Mastodon – und wie man es datenschutzkonform betreibt

Mikroblogging ist nicht nur ein beliebtes Marketinginstrument, sondern auch eine moderne Wahlkampfarena. Und die Frage nach dem richtigen und passenden Dienst ist heute komplizierter als je zuvor. Denn lange Zeit galt Twitter als Garant für Reichweite, Erfolge und Kontroversen. Mit der Übernahme durch Elon Musk hat sich das Image dieses Dienstes jedoch verändert; ob zum besseren oder schlechteren, muss jede*r selbst entscheiden. Dadurch rücken aber auch Konkurrenten in den Fokus, so z.B. der dezentrale Mikroblogging-Dienst Mastodon. Unternehmen, Politiker oder Behörden, die hierhin wechseln, müssen ihre Datenschutzerklärungen anpassen. „Genügt es nicht, den Twitter-Baustein in der Datenschutzerklärung zu nehmen und Twitter durch Mastodon zu ersetzen?“, fragen viele. Das ist immer eine schlechte Idee; hier aber auch ganz besonders. Ich erkläre kurz, worauf zu achten ist.

Soziale Medien im Besonderen, Mikroblogging im Speziellen

Besonders Unternehmen, die in sozialen Medien aktiv sind, müssen datenschutzrechtlich einiges beachten.

Mit Blick auf die Verarbeitung müssen v.a. zwei Konstellationen bedacht werden:

Die Verarbeitung auf der eigenen Internetseite:

Hier können die Konten (z.B. Facebook-Fanpage) verlinkt oder über ein Plugin zugänglich gemacht werden. Zudem besteht die Möglichkeit über Cookies Besucher*innen der Internetseite zu markieren, sodass sie innerhalb der sozialen Medien wiedererkannt und werblich angesprochen werden. All diese Verarbeitungsschritte haben gemeinsam, dass die Daten nicht nur von dem Unternehmen, sondern auch durch den Betreiber des jeweiligen sozialen Mediums verarbeitet werden.

Hier müssen die Unternehmen zunächst die Rechtmäßigkeit der Datenverarbeitung sicherstellen. Da ein Großteil der Datenverarbeitung cookie-basiert ist, wird sie in der Regel nur rechtmäßig sein, wenn die Betroffenen wirksam einwilligen. Nicht selten geschieht dies über einen Cookie-Consent-Banner.

Hinzukommt, dass die Daten, wie oben erwähnt, häufig auch an den Betreiber des jeweiligen sozialen Mediums übermittelt werden. Das mündet nicht selten in einer langen Kette von Übermittlungen, die  bei der jeweiligen Muttergesellschaft in den USA enden. Da die USA (Stand heute :-)) nicht Mitglied der EU sind, müssen die Unternehmen Sicherheitsgarantien für die Daten und Betroffenen einholen (z.B. Standardvertragsklauseln). Das kann, je nach Sachlage, eine komplexe Herausforderung sein.

Diese Vorgänge müssen dann noch hinreichend transparent und sicher gestaltet werden. Na, wenn es mehr nicht ist …

Die Verarbeitung innerhalb des Kontos bei den sozialen Medien:

Wenn die Betroffenen das soziale Medium selbst aufsuchen, schließen sich ggf. weitere Verarbeitungsvorgänge an. Etwa werden Besucherstatistiken ausgewertet oder die werbliche Ansprache wird fortgesetzt (beispielsweise durch Ads).  

Hier stellen sich in der Regel die gleichen Fragen zur Rechtmäßigkeit, Transparenz und Sicherheit. Nur, dass ein Fakt hinzukommt: Die Unternehmen, die in sozialen Medien auftreten und Daten verarbeiten, haben in der Regel nur wenig Einfluss auf die konkrete Datenverarbeitung. Das  führt – neben anderen Umständen – dazu, dass die Unternehmen hier gemeinsam mit den Betreibern der sozialen Medien verantwortlich für die Datenverarbeitung sind.

Zwischenergebnis:

Im Regelfall erfordert die Nutzung eines sozialen Mediums, u.a. auch eines Microblogging-Dienstes:

  • die Einwilligung der Betroffenen.
  • eine Garantie, dass die Daten außerhalb der EU hinreichend sicher verarbeitet werden.
  • die Transparentmachung der Verarbeitungsvorgänge.
  • ein individuelles Sicherheitskonzept.

Wie ist es bei Mastodon?

Bei Mastodon ist die Lage eine andere. Mastodon und Twitter unterscheiden sich in vielen Punkten. Denn anders als Twitter ist Mastodon ein dezentraler Mikroblogging-Dienst. Das heißt, dass es nicht einen zentralen Anbieter gibt, sondern Privatpersonen, Vereine und andere Organisationen, die miteinander vernetzte Server (sog. Instanzen) betreiben, wobei die jeweiligen Daten „nur“ bei der angesteuerten Instanz verarbeitet werden.

Die zentrale Datenverarbeitung (Veröffentlichung der Beiträge, Aufruf der Beiträge, Interaktion mit den Beiträgen) liegt also beim Betreiber der Instanz. Unternehmen, die über einen Mastodon-Konto verfügen, verarbeiten Daten also allenfalls dergestalt, dass sie Reaktionen auf ihre Beiträge dokumentieren.

Für diese Verarbeitung ist aber i.d.R. keine Einwilligung erforderlich. Vielmehr dürften diese Verarbeitungsvorgänge nach Artikel 6 Absatz 1 Satz 1 lit. f DSGVO auch ohne Einwilligung zulässig sein. Das berechtigte Interesse dürfte aus den Grundrechten auf Kommunikations- und Meinungsfreiheit folgen.

Wie wird Mastodon nun datenschutzkonform eingesetzt?

Zum datenschutzkonformen Einsatz von Mastodon sollten folgende Punkte beachtet werden:

  1. Es sollte eine Instanz mit einem vertrauenswürdigen Betreiber ausgewählt werden. Der Betreiber sollte innerhalb der EU sitzen und über eine eigene, aussagekräftige Datenschutzerklärung verfügen.
  2. Das eigene Verzeichnis von Verarbeitungstätigkeiten sollte um diesen Punkt ergänzen.
  3. Die eigene Datenschutzerklärung sollte um diesen Punkt ergänzen.
  4. Im Rahmen des Mastodon-Profils sollten Datenschutzerklärung und Impressum verlinkt werden.

Die Einholung einer Einwilligung dürfte in der Regel nicht erforderlich sein.

Stanhope ist übrigens selbst bei Mastodon aktiv; dies unter der @stanhope@social.anoxinon.de.

Stephan Gärtner