sieht als begleitende Schutzmaßnahme vor, dass Verantwortliche eine Datenschutzbeauftragte benennen können. Diese beauftragte Person unterstützt die Verantwortlichen dabei, sich datenschutzkonform zu verhalten, ist aber nicht selbst verantwortlich im Sinne des Datenschutzrechts. Sie ist unabhängig und hinsichtlich ihrer Tätigkeit nicht weisungsgebunden. Rechtlich ist die Benennung einer solchen Person (außerhalb von Behörden) nach Art. 37 DSGVO nur verpflichtend, wenn die Datenverarbeitung besonders sensibel ist oder wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Bezüglich Mastodon-Instanzen dürften derzeit – wenn überhaupt – nur sehr wenige große und professionell betriebene Instanzen unter die Pflicht zur Benennung fallen. Trotzdem kann es auch bei kleineren Instanzen – etwa bei solchen, die durch Vereine oder Interessengemeinschaften betrieben werden – sinnvoll und hilfreich sein, eine Datenschutzbeauftragte zu benennen, um bei dieser Person Sachverstand und Aufgaben zu bündeln. Wird eine Datenschutzbeauftragte benannt, kann diese im Rahmen der Datenschutzhinweise oder im Impressum auch ausdrücklich als Ansprechperson für datenschutzbezogene Fragen angegeben werden. Sofern von dieser Möglichkeit Gebrauch gemacht wird, sollte darauf geachtet werden, dass dieser Kommunikationskanal vertraulich ist, also etwa E-Mails auch nur von der benannten Person gelesen werden können.

3. Besondere Situationen und die Reaktion darauf

Auch wenn die Instanz formal und technisch rechtskonform eingerichtet wurde, kann es im laufenden Betrieb Handlungsbedarf geben. Die häufigsten Situationen sind dabei, dass Personen ihre Rechte auf Auskunft und Kopie geltend machen oder dass eine Datenpanne passiert.

3.1 Auskunftsverlangen

Der praktisch häufigste Fall dürfte sein, dass Personen die Instanzbetreiberinnen kontaktieren und Auskunft über die auf der Instanz über sie verarbeiteten Daten verlangen. Das Auskunftsrecht gehört zu den zentralen Betroffenenrechten und verpflichtet Verantwortliche dazu, den Betroffenen eine Vielzahl an Informationen bereitzustellen. Nach Art. 15 DSGVO und für die Zwecke dieser Handreichung besonders relevant sind:

• die Verarbeitungszwecke;

• die Kategorien personenbezogener Daten, die verarbeitet werden;

• die Empfängerinnen oder Kategorien von Empfängerinnen, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängerinnen in Drittländern oder bei internationalen Organisationen;

• falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

• das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

• wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten.

Solche Anfragen sind jederzeit und ohne weitere Voraussetzungen möglich. Insbesondere muss kein „guter Grund“ für ein Auskunftsverlangen angegeben werden. Eine Antwort kann in der Regel auch nicht damit verweigert werden, dass das Zusammenstellen der nötigen Informationen Mühe macht oder Zeit kostet. Tatsächlich entsprechen viele der gesetzlich vorgeschriebenen Informationen aber den Informationen, die gleichzeitig auch in den Datenschutzhinweisen und dem Verzeichnis über die Verarbeitungstätigkeiten enthalten sind.

Der EuGH hat Anfang 2023 entschieden, dass in der Regel nicht nur die Kategorien von Empfängerinnen beauskunftet werden müssen, sondern auch die konkreten Empfängerinnen selbst. Im Rahmen des Betriebs einer Mastodon-Instanz dürfte sich dies trotzdem auf die Angabe beschränken, dass die Daten aus den Beiträgen grundsätzlich an alle föderierten Instanzen übermittelt werden, während die nicht-öffentlichen Daten nur mit dem Serverhoster im Rahmen einer Auftragsverarbeitung geteilt werden.

Bezüglich der verarbeiteten Daten genügt die Angabe von Datenkategorien (etwa: Informationen aus der Registrierung und Inhalt von Beiträgen). Dies ist insbesondere relevant, wenn Personen Auskunft begehren, die kein Konto auf der Instanz haben. Auch diese haben einen Anspruch auf Auskunft darüber, welche Informationen über sie auf der Instanz gespeichert sind. Diese verbergen sich aber grundsätzlich potenziell in einer Vielzahl von Beiträgen, in denen über diese Person eventuell gesprochen wurde. Hier muss dennoch nicht der Inhalt aller entsprechenden Beiträge durchsucht und beauskunftet werden, sondern nur die Kategorie (Informationen in Beiträgen von Nutzerinnen) angegeben werden. Eine Auskunftserteilung ist insgesamt also keine unlösbare Herausforderung.

3.2 Recht auf Kopie

Das Recht auf Kopie ist in Art. 15 Abs. 3 DSGVO geregelt und räumt das Recht ein, nicht nur Auskunft über die grundsätzliche Datenverarbeitung zu erhalten, sondern eine Kopie der konkreten Daten selbst. Dieses Recht beschränkt sich nicht auf Kategorien von Daten, sondern verleiht laut EuGH ein Recht auf eine originalgetreue und verständliche Reproduktion der Daten. Praktisch empfiehlt sich hier, die Nutzerinnen auf die Möglichkeit zu verweisen, ihr Archiv herunterladen. Diese Möglichkeit räumt Mastodon allen Nutzerinnen in den Einstellungen ein. Das Recht erfasst grundsätzlich aber auch eine Kopie aller sonstigen Daten, die in den Mastodon-Datenbanken gespeichert sind. Im Kapitel "Informationen für eine Auskunft nach Art. 15 DSVGO" sind Tipps zu finden, wie dem Recht auf Kopie insoweit genüge getan wird.

Anders als das Recht auf Auskunft steht das Recht auf Kopie unter dem Vorbehalt der Angemessenheit (Art. 15 Abs. 4 DSGVO). Die Anforderung einer Kopie ist in der Regel mit verhältnismäßigem Aufwand erfüllbar, wenn sie von Nutzerinnen der Instanz ausgehen. Kommen sie hingegen von Personen, die kein Konto auf der Instanz haben, wird es deutlich schwerer. Grundsätzlich müsste hier eine Volltextsuche über sämtliche Informationen der Mastodon-Instanz stattfinden und alle direkt oder indirekt auf die jeweilige Person beziehbaren Informationen in Kopie bereitgestellt werden. Hier dürfte die Grenze der Verhältnismäßigkeit schnell erreicht sein, da es den Betreiberinnen einer Instanz angesichts der üblicherweise begrenzten technischen Mittel nur schwer möglich ist, den Inhalt aller Beiträge kontextabhängig darauf zu untersuchen, ob über die Person gesprochen wurde, die eine Kopie fordert. Gegenüber Personen, die kein Konto auf der Instanz haben, kann das Verlangen nach einer Kopie in der Regel also abgelehnt werden.

3.3 Datenpannen

Selbst den gewissenhaftesten Betreiberinnen von Instanzen können Fehler passieren oder es ist einfach Pech (etwa wenn nicht bekannte Sicherheitslücken ausgenutzt wurden). Wenn beim Betrieb einer Instanz Daten an Unbefugte gelangen oder allgemein die Datenschutzrechte von Personen verletzt werden, verpflichtet Art. 33 DSGVO dazu, grundsätzlich binnen 72 Stunden Meldung bei der Datenschutzbehörde und im Falle besonderer Risiken für Personen nach Art. 34 DSGVO auch gegenüber den Betroffenen zu machen. Viele Aufsichtsbehörden haben dafür ein Online-Formular auf ihrer Webseite. Details zur Meldung von Datenpannen finden sich im Kapitel "Datenschutzfreundliche Konfiguration eines Mastodon-Servers". Grundsätzlich sollte hier jedoch keine Sorge vor nachteiligen Folgen bestehen. Soweit die Instanz technisch sauber betrieben wird, alle nötigen Sicherheitsupdates installiert waren und die hier genannten Formalitäten eingehalten wurden, ist es sehr unwahrscheinlich, dass es Ärger mit der Datenschutzaufsicht gibt.

4. Anleitung zum Einpflegen von Texten in der Mastodon-Verwaltungsoberfläche

Die Weboberfläche von Mastodon bietet im Administrationsbereich verschiedene Eingabefelder, an denen die rechtlich notwendigen Pflichtangaben öffentlich einsehbar hinterlegt werden können. Es gibt derzeit jedoch keine getrennten Bereiche für Impressum, Datenschutzhinweise und Nutzungsbedingungen, so dass eine „kreative“ Nutzung der vorhandenen Felder notwendig ist.

Um die Texte in die vorhandenen Felder einzufügen, bietet sich das folgende Vorgehen an: Im angemeldeten Zustand befindet sich als Administrator unter Einstellungen der Administrationsbereich. Dort gibt es unter den Servereinstellungen zwei Textfelder im Bereich Über, die man mit längeren Markdown-formatierten Texten füllen kann.