Für einen Kunden habe ich recherchiert, ob es aufgrund der rechtlichen Gegebenheiten sinnvoll wäre eine Mastodon Instanz des Unternehmens für dessen Kunden zu betreiben. Ich habe mir das als DSB angeschaut und gemeinsam mit einem befreundeten Anwalt überflogen.

Eines ist klar. Ein soziales Netzwerk unter der Haube eines Unternehmens zu betreiben wirft viele rechtliche Fragen auf. Stichworte hier sind AGB, DSGVO, NetzDG, TMG und natürlich auch DSA.

tl;dr: Es ist kompliziert.

Digital Services Act

Ich fange mal mit dem kompliziertesten Thema an. Der Digital Services Act, oder auch Gesetz über digitale Dienste (GdD) ist die EU Verordnung 2022/2065.
Unternehmen, Nichtregierungsorganisationen und Einzelpersonen die dem DSA unterliegen, müssen diverse Moderations-, Mitteilungs- und Transparenzpflichten einhalten. Ein Beispiel dafür ist etwa das Löschen von Inhalten der Benutzer eines sozialen Netzwerkes, wenn die Inhalte gegen geltendes Recht verstoßen.
Grundsätzlich ist der DSA bei folgenden Personen(-gruppen) nicht anzuwenden:

• Kein unternehmerischer Sinn, zum Beispiel eine Privatperson
• Die Platform erhält gelegentlich Spenden um den Betrieb zum Teil oder kostendeckend zu finanzieren
• Kleine und Mittelständische Unternehmen unter 50 Mitarbeiter und einem Umsatz unter 10 Millionen Euro

Was man erwähnen sollte ist, dass dieses Gesetz in keiner Weise berücksichtigt, dass es soziale Netzwerke geben könnte, die weder kommerziell noch zentral sind. Mastodon ist bekanntlich beides nicht.

Jedenfalls ist es nicht zuletzt aufgrund dessen schwer zu beurteilen, ob ein Betreiber einer Mastodon Instanz dem DSA unterliegt oder nicht.
Aktuell gehen wir davon aus, dass mein Kunde dem DSA unterliegt. Grund hierfür ist, dass die Instanz wahrscheinlich zwar nur für Kunden angeboten, aber zur Imagepflege betrieben wird. Imagepflege entspricht Werbung mit kommerziellen Ansichten.

Abschließend wird das aber die Rechtsabteilung meines Kunden beurteilen dürfen.

Telemediengesetz

Ob der Betrieb einer Instanz dem TMG unterliegt ist unter Juristen weitläufig unbestritten. Mastodon ist als Telemedium einzuordnen und damit das TMG anzuwenden.

Netzwerkdurchsetzungsgesetz

Das NetzDG wird bei allen Unternehmungen angewandt die mit einer Gewinnabsicht angeboten werden. Hierunter kann mein Kunde durch den Zweck zur Imagepflege fallen. Bei sozialen Medien gilt jedoch die weitere Einschränkung, dass man das NetzDG ab 2 Millionen Benutzern anwendet. Hierunter fällt mein Kunde definitiv nicht - insofern seine Instanz nur für dessen Kunden angeboten wird.

Allgemeine Geschäftsbedingungen

Klar, AGB braucht man. Es ist davon auszugehen, dass die wichtigsten Punkte neben der AGB die der Kunde ohnehin mit seinen Kunden vereinbart, das Willkürverbot ganz oder zum Teil ausgehebelt wird. Das klingt vielleicht schlimmer als es ist.
Kernaussage der AGB sollte sein, dass man den Service kostenfrei und freiwillig anbietet und es keine Garantie und vor allem kein Anspruch auf Verfügbarkeit besteht.
Das schließt nicht nur die allgemeine Verfügbarkeit, sondern auch das Vorhalten von Datensicherungen oder die Möglichkeit einer Benutzerkontenwiederherstellung ein.

Daneben sollte der Kunde noch beschreiben, welche Inhalte auf dessen Plattform erwünscht sind und welche nicht. Das ermöglicht den Ausschluss von Benutzern und ganzen Fediverse-Instanzen.

Datenschutzgrundverordnung

Die DSGVO ein Thema. Das sehe ich entspannt. Man sollte als eine der technischen und organisatorischen Maßnahmen auf jeden Fall die Datenbank auf ein System packen, die nicht extern erreichbar ist. Mit Postgres kein Problem, anders als mit so manchen Flatfile Implementierungen.

Ein Link auf eine Datenschutzerklärung sieht Mastodon in der Standardkonfiguration vor. Das Impressum kann man in der Sektion "About" verlinken. Gerichte sind hier der Ansicht, dass man vom Benutzer erwarten kann, dass wenn er Informationen über den Betreiber sucht, diese auch auf einer Seite wie "Über" finden wird.

Der Rest ist das übliche. Auskunfts- und Löschanfragen müssen ordnungsgemäß bearbeitet und beantwortet werden. Ein Verarbeitungsverzeichnis empfehle ich dem Kunden speziell für den Betrieb der Mastodon Instanz anzulegen und sich nicht auf das schon vorhandene Verzeichnis zu berufen.

Und jetzt?

Es bleibt abzuwarten wie sich der Kunde mit den neuen Informationen entscheidet. Ich finde die Risiken für den Betrieb einer Instanz, auch zur Imagepflege (Werbung), sind überschaubar. Aber wie immer gibt es auch Schwarzmalerei. Vor allem was den Datenschutz angeht.
Ich nehme aber an, dass wenn die interne Rechtsabteilung in Sachen Digital Services Act ihren Segen gibt, dann wird die Instanz sicherlich umgesetzt.