Datenschutz­rechtliche Frage­stellungen beim Betrieb einer Fediverse-­Instanz – am Beispiel von Mastodon

1. Technische Grundlagen von Mastodon

Mastodon nutzt den ActivityPub-Standard und ergänzt diesen in einiger Hinsicht. Der ActivityPub-Standard besteht aus einem Client-to-Server- und einem Server-to-Server-Protokoll. Die „MastoAPI“ verwendet nur letzteres. Außerdem verwendet Mastodon HTTP-Signaturen für das Senden (und, wenn der Secure Mode aktiviert ist, auch für das Abrufen von Inhalten). Hinzu kommen weitere offene Protokolle wie OAuth oder WebFinger.

Eine Mastodon-Instanz empfängt grundsätzlich alle Inhalte von Account-Inhaberinnen, denen eine Account-Inhaberin der eigenen Instanz folgt. Umgekehrt übermittelt eine Instanz die Beiträge der Account-Inhaberinnen an alle Instanzen, auf denen sich eine Followerin dieser Account-Inhaberin befindet. Daneben gibt es weitere Möglichkeiten, Inhalte von anderen Instanzen einzubinden. Im Limited Federation Mode muss die Föderation mit anderen Instanzen erst ausdrücklich bestätigt werden, bevor diese Inhalte der Instanz abrufen können. Öffentliche Inhalte sind aber stets über die Webseite der Instanz öffentlich zugänglich, sofern nicht die Einstellung DISALLOW_UNAUTHENTICATED_API_ACCESS aktiviert ist.

2. Grundrechtliche Bezüge

Grundrechte richten sich in erster Linie an den Staat. Sie müssen indirekt aber auch bei der Interpretation von Gesetzen berücksichtigt werden. Bei der Auslegung des Digital Services Act (DSA) und der Datenschutz-Grundverordnung (DSGVO) sind die Grundrechte aus der Charta der Grundrechte der Europäischen Union (GrCh) zu beachten. Instanzbetreiberinnen können aber auch unmittelbar an Grundrechte gebunden sein, zum Beispiel bei der Moderation oder bei der Prüfung, ob sie ein berechtigtes Interesse an einer Datenverarbeitung haben.

Ein staatlicher Social-Media-Account ist immer auch mit Eingriffen in Grundrechte verbunden, die gerechtfertigt sein müssen. Staatliche Institutionen sollten möglichst eigene Mastodon-Instanzen betreiben und sich nicht auf Instanzen registrieren, auf die sie nicht ausreichend Einfluss ausüben können.

3. Einordnung als digitaler Dienst

Seit dem 17. Februar 2024 haben die allermeisten Instanzbetreiberinnen die neuen Vorschriften für Diensteanbieter nach dem DSA zu beachten. Es ist davon auszugehen, dass auch Mastodon-Instanzen als „digitale Dienste“ anzusehen sind. Damit sind zumindest die Vorschriften für Vermittlungsdienste nach Art. 11-15 DSA, als auch die für Hostingdienste nach Art. 16-18 DSA einzuhalten. Die Pflichten, die sich daraus für Instanzbetreiberinnen ergeben, sind allerdings überschaubar. Das vorgeschriebene Melde- und Abhilfeverfahren ist bei Mastodon bereits eingerichtet. Instanzbetreiberinnen dürfen zudem nicht willkürlich moderieren, sondern müssen sich hierbei an die eigenen Nutzungsregeln halten. Zudem müssen sie Moderationsentscheidungen begründen.

Mit der Geltung des DSA gehen auch Haftungsprivilegien für Instanzbetreiberinnen einher. Für Rechtsverletzungen von Dritten haften sie daher nur, wenn sie Kenntnis von den Inhalten erlangen und nicht unverzüglich tätig werden.

4. Adressatinnen datenschutzrechtlicher Pflichten

4.1 Anbieterinnen von digitalen Diensten

Instanzbetreiberinnen bieten digitale Dienste an. Damit ist theoretisch das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) anwendbar, vor allem die sogenannte Cookie-Regelung. Die bei Mastodon üblicherweise verwendeten Cookies sind technisch notwendige Cookies. In der Regel ist ein Cookie-Banner daher nicht notwendig. Das ergibt sich aus § 25 Abs. 2 Nr. 2 TDDDG.

4.2 Anbieterinnen von Telekommunikationsdiensten

Soweit Beiträge nur für erwähnte Profile sichtbar gemacht werden, könnten Instanzbetreiberinnen auch als Anbieterinnen eines interpersonellen Kommunikationsdienstes angesehen werden. Zumindest im Ergebnis dürften die „direkten Beiträge“ bei Mastodon dem Fernmeldegeheimnis unterliegen. Instanzbetreiberinnen dürfen sich von diesen Inhalten daher grundsätzlich keine Kenntnis verschaffen, sofern es nicht für die Bearbeitung von Meldungen erforderlich ist.

4.3 Verantwortlichkeit im Sinne der DSGVO

Die Pflichten aus der DSGVO richten sich in erster Linie an Instanzbetreiberinnen. Sie sind für die Datenverarbeitung „verantwortlich“. Mehrere Stellen können auch gemeinsam verantwortlich sein. In diesem Fall müssen sie nach Art. 26 DSGVO eine transparente Vereinbarung über ihre Aufgabenverteilung treffen.

Im Verhältnis zu anderen Instanzbetreiberinnen sind die Verantwortungsbereiche klar abgegrenzt. Daher sind insbesondere die Betreiberinnen föderierender Instanzen nicht gemeinsam verantwortlich. Auch zwischen Instanzbetreiberin und Account-Inhaberin besteht in der Regel keine gemeinsame Verantwortlichkeit. Sie verfolgen keine gemeinsamen wirtschaftlichen Interessen und schließen keine Verträge über personalisierte Werbung. In der Regel unterliegen Instanzbetreiberinnen auch nicht den Weisungen der Account-Inhaberinnen, sodass in diesem Verhältnis meist kein Auftragsverarbeitungsvertrag zu schließen ist. Ein Fall der Auftragsverarbeitung liegt hingegen vor, wenn Betrieb und Wartung einer Mastodon-Instanz an eine Dienstleisterin ausgelagert werden oder die Instanzbetreiberin einen (virtuellen) Server mietet.

5. Pflichten gegenüber Besucherinnen der eigenen Instanz

Auch das Verwenden und Speichern von technischen Informationen wie IP-Adressen oder der vom User-Agent mitgesendeten Daten ist von der DSGVO erfasst. Instanzbetreiberinnen haben nach Art. 6 Abs. 1 f) DSGVO ein berechtigtes Interesse daran, diese Daten zu erfassen, um die Instanz-Webseite zur Verfügung stellen zu können. Die Log-Dateien des Servers sollten jedoch möglichst kurz oder gar nicht gespeichert werden, um den Grundsätzen der Datenminimierung und der Speicherbegrenzung gerecht zu werden.

6. Pflichten gegenüber Account-Inhaberinnen der eigenen Instanz

Bei der Registrierung von Account-Inhaberinnen erheben Instanzbetreiberinnen Bestandsdaten, insbesondere eine E-Mail-Adresse. Außerdem verarbeiten sie Nutzungsdaten wie die IP-Adresse und den Zeitpunkt des Logins. Hinzu kommen die Inhalte, die bei der Interaktion auf einer Mastodon-Instanz gespeichert und an föderierende Instanzen übermittelt werden. Dazu gehören auch die Followerinnen und Follows eines Accounts, die Beiträge, Favorisierungen, „Boosts“ und Antworten auf Umfragen.

Es ist nicht zu empfehlen, für diese Datenverarbeitung eine pauschale Einwilligung einzuholen, indem die Account-Inhaberinnen bei der Registrierung die Datenschutzhinweise akzeptieren müssen. Zumindest die Verarbeitung von Bestandsdaten kann zumeist auf Art. 6 Abs. 1 b) DSGVO gestützt werden. Es kann davon ausgegangen werden, dass es sich bei dem Nutzungsverhältnis um einen „Vertrag“ handelt.

Probleme ergeben sich allerdings bei Informationen, die streng genommen nicht zur Erfüllung des Vertrags erforderlich sind. Zudem können sowohl Bestandsdaten als auch Beiträge sensible Informationen nach Art. 9 Abs. 1 DSGVO enthalten. In diesen Fällen kann davon ausgegangen werden, dass Account-Inhaberinnen mit einer „eindeutigen bestätigenden Handlung“ einwilligen, indem sie diese Informationen im Fediverse teilen. Rechtliche Unsicherheiten für Instanzbetreiberinnen ergeben sich allerdings daraus, dass diese Einwilligung nicht dokumentiert werden kann. Weitere Hürden können sich zudem für Instanzen ergeben, deren thematische Ausrichtung oder Domain-Name schon Rückschlüsse auf sensible Informationen zulässt.

Die meisten der verarbeiteten Daten können von den Account-Inhaberinnen selbst gelöscht werden. Eine Ausnahme gilt möglicherweise für Account-Namen. Diese werden bei Mastodon nicht automatisch gelöscht, damit sie im Anschluss nicht neu vergeben werden können.

7. Pflichten gegenüber Account-Inhaberinnen anderer Instanzen

Damit auf einer Instanz auch die Inhalte anderer Instanzen angezeigt werden können, wird in der Datenbank eine Kopie dieser Daten angelegt. Das entspricht auch den Erwartungen der Account-Inhaberinnen anderer Instanzen. Instanzbetreiberinnen haben ein berechtigtes Interesse an diesen Datenverarbeitungen.

Eine Herausforderung kann allerdings darin bestehen, die Auskunftspflichten zu erfüllen. Zum Beispiel könnten andere Account-Inhaberinnen Auskunft darüber verlangen, ob sie betreffende Daten verarbeiten werden. Sie können auch ihr Recht auf Löschung geltend machen, sofern Beiträge nicht automatisiert gelöscht wurden.

8. Pflichten gegenüber sonstigen Dritten

Instanzbetreiberinnen verarbeiten in aller Regel auch Informationen über andere Personen. Das ist insbesondere dann der Fall, wenn Account-Inhaberinnen Dritte in ihren Beiträgen erwähnen. In vielen Fällen sind die damit verbundenen Datenverarbeitungen durch die Meinungsfreiheit der Account-Inhaberinnen gerechtfertigt. Es darf sich aber keinesfalls um sensible Informationen handeln, in deren Verbreitung die betroffenen Personen nicht eingewilligt haben oder die sie nicht selbst öffentlich gemacht haben.

Entsprechende Auskunftspflichten sind für Instanzbetreiberinnen schwer zu erfüllen. Sie sind jedenfalls verpflichtet, rechtsverletzende Beiträge auf Anfrage der betroffenen Person zu löschen.

9. Organisatorische Pflichten und „Schwellwertanalyse“

Die organisatorischen Pflichten der Verantwortlichen werden vor allem im praktischen Teil dieses Leitfadens dargestellt. Besondere Aufmerksamkeit verdient die Frage, ob die Instanzbetreiberinnen vor Inbetriebnahme eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen haben (sog. „Schwellwertanalyse“). Ob die Datenverarbeitungen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, lässt sich jedoch nicht pauschal beantworten und muss für jede Instanz gesondert beurteilt werden. Hierfür können bestimmte Kriterien herangezogen werden, wovon zumindest ein Kriterium einschlägig sein dürfte, und zwar die Verarbeitung von vertraulichen oder höchst persönlichen Daten.

10. Fazit

Grundsätzlich kann eine Mastodon-Instanz datenschutzkonform betrieben werden. Dabei gibt es einige Herausforderungen, insbesondere das Formulieren von vollständigen und korrekten Datenschutzhinweisen. Außerdem muss eine Instanz datenschutzfreundlich und unter Beachtung der IT-Sicherheit konfiguriert werden.