Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

Vorsicht: Datenschutzrechtliche Risiken bei Verwendung von Single-Sign-On-Verfahren

09.02.2023, 17:45 Uhr | Lesezeit: 3 min
Vorsicht: Datenschutzrechtliche Risiken bei Verwendung von Single-Sign-On-Verfahren

Die Verwendung von sog. Single-Sign-On-Verfahren ist datenschutzrechtlich umstritten - eine eindeutig zulässige datenschutzkonforme Verwendung dieser Verfahren ist derzeit nicht möglich. Wir stellen in diesem Beitrag aber ein Verfahren vor, mit dem die rechtlichen Risiken beim Einsatz von Single-Sign-On-Verfahren verringert werden können.

I. Single-Sign-On-Verfahren

Das sog. Single Sign-On (SSO) ist eine Authentifizierungsmethode, die es Benutzern ermöglicht, sich bei mehreren Diensten / Webseiten / Anbietern zu authentifizieren und dabei die Anmeldeinformationen nur einmal einzugeben.

Weit verbreitet ist etwa das Verfahren Facebook Single Sign On, bei dem sich ein Nutzer über sein Facebook-Konto bei anderen Diensten / Webseiten / Anbietern anmelden kann. Für den Nutzer bietet dieses Verfahren generell den Vorteil, dass die Anmeldung bei zusätzlichen Diensten schneller geht und er nur noch ein Passwort benötigt.

II. Datenschutzrechtliches Risiko bei Single-Sign-On-Verfahren

Die Verwendung des. Single-Sign-On-Verfahren ist datenschutzrechtlich allerdings umstritten - eine eindeutig zulässige datenschutzkonforme Verwendung dieser Verfahren ist derzeit nicht möglich.

Hintergrund ist insbesondere, dass der Anbieter des Single-Sign-On-Verfahrens ggf. auch solche Daten an die Dienste / Webseiten / Anbieter übermittelt, die dessen Single-Sign-On Verfahren verwenden, die hierfür aber ggf. nicht erforderlich sind und daher aus datenschutzrechtlicher Sicht ggf. nicht geteilt werden dürfen.

1

III. Verfahren zur Minimierung des datenschutzrechtlichen Risikos

Trotz der datenschutzrechtlichen Risiken sind Single-Sign-On-Verfahren weit verbreitet. Falls das Single-Sign-On-Verfahren daher eingesetzt werden soll, wäre die Implementierung des nachstehenden Verfahrens eine das rechtliche Risiko minimierende Lösung:

Im Rahmen des Login-/Registrierungsprozesses im Zusammenhang mit Single-Sign-On-Verfahren muss die ausdrückliche Einwilligung des Seitenbesuchers eingeholt werden.

Eine solche Einwilligung mit verbundener (nicht vorausgewählter) Check-Box könnte bei Facebook z.B. wie folgt aussehen:

"Ich bin damit einverstanden, dass durch Facebook Single Sign On automatisch Daten an den Betreiber dieser Webseite [ggf. Dienstes] übermittelt und verwendet werden. Dies betrifft meine als öffentlich markierten Profildetails bei Facebook, wie z.B. Anrede, Vorname, Nachname, Adressdaten, Land, E-Mail Adresse, Geburtsdatum, aber auch die Nutzer-IDs meiner Freunde, meine Profilbilder und meine Freundesliste. Die Datenschutzerklärung habe ich gelesen. Diese Einwilligung kann ich jederzeit durch eine E-Mail an die im Impressum genannte Adresse widerrufen."

IV. Einholung der datenschutzrechtlichen Einwilligung

Weiter müssen zusätzlich die folgenden Anforderungen eingehalten werden:

  • Die Einwilligung muss in unmittelbarer Nähe zum Login-Button platziert sein und
  • das Wort "Datenschutzerklärung" in der vorstehenden Einwilligungsklausel muss mit der Seite verlinkt sein, auf welcher die Datenschutzerklärung abrufbar ist und
  • die Funktionen des Single-Sing-On-Verfahrens dürfen nicht ausführbar sein, bis die Einwilligung erteilt worden ist.

Die Einholung der Einwilligung muss zu Nachweiszwecken mitprotokolliert und gespeichert werden.

V. Restrisiko

Ein Restrisiko bleibt: Ob das vorgenannte Vorgehen einem gerichtlichen Verfahren Stand halten würde, lässt sich nach dem gegenwärtigen Stand der Rechtsprechung nicht mit Gewissheit vorhersagen.

Wenn Sie ganz sicher handeln möchten, dürfen Sie Single-Sign-On-Verfahren nicht verwenden!

VI. Zusätzliches Risiko bei Datentransfers in die USA

Achtung: Single-Sign-On-Dienste wie u.a.

  • Facebook
  • Google

übermitteln personenbezogene Daten auch in die USA, obwohl hierfür nach Ansicht der europäischen Datenschutzbehörden und Gerichte keine geeigneten Datenschutzgarantien nach der DSGVO bestehen.

Zwar werden derlei Datenschutzverstöße nur selten verfolgt. Wenn Sie das verbleibende Restrisiko aber ausschließen möchten, empfehlen wir Ihnen, zu einem vergleichbaren Anbieter aus der EU zu wechseln.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

Vorsicht: Die Nutzung von Facebook Custom Audiences ist datenschutzrechtlich problematisch - Was tun?
(18.11.2022, 11:01 Uhr)
Vorsicht: Die Nutzung von Facebook Custom Audiences ist datenschutzrechtlich problematisch - Was tun?
Mögliches Verbot von Facebooks US-Datentransfers - kein Facebook mehr in Europa?
(30.08.2022, 12:08 Uhr)
Mögliches Verbot von Facebooks US-Datentransfers - kein Facebook mehr in Europa?
Ermittlungen von Datenschutzbehörde wegen Facebook-Fanpages
(03.08.2022, 11:17 Uhr)
Ermittlungen von Datenschutzbehörde wegen Facebook-Fanpages
Yes we can: AGB & Co. für Facebook jetzt auch in englischer Sprache
(26.03.2019, 14:54 Uhr)
Yes we can: AGB & Co. für Facebook jetzt auch in englischer Sprache
Neu: Hosting-Service der IT-Recht Kanzlei für Facebook/Instagram-Datenschutzerklärung
(05.07.2018, 17:11 Uhr)
Neu: Hosting-Service der IT-Recht Kanzlei für Facebook/Instagram-Datenschutzerklärung
C'est bon: Facebook-Datenschutzerklärung jetzt auch in französischer Sprache
(27.06.2018, 18:26 Uhr)
C'est bon: Facebook-Datenschutzerklärung jetzt auch in französischer Sprache
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei