Datenschutz­rechtliche Frage­stellungen beim Betrieb einer Mastodon-­Instanz

1. Technische Grundlagen von Mastodon

Mastodon ergänzt den ActivityPub-Standard in einiger Hinsicht. Der ActivityPub-Standard besteht aus einem Client-to-Server- und einem Server-to-Server-Protokoll. Mastodon verwendet nur letzteres. Außerdem verwendet Mastodon HTTP-Signaturen für das Senden (und, wenn der Secure Mode aktiviert ist, auch für das Abrufen von Inhalten). Hinzu kommen weitere offene Protokolle wie OAuth oder WebFinger.

Eine Mastodon-Instanz empfängt grundsätzlich alle Inhalte von Accountinhaberinnen, denen eine Accountinhaberin der eigenen Instanz folgt. Umgekehrt übermittelt eine Instanz die Beiträge der Accountinhaberinnen an alle Instanzen, auf denen sich eine Followerin dieser Accountinhaberin befindet. Daneben gibt es weitere Möglichkeiten, Inhalte von anderen Instanzen einzubinden. Im Limited Federation Mode muss die Föderation mit anderen Instanzen erst ausdrücklich bestätigt werden, bevor diese Inhalte der Instanz abrufen können. Öffentliche Inhalte sind aber stets über die Webseite der Instanz öffentlich zugänglich, sofern nicht die Einstellung DISALLOW_UNAUTHENTICATED_API_ACCESS aktiviert ist.

2. Rechtliche Einordnung des Fediverse

Ab dem 17. Februar 2024 haben die allermeisten Instanzbetreiberinnen die neuen Vorschriften für Diensteanbieter nach dem Gesetz für digitale Dienste, besser bekannt als Digital Services Act (DSA), zu beachten. Es ist davon auszugehen, dass auch Mastodon-Instanzen als „Dienste der Informationsgesellschaft“ anzusehen sind. Mastodon-Instanzen sind auch nicht zur „Individualkommunikation“ bestimmt, sondern zum öffentlichen Mikro-Bloggen. Damit sind sowohl die Vorschriften für Vermittlungsdienste nach Artt. 11-15 DSA, als auch die für Hostingdienste nach Artt. 16-18 DSA einzuhalten. Das Netzwerkdurchsetzungsgesetz (NetzDG) findet bei Mastodon-Instanzen (bisher) keine Anwendung. Mit dem DSA wird das NetzDG auch an Bedeutung verlieren.

3. Grundrechtliche Bezüge

Grundrechte richten sich in erster Linie an den Staat. Sie müssen indirekt aber auch bei der Interpretation von Gesetzen wie der DSGVO berücksichtigt werden, vor allem das Recht auf Datenschutz und das Recht auf informationelle Selbstbestimmung. Ein staatlicher Social-Media-Account ist immer auch mit Eingriffen in Grundrechte verbunden, die gerechtfertigt sein müssen. Staatliche Institutionen sollten möglichst eigene Mastodon-Instanzen betreiben und sich nicht auf Instanzen registrieren, auf die sie nicht ausreichend Einfluss ausüben können.

4. Adressatinnen datenschutzrechtlicher Pflichten

4.1 Anbieterinnen von Telemedien

Instanzbetreiberinnen bieten Telemediendienste an. Damit ist theoretisch das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) anwendbar, vor allem die sogenannte Cookie-Regelung. Die bei Mastodon üblicherweise verwendeten Cookies sind technisch notwendige Cookies. In der Regel ist ein Cookie-Banner daher nicht notwendig. Das ergibt sich aus § 25 Abs. 2 Nr. 2 TTDSG.

Soweit Diensteanbieterinnen interpersonelle Kommunikationsdienste betreiben, handelt es sich nicht um Telemedien. Direkte Beiträge und „follower-only“-Beiträge werden von Accountinhaberinnen tatsächlich wie Messenger oder Gruppenchats genutzt. In Bezug auf diese Beiträge gilt deshalb für Instanzbetreiberinnen das Fernmeldegeheimnis nach § 3 TTDSG.

4.2 Verantwortlichkeit im Sinne der DSGVO

Die Pflichten aus der DSGVO richten sich in erster Linie an Instanzbetreiberinnen. Sie sind für die Datenverarbeitung „verantwortlich“. Mehrere Stellen können auch gemeinsam verantwortlich sein. In diesem Fall müssen sie nach Art. 26 DSGVO eine transparente Vereinbarung über ihre Aufgabenverteilung treffen.

Im Verhältnis zu anderen Instanzbetreiberinnen sind die Verantwortungsbereiche klar abgegrenzt. Daher sind insbesondere die Betreiberinnen föderierender Instanzen nicht gemeinsam verantwortlich. Auch zwischen Instanzbetreiberin und Accountinhaberin besteht in der Regel keine gemeinsame Verantwortlichkeit. Sie verfolgen keine gemeinsamen wirtschaftlichen Interessen und schließen keine Verträge über personalisierte Werbung. In der Regel unterliegen Instanzbetreiberinnen auch nicht den Weisungen der Accountinhaberinnen, sodass in diesem Verhältnis meist kein Auftragsverarbeitungsvertrag zu schließen ist. Ein Fall der Auftragsverarbeitung liegt hingegen vor, wenn Betrieb und Wartung einer Mastodon-Instanz an eine Dienstleisterin ausgelagert werden oder die Instanzbetreiberin einen (virtuellen) Server mietet.

5. Pflichten gegenüber Besucherinnen der eigenen Instanz

Auch das Verwenden und Speichern von technischen Informationen wie IP-Adressen oder der vom User-Agent mitgesendeten Daten ist von der DSGVO erfasst. Instanzbetreiberinnen haben ein berechtigtes Interesse daran, diese Daten zu erfassen, um die Instanz-Webseite zur Verfügung stellen zu können. Die Log-Dateien des Servers sollten jedoch möglichst kurz oder gar nicht gespeichert werden, um den Grundsätzen der Datenminimierung und der Speicherbegrenzung gerecht zu werden.

6. Pflichten gegenüber Accountinhaberinnen der eigenen Instanz

Bei der Registrierung von Accountinhaberinnen erheben Instanzbetreiberinnen Bestandsdaten, insbesondere eine E-Mail-Adresse. Außerdem verarbeiten sie Nutzungsdaten wie die IP-Adresse und den Zeitpunkt des Logins. Hinzu kommen die Inhalte, die bei der Interaktion auf einer Mastodon-Instanz gespeichert und an föderierende Instanzen übermittelt werden. Dazu gehören auch die Followerinnen und Follows eines Accounts, die Beiträge, Favorisierungen und „Boosts“.

Es ist nicht zu empfehlen, sich hierbei auf eine Einwilligung der Accountinhaberinnen zu stützen. Die Erlaubnis für diese Datenverarbeitungen bietet vielmehr das Nutzungsverhältnis, das im weitesten Sinne als „Vertrag“ verstanden werden kann. Instanzen mit thematischer Ausrichtung auf sensible Inhalte dürfen nach Art. 9 Abs. 2d DSGVO nur von Organisationen ohne Gewinnerzielungsabsicht betrieben werden.

Die meisten der verarbeiteten Daten können von den Accountinhaberinnen selbst gelöscht werden. Eine Ausnahme gilt für Accountnamen. Diese müssen auch Instanzbetreiberinnen nicht löschen, da ein Accountname aus Sicherheitsgründen nicht neu vergeben werden sollte.

7. Pflichten gegenüber Accountinhaberinnen anderer Instanzen

Damit auf einer Instanz auch die Inhalte anderer Instanzen angezeigt werden können, wird in der Datenbank eine Kopie dieser Daten angelegt. Das entspricht auch den Erwartungen der Accountinhaberinnen anderer Instanzen. Instanzbetreiberinnen haben ein berechtigtes Interesse an diesen Datenverarbeitungen. Eine Herausforderung kann allerdings darin bestehen, die Auskunftspflichten zu erfüllen. Zum Beispiel könnten andere Accountinhaberinnen Auskunft darüber verlangen, ob sie betreffende Daten verarbeitet werden. Sie können auch ihr Recht auf Löschung geltend machen, sofern Beiträge nicht automatisiert gelöscht wurden.

8. Pflichten gegenüber sonstigen Dritten

Instanzbetreiberinnen verarbeiten in aller Regel auch Informationen über andere Personen. Das ist insbesondere dann der Fall, wenn Accountinhaberinnen Dritte in ihren Beiträgen erwähnen. In vielen Fällen sind die damit verbundenen Datenverarbeitungen durch die Meinungsfreiheit der Accountinhaberinnen gerechtfertigt. Es darf sich aber keinesfalls um sensible Informationen handeln, in deren Verbreitung die betroffenen Personen nicht eingewilligt haben oder die sie nicht selbst öffentlich gemacht haben. Entsprechende Auskunftspflichten sind für Instanzbetreiberinnen schwer zu erfüllen. Sie sind jedenfalls verpflichtet, rechtsverletzende Beiträge auf Anfrage der betroffenen Person zu löschen.

9. Fazit

Grundsätzlich kann eine Mastodon-Instanz datenschutzkonform betrieben werden. Dabei gibt es einige Herausforderungen, insbesondere das Formulieren von vollständigen und korrekten Datenschutzhinweisen. Außerdem muss eine Instanz datenschutzfreundlich und unter Beachtung der IT-Sicherheit konfiguriert werden.