Der Einsatz von Social Login, bekannt auch unter Social Sign-In, nimmt stetig zu, allerdings wird völlig außer Acht gelassen, welche Risiken für den Datenschutz Social Login hervorrufen kann.
Unter Social Login ist das Anmelden zur Nutzung von Applikationen (Apps) oder Webdiensten gemeint, allerdings muss nicht zunächst ein Login-Account erstellt werden, sondern die Anmeldung erfolgt über einen existierenden Account in einem sozialen Netzwerk. Eine Anmeldung ist zum Beispiel über Facebook, Google+, Twitter, LinkedIn oder Open ID möglich. Auf Grund der Anmeldung über einen bereits vorhandenen Account spart der Nutzer zum einen Zeit, da ihm die Eingabe des Namens, der E-Mail-Adresse etc. erspart bleibt und zum anderen muss der Nutzer sich nicht schon wieder ein neues Passwort merken. Unternehmen versprechen sich durch die Einbindung der Dienste eine höhere Kundenfreundlichkeit bzw. steigende Absatzzahlen.
Aufgrund der Benutzerfreundlichkeit von Social Login ist es deshalb kaum verwunderlich, dass sich kaum ein Nutzer Gedanken macht, welche Risiken für den Datenschutz Social Login verursachen kann.
Wie funktioniert Social Login?
Bei Social Sign-In handelt es sich um eine Form des Single Sign-On, zu deutsch „einmaliges Anmelden“. Aus der Bezeichnung geht bereits hervor, was das Ziel dieses Verfahrens ist und zwar die Nutzung zahlreicher Dienste über eine zentrale Anmeldestelle. Über den zentralen Account kann sich der Nutzer dann für eine Vielzahl an Webdiensten anmelden, die diese Funktion eingebunden haben.
Hat der Nutzer zum Beispiel ein Facebook-Account, so kann er – sofern der Webseitenbetreiber oder der App-Entwickler – den Facebook-Connect Button auf der Webseite bzw. in der App eingebunden hat – sich durch Anklicken des Buttons vermeintlich bequem anmelden. Ist der Nutzer bereits in Facebook eingeloggt, so muss dieser nicht mal mehr den Benutzernamen/die Handynummer und das Passwort eingeben, da das Anklicken von „Mit Facebook einloggen“ genügt. In der Regel erfolgt im Anmeldeprozess noch der Hinweis, welche Daten an den App- oder Webseiten-Anbieter weitergeben werden, den der Nutzer mit „OK“ bestätigen muss. Der Hinweis kann zum Beispiel folgendermaßen aussehen: „Brands-Consulting.eu erhält folgende Informationen: öffentliches Profil, Freundesliste und E-Mail-Adresse“.
Welche Daten werden weitergeben und wer erhält diese Daten?
Der Datenaustauch findet zumeist auf beiden Seiten statt, denn der Anbieter des sozialen Netzwerks übermittelt Daten an den Webseitenbetreiber/App-Anbieter und erhält wiederrum von diesem Informationen zum Nutzer.
Welche Daten der Anbieter des sozialen Netzwerks erhält ist unterschiedlich, da dies davon abhängt, wie der Dienst des Webseiten-Anbieters oder sonstiger Anbieter gestaltet ist. Wie bereits erläutert, erhält der Nutzer normalerweise vor Anmeldung allerdings den Hinweis darüber, welche Informationen übermittelt werden. Zudem sollte grundsätzlich davon ausgegangen werden, dass öffentliche Profiinformationen, wie zum Beispiel der Name oder das Geschlecht, sowie die E-Mail-Adresse an den Anbieter der Webseite übersendet werden.
Auch kann nicht pauschal beantwortet werden, welche Informationen an den Anbieter des sozialen Netzwerkes weitergeben werden, da dies davon abhängt, welcher Dienst angeboten wird. Es sollte allerdings davon ausgegangen werden, dass der Anbieter des sozialen Netzwerkes über die Aktivitäten der Nutzer auf der Webseite/in der App informiert wird und diese mit dem Profil verknüpft werden.
Welche Risiken für den Datenschutz Social Login verursachen kann
Risiken sollten, wie bereits kurz erklärt, sowohl für den Nutzer selbst als auch für den Anbieter der Webdienste/Apps nicht außer Acht gelassen werden.
Die Risiken und Gefahren für den Nutzer selbst
Die Risiken für den Nutzer sollten auf der Hand liegen, denn je häufiger sich dieser über sein Facebook-Account oder über ein Account eines anderen Anbieters anmeldet, desto mehr Information kann der Anbieter des sozialen Netzwerkes über ihn sammeln und sehr umfangreiche Benutzerprofile erstellen. Der Anbieter des sozialen Netzwerkes wird – je nachdem, für welche Apps Sie sich anmelden – erfahren können, welche Vorlieben für Musik und Filme sich haben, wo sie häufig essen gehen oder, dass Sie heute nur fünf km gejoggt sind, anstatt der üblichen zehn.
Die Risiken und Gefahren für den Anbieter des Webdienstes/der App
Nicht nur die Nutzer selbst sollten auf die Risiken und Gefahren achten, sondern insbesondere auch die Anbieter von Webdiensten und Apps, die die Buttons einbinden. Meldet sich ein Nutzer über Facebook-Connect oder über ein Account eines anderen sozialen Netzwerks an, so kann der Anbieter des Webdienstes/der App, wie bereits erläutert, ggf. auf personenbezogene Daten, wie Freundeslisten oder Fotos, zugreifen, die er für die Auftragserfüllung nicht benötigt. Im Datenschutz gilt allerdings der Grundsatz der Datensparsamkeit und das Verbot mit Erlaubnisvorbehalt, denn jegliche Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten bedarf laut § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) einer Rechtsgrundlage oder einer informierten Einwilligung des Betroffenen.
Aus § 14 Telemediengesetz (TMG) geht hervor, dass die Erhebung und Verarbeitung von Bestandsdaten, die zur Begründung und Durchführung des Auftrags / Rechtsgeschäfts erforderlich sind, erlaubt ist. Das bedeutet, dass nur die personenbezogenen Daten erhoben, verarbeitet und genutzt werden dürfen, die für die Erfüllung der Aufgabe/des Dienstes tatsächlich notwendig sind. Für die Nutzung der Webdienste/der App könnte, zum Beispiel der Name oder die E-Mail-Adresse, erforderlich sein. Bei Online-Shops oder Versandapotheken, die zum Beispiel Alkohol oder Arzneimittel verkaufen, könnte es zudem notwendig sein, dass das Alter erhoben wird. Möchten Anbieter von Webdiensten/Apps weitere personenbezogenen Daten erheben oder verarbeiten, so sollten diese informierte Einwilligungen der Nutzer einholen.
Die Anbieter der Webdienste/Apps sollten zudem beachten, dass Sie die Daten an den Anbieter des sozialen Netzwerkes ebenfalls nicht ohne einer Rechtsgrundlage oder der informierten Einwilligung des Nutzers übersenden dürfen. Ein weiteres erhebliches Risiko ist, dass die meisten Anbieter der sozialen Netzwerke ihren Sitz in Drittländern haben. Aus diesem Grund sollte – sofern technisch möglich – verhindert werden, dass personenbezogene Daten zurück an die Anbieter der sozialen Netzwerke übermittelt werden. Ist dies nicht möglich, sollten die Betroffenen klar darüber informiert werden und bestmöglich sollten Einwilligungen der Nutzer eingeholt werden. Eine Aufnahme der Dienste und damit verbundenen Informationen in die Datenschutzerklärung der Homepage ist somit auch absolut ratsam.
Fazit
Der Einsatz von Social Login kann zwar, insbesondere für die Nutzer selbst, sehr praktisch sein, allerdings sollten sie beachten, dass sie für den Komfort mit Ihrer Privatsphäre zahlen und viele Informationen über sich preisgeben.
Den Anbieter von Webdiensten/Apps ist grundsätzlich von dem Einsatz von Social Login abzuraten, da die Nutzung zu zahlreichen datenschutzrechtlichen Risiken führen kann. Sofern dies nicht gewünscht ist, sollten die Anbieter dringend informierte Einwilligungen einholen und die Übermittlung an die Anbieter der sozialen Netzwerke unterbinden.