Anleitung für ein rechtlich sicheres Facebook Log-in – Rechtliche Stolperfallen im Facebook Marketing Teil 19

Das Facebook Log-in ist eine komfortable Möglichkeit, sich bei diversen Onlinediensten mithilfe des Facebook-Kontos anzumelden. Diensteanbieter, also auch Facebook, können wiederum an Daten von Nutzern gelangen, die ihnen sonst unzugänglich wären.

Daher wird das Facebook Log-in von Datenschützern skeptisch beäugt und oft für unzulässig gehalten. Viele der Einwände sind jedoch veraltet, da Facebook das Log-in-Verfahren und vor allem den Umfang der Datenfreigaben seit dem Frühjahr 2014 geändert hat. Ferner werden oft Beispiele herbeigezogen, in denen das Log-in-Verfahren rechtswidrig implementiert ist.

Meines Erachtens ist das Log-in-Verfahren auf Facebook mittlerweile rechtlich hinreichend sicher nutzbar. Was Sie dafür tun müssen, erkläre ich Ihnen in diesem Beitrag.

Wie das Facebook Log-in funktioniert

Das Facebook Log-in funktioniert in vier Schritten:

1. Der Nutzer klickt auf die Facebook-Log-in-Schaltfläche und wird zu dem Log-in-Dialog von Facebook geleitet (ggf. muss er sich zuvor bei Facebook einloggen).
2. In dem Log-in-Dialog erteilt der Nutzer dem Anbieter die Berechtigung, bestimmte Informationen von Facebook zu beziehen. Dazu gehört ein Satz an Basisdaten (u. a. Facebook-ID, Name, Geschlecht, Zeitzone) und zusätzlich können weitere Daten und Berechtigungen angefordert werden.
3. Anschließend sendet Facebook die Informationen an den Anbieter, die von diesem in seiner Datenbank gespeichert werden.
4. Der Anbieter sendet ebenfalls über das Facebook Log-in Informationen zum Nutzer an Facebook (z. B. den Umstand, dass der Nutzer seinen Dienst in Anspruch nimmt, Statusmeldungen etc.).

In dem gesamten Verfahren wird kein Passwort von Facebook an den Anbieter übermittelt. Dieser bekommt lediglich eine Bestätigung, dass der Nutzer sich gegenüber Facebook authentifiziert hat und daher seine Identität geklärt ist (dabei wird ein Autorisierungscode an Facebook geleitet und mit einem zeitlich befristeten und widerrufbaren Access-Token von Facebook beantwortet).

Rechtlich gesehen ist die Frage relevant, ob der Anbieter für den Datenaustausch verantwortlich ist und der Bezug und die Weitergabe der Daten an Facebook rechtlich erlaubt sind.

Rechtliche Verantwortung

Die rechtliche Verantwortung kann relativ kurz abgehandelt werden. Wenn Sie Daten der Nutzer für Ihren Dienst beziehen und in dessen Rahmen übermitteln, dann sind Sie für diese Datenverarbeitung verantwortlich (§ 3 Abs.7 BDSG). Das heißt Sie können sich nicht darauf berufen, dass nur Facebook verantwortlich ist und müssen prüfen, ob Sie über eine gesetzliche Erlaubnis verfügen oder eine Einwilligung des Nutzers.

Ich beginne mit der naheliegenden Einwilligung.

Einwilligung

Eine wirksame Einwilligung (§ 13 Abs.2 TMG) setzt voraus, dass der Nutzer freiwillig handelt und weiß, welche Daten zu welchen Zwecken an wen übermittelt werden (daneben muss sie protokolliert und abrufbar sein, was bei Facebook im App-Center möglich ist).

Das bedeutet, dass Sie die Nutzer im Rahmen des Einwilligungsprozesses über die obigen Punkte aufklären müssen. Dazu ist es notwendig, dass Ihr Log-in-Prozess eine Datenschutzerklärung enthält (im Einwilligungsprozess als „Datenrichtlinien“ bezeichnet), aus der die folgenden Punkte hervorgehen:

1. Hinweis auf Ihre Identität.
2. Die Beschreibung, wie das Log-in-Verfahren funktioniert.
3. Auflistung der Daten, die von Facebook bezogen werden.
4. Hinweise, zu welchen Zwecken die Daten von Ihnen verwendet werden.
5. Auflistung der Daten, die an Facebook gesendet werden.
6. Hinweise, zu welchen Zwecken Facebook die Daten nutzt.
7. Wie die Verknüpfung zwischen Ihrem Angebot und Facebook wieder gelöst werden kann.

Ich empfehle einen Log-in-Passus in die reguläre Datenschutzerklärung aufzunehmen, sodass Sie lediglich diese verlinken müssen.

Ist eine Einbindung der Datenschutzhinweise im Log-in-Dialog von Facebook nicht möglich, müssen Sie diese in unmittelbarer Nähe des Facebook Log-in Buttons platzieren. Das empfehle ich ohnehin. Sollten sich künftig Ihre Datennutzungen nachträglich ändern, können Sie so eine Einwilligung der Nutzer einholen.

Dennoch bestehen trotz dieser Hinweise zwei Punkte, die von Datenschützern kritisiert werden.

Beziehen Sie nur Daten, die Sie wirklich benötigen

Ein typischer Fehler besteht nach meiner Beobachtung in dem Bezug überflüssiger Daten. Nach dem Motto „So viel wie geht“, wird die ganze Palette an möglichen Daten von Facebook bezogen, ohne dass diese für die Applikation oder die Anmeldung auf einer Website notwendig sind.

Das geht damit einher, dass in der Datenschutzerklärung Nutzer nicht aufgeklärt werden, wozu diese Daten erforderlich sind. Wie auch, wenn die Daten erst gar nicht benötigt werden. So können die Daten der Freunde erforderlich sein, wenn Sie z. B. eine Musik-App anbieten, in der Freunde Hörvorlieben tauschen können. Auch ein Onlineshop kann soziale Elemente enthalten (z. B. Produkttipps unter Freunden).

Fehlen Ihrer App aber solche Funktionen, müssen Sie auf den Bezug der überflüssigen Daten der Nutzer verzichten.

Im Hinblick auf den Einwand, dass Facebook von sich aus zu viele Berechtigungen erteilt und automatisch einräumt (insbesondere was Daten von Freunden angeht), ist zu beachten, dass das Log-in-Verfahren im Frühjahr 2014 auf die Version 2.0 aktualisiert wurde. Dabei wurden auch die Berechtigungsprozesse dahingehend verändert, sodass anders als früher der Datenbezug gradueller steuerbar ist und insbesondere Berechtigungen im Hinblick auf Daten der Freunde eingeschränkt wurden.

Vermeiden Sie überraschende Datennutzungen

Weitere Fehler sind in der Datenschutzerklärung versteckte Nutzungszwecke, mit denen die Nutzer nicht gerechnet haben. Solche Klauseln sind unwirksam (§ 305 c Abs.1 BGB) und abmahnbar.

Ein klassisches Beispiel ist z. B. auch die Berechtigung zum Empfang von Werbung. Eine solche Einwilligung muss jedoch separat eingeholt werden, z. B. als Schritt nach Abschluss des Log-in-Prozesses.

Auch die Nutzung der Daten der Nutzer für Marktforschungszwecke ist ohne Pseudonymisierung (§ 15 Abs.3 TMG) überraschend, wenn sie für die Nutzer nicht erkennbar war. Ich empfehle Ihnen solche „Überraschungen“ zu vermeiden, indem Sie auf unerwartete Nutzungen bereits auf der Seite, auf der die Facebook-Log-in-Schaltfläche platziert ist, hinweisen.

Aber auch, wenn Sie die Nutzer ausreichend aufgeklärt haben, gibt es Datenschützer, die meinen, dass die intransparente Datennutzung durch Facebook das ganze Verfahren unzulässig macht.

Intransparenz von Facebook als Risiko

Datenschützer finden, dass Facebook die Nutzer nicht hinreichend darüber aufklärt, wie deren Daten für Werbezwecke eingesetzt werden. Aus diesem Grund meinen sie, dass ein Facebook Log-in nicht zulässig sein kann, da auch Ihnen die nötigen Informationen fehlen.

Wenn Sie das Facebook Log-in aus diesem Grund nicht nutzen möchten, dann dürften Sie z. B. auch die Like Buttons gar nicht einsetzen. Auch nicht mit der 2-Klick-Funktion. Auch diese halten die Datenschützer nicht für zulässig, da Sie die Nutzer nicht aufklären können, was Facebook alles mit den über das Like gewonnenen Daten machen kann.

Dabei müssen Sie jedoch bedenken, dass Datenschützer dazu da sind, den Datenschutz zu wahren und sofern dieser nicht vollständig gewährleistet ist, keine andere Ansicht vertreten können. Zumal sie ohnehin davon ausgehen, dass bereits das Anlegen einer Facebook-Seite rechtlich unzulässig ist. Eine andere Frage ist, ob Sie Ihr Ermessen dahin ausüben und einschreiten. Ich denke, dass dies beim Facebook Log-in genauso wenig der Fall sein wird, wie bei den Like Buttons. Dasselbe gilt für potenzielle Abmahnungen, die m. E. ebenfalls nicht zu befürchten sind. Das jedoch nur, wenn Sie sich an meine obigen Hinweise halten.

Zusammengefasst ist damit m. E. eine wirksame Einwilligung möglich, bzw. eine, die für Sie rechtlich hinreichend sicher ist. Daneben kann sich die Berechtigung zu den Datentransfers auch aus dem Gesetz ergeben.

Gesetzliche Erlaubnis zum Datenbezug

Neben der Einwilligung können Sie sich auch auf das Gesetz berufen:

• Geschäftszwecke (§ 28 Abs.1 S.1 Nr.1 BDSG) – Sie dürfen die Daten der Nutzer beziehen, wenn dies notwendig ist, um Ihre Leistungen erbringen zu können. Wenn sich ein Nutzer z. B. zu einer App mit sozialen Freundefunktionen anmeldet, dann dürfen Sie insoweit die Daten der Freunde beziehen, wenn sonst Ihre App nicht funktionieren würde.
• Öffentliche Daten (§ 28 Abs.1 S.1 Nr.1 BDSG) – Daten, die ohnehin für Jedermann sichtbar sind (z. B. Name) dürfen Sie beziehen, wenn keine überwiegenden Schutzinteressen der Nutzer dagegen sprechen. Wenn Sie die Daten für nicht-überraschende Zwecke nutzen, werden keine Schutzinteressen der Nutzer verletzt.

Die gesetzlichen Erlaubnisse befreien Sie jedoch nicht von den obigen Aufklärungspflichten, sodass sie lediglich als eine zusätzliche Unterstützung Ihrer Einwilligung und Argumente für deren Zulässigkeit zu verstehen sind.

Fazit

Ich nutze persönlich das Facebook-Log-in-Verfahren gerne und es verwundert mich nicht, dass es in Europa mit 80 % Marktdurchsetzung das beliebteste Single-Sign-On-Verfahren ist.

Auch rechtlich habe ich seit dem Update des Log-ins auf die Version 2.0 keine Bedenken, solange Sie die Nutzer entsprechend meinen Vorgaben:

• über die ablaufenden Datenprozesse aufklären,
• keine überflüssigen Daten beziehen und
• keine überraschenden Datennutzungen in den Datenrichtlinien „verstecken“.

Falls Sie dabei Unterstützung benötigen, stehe ich gerne zu Ihrer Verfügung.

Im nächsten Teil der Reihe werden wir den doch recht komplizierten Datenschutz verlassen und uns der Haftung für Nutzerbeiträge widmen. Ich freue mich schon darauf.

Weitere Themen dieser Serie:

1. Einleitung: Rechtliche Stolperfallen beim Facebook Marketing (KW 4 / 2014)
2. Registrierung – Persönliche Chronik oder Facebook-Seite (KW 5 / 2014)
3. Die Wahl des Konto- & Seitennamens (KW 6 / 2014)
4. Das Impressum (KW 7 / 2014)
5. Datenschutzerklärung, Disclaimer & Netiquetten (KW 8 / 2014)
6. Nutzung von Bildern (KW 9 / 2014)
7. Nutzung von Bildern 2 (KW 11 / 2014)
8. Facebooks IP-Lizenz, Stockbilder, Sharing und Vorschaubilder (KW 12 / 2014)
9. Grundlagen der Nutzung von fremden Texten (KW 16 / 2014)
10. Sharing von Texten, Leistungsschutzrecht und Umgang mit Nutzerbeiträgen (KW 17 / 2016)
11. Meinungen, üble Nachreden und Umgang mit Wettbewerbern (KW 18 / 2014)
12. Wir sind besser als die Konkurrenz – Werbeinhalte und -Anzeigen (KW 16 / 2014)
13. Schleichwerbung, Sponsoring und gekaufte Likes (KW 28 / 2014)
14. Fanpage-Einladungen, Direktmarketing und Adressengenerierung (KW 32 / 2014)
15. Gewinnspiele und Wettbewerbe (KW 34 / 2014)
16. OVG Schleswig: Betreiber von Facebook-Seiten haften nicht für Facebooks Datenschutzverstöße (KW 36 / 2014)
17. Custom & Lookalike Audiences vs. Datenschutz (KW 39 / 2014
18. Custom & Lookalike Audiences from your Website (KW 41 / 2014)
19. Anleitung für ein rechtlich sicheres Facebook Log-in (KW 47 / 2014)
20. Verdecktes Guerilla-Marketing
21. Nutzung der Marke Facebook, der Markenlogos und Screenshots
22. Haftung für Inhalte der Seite, Links, Werbeanzeigen und Fanbeiträge
23. Datenschutz und  Social Media Plug-ins
24. Mitarbeiter und Social Media Guidelines

Beitragsbild / Quelle: Facebook.com