Zum Inhalt springen Zur Navigation springen
Login per Facebook-Connect – Datenschutzkonformer Einsatz möglich

Login per Facebook-Connect – Datenschutzkonformer Einsatz möglich

Facebook-Connect erleichtert die Registrierung für Dienste im Internet. Statt der Registrierungsmaske gibt der User lediglich seine Login-Daten für Facebook ein und die Nutzung des Dienstes ist sofort möglich.

Wie funktioniert Facebook-Connect?

Die Registrierung für einen neuen Dienst im Internet wird oft als lästiges Übel betrachtet. Name, Vorname, Adresse, E-Mail-Adresse usw. müssen händisch eingefügt. Dann sind auch noch Kreativität und das Gedächtnis bei User-Name und Passwort gefragt. Zum Abschluss der Registrierung muss oft auch noch ein Bestätigungslink angeklickt werden, der per E-Mail vom Unternehmen geschickt wird. Erst dann kann der Dienst genutzt werden.

Um diesen Vorgang zu verkürzen, setzen viele Unternehmen Facebook-Connect ein. Durch die Verknüpfung des Dienstes mit Facebook ist die Eingabe der Daten nicht mehr notwendig. Die benötigten Daten werden dem Anbieter von Facebook mitgeteilt. Im Gegenzug erhält Facebook aber auch Informationen zu der Nutzung des neuen Dienstes durch den User.

Welche Informationen erhalten Anbieter von Facebook?

Welche Informationen genau von Facebook an den Dienst weitergeleitet werden, ist eine Frage der individuellen Ausgestaltung des Dienstes.

Entwickler können z.B. auf das öffentliche Profil, E-Mail-Adresse und Freundeslisten bei Facebook zugreifen. Dies beinhaltet Angaben wie Name, E-Mail-Adresse, Geburtstag, Geschlecht, Sprache, Land, Profilbild, Facebook-ID, Titelbild, Freundeslisten und Gefällt-mir-Angaben.

Der Nutzer kann die Weitergabe nur teilweise durch seine Privatsphäre-Einstellungen beeinflussen, indem möglichst wenige Daten im öffentlichen Profil angezeigt werden. Für die Weitergabe der Facebook-Profil-Daten ist Facebook die verantwortliche Stelle i.S.d. BDSG. Für die anschließende Verarbeitung dieser Daten ist jedoch das Unternehmen datenschutzrechtlich verantwortlich.

Welche Informationen erhält Facebook vom Unternehmen?

Im Gegenzug erhält Facebook auch Daten von den Unternehmen über die Nutzer. Welche Informationen dies sind, hängt von dem angebotenen Diensten ab. Dies können z. B. besuchte Restaurants, Laufstrecken, Videos oder Musik sein. Für die Weitergabe von personenbezogenen Daten an Facebook ist das Unternehmen ebenfalls die verantwortliche Stelle i.S.d. BDSG.

Was muss ein Unternehmen beim Einsatz Facebook-Connect datenschutzrechtlich beachten?

Beim Einsatz von Facebook-Connect gilt der datenschutzrechtliche Grundsatz des Verbots mit Erlaubnisvorbehalt. Jede Verarbeitung der personenbezogenen Daten des Nutzers bedarf entweder einer gesetzlichen Erlaubnis oder der Einwilligung des Nutzers.

Eine rechtliche Erlaubnis für die Verwendung von Name, E-Mail-Adresse, Geburtsdatum und Sprache ergibt sich aus § 14 Telemediengesetz (TMG). Es handelt sich hierbei um Bestandsdaten, die für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses erforderlich sind. Dies gilt aber nicht für die weiteren Informationen wie Profilbilder und Freundeslisten. Eine gesetzliche Erlaubnis zur Nutzung dieser zusätzlichen Daten gibt es nicht. Es handelt sich hierbei weder um Nutzungsdaten gem. § 15 TMG noch liegen die Voraussetzungen des § 28 BDSG vor. Unternehmen benötigen daher eine Einwilligung, wenn sie über die Bestandsdaten weitere Informationen über den Nutzer verarbeiten wollen.

Einwilligung

Eine Einwilligung für die Verwendung von Daten, die Facebook automatisch übermittelt, könnte wie folgt aussehen:

Ich bin damit einverstanden, dass durch Facebook-Connect automatisch Daten an … (Name des Unternehmens) übermittelt und anschließend verwendet werden. Dies betrifft meine als öffentlich markierten Profildetails bei Facebook, insbesondere meine Freundesliste, mein Profilbild, … (Aufzählung aller Informationen, die außer Name, E-Mail-Adresse, Geburtsdatum und Sprache übertragen werden). Die Datenschutzerklärung (Link zur Datenschutzerklärung) habe ich gelesen. Diese Einwilligung kann ich jederzeit durch eine E-Mail an xyz@mail.de widerrufen.

Die Einwilligung sollte vor dem ersten Verbindungsaufbau mit Facebook eingeholt werden. Dies sollte durch das Unternehmen protokolliert werden. Der Text der Einwilligung muss auch im Nachhinein für den Nutzer abrufbar sein. Zudem muss der Nutzer jederzeit die Möglichkeit haben, die Einwilligung zu widerrufen.

Eine Einwilligung des Nutzers ist zudem notwendig, wenn Facebook Zugriff auf Daten hat bzw. Daten an Facebook übermittelt werden. Unternehmen sollten ohne eine entsprechende Einwilligung keine Daten an Facebook übermitteln, da die Unternehmen für diese Datenverwendung datenschutzrechtlich verantwortlich sind.

Hinweis in der Datenschutzerklärung

Neben der Einholung einer Einwilligung ist ein entsprechender Hinweis auf Facebook-Connect in der Datenschutzerklärung des Unternehmens notwendig. Ein Muster könnte wie folgt aussehen:

Facebook-Connect

Wir bieten Ihnen die Möglichkeit sich für unseren Dienst mit Facebook-Connect anzumelden. Eine zusätzliche Registrierung ist somit nicht möglich. Zur Anmeldung werden Sie auf die Seite von Facebook weitergeleitet, wo Sie sich mit ihren Nutzungsdaten anmelden können. Hierdurch werden ihre Facebook-Profil und unser Dienst verknüpft. Durch die Verknüpfung erhalten wir automatisch von der Facebook Inc. Folgende Informationen werden an uns übermittelt… (Aufzählung sämtlicher personenbezogenen Daten, die von Facebook übermittelt werden).

Wir nutzen von diesen Daten ausschließlich Ihren Namen, Ihre E-Mail-Adresse, Ihr Geburtsdatum, … (Aufzählung der notwendigen Informationen). Diese Informationen sind für den Vertragsschluss zwingend erforderlich, um sie identifizieren zu können. (Falls weitere Daten genutzt werden, muss einzeln der Zweck der Datenverarbeitung aufgezählt werden).

Weitere Informationen zu Facebook-Connect und den Privatsphäre-Einstellungen entnehmen Sie bitte den Datenschutzhinweisen und den Nutzungsbedingungen der Facebook Inc.

Datenschutzkonformer Einsatz von Facebook-Connect

Unternehmen können Facebook-Connect datenschutzkonform einsetzen, wenn eine Einwilligung des Nutzers eingeholt wird und die Datenschutzerklärung entsprechend ergänzt wird. Vorsichtig sollten Unternehmen jedoch bei der Übermittlung von Daten an Facebook zurück sein, denn hierfür sollte ebenfalls eine Einwilligung des Nutzers eingeholt werden.

Der datenschutzkonforme Einsatz ist damit möglich, aber aus Sicherheitsaspekten ist Nutzern vom Einsatz abzuraten. Gelangen die Facebook-Zugangsdaten in falsche Hände, erhält der Angreifer nicht nur den Zugriff auf das Facebook-Profil, sondern auch auf andere verknüpfte Dienste.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Was ist zu tun, wenn ein Nutzer die Einwilligung widerruft? Wie kann ich überprüfen, ob Facebook seine Daten gelöscht hat?

    • Grundsätzlich sind zwei Einwilligungen vom Nutzer notwendig. Eine für die Nutzung der Daten, die Sie von Facebook erhalten, und eine zweite Einwilligung, dass Sie Facebook Daten mitteilen dürfen.
      Widerruft der Nutzer die Einwilligung zur Nutzung seiner Profildaten, dürfen Sie diese Daten ab diesem Zeitpunkt nicht mehr verwenden.
      Widerruft der Nutzer die Einwilligung zur Weitergabe seiner Daten an Facebook, dürfen Sie ab diesem Zeitpunkt keine Daten mehr an Facebook weitergeben.
      Stellen Sie dies sicher, haben Sie Ihre Pflichten als verantwortliche Stelle erfüllt. Für die Verarbeitung der übermittelten Daten an Facebook ist Facebook verantwortlich. Das bedeutet, dass der Nutzer sich an Facebook direkt wenden muss.

  • Danke für die gute Zusammenfassung. Ich würde generell von Facebook-Connect abraten. Zum Thema Datenschutz bei Facebook gibt es in Deutschland wohl keine einheitliche Rechtsprechung, so zumindest mein Eindruck. Dazu kommt das die Abmahnbereitschaft der Menschen sich erhöht hat.

  • Gilt diese Anpassung der Datenschutzerklärung für Facebook-Connect auch analog für andere Social Sign-Ins wie z.B.:
    Xing: https://dev.xing.com/plugins/login_with
    LinkedIn: https://developer.linkedin.com/docs/signin-with-linkedin
    Google: https://developers.google.com/identity/
    Twitter: https://dev.twitter.com/web/sign-in

    oder sind hierbei noch zusätzliche Besonderheiten zu beachten?

    • Wenn Sie die Social Sign-Ins anderer sozialen Netzwerke nutzen, sollten Sie dies ebenfalls in Ihre Datenschutzerklärung aufnehmen. Welche Formulierung Sie dabei wählen, hängt davon ab, welches soziale Netzwerk genutzt werden soll.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.