Single Sign On – Was ist das?
Single Sign On (SSO) beschreibt ein Verfahren, das Nutzern die Möglichkeit bietet, sich über eine zentrale Stelle Zugang zu diversen Online-Diensten zu verschaffen. Dies hat für die Nutzer den großen Vorteil, dass sie nicht für jeden registrierungspflichtigen Webdienst eine neue Nutzer-Identität mit Nutzername und neuem Passwort erstellen müssen, sondern nur einen zentralen Account benötigen, über den sie sich zu weiteren Diensten anmelden können. Die Möglichkeit einer solchen einheitlichen “Internet-Identität“ bedeutet für die Nutzer also durchaus einen Komfort.
Reger Datenaustausch bei „Facebook Login“
Viele Webdienste bieten inzwischen das erweiterte Single Sign On über Facebook Login an (ehemals Facebook Connect). Facebook integriert einen entsprechenden Facebook-Button (Social Plug- In) in die Webseiten der Webdienste, die ihren Nutzern eine SSO-Registrierung ermöglichen möchten. Klicken die Nutzer auf den Button und loggen sich bei Facebook ein, erfolgt die Verknüpfung von Facebook und dem Webdienst, worüber Facebook stets das öffentliche Profil und die Freundesliste übermittelt, da diese Informationen als „öffentlich“ eingestuft und nicht beschränkt werden können. Dazu können noch weitere Daten übermittelt werden, die vom Nutzer nicht explizit eingeschränkt und damit „öffentlich gemacht“ wurden (z.B. Alter, Wohnort, Beziehungsstatus). Zuvor erscheint ein Feld, in dem der Nutzer die Info erhält, auf welche Daten/Datenarten der Webdienst Zugriff erhält, wenn er fortfährt.
Facebook erhält vom Webdienst schließlich Daten über den Nutzer und seine Aktivitäten, die dem Facebook Benutzerprofil beigefügt werden und von Facebook weiterverarbeitet werden können. Beispielsweise werden die Daten zu Werbezwecken ausgewertet oder auch auf der Profilseite veröffentlicht.
Es geht nur mit Einwilligung
Machen wir uns einmal klar, welche Verarbeitungsprozesse diesen Datenaustausch kennzeichnen. Facebook übermittelt umfangreiche Profildaten an den Webdienst. Dieser speichert diese, wertet das Verhalten des Nutzers innerhalb des Webdienstes aus und übermittelt gewonnene Informationen zurück an Facebook. Facebook reichert nun das entsprechende Nutzerprofil mit den erlangten Informationen von allen angeschlossenen Webdiensten an, die der Nutzer besucht und hat damit einen stetig wachsenden Datensatz über den personalisierten Nutzer. Selbst wenn ein Nutzer beim Login-Prozesses darauf hingewiesen wird, welche Daten von Facebook an den jeweiligen Online-Dienst übermittelt werden können, ist es mehr als unwahrscheinlich, dass er die Reichweite dieser Datenübermittlung wirklich erkennt.
Aus dem Telemediengesetz (TMG) lässt sich für diese Datenverarbeitungen keine Rechtsgrundlage herleiten. Das TMG erlaubt die Verarbeitung von sogenannten Bestandsdaten, die für das jeweilige Vertragsverhältnis (z.B. den Plattformnutzungsvertrag) erforderlich sind, so dass hier zur Gewährleistung der Login-Funktion allenfalls reine Stammdaten der Nutzer übermittelt und weiterverarbeitet werden dürfen. Das sind nur solche, die der jeweilige Webdienst für das eigene Profil zwingend benötigt. Alle weiteren Daten sind Inhaltsdaten, die den Maßgaben des Bundesdatenschutzgesetzes (BDSG) unterliegen.
Aber auch das BDSG legitimiert die dargestellten Datenverarbeitungen nicht, auch wenn hier oftmals das Argument auftaucht, dass die Daten, um die es hier geht, öffentlich zugängliche Daten sind und daher verarbeitet werden dürfen. Beim Blick auf die Datenverarbeitungskette, die hier ausgelöst wird, liegt es aber auf der Hand dass der Nutzer ein offensichtlich höheres Interesse daran hat, dass die für das soziale Netzwerk bestimmten Daten nicht im Rahmen eines SSO-Dienstes in dieser Weise für andere Zwecke verarbeitet werden.
Mangels einer gesetzlichen Erlaubnisvorschrift hängt die Zulässigkeit der Datenverarbeitungen von wirksamen Einwilligungserklärungen der Nutzer ab. Diese müssen vor der Inanspruchnahme des SSO-Dienstes eingeholt werden. Eine Darstellung in den jeweiligen Nutzungsbedingungen, die ein Nutzer einst akzeptiert hat, genügt nicht. Wichtig ist, dass der Nutzer bei Abgabe der Einwilligung genau erkennt, welche Daten über ihn zu welchen Zwecken von wem verarbeitet werden.
Das sollten die Webdienste beachten
Entscheidet sich ein Webdienst trotz der datenschutzrechtlichen Gefahren, diese Funktion auf seiner Webseite anzubieten, muss er sich darüber im Klaren sein, dass auch er verantwortliche Stelle im Sinne des Datenschutzrechts für die eigenen Verarbeitungsphasen ist. Zunächst sollte er den Facebook Login-Button möglichst über die 2-Klick-Lösung oder die Shariff-Lösung einbinden, damit das Social Plugin erst aktiviert wird, wenn der Nutzer den dazugehörigen Link anklickt. Darüber hinaus hat er sicherzustellen, dass die Nutzer vor der Anmeldung über Facebook ausreichend über die umfangreichen Datenverarbeitungsprozesse aufgeklärt werden und damit die Möglichkeit erhalten, informiert und bewusst einzuwilligen. Die Datenschutzerklärung muss zudem eine Erläuterung des Verfahrens enthalten. Hier genügt keinesfalls ein Hinweis darauf, dass die Facebook Login Funktion den Bestimmungen und der Verantwortung von Facebook unterliegt.
Neue Datenallianz – "Harter Kampf um Nutzer" | Digital | detektor.fm
31. Juli 2017 @ 18:25
[…] Anmelden über nur einen Account bringt Vor- und Nachteile: Was bequem für den Nutzer ist, ist auch bequem […]
Like! Share! Log-in! Facebook-Buttons auf Webseiten von Drittanbietern und Datenschutz | Alexander von Humboldt Institut für Internet und Gesellschaft
19. August 2015 @ 15:48
[…] Im Hinblick auf die Single Sign On-Funktion ist ebenfalls keine Rechtsgrundlage ersichtlich, die diese Datenverarbeitung in vollem Umfang erlaubt. Eine Erlaubnis folgt nicht aus dem § 14 TMG, da davon nur die Übermittlung von Bestandsdaten, also Daten die für das jeweilige Vertragsverhältnis erforderlich sind, umfasst ist. So wäre hiervon zum Beispiel die Übermittlung der Freundesliste nicht gedeckt, da sie in der Regel nicht zur Erbringung des Dienstes, bei dem man sich via Facebook einloggt, erforderlich ist. Auch § 28 Abs. 1 Nr. 3 BDSG (Ausnahme für allgemein zugängliche Daten) ist nicht einschlägig, da die Freundesliste bei Facebook gerade nicht stets öffentlich einsehbar ist. Somit kommt es auch hier auf eine wirksame Einwilligung an. […]