Facebook Connect (Login mit Facebook) und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Facebook Connect ein – also den Login mit einem Facebook-Konto über Meta –, verarbeitet er regelmäßig Profilangaben des Webseitenbesuchers (z.B. Name, E-Mail-Adresse, Profilfoto, Facebook-User-ID) zum Zweck der Authentifizierung und Konto-Anlage in seinem eigenen Online-Dienst, regelmäßig auf Grundlage von Vertragsdurchführung und berechtigten Interessen, ergänzt um eine Einwilligung für mit dem Login verbundene Speicherzugriffe. Dieser Beitrag erläutert, welche Daten Facebook Connect berührt und welche Pflichtangaben dazu in die Datenschutzerklärung gehören.

Die folgenden Ausführungen beruhen auf öffentlich zugänglichen Angaben des Anbieters und auf öffentlich recherchierbaren Quellen; sie ersetzen keine Einzelfallprüfung durch den Webseitenbetreiber.

A. Zweck und Funktionsweise von Facebook Connect

Facebook Connect (auch „Login mit Facebook" oder „Facebook Login") ist eine Single-Sign-On-Funktion (SSO) der Meta-Plattformen. Sie ermöglicht es Webseitenbesuchern, sich mit ihrem bestehenden Facebook-Konto bei den Online-Diensten eines Webseitenbetreibers zu registrieren und anzumelden, ohne dort eigene Zugangsdaten anzulegen. Der Webseitenbetreiber bindet dazu das Facebook-SDK bzw. den OAuth-/OpenID-Connect-basierten Login-Flow von Meta ein.

Der Login-Flow läuft typischerweise so ab: Der Besucher klickt auf einen „Mit Facebook anmelden"-Button, wird auf eine Authentifizierungsseite von Meta weitergeleitet, authentifiziert sich dort mit seinen Facebook-Zugangsdaten und entscheidet, welche Profilinformationen an den Webseitenbetreiber freigegeben werden. Anschließend übermittelt Meta dem Webseitenbetreiber eine Authentifizierungsbestätigung (Token) sowie ausgewählte Profildaten. Passwörter werden dem Webseitenbetreiber nicht übermittelt.

Diese Seite konzentriert sich auf die Integrations-Funktion „Login mit Facebook" auf der Webseite des Webseitenbetreibers (Single-Sign-On). Andere Meta-Produkte wie Meta Pixel, Conversions API, Custom Audiences, Facebook Pages oder Marketing-API werden hier nicht behandelt.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Facebook Connect

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben (Verantwortlicher, Datenschutzbeauftragter, Betroffenenrechte, Aufsichtsbehörde) im Hinblick auf den Einsatz konkreter Tools spezifische Pflichtangaben, insbesondere aus Art. 13 und Art. 14 DSGVO.

Pflichtangaben sind unter anderem:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei Verarbeitungen auf Grundlage einer Interessenabwägung die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob eine Übermittlung in ein unsicheres Drittland außerhalb EU/EWR stattfindet und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zur Festlegung der Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO),
• bei nicht direkt beim Betroffenen erhobenen Daten zusätzlich die Kategorien personenbezogener Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben werden nachfolgend für Facebook Connect aufgeschlüsselt.

In der Praxis ist es üblich geworden, in der Datenschutzerklärung pro eingesetztem Tool einen eigenen Textbaustein einzufügen. Die DSGVO verlangt das so nicht, und die Praxis führt regelmäßig zu langen, redundanten und schwer pflegbaren Datenschutzerklärungen, die dem Transparenzgebot des Art. 12 Abs. 1 DSGVO eher entgegenstehen. Sachgerechter ist ein themenorientierter Ansatz, bei dem Verarbeitungen übergreifend (z.B. Nutzungskonto, SSO, Tracking) beschrieben werden und konkrete Dienstleister wie Meta in einer Empfängerliste im Anhang ausgewiesen werden. Diesen Ansatz verfolgt der Generator von matterius.

C. Anbieter von Facebook Connect

Vertragspartner für Webseitenbetreiber im Europäischen Wirtschaftsraum ist nach den öffentlich zugänglichen Angaben Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland (EWR). Konzernmutter ist Meta Platforms, Inc. mit Sitz in Menlo Park, Kalifornien (USA).

Meta Platforms, Inc. ist nach öffentlich abrufbaren Angaben unter https://www.dataprivacyframework.gov/s/participant-search als Teilnehmer am EU-US Data Privacy Framework gelistet. Drittlandtransfers erfolgen nach Anbieterangaben gestützt auf das DPF und/oder EU-Standardvertragsklauseln; der konkrete Transfermechanismus ist vom Webseitenbetreiber zu prüfen.

Die zentrale Datenschutzrichtlinie von Meta ist abrufbar unter https://www.facebook.com/privacy/policy. Informationen speziell zu Facebook Login finden sich in der Entwicklerdokumentation unter https://developers.facebook.com/docs/facebook-login/.

D. Datenverarbeitung durch Facebook Connect – Ablauf in Schritten

1. Erhebung: Beim Klick auf den Login-Button wird der Besucher auf eine Authentifizierungsseite von Meta weitergeleitet. Meta erhebt dort Login-Daten und Verbindungsdaten. Bei erfolgreicher Authentifizierung erhält der Webseitenbetreiber vom Besucher freigegebene Profildaten.
2. Speicherung: Meta speichert die Authentifizierungs- und Verbindungsdaten in eigener Verantwortung. Der Webseitenbetreiber speichert die ihm übermittelten Profildaten in seiner eigenen Nutzerkontodatenbank.
3. Nutzung: Der Webseitenbetreiber nutzt die übermittelten Daten zur Authentifizierung des Nutzers und zur Anlage bzw. Pflege des Nutzungskontos. Meta nutzt die im Login-Kontext erhobenen Daten gemäß seinen eigenen Datenschutzhinweisen.
4. Weitergabe: Im Login-Flow werden Daten an Meta sowie an dessen Subprozessoren und ggf. Konzerngesellschaften weitergegeben. Eine Übermittlung an Dritte durch den Webseitenbetreiber erfolgt nur, soweit er sie selbst veranlasst.
5. Löschung: Der Nutzer kann die Verknüpfung zwischen Facebook-Konto und Webseiten-Konto in den Einstellungen bei Meta jederzeit aufheben. Der Webseitenbetreiber löscht die Profildaten nach den für sein Nutzungskonto geltenden Regeln.

E. Erhobene Daten bei Facebook Connect

Welche Daten Meta dem Webseitenbetreiber im Rahmen von Facebook Connect übermittelt, hängt von den vom Webseitenbetreiber angeforderten Permissions und der Freigabe durch den Nutzer ab. Typisch sind: Facebook-User-ID, (Profil-)Name, E-Mail-Adresse, Profilbild-URL, ggf. Geburtsdatum, Sprache und Region. Beim Aufruf des Login-Endpunkts entstehen zudem Verbindungsdaten zwischen Endgerät und Meta-Servern.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der Server beim Login-Aufruf erhält, z.B. IP-Adresse, Datum und Uhrzeit, URL des Login-Endpunkts, Referrer, Browser, Betriebssystem und Gerät.
• Klickpfade: Klick auf den „Mit Facebook anmelden"-Button, weitere Login-Schritte mit Zeitstempel.
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung des Endgeräts beim Login.
• Browserinformationen: Browsername und -version.
• Grobe Standortdaten: Anhand der IP-Adresse ermittelter grober Standort auf Stadt- oder Gemeindeebene.
• Nutzungskonto-Daten: Beim Webseitenbetreiber gespeicherte Nutzerkennung (z.B. Facebook-User-ID, E-Mail), Profilangaben aus dem Facebook-Profil, Login-Verläufe.
• Nutzerprofile: Aus den Login- und Profildaten ableitbare Merkmale, z.B. Region, Sprache.

F. Nutzungszwecke beim Einsatz von Facebook Connect

Der Webseitenbetreiber nutzt Facebook Connect, um Besuchern eine bequeme, zentralisierte Registrierung und Anmeldung zu ermöglichen, die Nutzeridentität zu verifizieren, das eigene Nutzungskonto anzulegen oder zu pflegen und Missbrauch (z.B. automatisierte Fake-Anmeldungen) vorzubeugen.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Bereitstellung der Login- und Registrierungsfunktion mit Facebook Connect, einschließlich Fehlererkennung und -behebung.
• Vertragsdurchführung: Anlage und Pflege des Nutzungskontos auf Basis des dem Konto zugrunde liegenden Rechtsverhältnisses.
• Sicherheit und Missbrauchsschutz: Authentifizierung, Schutz vor Fake-Accounts, Bot-Erkennung, Sitzungsmanagement.
• Allgemeine Produktverbesserung: Auswertung aggregierter Login-Kennzahlen zur Optimierung des Registrierungs- und Anmeldeprozesses.
• Kommunikation: Bereitstellung der mit dem Konto verknüpften Kommunikationskanäle (z.B. Service-Mails an die übermittelte E-Mail-Adresse).
• Compliance: Einhaltung gesetzlicher Vorgaben und Nachweis der Einhaltung.
• Rechtsdurchsetzung: Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen im Zusammenhang mit dem Nutzungskonto.

G. Rechtsgrundlagen beim Einsatz von Facebook Connect

Facebook Connect fällt im Webseitenkontext primär in die Tool-Kategorie SSO (Single-Sign-On) mit Bezug zu Nutzungskonto.

Als Rechtsgrundlagen kommen typischerweise in Betracht:

• Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) für die Anlage und Pflege des Nutzungskontos und die Authentifizierung.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO); einschlägige berechtigte Interessen sind regelmäßig Effizienz (vereinfachter Login-Prozess), Sicherheit und Missbrauchsschutz (Schutz vor Fake-Accounts).
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG), soweit der Login-Flow Speicherzugriffe (z.B. Cookies, lokale Speicher, ähnliche Identifier) auslöst, die nicht unbedingt erforderlich sind.

Welche Rechtsgrundlage einschlägig ist, ist fallabhängig und im Einzelfall vom Webseitenbetreiber zu prüfen, insbesondere mit Blick auf Umfang der angeforderten Permissions und ergänzendes Tracking.

H. Besonderheiten und Hinweise zu Facebook Connect

• Eigene Verantwortlichkeit von Meta: Für die Datenverarbeitung im Login-Kontext auf Seiten von Meta tritt Meta nach Anbieterangaben regelmäßig als eigenständiger Verantwortlicher auf. Es gelten dann die Datenschutzhinweise von Meta (https://www.facebook.com/privacy/policy).
• Joint-Controller-Konstellationen bei anderen Meta-Tools: Für andere Meta-Business-Tools (z.B. Pixel, Page Insights) sieht Meta ein Controller- bzw. Joint-Controller-Addendum vor (https://www.facebook.com/legal/controller_addendum). Ob und inwieweit dies für reines Facebook Login relevant wird, ist im Einzelfall zu prüfen.
• Permissions-Umfang: Der Webseitenbetreiber sollte beim Einrichten der App in der Meta-Entwicklerkonsole nur die Permissions anfordern, die er tatsächlich benötigt (Datenminimierung).
• Drittlandtransfer: Eine Verarbeitung in den USA ist möglich. Meta Platforms, Inc. ist nach öffentlich abrufbaren Angaben DPF-zertifiziert; ergänzend kommen SCC in Betracht.
• Opt-Out / Verknüpfung lösen: Nutzer können in den Facebook-Kontoeinstellungen die Verknüpfung zur App des Webseitenbetreibers jederzeit aufheben. Der Webseitenbetreiber sollte zusätzlich eine eigene Möglichkeit zur Konto-Trennung anbieten.
• Profilinformationen: Welche Daten konkret übermittelt werden, hängt von den Privatsphäre-Einstellungen des Nutzers bei Facebook ab und wird ihm im Login-Dialog angezeigt.

I. FAQ zu Facebook Connect und Datenschutz

J. Fazit zu Facebook Connect und Call-to-Action

Facebook Connect ist im Webseitenkontext ein klassisches SSO-Werkzeug mit deutlichem Drittlandbezug zur US-Konzernmutter. Datenschutzrechtlich relevant sind insbesondere der Umfang der angeforderten Permissions, die Trennung zur eigenständigen Datenverarbeitung von Meta, die Behandlung etwaiger Speicherzugriffe nach § 25 TDDDG sowie der Drittlandtransfer in die USA.

Für den Webseitenbetreiber ist es meist wenig sinnvoll, einen eigenen Textbaustein zu Facebook Connect in die Datenschutzerklärung aufzunehmen. Solche tool-individuellen Bausteine machen die Datenschutzerklärung lang, redundant und schwer pflegbar und stehen eher im Spannungsverhältnis zum Transparenzgebot des Art. 12 Abs. 1 DSGVO.

Empfehlenswert ist ein strukturierter, themenorientierter Ansatz: Die Datenschutzerklärung beschreibt SSO und Nutzungskonto übergreifend und verweist im Anhang auf konkret eingesetzte Empfänger wie Meta Platforms Ireland Limited. Diese Methodik liegt dem Generator von matterius zugrunde.

K. Kurator