Wie in unserem Beitrag vom 12.06.19 angekündigt, wollen wir uns nun mit weiteren Authentifizierungssystemen befassen.
Denn auch Google, Microsoft, Facebook und Instagram bieten die Möglichkeit, sich über ihre API mit deren Log-In-Daten auf fremden Websites anzumelden.
Aus datenschutzrechtlicher Sicht stellt sich dabei die Frage, wer nach der Anmeldung über welche Nutzerdaten verfügt.
Technische Umsetzung: OAuth 2 und OpenID Connect
Bevor jedoch diese Frage beantwortet werden kann, ist die technische Umsetzung zu betrachten.
Allen genannten Login-Verfahren haben gemeinsam, dass sie die passwortlose Authentifizierungsmethode Open Authorisation 2 (OAuth2) verwenden. Dabei wird ein vom Server erzeugtes Token verwendet. Der Benutzer kann sich mit diesem Protokoll an einem Server authentifizieren, ohne dass Passwörter oder ein Server eines Drittanbieters verwendet werden. Es gilt als Standard für API (Application Programming Interface) – Zugriffe.
OpenID Connect erweitert das OAuth2-Protokoll um die Login-Funktion. Über die zugewiesene Identifikation wird ein Single Sign-On, das die Anmeldung auf mehreren Webportalen und Apps ermöglicht, realisiert. Daneben kommen proprietäre Lösungen der API-Betreiber zum Einsatz.
Google-API
Nutzerdaten können über die Google-API etwa mit folgender Funktion abgerufen werden:
function onSignIn(googleUser) {
var profile = googleUser.getBasicProfile();
console.log(‚ID: ‚ + profile.getId()); // Do not send to your backend! Use an ID token instead.
console.log(‚Name: ‚ + profile.getName());
console.log(‚Image URL: ‚ + profile.getImageUrl());
console.log(‚Email: ‚ + profile.getEmail()); // This is null if the ‚email‘ scope is not present.
}
Über die Google-API kann der Websitebetreiber also nur auf die ID, den Namen, das Imagebild und die E-Mail-Adresse des Nutzers zugreifen.
Microsoft-API
Über die Microsoft-API kann grundsätzlich auf das gesamte Nutzerprofil zugegriffen werden. Berechtigungen müssen jedoch angefordert werden.
Facebook-API
Bei einer Anmeldung über die Facebook-API wird dem Nutzer der Zugriffsumfang bei der Anmeldung angezeigt:
Wenig überraschend verfolgt auch Instagram ein ähnliches Konzept wie Facebook.
Fazit
Während über die Google-API nur die ID, der Name, das Imagebild und die E-Mail-Adresse des Nutzers abrufbar sind, sind die Zugriffsberechtigungen bei Microsoft, Facebook und Instagram jeweils im Einzelfall zu betrachten und einer datenschutzrechtlichen Prüfung zu unterziehen.