Man könnte auf die Idee kommen, dass diejenigen die einen Account auf einem Mastodon-Server anlegen die Mittel und Zwecke der Verarbeitung festlegen und die Instanzbetreiberin Auftragsverarbeiterin ist. Da viele Accounts unter die Haushaltsausnahme fallen dürften, stellt sich die Frage in den meisten Fällen gar nicht. Im Kontext von Unternehmen oder Behörden die Accounts auf einer Instanz anlegen, ist mir diese Diskussion jedoch schon zu Ohren gekommen.
Ich persönlich halte das mit der Auftragsverarbeitung an der Stelle für etwas abwegig, da die Interaktion zwischen den Accounts auf einer Mastodon-Instanz eine zentrale Rolle einnimmt und vom Server vorgegeben wird. Das spricht meines Erachtens für die Instanzbetreiberin als verantwortliche Stelle und ggf. den Accountinhabenden als eigenständigen Verantwortlichen.
Ginge man von einer Auftragsverarbeitung aus, müsste ja auch jeder Account eigenständige Datenschutzhinweise zur Verfügung stellen und die Datenschutzhinweise der Instanz als solches wären nur für das Anlegen von Accounts, aber nicht die eigentlichen Interaktionen relevant.
Was spricht für eine Auftragsverarbeitung, was dagegen? Wie müsste die Mastodon-Software angepasst werden um eine Auftragsverarbeitung sauber abzubilden?