Datum der letzten Aktualisierung: 10. Mai 2024
In diesem Beitrag erklären wir, was datenschutzrechtlich bei der Einbindung von Facebook Connect in eine Internetseite zu beachten ist.
Datenschutzerklärung für Facebook Connect u.v.m.
- Scannen Sie auf www.avalex.de Ihre Internetseite.
- Bestellen Sie das gewünschte Rechtstext-Paket und beantworten Sie einige Fragen zu Ihrer Internetseite sowie Ihrem Unternehmen (Dauer: ca. 10 Minuten).
- Installieren Sie mit wenigen Klicks das passende avalex Plugin oder lassen Sie avalex Ihre Rechtstexte hosten. Fertig. Ihre Rechtstexte bleiben ab sofort automatisch aktuell.
Was ist Facebook Connect?
Facebook Connect ist ein Authentifizierungsdienst, der es Benutzern ermöglicht, sich mit ihrer Facebook-Identität bei anderen Webseiten, Apps oder Diensten anzumelden. Das Tool wurde entwickelt, um den Anmeldeprozess auf Internetseiten zu vereinfachen, ohne sich dort gesondert registrieren zu müssen.
Wer ist der Betreiber von Facebook Connect?
Der Dienst wird betrieben von:
Meta Platforms, Inc.
1601 Willow Rd
Menlo Park, California 94025
USA
Welche Daten verarbeitet Facebook Connect?
Wenn Sie Facebook Connect in Ihre Internetseite einbinden, werden personenbezogene Daten Ihrer Websitebesucher automatisiert verarbeitet und an Meta weitergegeben. Welche Daten genau verarbeitet werden, ist unbekannt, da nicht alle Daten gesondert, sondern teilweise unter Oberbegriffen benannt werden.
Als gesichert gilt aber, dass die öffentlichen Daten des Facebook-Profils (Name, Profilbild, Alter, Geschlecht, Freundesliste) übermittelt werden. Verwendet der Nutzer Facebook Connect für den Login, hat er keine Möglichkeit, auf die übermittelten Daten Einfluss zu nehmen. Er kann aber in den Einstellungen seines Facebook-Profils festlegen, welche Daten übermittelt werden dürfen. Nimmt er keine Beschränkung vor, kann es möglicherweise dazu kommen, dass weitere Daten übermittelt werden, z.B. seine E-Mailadresse oder Interessen.
Rechtsgrundlage
Um personenbezogene Daten verarbeiten zu dürfen, benötigt man als Websitebetreiber eine Erlaubnisgrundlage im Sinne von Artikel 6 DSGVO. Speichert man dabei Cookies im Browser der Besucher ab oder liest diese aus, ist das seit Geltung des TTDSG (neu: TDDDG) ohnehin nur noch mit Einwilligung des Besuchers zulässig (§ 25 Abs. 1 Satz 1 TDDDG).
Die Einbindung eines Authorisierungsdienstes wie Facebook Connect auf der eigenen Internetseite kann nach nicht über ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO gerechtfertigt werden. Sie benötigen von jedem Besucher der Website eine Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO). Diese Einwilligung muss eingeholt werden, bevor Facebook Connect auf der Internetseite ausgeführt wird. Das geschieht am sinnvollsten mithilfe eine Consent Banners (auch „Cookie Banner“ genannt).
Spar-Tipp: In Kooperation mit consentmanager.de erhalten unsere Kunden zu jeder Bestellung ein Consent Banner mit monatlich bis zu 40.000 Websiteaufrufen dazu, das sie während der Vertragslaufzeit mit avalex kostenlos nutzen dürfen. Hier geht es zur vollständigen Leistungsübersicht unserer Pakete.
Ist es erlaubt, Facebook Connect in die Internetseite einzubinden?
Es ist nicht abschließend geklärt, ob man den Dienst DSGVO-konform in eine Internetseite einbinden kann.
- Es gibt verschiedene Weisen, den Dienst auf der Website einzusetzen. Nach unserer Einschätzung muss in vielen Fällen ein Auftragsverarbeitungsvertrag (AV-Vertrag) abgeschlossen werden. Leider ist nicht bekannt, ob der Anbieter einen AV-Vertrag zur Verfügung stellt. Dies führt zu einem rechtlichen Risiko.
- Problematisch ist, dass nicht öffentlich bekannt ist, welche personenbezogenen Daten der Dienst genau verarbeitet. Voraussetzung für eine DSGVO-konforme Einwilligung ist aber, dass diese in informierter Weise erfolgt, was nur der Fall ist, wenn der Websitebesucher weiß, welche personenbezogenen Daten verarbeitet werden.
- Der Sitz des Anbieters befindet sich in den USA. Um personenbezogenen Daten aus der EU in ein Drittland senden zu dürfen, muss dort ein angemessenes Datenschutzniveau gewährleistet sein. Die EU-Kommission hat einen Angemessenheitsbeschluss gefasst, der die USA als ein sicheres Drittland einstuft (EU-U.S. Data Privacy Framework), ohne dass weitere angemessene Garantien wie z.B. Standardvertragsklauseln oder zusätzliche Maßnahmen erforderlich sind. Der Anbieter ist nach dem Data Privacy Framework zertifiziert.
- Holen Sie von jedem Websitebesucher vor Aktivierung des Dienstes eine Einwilligung ein. Der Besucher muss frei entscheiden können. Erteilt er keine Einwilligung, darf der Dienst auf Ihrer Website nicht aktiviert werden. Erlauben Sie Besuchern, ihre Einwilligung nachträglich zu widerrufen mit der Folge, dass der Dienst nicht weiter ausgeführt wird.
- Belehren Sie in der Datenschutzerklärung Ihrer Internetseite in einfacher und klar verständlicher Weise über die Nutzung des Dienstes. Dazu gehört:
- in welchem Umfang personenbezogene Daten automatisiert verarbeitet werden,
- auf welche Rechtsgrundlage Sie sich für die Verarbeitung personenbezogener Daten stützen (Katalog des Art. 6 Abs. 1 DSGVO),
- zu welchem Zweck sie den Dienst einsetzen,
- die Dauer der Speicherung von personenbezogenen Daten,
- wie Websitebesucher einer Verarbeitung ihrer personenbezogenen Daten widersprechen können,
- ggf.: Information über den Abschluss eines AV-Vertrags.
Direkt zur Datenschutzerklärung für Facebook Connect
Sichern Sie Ihre Internetseite jetzt mit einer automatisch aktuell bleibenden Datenschutzerklärung für diesen und viele weitere Webdienste ab.
So funktioniert es:
- Scannen Sie Ihre Internetseite auf www.avalex.de.
- Bestellen Sie das gewünschte Rechtstext-Paket und beantworten Sie einige Fragen zu Ihrer Internetseite sowie Ihrem Unternehmen (Dauer: 5-10 Minuten).
- Installieren Sie mit wenigen Klicks das passende avalex Plugin. Fertig.