| |
Datenschutz wird oft als Argument aufgeführt, um geschlossene Matrix-Instanzen zu rechtfertigen und um keine Schnittstelle nach außen (=Interoperabilität) haben zu müssen. Aus einer E-Mail auf Landesebene:
…, was von uns aus datenschutzrechtlichen Gründen ausdrücklich nicht gewünscht ist.
Warum eine Interoperabilität (gemeint ist hier nicht eine Matrix-Föderation) aus Gründen des Datenschutzs nicht möglich sei, erschließt sich bisher nicht. Anscheinend ist vielmehr die sog. „offene Replikation“ mit anderen Matrix-Instanzen gemeint und das Problem. Bei Diskussionen und Fragen ist deshalb viel Wert auf eine gemeinsame Begriffsdefinition zu legen!
Datenschutz als Argument für geschlossene Matrix-Instanzen umfasst nicht die Interoperabilität wie sie über eine Schnittstelle zum Chatstandard XMPP möglich ist, da hier andere technische Abläufe vorliegen und zu beachten sind. Bezüglich Interoperabilität ist der Datenschutz separat zu prüfen - und natürlich auch einzuhalten!
Nachfolgend der Versuch einer systembezogenen Betrachtung, um die Unterschiede und Probleme speziell in Bezug auf die Matrix-Föderation (Synchronisation) herauszuarbeiten. Eine fallbezogene Betrachtung ist darüber hinaus ebenfalls nicht schnell und einfach zu bewerkstelligen, da dort bis zu Datenfeldern ins Detail gegangen werden muss.
Inhalt:
Auf Grund der geteilten Zuständigkeiten bei den (Datenschutz-)Aufsichtsbehörden fällt die Aufsicht über den Einsatz von Telekommunikationsdiensten und anderen Diensten in der Regel nicht in die Zuständigkeit des/der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), sondern in die der Länder.
Die Matrix-Spezifikation gibt vor, daß Konversationen als „Räume“ realisiert werden, die auf allen Servern der jeweils beteiligten Teilnehmer repliziert werden. Matrix vergleicht sich (fälschlicherweise!) immer wieder mit E-Mail, denn Matrix gleicht eher „Chat per Git“ also Messaging auf der Basis von verteilten Datenbanken. Matrix wurde nicht mit dem Fokus auf Datenschutz entwickelt, was vermutlich auch der Grund für die vielen geschlossenen Matrix-Instanzen) ist.
Auch wird seitens Matrix auch nicht damit geworben, daß Nutzer die volle Kontrolle über ihre Kommunikation behalten - statt dessen bietet Matrix folgendes:
Matrix definiert eine Reihe offener APIs für die dezentralisierte Kommunikation, die für die sichere Veröffentlichung, Speicherung und das Abonnieren von Daten über eine globale offene Föderation von Servern ohne einen einzigen Kontrollpunkt geeignet sind.
Quelle: Erster Satz der Matrix-Spezifikation (extern)
Zu diesem grundsätzlichen Fakt (kein Kontrollpunkt) liegen noch keine Aussagen des BfDI oder von Landesdatenschutzbeauftragten vor - diese beschränken sich immer auf einzelne, konkrete Fälle.
Das Grundkonzept von Matrix bedeutet also eine Replizierung von Chaträumen (auch 1:1-Chats) auf alle am jeweiligen Chat beteiligten Server. Genau das ist auch bei offener/öffentlicher Föderation datenschutztechnisch problematisch (Ausführungen dazu s.u.).
Anmerkungen:
Aktuell gibt es keine deutschen Allgemeinen Geschäftsbedingungen (AGB) oder deutsche Datenschutzbedingungen der größten Matrix-Instanz („Matrix.org“), die eine offene Föderation ermöglich.
Ein weiterer datenschutzrelevanter Punkt ist die Verwendung des “Identitätsservers”: Durch die Empfehlung zur Eingabe der Telefonnummer bei der Anlage von Matrix-Chatkonten werden die Telefonnummern dann in einem zentralen Verzeichnis vorgehalten.
Auf diese beiden Punkte wird nachfolgend jedoch nicht nähers eingegangen.
Da Matrix „Föderation“ nicht näher unterscheidet und von „weltweiter offener Föderation“ („global open federation“ spricht, ist vor der eigentlichen Fragestellung zur datenschutzrechtlich zulässigen Nutzung eine Fallbeschreibung bzw. genauere Begriffsdefinition sehr wichtig und helfen auch bei Rückfragen und Auskünften bei und von Datenschutzbeauftragten:
Matrix-Server
Ein einzelner Server; entspricht bei nur einem Server einer „Matrixinstanz“. Der eigene Matrix-Server wird „Homeserver“ genannt.
Matrix-Instanz
Ein oder mehrere Matrix-Server, die innerhalb einer Organisation/Firma betrieben werden und untereinander „föderieren“. Sie haben eine gemeinsame Adresse.
Föderation
Ganz allgemein: Zusammenarbeit von / Synchronisation zwischen Matrix-Servern. Globale Föderation bedeutet weltweite Föderation zwischen allen dafür freigeschalteten Matrix-Servern. Mehr Details s.u.
Geschlossene Föderation
Zusammenarbeit von / Synchronisation zwischen Matrix-Servern, die keine Kommunikation zu/von anderen (dritten) Matrixinstanzen erlauben. Also ein Inselbetrieb, bei dem mehrere Server im internen Einsatz sind.
Beispiele: Bundeswehr, TI-Messenger (Gesundheitswesen), Tchap (französische Regierung)
offene Föderation
Zusammenarbeit von / Synchronisation auch zwischen anderen/fremden Matrixinstanzen. Es gibt keine Beschränkung auf bestimmte Matrix-Server. Von diesen können jedoch keine Matrixinstanzen kontaktiert werden, die geschlossen föderieren!
Beispiele: Hier gibt es unzählige Matrixinstanzen, die von Vereinen, Unternehmen oder Privatpersonen angeboten werden.
Gesprächsarten
Alle nachfolgenden Fälle werden in Matrix jeweils als „Raum“ mit unterschiedlichen Zugangsberechtigungen realisiert:
Fall 1: Gespräche zwischen zwei Personen („1:1“)
Fall 2: Gruppen
Gruppen sind Chaträume für mindestens zwei Personen. Gruppen können nicht nur auf einer Matrixinstanz angelegt/genutzt werden, sondern (je nach Föderationsart) auch von Teilnehmern auf unterschiedlichen Servern.
Fall 3: Öffentliche Chaträume
… ohne Begrenzung von Servern und ohne Begrenzung der Teilnehmer. Diese entsprechen einem öffentlichen Platz, an dem jeder zuhören und ggfs. etwas beitragen kann. Diese sind nur auf/von/mit Matrix-Instanzen möglich, die „offen föderieren“.
Föderation von Matrix-Servern ist eine spezielle Art der Föderation und nicht mit Interoperabilität gleichzusetzen oder zu verwechseln. Interoperabilität an sich ist wie bei Telefon oder E-Mail durch das Einhalten von definierten Schnittstellen möglich.
Spannender als Interoperabilität (in Bezug auf den Datenschutz) ist bei Matrix vielmehr also die Frage nach der systembedingt „anbieterübergreifenden Synchronisation“ (= Matrix-Föderation), die ein komplexer Sachverhalt ist und zudem auf verschiedenen Ebenen stattfinden kann:
Anmerkung:
Der Einfachheit halber wird ab hier nur noch vom „eigenen“ Server gesprochen - auch wenn das mehrere Server pro Instanz sein können!
Unabhängig vom eigenen Server kann im Offline-Fall, bei Neustart, Ausfall oder Abschalten eines Servers oder beim beim Deaktieren der Matrix-Funktion weiterhin eine Kommunikation zwischen diesen fremden Instanzen (Anbietern) stattfinden, da keine der beteiligten Instanzen eine Kontrolle (Hoheit) über die Daten hat („ohne Kontrollpunkt“). Das ist für die Ausfallsicherheit von Matrix-Chaträumen elementar.
Dazu kommt, daß bei der Matrix-Föderation die Nutzer verschiedener Instanzen nicht grundsätzlich mit allen anderen Matrix-Nutzern kommunizieren können, sondern die Matrix-Föderation begrenzt werden kann. Konkret heißt das, die Funktion kann komplett deaktiviert, für bestimmte Instanzen aktiviert oder generell freigeschaltet werden.
Nicht zu vergessen die grenzüberschreitende europa- oder weltweite Matrix-Föderation, bei der dann mehrere (unterschiedliche) Gesetze (in den USA z.B. Patriot Act) gelten können.
Nachfolgend verschiedene Informationen zum Thema Datenschutz/Privatsphäre aus der Matrix-Dokumentation …
In der “privacy notice” (extern) von Matrix.org ist unter „2.1.2 Right to erasure“ zu lesen:
“We therefore share state events sent by your account with all non-essential data removed (‘redacted’), even after we have processed your request to be forgotten. This means that your username will continue to be publicly associated with rooms in which you have participated, even after we have processed your request to be forgotten.”
Maschinell übersetzt:
“Daher teilen wir die von Ihrem Konto gesendeten Statusereignisse mit allen nicht wesentlichen Daten, die entfernt wurden (“redigiert”), auch nachdem wir Ihre Anfrage, vergessen zu werden, bearbeitet haben. Das bedeutet, dass Ihr Benutzername weiterhin öffentlich mit Räumen in Verbindung gebracht wird, an denen Sie teilgenommen haben, auch wenn wir Ihre Anfrage, vergessen zu werden, bearbeitet haben.”
Das bedeutet, daß die Beziehung von Personen zu Räumen nicht zuverlässig gelöscht werden kann.
Des Weiteren unter „2.3.1.1 Federation“:
„We will forget your copy of your data upon your request. We will also forward your request to be forgotten onto federated homeservers. However - these homeservers are outside our span of control, so we cannot guarantee they will forget your data.“
Maschinell übersetzt:
“Wir werden Ihre Kopie Ihrer Daten auf Ihren Wunsch hin vergessen. Wir werden Ihren Antrag auf Vergessenwerden auch an föderierte Homeserver weiterleiten. Diese Homeserver befinden sich jedoch außerhalb unseres Einflussbereichs, so dass wir nicht garantieren können, dass diese Ihre Daten vergessen.”
Antwort des BdFI vom 02.12.2024:
Ich stimme Ihnen in Ihrer Annahme zu, dass die Beziehung von Nutzernamen zu Räumen nicht vollständig entfernt wird.
Die allgemein gebotene Datensparsamkeit ist in Bezug auf unnötig gespeicherte Benutzernamen und Profilbildern in Anbetracht von teils ‘riesigen’ Chaträumen und vielen beteiligten Matrix-Servern vor allem bei offener Föderation also schwer zu erreichen.
Des Weiteren in der Dokumentation zur Matrix-Spezifikation (extern) von Matrix.org:
„Matrix defines a set of open APIs for decentralised communication, suitable for securely publishing, persisting and subscribing to data over a global open federation of servers with no single point of control.“
Maschinell übersetzt: „Matrix definiert eine Reihe offener APIs für die dezentralisierte Kommunikation, die für die sichere Veröffentlichung, Speicherung und das Abonnieren von Daten über eine globale offene Föderation von Servern ohne einen einzigen Kontrollpunkt geeignet sind.“
sowie dort im Abschnitt zur Architektur (extern):
„Each homeserver stores the communication history and account information for all of its clients, and shares data with the wider Matrix ecosystem by synchronising communication history with other homeservers and their clients.“
Maschinell übersetzt:
„Jeder Homeserver speichert den Kommunikationsverlauf und die Kontoinformationen aller seiner Clients und tauscht die Daten mit dem gesamten Matrix-Ökosystem aus, indem er den Kommunikationsverlauf mit anderen Homeservern und deren Clients synchronisiert.“
und:
„As such, no single homeserver has control or ownership over a given room. As such, no single homeserver has control or ownership over a given room.“
Maschinell übersetzt:
„Daher hat kein einzelner Homeserver die Kontrolle oder das Eigentum über einen bestimmten Raum.“
Informationen zum Datenschutz bei Matrix sind rar. Außer selbst gesammelten und veröffentlichten Informationen habe ich bisher nur folgende externe Quellen gefunden:
Privacy-Handbuch (extern)
„There is no single point of control or failure in a Matrix conversation which pans multiple servers: the act of communication with someone elsewhere in Matrix shares ownership of the conversation equally with them.“
Maschinell übersetzt:
„In einer Matrix-Konversation, die sich über mehrere Server erstreckt, gibt es keinen einzelnen Kontroll- oder Fehlerpunkt: Die Kommunikation mit einer Person an einem anderen Ort in der Matrix ist gleichermaßen Eigentum der Konversation wie diese.“
Ein Fehler in der Matrix; 02.06.2022 (extern)
Englische “Hinweise zum Datenschutz und zur Datenerfassung von Matrix.org”:
Mit „The Grid“ (extern) gibt es von ein paar ehemaligen Matrix-Entwicklern eine Matrix-Abspaltung die mehr Freiheit und Datenschutz zum Ziel hat. Zwar stimmen einige der dort aufgeführten Punkte, allerdings wurden diese jedoch größtenteils behoben: https://matrix.org/blog/2019/09/27/privacy-improvements-in-synapse-1-4-and-riot-1-4 (extern).
„The Grid’s data collection papers contained some valid points, which were mostly fixed.“
Quelle: Aus weitergeleiteter Information per E-Mail
„The Grid“ strebt folgende Ziele an:
“Matrix’s ideals are Openness, Decentralization and Encryption while The Grid’s ideals are Freedom, Privacy and Security.”
Quelle: https://gitlab.com/thegridprotocol/home/blob/master/docs/overview.md (extern)
Vorab nochmals: Raumdaten werden konzeptbedingt auf allen Homeservern repliziert, deren Benutzer an einem bestimmten Raum beteiligt sind.
These:
„Die Regelungen zum Datenschutz können entsprechend der gesetzlichen Vorgaben umgesetzt werden. In diesem Fall ist ein DSGVO-konformer Betrieb möglich.“
Antwort BfDI vom 02.12.2024:
Dieser These stimme ich uneingeschränkt zu. Damit geht jedoch nicht die Aussage einher, dass jede geschlossene Föderation auch datenschutzkonform ist.
Das bedeutet, dass bei geschlossener Föderation nicht automatisch davon ausgegangen werden kann, dass der Betrieb datenschutzkonform ist: Es ist auch hier der Einzelfall zu prüfen.
These:
“Die Regelungen zum Datenschutz können nicht entsprechend der gesetzlichen Vorgaben umgesetzt werden. In diesem Fall ist kein DSGVO-konformer Betrieb möglich. Man verliert bei offener Föderation die Datenhoheit, da eine Replikation des kompletten Raums mit beliebigen anderen Matrixinstanzen erfolgt, die zudem vorab nicht bekannt sind.“
Frage: Reichen hier allein schon die systembedingten Merkmale (Replikation von Einstellungen, Teilnehmern, Rechte, Nachrichten) aus oder muß dies durch einzelne Datenfelder unterlegt werden?
Antwort BfDI vom 02.12.2024, die sich gleichzeitig auch auf auf den Abschnitt „Kommunikation in öffentlichen Chaträumen“ bezieht:
Diese These lässt sich in dieser Allgemeinheit nicht abschließend bestätigen oder widerlegen. Bei der Beantwortung kommt es daher auf die Umstände des jeweiligen Einzelfalls an.
Die dazu notwendigen wesentlichen rechtlichen Grundlagen sind wie folgt:
Das Recht auf Löschung wird in Art. 17 DSGVO geregelt. Grundsätzlich ist der für die Datenverarbeitung Verantwortliche verpflichtet, bei Vorliegen einer der in Absatz 1 genannten Gründe personenbezogene Daten der betroffenen Person zu löschen.
Auf Grund der technischen Ausgestaltung von Matrix können bei offener Föderation durchaus mehrere Verantwortliche im Sinne der DSGVO auftreten.
Nach Art. 17 Abs. 2 DSGVO muss ein Verantwortlicher Maßnahmen treffen um andere Verantwortliche über ein Löschersuchen der betroffenen Person zu informieren, sofern der Verantwortliche Daten öffentlich gemacht hat. Diese Verpflichtung gilt aber nicht uneingeschränkt, sondern greift nur unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten. Hinsichtlich Ihrer Frage der Beziehung von Personen zu Räumen ist aber fraglich, ob von einem „Öffentlichmachen“ im Sinne der Norm ausgegangen werden kann.
In Fällen, in denen ein Verantwortlicher personenbezogene Daten einem anderen Verantwortlichen (Empfänger) Daten offengelegt (also etwa übermittelt) hat, greift Art. 19 DSGVO. Dieser sieht eine Mitteilungspflicht über eine Löschung vor, welche jedoch nicht greift, wenn die Mitteilung sich als unmöglich oder mit einem unverhältnismäßigen Aufwand verbunden erweist.
Darüber hinaus ist es auf Grund der anzunehmenden Ausgestaltung der einzelnen Instanzen und dessen Zusammenspiel wahrscheinlich, dass nicht alleinig die DSGVO, sondern auch das Telekommunikationsgesetz (TKG) sowie weitere Vorgaben aus dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) Anwendung finden. Sofern die offene Föderation nicht auf Deutschland beschränkt ist, kommt verschärfend hinzu, dass die Vorgaben des europäischen Kodex für die elektronische Kommunikation (EKEK) [1], einer umsetzungsbedürftigen Richtlinie, in den nationalen Umsetzungsrechtsakten (in Deutschland TKG und TDDDG) der europäischen Mitgliedsstaaten unterschiedlich ausgeprägt sein können.
Die Frage, ob ein Telekommunikationsdienst (TKD) vorliegt oder nicht, erfordert eine detaillierte Prüfung des jeweiligen Dienstes. Mitunter kommt es dabei auf einzelne Konfigurationen an. Beispielsweise könnte eine Matrixinstanz in der einen Ausgestaltung als TKD gelten, in einer anderen jedoch nicht. Ist ein TKD involviert, ist etwa fraglich, ob die Urheber einer Nachricht auch bei den Kommunikationspartner:innen im Falle einer Accountlöschung gelöscht werden müssen. Hier könnte eine Abwägung zwischen dem Interesse der Kommunikationpartner:innen hinsichtlich einer klaren und nachvollziehbaren Kommunikation mit dem Recht auf Vergessen erforderlich werden.
In der Praxis ist daher notwendig, in einem ersten Schritt Klarheit über das Vorliegen eines TKD zu gewinnen. Die reine Möglichkeit offen zu Föderieren ist dabei gewichtiger als das tatsächlich offen föderiert wird. Dennoch ist die alleinige Möglichkeit als auch das tatsächliche offene Föderieren kein direkter Garant dafür, dass ein Telekommunikationsdienst vorliegt.
Nach überschreiten dieser Hürde, sind anschließend die einzelnen Fragestellungen, technischen Gegebenheiten und etwaigen Sondergegebenheiten des konkreten Dienstes zu bewerten.
Da hier jeweils die Besonderheiten des Einzelfalls zu betrachten ist, ist es mir leider nicht möglich, Ihre These fundiert abstrakt zu bestätigen oder zu widerlegen.
Da eine generelle Betrachtung nicht möglich scheint, würde ich nach dem Grundsatz „Im Zweifel nie“ handeln und als Serverbetreiber keine offene Föderation zulassen.
Besser nicht die Finger verbrennen, wenn nicht alle beteiligten Instanzen (bei offener Föderation ist das unmöglich) eine datenschutzrechtliche Einzelfallprüfung erfolgreich überstehen. Es gibt zu viele Regelungen, Bedingungen, Abhängigkeiten und unbekannte Faktoren die alle miteinander zusammenhängen. Zudem ist der Zeit- und Kostenaufwand für eine Einzelfallprüfung nicht zu unterschätzen.
These:
„Auch hier hat kein einzelner Homeserver die Kontrolle oder das Eigentum über einen bestimmten Raum. Somit ist keine DSGVO-konforme Nutzung möglich.“
Fragen: Was bedeutet das für einen Administrator/Serverbetreiber? Wer ist bei einer erforderlichen Nachrichtenlöschung für die Daten bei anderen Servern verantwortlich? Wer ist für Sperrung von Nutzern verantwortlich?
Antwort BfDI vom 02.12.2024:
Aus den oben genannten Gründen lassen sich daher auch die ergänzenden Fragestellungen nicht ohne Weiteres beantworten. Bei erster Näherung ist der Serverbetreiber - sofern Verantwortlicher - nur für die Löschung auf dem eigenen Server zuständig bzw. verantwortlich. Abhängig vom konkreten Sachverhalt könnte dieser verpflichtet sein, andere Empfänger über das Löschgesuch zu unterrichten, wäre dann aber nicht für die tatsächliche Durchführung der Löschung verantwortlich. Grundsätzlich ist dies jedoch in jedem Einzelfall zu bewerten.
These:
„Matrix-Brücken können nicht DSGVO-konform betrieben werden, da hier noch weniger Kontrolle als beim föderierten Betrieb möglich ist, Datensparsamkeit noch weniger erreicht wird, die Bedingungen der „anderen“ Systeme nicht aktiv akzeptiert werden können und ein Fremdzugriff teils sogar verboten ist.“
Antwort BfDI vom 02.12.2024:
Auch in diesem Fall kommt es sehr stark auf den Einzelfall und die konkrete Implementierung an. Wird die Brücke von einem Dienstleister eingesetzt oder von einer Privatperson zur eigenen Nutzung?
Bei der Bewertung der Datenschutzkonformität von Diensten und Systemen ist zwar durchaus die Anforderung der Datensparsamkeit zu berücksichtigen und zu bewerten, jedoch stellt diese Anforderung keine absolute Vorgabe dar. Vereinfacht ausgedrückt ist eine Lösung nicht automatisch nicht mehr datenschutzkonform, sobald eine andere Lösung weniger Daten verarbeitet.
Hinsichtlich „der Bedingungen der ‘anderen’ Systeme“ ist mir nicht ganz klar, welche Parteien hier diese Bedingungen nicht akzeptieren können? Die Nutzer:innen einer Brücke? Die Person, welche auf dem anderen Ende (unwissentlich) mit bzw. über eine Brücke kommuniziert oder noch andere Personen? Auch ist mir das Verbot des Fremdzugriffs an dieser Stelle unklar.
Erläuterung, was unter „Fremdzugriff“ zu verstehen ist:
Manche Systeme wie z.B. WhatsApp oder Signal erlauben es lt. AGB nicht, mit anderen Clients als dem hauseigenen sich mit dem Server zu verbinden.
Es gibt verschiedene Lösungsansätze, die systembedingte Datenschutzproblematik in den Griff zu bekommen …
Immer wieder wird von betrieblichen Datenschutzbeauftragten auf das berechtigte Interesse als Rechtsgrundlage im Sinne des Art. 6 DSGVO verwiesen: „Die Nutzenden anderer Server wollen mit Nutzenden unseres Servers kommunizieren und somit besteht von beiden Seiten ein Interesse daran, diese Kommunikation zu ermöglichen.“
Demgegenüber steht das Recht auf Löschung und es können folgende Fragen gestellt werden:
… noch habe ich hierzu keine Antwort(en), bin jedoch gerne Bereit diese mit einem Datenschutzbeauftraten auf Landesebene (diese sind hierfür zuständig) zu besprechen. Denn auch wenn ein solcher Grund („es besteht Interesse daran“) angegeben wird: Es ist rechtlich schlicht nicht alles möglich, woran „man“ Interesse hat.
In Bezug auf die offene Matrix-Föderation könnte der Auftrag zur Datenverarbeitung jeweils erweitert werden. Das ist jedoch praktisch kaum möglich ohne die Datenhoheit zu verlieren bzw. es reicht schon, sie verlieren zu können. Es müsste folglich immer eine entsprechende Vereinbarung mit den beteiligten Anbietern getroffen werden, was de facto nicht möglich ist.
Am vielversprechendsten scheint der tatsächliche Verzicht auf offene Matrix-Föderation und Kommunikation „nach außen“ (mit anderen Systemen) auf standardisierte Schnittstellen zurückzugreifen, die keine Replizierung von Datenbanken erfordern.
Querverweis: Unterschied Föderation und Interoperabilität
Datenschutz ist ein komplexes Thema. Es gibt zu viele betriebsinterne, nationale und internationale Regelungen, Gesetze, Bedingungen, Abhängigkeiten und unbekannte Faktoren die alle miteinander zusammenhängen. Zudem ist der Zeit- und Kostenaufwand für eine Einzelfallprüfung nicht zu unterschätzen.
trotzdem denke ich, folgende Punkte sind zusammenfassend zutreffend:
Eine geschlossene Matrix-Föderation ist nach datenschutzrechtlicher Einzelfallprüfung möglich.
Unabhängig davon, dass eine systemische Betrachtung offener Föderation derzeit nicht möglich scheint kann jedoch nicht ausgeschlossen werden, dass Matrix-Instanzen aus Drittstaten (z.B. USA oder China) beteiligt sind, die andere Regelungen zum Datenschutz haben.
Deshalb gilt hier der Grundsatz „Im Zweifel nie!“ und Serverbetreibern ist zu empfehlen, keine offene Föderation zuzulassen. Besser nicht die Finger verbrennen, wenn nicht alle beteiligten Instanzen (bei offener Föderation ist das unmöglich) eine datenschutzrechtliche Einzelfallprüfung erfolgreich überstehen.
Öffentliche Chaträume bei Matrix sind ebenfalls schwierig einzuschätzen; eine konkrete Beurteilung durch einen Datenschutzbeauftragten liegt nicht vor.
Querverweis: Gedanken zu Matrix