Datenschutz im Fediverse

"Das #Fediverse gilt als datenschutzfreundliche Alternative zu anderen Social-Media-Angeboten. Wir haben #Mastodon 🐘 genauer untersucht und einen #Datenschutz-Leitfaden für den Betrieb von #Instanzen veröffentlicht 🎉

„Datenschutz bei Mastodon. Leitfaden für den Instanz-Betrieb im dezentralen Netzwerk“ https://sds-links.de/mastodon-leitfaden

➡️ Gern an die Admins eurer Instanzen weitergeben.

Vielen Dank an die Autorinnen @qbi, @malteengeler und @resieguen!"

via @ds_[email protected]

Am 10. Juli 2023 hat die #EU-Kommission den #Angemessenheitsbeschluss für das EU-U.S. #DataPrivacyFramework angenommen. Was ändert sich nun in Bezug auf Datenübermittlungen in die USA? Unter welchen Bedingungen können nun Übermittlungen in die USA erfolgen?

//edit: Mostr entfernt Beiträge nach Möglichkeit: https://gitlab.com/soapbox-pub/mostr/-/issues/49#note_1460311853
Hinweis in Sachen #Datenschutz: Wenn ihr in Beiträgen im #Fediverse mit Usern auf #Nostr interagiert (zu erkennen an den sehr langen Hashwert-Handles, z. B. Jack Dorsey & Edward Snowden), sind all eure Beiträge dort *un-lösch-bar* - selbst für Moderator:innen. Auch wenn ihr sie etwa auf Mastodon entfernt, bleiben sie dort stehen.
@datenschutz @fedi_ds
https://primal.net/thread/note1znzuduxfq0u655q5lrh7y2kkqkpa9vqkm6znvlpfsrsx53ztcrzsd0tuqr

Viele Daten, die man als Nutzer ins Fediverse schreibt, sind ohnehin dazu bestimmt, bei anderen Nutzern dargestellt zu werden. Bei einigen Daten gilt das aber nur eingeschraenkt. Z.B. wird, jedenfalls im Web-Client, bei Mastodon-Umfragen nicht dargestellt, wer wie abgestimmt hat. Ebenso bei Upvotes und Downvotes in Lemmy. In beiden Faellen sehen andere Nutzer normalerweise nur die Anzahl, nicht die nutzerweise Zusammensetzung. Diese Daten muesste aber zumindest bei einem oder mehreren Instanzbetreibern vorliegen, damit man bei den Anzahlen Doppelzaehlungen einzelner Stimmen vermeiden kann.

Was waere, wenn Instanzbetreiber diese Daten fuer mehr nutzen als nur zur Berechnung der aggregierten Anzahlen bzw. Prozentzahlen? Z.B. wenn es Nutzer gibt, die nachsehen duerfen, wer wie abgestimmt hat. Wuerde man das in der Datenschutzerklaerung einer Instanz wiederfinden, und wenn ja, bei welcher Instanz? Es duerfte sich ja um personenbeziehbare Daten handeln.

Beitrag der die Funktionsweise von Mastodon, den üblichen Betrieb von Instanzen und den Umgang mit Moderationsthemen beschreibt; geht aber eher am Rande auf rechtliche Fragestellungen ein; mehr eine Erläuterung was Mastodon überhaupt ist

Wow, der ersten mir bekannte Generator für Mastodon-Datenschutzhinweise. Basiert auf dem Template was auch auf eupolicy.social zum Einsatz kommt. Der Text ist entsprechend englischsprachig.

Enno Lenze hat in seinem kritischen Artikel zu Mastodon einen Absatz dem Recht auf Vergessen gewidmet. Das ist im Hinblick auf Art. 17 Abs. 2 DSGVO ja durchaus relevant. Was passiert also beim Löschen eines Posts oder Accounts? Müssen andere Instanzen darüber informiert werden? Reichen die in Mastodon implementierten Mechanismen zum Löschen von Toots?

Ich habe Diskussionen darüber gesehen, eine Datenschutzfolgenabschätzung für Mastodon durchzuführen. Dass es generell eine gute Idee ist, sich im Rahmen einer DSFA systematisch mit den Risiken und den implementierten Abhilfemaßnahmen zu beschäftigen, will ich hier gar nicht in Frage stellen. Wenn jemand eine DSFA macht, sind wir am Ende sicherlich alle schlauer und wissen, an welchen Stellen die Software verbessert werden sollte, bzw. was beim Betrieb zu berücksichtigen ist.

Worauf ich hinaus will, ist die Frage, ob für den Betrieb einer regulären Instanz eine DSFA erforderlich ist. Von den neun Kriterien des WP 248 sehe ich eigentlich nur die Datenverarbeitung in großem Umfang als typischerweise erfülltes Kriterium. Jedenfalls auf einer "regulären" Instanz, welche nicht zum Beispiel schon durch die Wahl der Instanz einen Art. 9-Bezug des Accountinhabenden nahelegt.

Wäre eine DSFA für Instanzbetreibende verpflichtend, hätte dies ja auch zur Folge, dass sie in Deutschland gemäß § 38 BDSG einen Datenschutzbeauftragten benennen müssten. Das haben wohl nur die wenigsten Instanzen.

Man könnte auf die Idee kommen, dass diejenigen die einen Account auf einem Mastodon-Server anlegen die Mittel und Zwecke der Verarbeitung festlegen und die Instanzbetreiberin Auftragsverarbeiterin ist. Da viele Accounts unter die Haushaltsausnahme fallen dürften, stellt sich die Frage in den meisten Fällen gar nicht. Im Kontext von Unternehmen oder Behörden die Accounts auf einer Instanz anlegen, ist mir diese Diskussion jedoch schon zu Ohren gekommen.

Ich persönlich halte das mit der Auftragsverarbeitung an der Stelle für etwas abwegig, da die Interaktion zwischen den Accounts auf einer Mastodon-Instanz eine zentrale Rolle einnimmt und vom Server vorgegeben wird. Das spricht meines Erachtens für die Instanzbetreiberin als verantwortliche Stelle und ggf. den Accountinhabenden als eigenständigen Verantwortlichen.

Ginge man von einer Auftragsverarbeitung aus, müsste ja auch jeder Account eigenständige Datenschutzhinweise zur Verfügung stellen und die Datenschutzhinweise der Instanz als solches wären nur für das Anlegen von Accounts, aber nicht die eigentlichen Interaktionen relevant.

Was spricht für eine Auftragsverarbeitung, was dagegen? Wie müsste die Mastodon-Software angepasst werden um eine Auftragsverarbeitung sauber abzubilden?

Nach Art. 26 DSGVO sind mehrere Verantwortliche gemeinsame Verantwortliche, wenn sie die Zwecke und Mittel der Verarbeitung gemeinsam festlegen. Da im Fediverse mit ActivityPub ein gemeinsamer technischer Standard genutzt wird um ein gemeinsames Ziel eines dezentralen sozialen Netzwerks zu erreichen, könnte man durchaus auf den Gedanken kommen, dass eine gemeinsame Verantwortlichkeit vorliegt.

Den Gedanken, dass eine gemeinsame Verantwortlichkeit vorliegen könnte, hatten soweit ich das sehe schon mehrere. Aber ist das zu weit her geholt? Und vor allem, was wären die Folgen? Reicht die Nutzung eines gemeinsamen technischen Standards als Vertrag nach Art. 26 Abs. 1? Wie geht man sinnvoll mit Betroffenenrechten um? Fragen über Fragen ...

Die Standard-Datenschutzhinweise die Mastodon beiliegen (also diese hier) enthalten nicht alle Angaben die Art. 13 bzw. 14 DSGVO fordern. Einige Instanzbetreiberinnen haben den mitgelieferten Text daher erweitert oder sogar einen eigenen geschrieben. Welche kennt ihr? (Besonders interessant natürlich, wenn diese unter einer CC-Lizenz stehen.)

Welche Dokumente und Projekte kennt ihr, die versuchen einen Überblick zu den datenschutzrechtlichen Anforderungen beim Betrieb föderierter Dienste zu geben?

Dezentrale soziale Netzwerke werden häufig als datenschutzfreundliche Alternative zu den großen kommerziellen Plattformen betrachtet. Im Hinblick auf die dahinterliegenden Geschäftsmodelle und die häufige Abwesenheit von Tracking im Fediverse ist das auch sicherlich richtig. Die Umsetzung der rechtlichen Anforderungen welche die Datenschutzgrundverordnung an Betreiberinnen von Servern stellt, gehen jedoch deutlich darüber hinaus. Um einen föderierten Dienst DSGVO-konform zu betreiben ist mehr erforderlich, als nur das technische deployment zu stemmen.

Persönlich bin ich vor allem an Mastodon interessiert. Mich hat es schon länger verwundert, dass der Mastodon-Software kein Template für eine nach DSGVO vollständige Datenschutzerklärung beiliegt und sich die meisten Instanz-Betreiberinnen auch nicht darum kümmern. Mit dem aktuell großen Zulauf bei Mastodon kommt jedoch auch auf Mastodon mehr Diskussion hierüber auf (zum Beispiel hier, hier, hier, hier oder hier).

Zum einen geht es um die Frage, ob es nicht Anleitungen gibt, was zum DSGVO-konformen Betrieb einer Instanz notwendig ist. Darüber hinaus geht es um rechtliche Detailfragen, die einer Diskussion bedürfen und auf die es aktuell keine eindeutigen Antworten gibt.

Ich möchte hier Links zu Diskussionen (z.B. auf Mastodon), Artikeln und best practices rund um Datenschutz im Fediverse sammeln. Ausgangspunkt kann aber auch eine fachliche Frage sein, zu der es noch keine Diskussion an anderen Orten gibt und die wir dann gerne hier führen können.

@[email protected]