Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

Facebook Connect: Das Single Sign On-Verfahren, Social Plugins und das Datenschutzrecht

03.01.2017, 10:55 Uhr | Lesezeit: 9 min
Facebook Connect: Das Single Sign On-Verfahren, Social Plugins und das Datenschutzrecht

Das Internet und der Datenschutz sind gegenwärtig nicht die allerbesten Freunde. Insbesondere soziale Netzwerke leben vom ständigen Austausch von Daten aus dem Netz, darunter vor allem personenbezogene Daten. Das deutsche Datenschutzrecht steht hingegen auf den Grundfesten der Datensparsamkeit und der möglichst informierten Entscheidung des Einzelnen darüber, was mit seinen personenbezogenen Daten geschieht. Sobald es zur Erhebung, Speicherung und Verwendung personenbezogener Daten kommt, muss der Betroffene darauf hingewiesen werden, und – wenn es keinen gesetzlichen Erlaubnistatbestand zur Datenverwendung gibt – um ausdrückliche Einwilligung gebeten werden. Viele Single Sign On-Verfahren halten sich nicht an dieses Credo und verstoßen daher gegen das deutsche Datenschutzrecht. Die IT-Recht Kanzlei erklärt, wo genau das datenschutzrechtliche Problem liegt und wie es sich unter Beibehaltung einer möglichst hohen Funktionalität am ehesten möglichst datenschutzrechtskonform lösen lässt.

I. Single Sign On und Social Plugins sind problematisch

Es ist praktisch für den Kunden und nützlich für Webshops sowie Social Media- und Internet-Plattformen: Single Sign On-Verfahren wie Facebook Connect oder Ähnliches von Twitter, Google+, Amazon sowie vielen anderen.

Das Prinzip ist einfach erklärt: Will ein Nutzer in einem Webshop bestellen, bei dem er noch kein Kundenkonto eingerichtet hat, so kann er den Registrierungs- und Bestellprozess dadurch verkürzen, dass er sich über ein in den Webshop integriertes Social Plugin mit seinem bereits bestehenden Facebook-, Amazon- oder sonstigen Account einloggt.

Banner Starter Paket

Anschließend werden personenbezogene Daten wie der Facebook-Name, die Nutzer-ID, das Alter, das Geschlecht, das Profilbild und die Freundesliste sowie die Gefällt-mir-Angaben von Facebook an den Webshop übertragen, der Kunde muss diese nicht mehr selbst händisch eingeben, sondern nur noch Fehlendes ergänzen. Kein lästiges Ausdenken eines neuen Nutzernamens und Passwortes mehr, alles läuft nur noch über einen Login.

Was derart praktische Vorteile hat, kehrt sich freilich in praktische Probleme um, sollte einmal der verknüpfende Social Media-Account abgeschaltet, gesperrt oder gehackt sein. Weitaus problematischer ist das Single Sign On-Verfahren jedoch für den beteiligten Webshop, da dieser datenschutzrechtlichen Schwierigkeiten ausgesetzt ist, die es zu lösen gilt.

II. Welche Daten werden bei Facebook Connect & Co transferiert?

Wenig überraschend ist Facebook mit seinem Single Sign On-Verfahren „Facebook Connect“ der größte und am weitesten verbreitete Anbieter, weshalb er im Folgenden als Beispiel für die datenschutzrechtliche Problematik dienen soll.

Sobald sich ein Kunde via Facebook Connect auf der Webseite des entsprechenden Webshops eingeloggt hat, stellt der Webshop-Server mit den Facebook-Servern eine Verbindung her und tauscht Nutzerdaten aus. Die öffentlichen bzw. vom Nutzer als öffentlich einsehbar deklarierten Daten von Facebook wie der Facebook-Name, die Nutzer-ID, das Alter, das Geschlecht, das Profilbild und die Freundesliste sowie die Gefällt-mir-Angaben sendet Facebook an den Webshop.

Aber auch in die umgekehrte Richtung findet ein Datentransfer statt. Je nach Voreinstellung sendet der Webshop Informationen über das Surfverhalten des Nutzers im Webshop an Facebook, etwa für welche Produkte sich der Nutzer interessiert hat, welche Informationen er abgerufen hat und welche Waren oder Dienstleistungen er schließlich gekauft hat.

III. Der durch das Datenschutzrecht vorgegebene rechtliche Rahmen

Die Zulässigkeit der Erhebung, Speicherung, Nutzung und Verarbeitung von Daten im Internet richtet sich primär nach dem Telemediengesetz (kurz: TMG) und subsidiär nach dem Bundesdatenschutzgesetz (kurz: BDSG).

Nach § 12 TMG dürfen personenbezogene Daten zur Bereitstellung von Telemedien (u.a. Webseiten) nur erhoben und verwendet werden, soweit das TMG oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Das TMG selbst erlaubt gemäß § 14 Absatz 1 TMG lediglich die Erhebung und Verwendung sog. personenbezogener Bestandsdaten, die für das Vertragsverhältnis mit dem Nutzer und damit für die Nutzung des Telemediums unbedingt erforderlich sind, und gemäß § 15 Absatz 1 TMG die Erhebung und Verwendung sog. personenbezogener Nutzungsdaten, insbesondere zu Abrechnungszwecken. In sonstigen Fällen der Erhebung und Verwendung personenbezogener Daten für die Nutzung von Telemedien ist somit die Einwilligung des betroffenen Nutzers erforderlich, der nach § 13 TMG möglichst umfassend über die Datenverwendung (insbesondere im Rahmen der obligatorischen Datenschutzerklärung) informiert werden muss.

Geht es nicht um (Vertrags-)Daten zur Bereitstellung von Telemedien (z.B. Vertragsschlüsse mit einem Musik- oder Video-Streaming-Dienst oder einem App-Portal), sondern beispielsweise zur Abwicklung eines Kaufvertrags mittels Lieferung physischer Waren, wie Schuhe und Kleidung, richtet sich die datenschutzrechtliche Zulässigkeit nicht nach dem TMG, sondern nach dem BDSG. Das Prinzip ist dort jedoch dasselbe: Für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten bedarf es nach § 4 Absatz 1 BDSG eines gesetzlichen Erlaubnistatbestandes oder einer (informierten) Einwilligung des Betroffen; dabei muss dieser vor seiner Einwilligung gemäß § 4a BDSG hinreichend über die Datennutzung (Datenschutzerklärung) informiert werden.

Zuständig für die Aufklärung wie auch für die sonstigen Pflichten nach dem BDSG ist die nach § 3 Absatz 7 BDSG verantwortliche Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.

IV. Verstöße gegen das Datenschutzrecht durch Single Sign On-Verfahren

Bei Single Sign On-Verfahren wie etwa bei Facebook Connect finden diverse problematische Datentransfers statt.

  • Mit Einloggen des Nutzers via Facebook Connect wird eine Verbindung zu den Facebook Servern aufgebaut und die IP-Adresse des Nutzers an Facebook übertragen. Folgt man der rechtlichen Ansicht, dass die IP-Adresse ein personenbezogenes Datum ist, ist bereits für diese Übertragung eine gesetzliche Befugnis oder die (informierte) Einwilligung des Nutzers erforderlich. Es kann hierbei wohl nicht davon ausgegangen werden, dass der Nutzer allein durch das Login bei Facebook eine informierte Einwilligung abgibt. Eine gesetzliche Befugnis hierzu fehlt; da der Nutzer nicht ausdrücklich darüber informiert ist, dass und an wen genau seine IP-Adresse übertragen wird, liegt auch keine hinreichende Einwilligung des Nutzers vor.
  • Je nach Konfiguration des Facebook-Accounts und des Webshops sendet Facebook anschließend die „öffentlichen“ (personenbezogene) Daten an den Webshop-Server. Welche konkreten Daten das sind, hängt davon ab, welche der Webshop-Server bei Facebook abfragt. Für diese Datenübertragung gibt es keine gesetzliche Befugnis, so dass als datenschutzrechtliche Rechtfertigung lediglich die (informierte) Einwilligung des Nutzers in Frage kommt. Zwar willigt der Nutzer durch das aktive Einloggen via Facebook Connect grundsätzlich in die Datentransfers zwischen Facebook und dem Webshop-Server ein. Jedoch weiß er zu diesem Zeitpunkt nicht, jedenfalls nicht genau, welche konkreten personenbezogenen Daten tatsächlich zwischen den Servern ausgetauscht werden, so dass er jedenfalls keine umfassend informierte Einwilligung trifft, solange ihn der Webshop nicht vor seinem Login möglichst genau darüber aufklärt. Ohne einen solchen Hinweis verstößt das Verfahren gegen deutsches Datenschutzrecht.
  • Nach der Datenübertragung von Facebook auf den Webshop-Server werden die empfangenen Daten dort gespeichert und ggf. weiterverarbeitet. Für die Nutzung eines Großteils dieser Daten, die für das Vertragsverhältnis zwischen dem Nutzer und dem Webshop an sich nicht erforderlich sind (z.B. das Profilbild), gibt es keine gesetzliche Befugnis, so dass auch diesbezüglich der Nutzer eine informierte Einwilligung abgeben muss.
  • Zum Abschluss sendet der Webshop je nach Konfiguration im Einzelfall eigene Nutzungsdaten wie das Surf- und Kaufverhalten des Nutzers zurück an die Facebook-Server. Wegen der Verknüpfung der Daten mit dem Facebook-Account des Nutzers haben diese einen konkreten Personenbezug, so dass es hierfür einer gesetzlichen Befugnis oder einer informierten Einwilligung bedarf, die gegenwärtig kaum jemand bedenkt.

Ein Webshop, der Facebook Connect (oder ein ähnliches Single Sign On-Verfahren) einsetzt, ist in Bezug auf die Datenabfrage von den Facebook-Servern, die Speicherung der empfangenen Daten auf den eigenen Webshop-Servern und die Sendung der Webshop-Nutzungsdaten des Nutzers zurück an Facebook die für den Datenschutz verantwortliche Stelle i.S.d. § 3 Absatz 7 BDSG und damit für die Einhaltung der einschlägigen Datenschutzbestimmungen verantwortlich.

Dies bedeutet, dass der Webshop für eine informierte Einwilligung des Nutzers im Vorfeld der Datentransfers sorgen muss, will er das Single-Sign On-Verfahren im Rahmen seines Webshops verwenden. Somit muss der Webshop-Betreiber eine umfassende Datenschutzerklärung verfassen und dafür sorgen, dass der Nutzer auf diese zwingend vor seinem Login via Facebook Connect (oder anderer entsprechender Verfahren) hingewiesen wird.

Werbebanner für Datenschutzerklärung

V. Keine datenschutzkonforme Verwendung von Facebook Connect & Co.?

Ob die Verwendung von Facebook Connect rechtskonform durchführbar ist, bleibt umstritten, eine belastbare Rechtsprechung zu diesem Thema existiert nach unserem Kenntsnisstand bislang noch nicht. Eine das rechtliche Risiko minimierende Lösung wäre die Implementierung des nachstehenden Verfahrens:

  • Im Rahmen des Login-/Registrierungsprozess im Zusammenhang mit Facebook Connect müsste vom Nutzer zwingend eine ausdrückliche Bestätigung eingeholt werden, dass er zum einen darüber aufgeklärt wird, welche Datentransfers mit dem Verfahren wohin verbunden sind, und zum anderen, dass er mit diesen Datentransfers einverstanden ist.
  • Zudem ist der Seitennutzer transparent im Rahmen der Datenschutzerklärung über die Datenverarbeitungsvorgänge im Zusammenhang mit Facebook Connect zu unterrichten.
  • Die Einholung der Einwilligung sollte durch das Setzen eines Hakens in ein Kästchen erfolgen (sog. „Opt-In-Verfahren“), was der Webshop-Betreiber unbedingt mitprotokollieren und speichern müsste.
  • Schließlich müsste die Einwilligung für den Nutzer leicht und formlos widerrufbar sein. Dies bedeutet, dass der Nutzer am besten in der Datenschutzerklärung auf die Möglichkeit des Widerrufs der Einwilligung hinzuweisen und ihm hierfür etwa eine E-Mail-Adresse zu nennen hätte.

Ob dieses Vorgehen einem gerichtlichen Verfahren Stand halten würde, lässt sich allerdings mit letzter Gewissheit nach dem gegenwärtigen Stand der Dinge nicht mit Sicherheit vorhersagen.

VI. Fazit

Das Single Sign On-Verfahren via Social Plugins wie Facebook Connect sind datenschutzrechtlich problematisch.

Zwar sind sie in aller Regel technisch so konzipiert, dass sie nicht bereits beim Aufrufen einer Webseite personenbezogene Daten an den jeweiligen Social Media-Server senden, sondern erst, wenn sich der Nutzer ausdrücklich für den Login mit seinem Account entschieden hat.

Allerdings wird der Nutzer im Laufe des Login-Prozesses in den meisten Fällen nicht oder zumindest nicht über das ganze Ausmaß der Erhebung, Speicherung und Nutzung seiner personenbezogenen Daten aufgeklärt. Da es zumindest für die Verwendung einer Großzahl der betroffenen Daten keinen gesetzlichen Erlaubnistatbestand gibt und insbesondere mangels ausreichender Aufklärung des Nutzers dieser keine informierte Einwilligung in die Verwendung seiner personenbezogenen Daten gibt, ist die Verwendung der Daten unzulässig, was sowohl zu Bußgeldern als auch zu Abmahnungen führen kann.

Die Entfernung solcher Single Sign On-Verfahren wäre nach gegenwärtigem Stand die einzige vollkommen rechtssichere Lösung, um eine Datenschutzrechtskonformität herzustellen. Wer durch geschickte Umgestaltung des Login-Prozesses dafür sorgt, dass der Nutzer eine informierte Einwilligung abgibt, und dies in seiner Datenschutzerklärung berücksichtigt, verstößt je nach konkreter Ausgestaltung im Einzelfall womöglich nicht gegen das Datenschutzrecht; allerdings bleibt ein Rest an Rechtsunsicherheit, solange die Rechtsprechung noch nicht entschieden hat..

Wichtig ist in jedem Fall die Beachtung des Grundsatzes, dass keine personenbezogenen Daten an Dritte (wie Facebook & Co) übermittelt werden dürfen, ohne dass der Nutzer im Vorfeld darüber in Kenntnis gesetzt worden ist und – im Zweifel – darin eingewilligt hat.

Bei Problemen, Rückfragen und weiteren Fragen zu diesem Thema hilft Ihnen das Team der IT-Recht Kanzlei selbstverständlich gerne auch persönlich und im Einzelfall weiter.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© schinsilord - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
(16.02.2024, 10:48 Uhr)
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
(05.01.2024, 13:23 Uhr)
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
(02.01.2024, 09:42 Uhr)
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
(04.12.2023, 08:13 Uhr)
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
Die Übertragung von Kundendaten bei Shop-Veräußerung: Datenschutzrechtliche Pflichten + Muster
(14.11.2023, 14:19 Uhr)
Die Übertragung von Kundendaten bei Shop-Veräußerung: Datenschutzrechtliche Pflichten + Muster
VG Berlin: Mitwirkungsobliegenheit des Betroffenen bei Auskunft nach DSGVO
(26.10.2023, 17:52 Uhr)
VG Berlin: Mitwirkungsobliegenheit des Betroffenen bei Auskunft nach DSGVO
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei