Bluesky, Eurosky, W Social, Mastodon: vier Wege aus dem US-Plattformdilemma
Wer in den letzten Monaten die Diskussion um europäische Alternativen zu X verfolgt hat, ist immer wieder denselben Namen begegnet: Bluesky, Eurosky, W Social und, mit gewissem Recht etwas länger im Spiel, Mastodon. Auf den ersten Blick wirken sie wie konkurrierende Plattformen. Tatsächlich beschreiben sie vier sehr unterschiedliche Antworten auf dieselbe Frage: Wie organisiert man öffentliche Kommunikation, ohne sie einer US-Jurisdiktion zu überlassen?
Für Datenschutzbeauftragte und Verantwortliche, die gerade Empfehlungen für die eigene Organisation formulieren, lohnt der genauere Blick. Denn die vier Modelle verteilen die regulatorischen Lasten und Risiken sehr verschieden.
Zwei Protokolle, zwei Philosophien
Drei der vier Projekte bauen auf dem AT Protocol (Authenticated Transfer Protocol) auf: Bluesky, Eurosky und W Social. Mastodon dagegen nutzt das ältere ActivityPub, das vom W3C standardisiert ist und das gesamte sogenannte Fediverse trägt, also auch Peertube, Pixelfed, Lemmy und mittlerweile sogar Threads von Meta.
Beide Protokolle verfolgen dasselbe Ziel, nämlich die Entkopplung der Plattform von der Identität, gehen aber unterschiedliche Wege. ActivityPub trennt nach Servern (Instanzen): wer auf instance-a.org einen Account hat, kann mit instance-b.eu kommunizieren, aber bleibt an seine Heimatinstanz gebunden. Das AT Protocol trennt feiner: Identität, Datenspeicher und App können an drei verschiedenen Orten liegen, der Account ist portabel.
Für eine regulatorische Bewertung ist diese Unterscheidung relevant, weil sie unterschiedliche Verantwortlichkeitsstrukturen erzeugt.
Die vier Modelle im Überblick
Bluesky ist die ursprüngliche AT-Protocol-Plattform, betrieben von der Bluesky Social PBC mit Sitz in den USA. Wer dort einen Account hat, dessen Inhalte liegen ausschließlich auf US-Servern unter US-Recht, mit allen bekannten Implikationen aus CLOUD Act und FISA 702. Bluesky ist mittlerweile Mainstream geworden (rund 40 Millionen Nutzer), bleibt für europäische Nutzer aus reiner Datenschutzsicht aber das schwächste der vier Modelle.
Eurosky ist kein Frontend, sondern Infrastruktur. Die in Den Haag ansässige Modal Foundation betreibt einen Personal Data Server in Europa, mit dem man am AT-Protocol-Netzwerk teilnimmt, ohne dass die eigenen Daten in den USA landen. Eine Migration eines bestehenden Bluesky-Accounts samt Followern und Posts ist über das EU-HAUL-Tool möglich. Die regulatorische Einordnung ist klar: Hosting in der EU, voller Geltungsbereich von DSGVO und DSA. Wichtige Einschränkung: Daten im AT Protocol sind heute noch durchgängig öffentlich; private Nachrichten sind erst im Lauf von 2026 angekündigt. Die Moderation läuft aktuell teilweise noch über Bluesky, ein eigenes EU-Moderationssystem (Arbeitstitel CoCoMo) ist in Aufbau.
W Social ist eine neue, eigenständige App, die auf dem AT Protocol aufsetzt und als Fork der Bluesky-App entstand. Geführt wird das Unternehmen von Anna Zeiter, frühere Chief Privacy Officer von eBay; Träger ist die schwedische W Social AB, Malmgårdsvägen 63, Stockholm (HRB 559544-6690), eine Tochter von We Don't Have Time AB. Die Plattform befindet sich seit 9. Mai 2026 in einer geschlossenen Testphase, die öffentliche Beta ist für 17. Juni 2026 angekündigt.
Datenschutzrechtlich verdient W Social einen genaueren Blick, weil das Modell anders konstruiert ist, als die öffentliche Berichterstattung vermuten lässt (dazu unten mehr).
Mastodon ist der eigentliche Veteran. Bereits 2016 vom deutschen Entwickler Eugen Rochko gestartet, organisiert sich Mastodon seit Anfang 2026 als gemeinnützige Struktur mit Trägern in Deutschland und den USA; Felix Hlatky hat die Geschäftsführung übernommen. Es gibt keinen zentralen Betreiber im klassischen Sinn, sondern rund 8.000 bis über 11.000 unabhängige Instanzen, die über ActivityPub föderieren. Für eine europäische Organisation besonders interessant: Sowohl der EDSB (EU Voice) als auch der deutsche BfDI betreiben seit Jahren eigene Mastodon-Instanzen für die öffentliche Verwaltung. Aktuell rund 10,5 Millionen registrierte Accounts, davon zwischen 750.000 und einer Million monatlich aktive Nutzer. Das Wachstum ist verhalten, das Netzwerk dafür stabil.
Der Vergleich auf einen Blick
| Kriterium | Bluesky | Eurosky | W Social | Mastodon |
|---|---|---|---|---|
| Protokoll | AT Protocol | AT Protocol | AT Protocol | ActivityPub (Fediverse) |
| Rolle | Plattform (App + Infrastruktur) | Infrastruktur (PDS) | eigenständige App | Software für föderierte Instanzen |
| Rechtsträger / Sitz | Bluesky Social PBC, USA | Modal Foundation, NL | W Social AB, Stockholm (SE) | Mastodon gGmbH (DE) / Mastodon Inc. (US), Non-Profit |
| Datenhaltung | USA | EU | EU | je Instanz, weltweit |
| Anwendbares Recht | US-Recht inkl. CLOUD Act | DSGVO, DSA | DSGVO, DSA | je nach Instanz (bei EU-Hosting voll DSGVO/DSA) |
| Identifikation | anonym/pseudonym | anonym/pseudonym | verifizierter Mensch via separatem Dienst, Pseudonymität auf der Plattform | anonym/pseudonym, je Instanz unterschiedlich |
| Moderation | zentrales Labeling-System | aktuell teils Bluesky, eigenes EU-System im Aufbau | DSA-konformer Ansatz geplant, gesetzliche Pflicht nach Art. 6 Abs. 1 lit. c DSGVO | dezentral je Instanz, eigene Richtlinien |
| Status (Mai 2026) | öffentlich, ~40 Mio. Nutzer | Registrierung offen | Testphase, Beta ab 17. Juni 2026 | ~10,5 Mio. Accounts, ~0,8 Mio. MAU |
| Migration / Portabilität | nur innerhalb Bluesky | EU-HAUL aus Bluesky | Neuregistrierung mit Verifikation | Account-Move zwischen Instanzen möglich, Posts bleiben bei alter Instanz |
| Institutioneller EU-Einsatz | gering | aufstrebend | unklar | etabliert (EDSB, BfDI, mehrere Behörden) |
W Social im Detail: das Zwei-Verantwortlichen-Modell
In der öffentlichen Berichterstattung wird W Social meist verkürzt als "Plattform mit Ausweispflicht" beschrieben. Die tatsächliche datenschutzrechtliche Konstruktion ist deutlich raffinierter und, anders als zunächst angenommen, durchaus durchdacht.
Laut der Datenschutzerklärung von W Social (Stand 20. März 2026) ist die Identitätsverifikation an eine eigene Rechtsperson namens W Identity ausgelagert, die unter der DSGVO ein eigener Verantwortlicher im Sinn von Art. 4 Nr. 7 ist. W Social selbst erhält von W Identity nur drei Datenpunkte: eine UUID, das Pass-Ausstellerland und das Geburtsjahr. Lichtbild, Ausweiskopie und Klarname verbleiben bei W Identity und werden W Social explizit nicht zur Verfügung gestellt.
Das hat zwei Konsequenzen, die in der öffentlichen Einschätzung oft zu kurz kommen:
- Erstens: Auf der Plattform selbst bleibt der Nutzer pseudonym. W Social verifiziert nur, dass hinter einem Account ein eindeutiger, geprüfter Mensch steht, ohne zu wissen, wer dieser Mensch ist. Aus DSGVO-Perspektive ist das eine bemerkenswerte Architektur, weil sie das Verifikationsziel (Bot-Vermeidung, DSA-Sorgfaltspflichten) mit dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO in Einklang bringt.
- Zweitens: Die DSFA-Frage verlagert sich. Wer die Risikoabwägung nach Art. 35 DSGVO machen will, muss zwei getrennte Verarbeitungstätigkeiten betrachten, eine bei W Identity (mit Ausweisdaten und potenziell biometrischer Auswertung, mutmaßlich Art. 9 DSGVO) und eine bei W Social (mit minimalen Daten und klassischer Plattformlogik). Die Datenschutzerklärung von W Identity selbst war zum Zeitpunkt dieser Recherche noch nicht öffentlich zugänglich und wird genau zu prüfen sein, sobald sie vorliegt.
- Die Rechtsgrundlagen bei W Social selbst sind sauber aufgesetzt: Art. 6 Abs. 1 lit. b DSGVO für Vertrag und Plattformnutzung, Art. 6 Abs. 1 lit. f für Sicherheits- und Föderationszwecke, Art. 6 Abs. 1 lit. c für gesetzlich vorgeschriebene Moderation, Art. 6 Abs. 1 lit. a für den Newsletter. Eine automatisierte Entscheidungsfindung nach Art. 22 DSGVO wird ausdrücklich ausgeschlossen.
Ein Punkt bleibt allerdings heikel: W Social teilt Inhalte der User, falls diese mit Personen in den USA kommunizieren auch mit AT-Protocol-Partnern, ausdrücklich auch mit Bluesky Social PBC in den USA. Die Plattform stützt diese Übermittlung auf Art. 49 Abs. 1 lit. b DSGVO (Übermittlung zur Vertragserfüllung). Das ist regulatorisch nicht abwegig, aber Art. 49 ist eine Ausnahmevorschrift und nicht für regelmäßige, strukturelle Drittlandübermittlungen gedacht. Die Aufsichtsbehörden, der EDSA und die Rechtsprechung haben hier wiederholt eine enge Auslegung gefordert. Wer auf W Social öffentlich postet, muss wissen, dass diese Inhalte über den Föderationsmechanismus auch in den USA landen. Bei nicht öffentlich gewollten Inhalten (Direktnachrichten, sobald implementiert) wäre dieselbe Konstruktion deutlich problematischer.
Was bedeutet das für die Praxis?
Aus Souveränitäts- und Compliance-Sicht ergeben sich vier sehr unterschiedliche Profile.
- Mastodon ist die am weitesten erprobte Option und für öffentliche Stellen und regulierte Organisationen aktuell der gangbarste Weg. Der EDSB betreibt mit EU Voice seit 2022 eine eigene Instanz für EU-Organe, der BfDI seit 2020 eine für deutsche Bundesbehörden. Wer als Behörde, Verband oder regulierter Mittelständler eine Präsenz aufbauen will, kann entweder einer dieser Instanzen beitreten oder eine eigene betreiben, mit voller Kontrolle über Datenhaltung, Moderation und Datenschutzinformationen. Der Nachteil: geringe Reichweite, anspruchsvolles Onboarding für die eigenen Nutzer.
- Eurosky ist konzeptionell interessant. Bestehender Bluesky-Account bleibt erhalten, Datenstandort wechselt in die EU, regulatorische Anwendbarkeit ist eindeutig. Wer also bereits auf Bluesky Reichweite hat, kann diese mitnehmen, ohne im US-Jurisdiktionsbereich zu verbleiben. Der Haken liegt im AT Protocol selbst, das aktuell strukturell keine privaten Inhalte kennt.
- W Social ist datenschutzrechtlich besser konstruiert, als die öffentliche Debatte nahelegt. Die saubere Trennung zwischen W Identity und W Social ist ein gelungenes Beispiel für Privacy by Design im Sinn von Art. 25 DSGVO. Wer eine verifizierte, pseudonyme Plattform sucht, findet hier ein klar dokumentiertes Modell. Die offene Flanke bleibt die Drittlandübermittlung an Bluesky auf Basis von Art. 49 DSGVO, die rechtlich vertretbar, aber nicht jenseits jeder Diskussion ist. Für Behörden und stark regulierte Sektoren bleibt das ein Punkt, den man im eigenen Verzeichnis von Verarbeitungstätigkeiten transparent abbilden muss.
- Bluesky bleibt aus europäischer Sicht das problematischste der vier Modelle. Wer ohnehin schon dort ist, sollte ernsthaft prüfen, ob die EU-HAUL-Migration zu Eurosky oder W Social nicht der einfachere Weg ist, das US-Jurisdiktionsproblem zu adressieren, ohne Reichweite zu verlieren.
Offene Flanken und ein blinder Fleck
Drei Punkte, die in der öffentlichen Debatte gern untergehen:
- Erstens: Selbst wenn der PDS bei Eurosky in Europa steht, läuft die App, mit der die meisten Nutzer tatsächlich posten, weiterhin über die Bluesky-Infrastruktur. Telemetrie, Crash-Reports, Push-Benachrichtigungen und Login-Flows können dort Berührungspunkte mit US-Anbietern haben. Wer Eurosky als sauberen Souveränitätsschritt bewerben will, muss diese Schichten mitdenken.
- Zweitens: Mastodon-Instanzen sind nur so datenschutzkonform wie ihr Betreiber. Eine Instanz, die von einer Privatperson auf einem ungewarteten Server in einem Drittland betrieben wird, ist regulatorisch etwas anderes als die EDSB-Instanz. Die Wahl der Instanz ist hier die eigentliche Entscheidung, nicht die Wahl der Software.
- Drittens: Sowohl Eurosky als auch W Social leiten Inhalte strukturell an Bluesky in den USA weiter, weil das Föderationsprinzip des AT Protocol genau so funktioniert. Wer eine "rein europäische" Kommunikation erwartet, wird hier enttäuscht. Der einzige Weg, eine vollständige europäische Datenhaltung sicherzustellen, führt heute über ActivityPub-basierte Lösungen mit ausschließlich europäischen Föderationspartnern, oder über das Abschalten der Föderation auf der eigenen Instanz.
Die Diskussion ist nicht zu Ende, sie fängt gerade erst an. Für die kommenden Monate könnte man intern eine kleine Roadmap skizzieren: Welche Zielgruppe will man erreichen, welches Risiko trägt man im Status quo, und welcher Migrationspfad ist verhältnismäßig.
Quellen u. a.: W Social Privacy Notice vom 20. März 2026 (wsocial.eu/public/privacy-notice), Eurosky FAQ (eurosky.tech/faq), Mastodon Statistics 2026, BasicThinking, Wikipedia.
