Ich habe Diskussionen darüber gesehen, eine Datenschutzfolgenabschätzung für Mastodon durchzuführen. Dass es generell eine gute Idee ist, sich im Rahmen einer DSFA systematisch mit den Risiken und den implementierten Abhilfemaßnahmen zu beschäftigen, will ich hier gar nicht in Frage stellen. Wenn jemand eine DSFA macht, sind wir am Ende sicherlich alle schlauer und wissen, an welchen Stellen die Software verbessert werden sollte, bzw. was beim Betrieb zu berücksichtigen ist.

Worauf ich hinaus will, ist die Frage, ob für den Betrieb einer regulären Instanz eine DSFA erforderlich ist. Von den neun Kriterien des WP 248 sehe ich eigentlich nur die Datenverarbeitung in großem Umfang als typischerweise erfülltes Kriterium. Jedenfalls auf einer “regulären” Instanz, welche nicht zum Beispiel schon durch die Wahl der Instanz einen Art. 9-Bezug des Accountinhabenden nahelegt.

Wäre eine DSFA für Instanzbetreibende verpflichtend, hätte dies ja auch zur Folge, dass sie in Deutschland gemäß § 38 BDSG einen Datenschutzbeauftragten benennen müssten. Das haben wohl nur die wenigsten Instanzen.