Mastodon ist ein verteilter Mikroblogging-Dienst und wird immer wieder als Alternative zu Twitter gehandelt. Mastodon ist keine zentrale Plattform, sondern läuft auf zahlreichen einzelnen Instanzen. Wer Mastodon nutzt, muss deshalb genau hinsehen, wer die gewählte Instanz betreibt.
In den letzten Wochen erlangte Mastodon aufgrund der möglichen Twitter-Übernahme durch Elon Musk neue Bekanntheit. Viele Nutzer fragen sich, ob Hassrede bei Twitter überhandnimmt, denn Musk setzt gemäss seinen Äusserungen auf absolute Meinungsfreiheit.
Datenschutz bei Mastodon: Beispiel «troet.cafe»
Im deutschsprachigen Raum ist «troet.cafe» eine beliebte Instanz. Wie steht es bei «troet.cafe» um den Datenschutz?
Impressum: Wer betreibt «troet.cafe»?
Die Website verfügt nicht über ein direkt verlinktes Impressum. Verlinkt ist hingegen «Über diesen Server», womit man auf der Seite «Server-Regeln» landet. Auf dieser Seite findet sich unter anderem ein Impressum. Demnach betreibt Martin Müller aus dem deutschen Feldkirchen die Instanz. «troet.cafe» unterliegt damit der europäischen Datenschutz-Grundverordnung (DSGVO).
Müller ist Linux-Administrator und bittet um Spenden für den Betrieb seiner Mastodon-Instanz. Sein Ziel ist es, «Dienste anbieten, bei denen Ihr keiner Überwachung ausgesetzt seit».
Datenschutzerklärung: Was fällt auf?
Eine Datenschutzerklärung ist direkt verlinkt. In der Datenschutzerklärung wird unter anderem darauf hingewiesen, dass die Kommunikation über Mastodon jederzeit von den Betreibern einzelner Instanzen mitgelesen werden kann.
Genauso wird darauf hingewiesen, dass bei «troet.cafe» eine Vorratsdatenspeicherung von bis zu 12 Monaten gilt:
«IPs und andere Metadaten Wenn Sie sich einloggen, speichern wir die IP-Adresse, von der Sie sich einloggen, sowie den Namen Ihrer Browseranwendung. Alle angemeldeten Sitzungen stehen Ihnen in den Einstellungen zur Ansicht und zum Widerruf zur Verfügung. Die zuletzt verwendete IP-Adresse wird bis zu 12 Monate gespeichert. Wir können auch Serverprotokolle speichern, die die IP-Adresse jeder Anfrage an unseren Server enthalten.»
Die Speicherdauer von bis zu 12 Monaten ist für einen deutschen Instanzen-Betreiber überraschend, denn in der Praxis gilt in Deutschland eine Speicherdauer von 7 Tagen.
Einwilligung: Datenschutzerklärung mit AGB-Charakter?
Wer sich bei «troet.cafe» als Nutzer registrieren möchte, muss die bereits erwähnten «Server-Regeln» sowie die «Nutzungsbedingungen» ausdrücklich akzeptieren. Mit den «Nutzungsbedingungen» ist allerdings die Datenschutzerklärung gemeint. Die Datenschutzerklärung erhält dadurch den Charakter von Allgemeinen Geschäftsbedingungen (AGB) und dient nicht mehr allein der Information.
Müller versucht damit vermutlich, eine Einwilligung gemäss Art. 6 Abs. 1 lit. a DSGVO einzuholen, unterwirft die Datenschutzerklärung aber gleichzeitig dem strengen deutschen AGB-Recht. Das ist gefährlich, denn «AGB und Datenschutzhinweise sind getrennte Dinge und sollten unbedingt getrennt behandelt werden.»
Fazit: Unauffällig, abgesehen von einem offensichtlichen Tolggen im Reinheft
Alles in allem wirkt «troet.cafe» in Bezug auf den Datenschutz transparent und unauffällig. Ein offensichtlicher Tolggen im Reinheft ist die Vorratsdatenspeicherung.
Diese Vorratsdatenspeicherung kann allerdings nur kritisiert werden, weil sie transparent gemacht wird. Ich gehe davon aus, dass bei vielen Mastodon-Instanzen eine längere oder gar unbeschränkte Speicherdauer gilt.
Meine Heimat bei Mastodon ist https://chaos.social/@martinsteiger. Ich pflege meine Mastodon-Präsenz nicht aktiv, schaue aber gelegentlich rein.