Schnell und bequem registriert
Seit geraumer Zeit bieten viele Internetportale den Facebook-Login an. Ein Single-Sign-On-Verfahren, dass es Nutzern ermöglicht, sich schnell und bequem mittels des eigenen Facebook Accounts bei einem Webportal zu registrieren oder anzumelden. Der einfache Maus-Klick reicht aus, damit sich Facebook mit dem Webdienst verknüpft und die Inhalte des Webdienstes für den Nutzer freigeschaltet werden. Für Webdienste und Nutzer ist dieses Prinzip natürlich gleichermaßen attraktiv, da eine One-Click-Lösung einen langwierigen und möglicherweise abschreckenden Anmeldungsprozess erspart. Der Webdienst profitiert dabei durch die unkomplizierte Kundenbindung. Der Nutzer hingegen kann einfach und schnell die Angebote eines Webdienstes nutzen. Man könnte also von einem Win-Win-Szenario für alle Beteiligten sprechen.
Nutzerdaten werden ausgetauscht
So schön und vorteilhaft dies im ersten Moment jedoch auch klingen mag, muss aber genauso berücksichtigt werden, dass dabei ein Datenaustausch zwischen den Anbietern stattfindet.
So behält sich Facebook in seinen Bestimmungen vor, konkrete Nutzerdaten an Webdienste zu übermitteln. Dies betrifft zunächst jene Informationen der Nutzer, die in dessen öffentlichen Profilen gespeichert sind. Dabei handelt es sich um den Namen, Nutzer-ID, Profil- und Titelbild des Nutzers. Weiterhin können aber auch solche Daten betroffen sein, die der Nutzer selbstständig öffentlich macht, wie z. B die Freundesliste und mögliche Angaben hinsichtlich des Alters, Wohnortes, Ausbildung, Beziehungsstatus, Gefällt-Mir-Angaben und sonstiges. Der Nutzer kann also nur im letzteren Falle wirklich effektiv die Weitergabe seiner Daten kontrollieren und muss ansonsten hinnehmen, dass bestimmte Daten übertragen werden.
Jedoch gibt Facebook nicht nur Daten weiter, sondern empfängt vom Webdienst auch konkrete Informationen über das Verhalten des Nutzers. Welche Daten hiervon betroffen sind, hängt stark von dem jeweiligen Angebots des Webdienstes ab. Beispielsweise könnte erfasst werden, welche Videos ein Nutzer schaut, oder welche Produkte er sich dort ansieht und auswählt. Facebook nimmt sich dabei das Recht, diese Daten für Werbezwecke weiterzuverarbeiten.
Da zudem ein Single-Sign-On-Verfahren verwendet wird, werden wohl auch mit ziemlicher Sicherheit die Meta-Daten der Nutzer abgegriffen. Schließlich kann Facebook somit Kenntnis davon erlangen, wann und wo ein Nutzer sich bei einem Webdienst ein- und ausloggt.
Datenschutzrechtlich legitim?
Diese Praxis wirft daher natürlich Fragen hinsichtlich der Legitimität auf. Schließlich werden äußerst relevante Nutzerdaten zwischen Facebook und dem jeweiligen Webdienst ausgetauscht. Könnte die schlichte Verwendung des Facebook-Logins gegen geltendes Datenschutzrecht verstoßen? Drohen dem Verwender dann etwa horrende Bußgelder, wenn maßgebliche Vorschriften unterlaufen werden? Solche Bedenken sind grundsätzlich immer dann berechtigt, wenn personenbezogene Daten ausgetauscht werden und eine datenschutzrechtliche Legitimation ausbleibt. Daher ist es wichtig zu wissen, wie der rechtliche Spielraum für den Austausch von nutzerbezogenen Informationen aussieht.
Zunächst gilt allgemein der datenschutzrechtliche Grundsatz des Verbots mit Erlaubnisvorbehalt, wonach jede Verarbeitung der personenbezogenen Daten des Nutzers von einer rechtlichen Erlaubnis oder dessen Einwilligung abhängt. Eine gesetzliche Erlaubnis besteht z.B. für die Weitergabe von Bestandsdaten nach dem Telemediengesetz (TMG). Damit sind aber nur jene Daten erfasst, die der Begründung oder Änderung des jeweiligen Vertragsverhältnisses dienen. Also der Name, die E-Mail-Adresse, das Geburtsdatum und Sprache. Alles was darüber hinausgeht, etwa beispielsweise die Weitergabe der Freundesliste oder der Titel- und Profilbilder, ist davon nicht umfasst. Diese Inhaltsdaten unterfallen damit den Regelungen des Bundesdatenschutzgesetzes (BDSG). Jedoch wird man bezüglich einer rechtlichen Erlaubnis zur Weitergabe dieser Daten auch nicht fündig.
Einwilligung des Nutzers obligatorisch
Insofern verbleibt für den Austausch von Nutzerinformationen, die nicht Bestandsdaten sind, einzig und allein die Einbindung einer Einwilligungserklärung. Der Nutzer muss vor Verwendung des Single-Sign-On-Verfahrens zustimmen, dass seine Daten erhoben und weiterverarbeitet werden. Erforderlich ist insbesondere, dass die Erklärung freiwillig erfolgt und aus ihr klar hervorgeht, welche Informationen ausgetauscht werden. Aufgrund der Unterschiedlichkeit der jeweiligen Webdienste kann aber eine solche Einwilligungserklärung sehr individuell zu gestalten sein. Deshalb sollten „Schnellschüsse“ im Hinblick auf die möglichen Folgen einer fehlerhaften Erklärung unter allen Umständen vermieden werden. Denn wer maßgebliche datenschutzrechtliche Bestimmungen missachtet, kann auf Unterlassung in Anspruch genommen werden und muss unter Umständen Schadensersatz leisten.