Beitrag auf lto.de zu Mastodon
Nachdem Elon Musk Twitter übernommen hat, erhält Mastodon viel Zulauf. Doch ein Governance Check zeigt viel Verbesserungsbedarf.
Beitrag der die Funktionsweise von Mastodon, den üblichen Betrieb von Instanzen und den Umgang mit Moderationsthemen beschreibt; geht aber eher am Rande auf rechtliche Fragestellungen ein; mehr eine Erläuterung was Mastodon überhaupt ist
The Mastodon Privacy Policy Generator helps Mastodon admins to adapt the pretty good privacy policy from https://eupolicy.social for the GDPR compliance of their instance. Give it a try!
Wow, der ersten mir bekannte Generator für Mastodon-Datenschutzhinweise. Basiert auf dem Template was auch auf eupolicy.social zum Einsatz kommt. Der Text ist entsprechend englischsprachig.
Recht auf Vergessen bei Mastodon
Enno Lenze hat in seinem kritischen Artikel zu Mastodon einen Absatz dem Recht auf Vergessen gewidmet. Das ist im Hinblick auf Art. 17 Abs. 2 DSGVO ja durchaus relevant. Was passiert also beim Löschen eines Posts oder Accounts? Müssen andere Instanzen darüber informiert werden? Reichen die in Mastodon implementierten Mechanismen zum Löschen von Toots?
Muss man eine Datenschutzfolgenabschätzung für das Betreiben einer Mastodon-Instanz erstellen?
Ich habe Diskussionen darüber gesehen, eine Datenschutzfolgenabschätzung für Mastodon durchzuführen. Dass es generell eine gute Idee ist, sich im Rahmen einer DSFA systematisch mit den Risiken und den implementierten Abhilfemaßnahmen zu beschäftigen, will ich hier gar nicht in Frage stellen. Wenn jemand eine DSFA macht, sind wir am Ende sicherlich alle schlauer und wissen, an welchen Stellen die Software verbessert werden sollte, bzw. was beim Betrieb zu berücksichtigen ist.
Worauf ich hinaus will, ist die Frage, ob für den Betrieb einer regulären Instanz eine DSFA erforderlich ist. Von den neun Kriterien des WP 248 sehe ich eigentlich nur die Datenverarbeitung in großem Umfang als typischerweise erfülltes Kriterium. Jedenfalls auf einer "regulären" Instanz, welche nicht zum Beispiel schon durch die Wahl der Instanz einen Art. 9-Bezug des Accountinhabenden nahelegt.
Wäre eine DSFA für Instanzbetreibende verpflichtend, hätte dies ja auch zur Folge, dass sie in Deutschland gemäß § 38 BDSG einen Datenschutzbeauftragten benennen müssten. Das haben wohl nur die wenigsten Instanzen.
Sind Mastodon-Instanzbetreibende Auftragsverarbeiter für die Accountinhabenden?
Man könnte auf die Idee kommen, dass diejenigen die einen Account auf einem Mastodon-Server anlegen die Mittel und Zwecke der Verarbeitung festlegen und die Instanzbetreiberin Auftragsverarbeiterin ist. Da viele Accounts unter die Haushaltsausnahme fallen dürften, stellt sich die Frage in den meisten Fällen gar nicht. Im Kontext von Unternehmen oder Behörden die Accounts auf einer Instanz anlegen, ist mir diese Diskussion jedoch schon zu Ohren gekommen.
Ich persönlich halte das mit der Auftragsverarbeitung an der Stelle für etwas abwegig, da die Interaktion zwischen den Accounts auf einer Mastodon-Instanz eine zentrale Rolle einnimmt und vom Server vorgegeben wird. Das spricht meines Erachtens für die Instanzbetreiberin als verantwortliche Stelle und ggf. den Accountinhabenden als eigenständigen Verantwortlichen.
Ginge man von einer Auftragsverarbeitung aus, müsste ja auch jeder Account eigenständige Datenschutzhinweise zur Verfügung stellen und die Datenschutzhinweise der Instanz als solches wären nur für das Anlegen von Accounts, aber nicht die eigentlichen Interaktionen relevant.
Was spricht für eine Auftragsverarbeitung, was dagegen? Wie müsste die Mastodon-Software angepasst werden um eine Auftragsverarbeitung sauber abzubilden?
Besteht eine gemeinsame Verantwortlichkeit für Instanzbetreibende?
Nach Art. 26 DSGVO sind mehrere Verantwortliche gemeinsame Verantwortliche, wenn sie die Zwecke und Mittel der Verarbeitung gemeinsam festlegen. Da im Fediverse mit ActivityPub ein gemeinsamer technischer Standard genutzt wird um ein gemeinsames Ziel eines dezentralen sozialen Netzwerks zu erreichen, könnte man durchaus auf den Gedanken kommen, dass eine gemeinsame Verantwortlichkeit vorliegt.
Den Gedanken, dass eine gemeinsame Verantwortlichkeit vorliegen könnte, hatten soweit ich das sehe schon mehrere. Aber ist das zu weit her geholt? Und vor allem, was wären die Folgen? Reicht die Nutzung eines gemeinsamen technischen Standards als Vertrag nach Art. 26 Abs. 1? Wie geht man sinnvoll mit Betroffenenrechten um? Fragen über Fragen ...
Beispiele von Instanzen mit ausführlicheren Datenschutzerklärungen
Die Standard-Datenschutzhinweise die Mastodon beiliegen (also diese hier) enthalten nicht alle Angaben die Art. 13 bzw. 14 DSGVO fordern. Einige Instanzbetreiberinnen haben den mitgelieferten Text daher erweitert oder sogar einen eigenen geschrieben. Welche kennt ihr? (Besonders interessant natürlich, wenn diese unter einer CC-Lizenz stehen.)
Anleitungen zum datenschutzkonformen Betrieb von Mastodon
Welche Dokumente und Projekte kennt ihr, die versuchen einen Überblick zu den datenschutzrechtlichen Anforderungen beim Betrieb föderierter Dienste zu geben?
Warum eine Community zum Datenschutz im Fediverse?
Dezentrale soziale Netzwerke werden häufig als datenschutzfreundliche Alternative zu den großen kommerziellen Plattformen betrachtet. Im Hinblick auf die dahinterliegenden Geschäftsmodelle und die häufige Abwesenheit von Tracking im Fediverse ist das auch sicherlich richtig. Die Umsetzung der rechtlichen Anforderungen welche die Datenschutzgrundverordnung an Betreiberinnen von Servern stellt, gehen jedoch deutlich darüber hinaus. Um einen föderierten Dienst DSGVO-konform zu betreiben ist mehr erforderlich, als nur das technische deployment zu stemmen.
Persönlich bin ich vor allem an Mastodon interessiert. Mich hat es schon länger verwundert, dass der Mastodon-Software kein Template für eine nach DSGVO vollständige Datenschutzerklärung beiliegt und sich die meisten Instanz-Betreiberinnen auch nicht darum kümmern. Mit dem aktuell großen Zulauf bei Mastodon kommt jedoch auch auf Mastodon mehr Diskussion hierüber auf (zum Beispiel hier, hier, hier, hier oder hier).
Zum einen geht es um die Frage, ob es nicht Anleitungen gibt, was zum DSGVO-konformen Betrieb einer Instanz notwendig ist. Darüber hinaus geht es um rechtliche Detailfragen, die einer Diskussion bedürfen und auf die es aktuell keine eindeutigen Antworten gibt.
Ich möchte hier Links zu Diskussionen (z.B. auf Mastodon), Artikeln und best practices rund um Datenschutz im Fediverse sammeln. Ausgangspunkt kann aber auch eine fachliche Frage sein, zu der es noch keine Diskussion an anderen Orten gibt und die wir dann gerne hier führen können.