Zum Inhalt springen
Startseite » Hahngasse bloggt » Mastodon und die DSGVO

Mastodon und die DSGVO

Das dezentrale soziale Netzwerk Mastodon ist zu einer beliebten Alternative zum Kurznachrichtendienst Twitter geworden. Der Betrieb einer Mastodon-Instanz bzw. eines Servers ist mehr als eine technische Spielerei. Die Betreiber:innen sind als „Verantwortliche“ im Sinne der Datenschutzgrundverordnung (DSGVO) anzusehen und übernehmen damit sehr viel Verantwortung für die verarbeiteten Daten der Nutzer:innen. Sie haften auch bei Verstößen. Für Betreiber:innen, deren Server in der EU liegen, ist es daher wichtig ihren Service DSGVO konform zu gestalten. Doch das machen viele Betreiber:innen nicht.

Warum ich denke, dass dies aus datenschutzrechtlichen Gründen bedenklich ist, möchte ich nachfolgend zusammenfassen. Wer sich den nachfolgenden – eher technischen – Teil ersparen will, kommt hier gleich direkt zu meinem Conclusio.

Was ist Mastodon?

Mastodon ist ein dezentraler Microblogging-Dienst. Es gibt dabei keinen zentralen Betreiber bzw. keine zentrale Instanz, etwa ein Unternehmen wie Twitter, Facebook oder Instagram, sondern jede:r kann, wenn er/sie will, einen eigenen Mastodon-Server (oder Instanz) aufsetzen und betreiben, auf der dann Nutzer:innen ihre Accounts einrichten können.

Das Besondere an Mastodon ist das Acitivity Pub Protokoll. Nicht nur Mastodon, sondern auch andere Dienste wie Friendica, Pleroma oder PeerTube nützen das Activity Pub Protokoll. Nutzer:innen dieser Dienste ist es durch die gemeinsame Verwendung dieses Protokolls möglich, Inhalte über die Grenzen des eigenen Netzwerks hinweg zu teilen, ohne ein Konto für den jeweils anderen Dienst besitzen zu müssen. Diese Dienste bilden gemeinsam das „fediverse„.

Die einzelnen Mastodon-Instanzen sind dabei Service Provider, die dafür sorgen, dass die Nutzer:innen ihre Inhalte mit anderen Nutzer:innen auf derselben Instanz und/oder anderen Mastodon- bzw. fediverse-Instanzen teilen können.

Diese einzelnen Mastodon-Instanzen sind voneinander und vom Mastodon-Projekt selbst unabhängig. Die Regeln, wie auf der jeweiligen Instanz kommuniziert wird (etwa die Verwendung von Inhaltswarnungen), welche Daten erhoben werden und ob und wenn ja, wieviel Geld für die Einrichtung eines Accounts verlangt wird, werden von der/dem Betreiber:in festgelegt. Es gibt Instanzen, die um Spenden bitten, andere verlangen einen finanziellen Beitrag für die Einrichtung des Accounts. Viele bieten jedoch ihren Service kostenlos an. Wer will, kann seinen Server auf der Website des Mastodon-Projekts auflisten lassen um mehr Nutzer:innen anzusprechen. Die Voraussetzung dafür ist die Einhaltung einiger weniger Regeln, die das Mastodon-Projekt vorgibt.

Zusammengefasst sprechen wir also von einer Vielzahl von unabhängigen Mastodon-Instanzen, die jeweils ihre eigenen Regeln festlegen, sich unterschiedlich finanzieren und im unterschiedlichen Ausmaß Daten verarbeiten. Die Nutzer:innen können entscheiden, welche:r Betreiber:innen ihnen besonders zusagen, sei es aufgrund einer thematischen Festlegung (Activism, Journalism, LGBTQ+, etc.), der Region, Sprache oder auch der Mitgliederanzahl.

Diese dezentrale Struktur hat enorme Vorteile. Sie entspricht auch der Grundidee des Internet selbst, das ja dezentral konzipiert worden ist.

Und was hat die DSGVO damit zu tun?

Anwendung der DSGVO

Wenn Nutzer:innen einen Account auf einem Mastodon-Server anlegen und in weiterer Folge Inhalte teilen, werden von den Betreiber:innen personenbezogene Daten (Art. 4 Z 1 DSGVO) in aller Regel automatisiert verarbeitet. Personenbezogene Daten sind nicht nur der Name oder das Geburtsdatum, sondern auch Daten wie die IP-Adresse. Personenbezogene Daten sind alle Informationen, die sich auf eine identifzierte oder identifizierbare natürliche Person beziehen. Das kann direkt oder indirekt erfolgen. Das bedeutet, dass selbst dann, wenn der/die Betreiber:in nichts mit einer bestimmten Kennnummer anzufangen weiß, ein Dritter aber schon (zB der Serviceprovider mit der IP-Adresse), diese Daten als personenbezogene Daten zu qualifizieren sind.

Damit ist der sachliche Anwendungsbereich der DSGVO gegeben. Hat der/die Verantwortliche (siehe unten) seinen Sitz innerhalb der EU, dann ist auch der räumliche Anwendungsbereich gegeben.

Ob man Geld mit seinem Service verdient oder das kostenlos macht, spielt für die Anwendung der DSGVO keine Rolle. Auch gemeinnützige Vereine müssen beispielsweise die Daten ihrer Mitglieder schützen. Die DSGVO verpflichtet aber nur die für die Verarbeitung Verantwortlichen und deren Auftragsverarbeiter. Sie sind die Zielgruppe der DSGVO.

Verantwortlich(er) oder nicht?

Ob jemand als Verantwortliche:r zu betrachten ist, hat weitreichende Konsequenzen. Die in der DSGVO festgelegten Grundsätze (Art. 5) und Pflichten gegenüber den Betroffenen (etwa die Informationspflichten), treffen in erster Linie den „Verantwortlichen“. Auch die in der DSGVO enthaltenen Strafbestimmungen richten sich vor allem an den Verantwortlichen.

Wer legt denn fest, ob man Verantwortlicher ist?

Die DSGVO enthält eine Definition in Art. 4 Z 7 (die Hervorhebung kommt von mir):

  1. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

Bereits beim Besuch und bei der Einrichtung eines Accounts auf einem Mastodon-Server kommt es zu der Verarbeitung von persönlichen Daten – zumindest der IP-Adresse. Wie die IP-Adresse oder andere bei der Registrierung verlangte (oder auch automatisch erfasste Daten) verarbeitet werden, entscheidet alleine der oder die Betreiber:in und nicht etwa das Mastodon-Projekt (als Bereitsteller der entsprechenden Software).

Auch ob und welche Cookies beim Besuch der jeweiligen Website auf den Rechner der Benutzer:innen gespeichert werden, entscheidet der/die Betreiber:in.

Da all diese Entscheidungen alleine von dem/der Betreiber:in getroffen werden, schließe ich aus, dass der/die Betreiber:in als Auftragsverarbeiter zu qualifizieren ist. Wer sich näher für die Unterscheidung dieser Begriffe interessiert, dem kann ich die hervorragenden Leitlinien des europäischen Datenschutzausschusses zu diesem Thema empfehlen (hier).

Was sind die Konsequenzen?

„Verantwortliche“ nach der DSGVO sind die primären Adressaten dieser Verordnung. Sie sind ganz grundsätzlich dafür verantwortlich, dass die Verarbeitung von personenbezogenen Daten nach den Grundsätzen des Art. 5 DSGVO durchgeführt wird, das bedeutet unter anderem (Details bitte Art. 5 lesen), dass personenbezogene Daten auf rechtmäßige Weise (Art. 6) und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Verantwortliche müssen die Besucher:innen etwa bereits zum Zeitpunkt der Erhebung der Daten darüber informieren, welche Daten, zu welchem Zweck und auf welcher Rechtsgrundlage verarbeitet werden. Die obligatorische Datenschutzerklärung, die auf jeder Website zu finden ist, gilt selbstverständlich auch für die Website einer Mastodon-Instanz.

Der:Die Verantwortliche ist auch Ansprechpartner:in der Nutzer:innen: Für deren Rechte nach der DSGVO (Art. 15 folgende) etwa dem Recht auf Löschung, Auskunft oder auch einem (späteren) Widerspruch über die Verarbeitung. Sollten personenbezogene Daten, die der/die Verantwortliche hostet, unbeabsichtigt veröffentlicht werden, ist er/sie verpflichtet, die jeweils zuständige Aufsichtsbehörde binnen 72h über den Vorgang zu informieren (Art. 33).

Schließlich enthält die DSGVO Regelungen über die Haftung bei Verstößen durch den/die Verantwortliche:n und über Schadenersatz (Art. 82). Daneben kann die jeweilige Aufsichtsbehörde gegenüber dem/der Verantwortliche:n, abhängig von der Größe und der Schwere des Verstoßes empfindliche Geldbußen verhängen (Art. 83).

Conclusio

Mastodon bietet für die Nutzer:innen enorme Vorteile. Jede:r kann eine Mastodon-Instanz betreiben, sei es auch nur um für die eigene Familie ein – zugegebenerweise mächtiges – Kommunikationstool zu bieten oder im größeren Ausmaß, für bestimmte Interessensgruppen oder auch Vereine. Das Activity Pub Protokoll überwindet die Grenzen der einzelnen Dienste, Inhalte können plattformübergreifend geteilt werden.

Das was Twitter momentan erlebt, könnte mit Mastodon nicht im selben Ausmaß geschehen: Bin ich mit dem Betreiber meiner Mastodon-Instanz unzufrieden, weil er etwa die Hälfte der Belegschaft entlässt oder ich seine Ansichten nicht (mehr) teile, wechsle ich einfach zu einer anderen Mastodon-Instanz. Ich kann aber weiterhin Mastodon verwenden.

Für die Betreiber:innen, gerade wenn es sich um kleine Instanzen handelt, geht mit dem Betrieb eine große Verantwortung einher. Die DSGVO ist nach meiner Auffassung auch für kleine Betreiber:innen, ausgenommen für rein private Zwecke, anwendbar. Dem sollte man sich bewusst sein und sich um einen DSGVO konformen Betrieb bemühen, das bedeutet jedenfalls, die Nutzer:innen darüber zu informieren, welche Daten zu welchem Zweck auf welcher Grundlage verarbeitet werden und wie man an seine Rechte kommt.

Für die Nutzer:innen gelten die oben erwähnten Vorteile. Die Rechte, die einem die DSGVO bietet, gelten aber auch für dieses sehr innovative Netzwerk und diese muss man auch in Anspruch nehmen können.

Bei Fragen und Feedback kann man mich hier kontaktieren oder auch gerne unter meinem neuen Mastodon Account (@nieral@noc.social). Gerne kann man natürlich auch hier einen Termin vereinbaren.

P.S.

Auf die Frage, wie es Mastodon eigentlich mit der DSGVO hält, bin ich durch einen Artikel von Enno Lenze gestoßen, der darauf hingewiesen hat, dass Mastodon das Recht auf vergessenwerden nicht kennt. Ich bin mir nicht sicher, ob die Löschung von Inhalten auf einer Instanz zur automatischen Löschung auch auf anderen Instanzen führt. Enno Lenze verneint das. Die Datenschutzerklärung der Mastodon-Instanz (siehe hier) des Datenschutzbeauftragten von Baden-Württemberg deutet eher darauf hin. Unter Umständen benachrichtigen neuere Versionen des Activity Pub Protokolls andere Instanzen über die Löschung auf der ursprünglichen Instanz. Wenn das jemand weiß, dann freue ich mich über eine Rückmeldung.