3. Juni 2015
Fingerprint
Datenschutzrecht

Single Sign-On – ist Facebook-Login datenschutzrechtlich zulässig? 

Ein Passwort zum Zugriff auf alle Ihre Dienste. Das verspricht Single Sign-On. Was technisch möglich ist, muss rechtlich aber nicht erlaubt sein.

Neben Buttons zum „Teilen″ und „Liken″ von Webinhalten trifft man im Netz immer öfter auf „Login″-Buttons. Solche Single Sign-On-Buttons wie der Facebook-Login vereinfachen die Anmeldeprozedur bei Apps und Webseiten: Die Anmeldung erfolgt mit dem eigenen Facebook-Passwort, weitere Passwörter muss man sich nicht mehr merken. Das Ganze ist zwar praktisch, datenschutzrechtlich aber nicht unproblematisch.

Funktionsweise von Single Sign-On

Der Single Sign-On-Anbieter übernimmt die Authentifizierung des Nutzers. Ist das Passwort korrekt, wird ein Bestätigungscode an den Dienst geschickt, das Passwort bleibt aber „geheim″ und wird nur dem (hoffentlich) vertrauenswürdigen Single Sign-On-Anbieter bekannt.

Viele Dienste beschränken sich nicht auf eine Authentifizierung. Zugleich werden weitere Daten übertragen, um ein personalisiertes und „soziales″ Nutzererlebnis zu kreieren. Der prominenteste Single Sign-On-Dienst, Facebook-Login, überträgt eine ganze Reihe von Daten. Kryptisch heißt es in den Nutzungsbedingungen von Facebook:

Wenn du Apps, Webseiten oder sonstige Dienstleistungen verwendest, die unsere Dienste nutzen bzw. auf diesen integriert sind, können sie Informationen darüber erhalten, was du postest oder teilst. Wenn du beispielsweise ein Spiel mit deinen Facebook-Freunden spielst oder die Facebook-Schaltfläche „Kommentieren“ oder „Teilen“ auf einer Webseite verwendest, kann der Spieleentwickler bzw. die entsprechende Webseite Informationen über deine Aktivitäten in dem Spiel erhalten, oder der Entwickler sieht einen Kommentar oder Link, den du von seiner Webseite auf Facebook teilst. Beim Herunterladen bzw. durch ihre Nutzung können solche Dienstleistungen Dritter darüber hinaus auf dein Öffentliches Profil zugreifen; dieses umfasst deine/n Nutzernamen oder Nutzer-ID, deine Altersgruppe und dein Land bzw. deine Sprache, deine Freundesliste sowie jedwede Informationen, die du mit deinen Freunden teilst. Die von diesen Apps, Webseiten oder integrierten Dienstleistungen gesammelten Informationen unterliegen deren eigenen Bedingungen und Richtlinien.

In der Entwicklerdokumentation wird Facebook deutlicher:

When someone connects with an app using Facebook-Login, the app can always access their public profile.

Im Klartext: Facebook-Login dient nicht nur der vereinfachten Anmeldung, zugegriffen wird auch auf das „Öffentliche Profil des Nutzers. Darunter zählt Facebook alle Informationen, die „öffentlich zugänglich″ sind – also Daten die von allen Facebook Nutzern abgerufen werden können. Zu den öffentlich zugänglichen Informationen zählen stets Nutzerkennung, Name, Geschlecht, Ort und Zeitzone des Nutzers. Diese Informationen kann ein Facebook-Nutzer auch auf Facebook nicht vor anderen Mitgliedern verbergen.

Dabei bleibt es aber beim „Login mit Facebook″ nicht. Hier wird offenbar direkt der gesamte „Social-Graph″ des Nutzers übertragen. Darunter fällt etwa die „Freundesliste″, obwohl die Liste bei Facebook anderen Mitgliedern verborgen bleiben kann. Verhindern kann dies der Nutzer nicht.

Facebook-Login vs. Social-Media-Plugins

Facebook-Login ist noch relativ neu im Netz. Social-Media-Plugins zum „Liken″ und „Teilen″ von Inhalten sind ein alter Hut.

Rechtlich problematisch sind die Plugins vor allem deswegen, weil die Plugins nicht nur zur Meinungsäußerung und Verbreitung, sondern auch zur gezielten Auswertung des Surfverhaltens und zur Werbeplatzierung dienen. Individuelle Besucherströme werden über verschiedene Webseiten sichtbar gemacht.

Was genau von Facebook ausgewertet und erhoben wird, bleibt auch den Webseitenbetreibern verborgen. Es hat sich daher eingebürgert, in den eigenen Datenschutzbedingungen auf die Unwissenheit über die Datensammelei von Facebook hinzuweisen. Neben dieser rechtlichen Notlösung existieren für die Plugins mittlerweile technische Ansätze, die die Datenübertragung an Facebook unterbinden. Diese technischen Lösungen (z.B. „Zwei-Klick″ bzw. „Shariff-Lösung″) sind jedenfalls datenschutzfreundlicher, nicht aber unbedingt datenschutzkonform.

Für Single Sign-On gibt es solche Lösungen nicht. Hier stehen Webseitenbetreiber auch vor einem ganz anderen Problem: Bei Social-Media-Plugins fließen die Daten zu Facebook. Beim Facebook-Login geht der Datenstrom genau andersherum. Facebook überträgt der Webseite bestimmte Informationen. Falsch wäre es daher, Social-Media-Plugin und Single Sign-On datenschutzrechtlich gleichzusetzen. Mit einer einfachen Ergänzung der Datenschutzbedingungen ist es nicht getan.

Wirklich eingewilligt?

Facebook-Login kann nur nutzen, wer Mitglied von Facebook ist. Jedenfalls die Facebook-Datenschutzbedingungen müssen daher als abgehakt betrachtet werden. Das reicht aber für eine wirksame Einwilligung in die Datenverarbeitung nicht aus. Die Facebook-Bedingungen sind verworren. Deutschen Datenschutzstandards werden sie kaum gerecht.

Zur Datenverarbeitung durch andere Webseiten können die Bedingungen erst recht nichts aussagen. Anders als bei den Social-Media-Plugins werden personenbezogene Daten bei Facebook-Login nicht (nur) von Facebook erhoben. Auch der Webseitenbetreiber erhebt und verarbeitet die Daten, die er von Facebook erhält. Er steht daher selbst in der Verantwortung. Was jetzt mit den Daten passiert, kann Facebook nicht wissen und nicht beeinflussen. Es obliegt daher den Webseitenbetreibern für eine rechtmäßige Datenverwendung zu sorgen.

Mit einem Verweis auf die Facebook-Datenschutzbedingungen ist es nicht getan. Auch Webseiten, die nur die Authentifizierung via Single Sign-On nutzen wollen, stehen vor einem Problem. Ungefragt gibt Facebook die „öffentlich zugänglichen Informationen“ und die „Freundesliste“ weiter. Letztere ist aber auch bei Facebook nicht immer öffentlich. Auf den Erlaubnistatbestand des § 28 Abs. 1 Nr. 3 BDSG, der die Verarbeitung allgemein zugänglicher Informationen privilegiert, kann man daher nicht bauen. Auch solche Webseiten müssen in den bitteren Apfel beißen und ihre Datenschutzbedingungen überarbeiten.

Datenschutzrechtliche Bestimmungen als Marktverhaltensregel?

Bei Datenschutzverstößen durch Social-Media-Plugins konnte bisweilen auf Zurückhaltung der Datenschutzbeauftragten gehofft werden. So ging der Datenschutzbeauftragte des Landes Schleswig-Holstein zwar öffentlichkeitswirksam gegen einige Stellen vor, die auf Social-Media-Plugins setzten, verschonte aber die breite Masse.

Zuletzt überraschte der Bundesverband der Verbraucherzentralen (vzbv) mit der Ankündigung mangels Kapazitäten nicht gegen die neuen Datenschutzbedingungen von Facebook vorzugehen. Diese, so wird der vzbv durch Heise zitiert, seien zwar rechtswidrig, doch fehlten schlichtweg die Ressourcen für ein solches Verfahren.

Auf solche Nachsicht dürfen Unternehmen zukünftig nicht mehr hoffen. Die Gerichte neigen vermehrt dazu, in Datenschutzverstößen eine Verletzung von Marktverhaltensregeln (§ 4 Nr. 11 UWG) zu erblicken. Damit können Datenschutzverstöße auch von den eigenen Mitbewerbern verfolgt werden. Diese können Datenschutzverstöße von Konkurrenten mit Abmahnungen und Unterlassungsklagen ahnden.

Neben der (vermeintlich) laschen staatlichen Datenschutzaufsicht müssen sich Unternehmen zukünftig von den eigenen Mitbewerbern auf die Finger schauen lassen. Selbst kleine Verstöße können so zum Anlass für eine „schnelle Abmahnung″ genommen werden.

Tags: BDSG Marktverhaltensregel Shariff-Lösung Single Sign-On Zwei-Klick