Ich wurde aufgefordert meine Rechtstexte bei der IT-Rechtskanzlei zu aktualisieren, da bin ich über das hier gestolpert: Hinweis Achtung: Die Verwendung von Facebook Connect ist rechtlich umstritten, eine eindeutig zulässige datenschutzkonforme Verwendung von Facebook Connect ist derzeit nicht möglich, es verbleibt ein Restrisiko bei der Verwedung dieses Single Sign On-Verfahrens. Eine das rechtliche Risiko minimierende Lösung wäre die Implementierung des nachstehenden Verfahrens: - Im Rahmen des Login-/Registrierungsprozess im Zusammenhang mit Facebook Connect ist die ausdrückliche Einwilligung des Seitenbesuchers einzuholen, eine solche Einwilligung mit verbundener (nicht vorangecheckter) Check-Box könnte wie folgt aussehen: "Ich bin damit einverstanden, dass durch Facebook-Connect automatisch Daten an den Seitenbetreiber übermittelt und verwendet werden. Dies betrifft meine als öffentlich markierten Profildetails bei Facebook, wie z.B. Anrede, Vorname, Nachname, Adressdaten, Land, E-Mail Adresse, Geburtsdatum, aber auch die Nutzer-IDs meiner Freunde, meine Profilbilder und meine Freundesliste. Die Datenschutzerklärung habe ich gelesen. Diese Einwilligung kann ich jederzeit durch eine E-Mail an die im Impressum benannte Adresse widerrufen." Hinweise: Die vorstehende Einwilligung muss in unmittelbarer Nähe zum Facebook Connect-Button platziert werden, die Funktion Facebook-Connect darf nicht ausführbar sein, solange die Einwilligung noch nicht erteilt worden ist. Zudem sollte das Wort "Datenschutzerklärung" in der vorstehenden Einwilligungsklausel mit der Seite verlinkt sein, auf welcher die Datenschutzerklärung abrufbar ist. Die Einholung der Einwilligung mitprotokolliert und gespeichert werden. Ob dieses Vorgehen einem gerichtlichen Verfahren Stand halten würde, lässt sich allerdings mit letzter Gewissheit nach dem gegenwärtigen Stand der Rechtsprechung nicht mit Sicherheit vorhersagen, wenn Sie ganz sicher handeln möchten, dürfen Sie Facebook Connect nicht verwenden! Also vorsichtshalber deaktivieren, oder arbeitet Gambio schon an einer rechtssicheren Umsetzung?
Kann man ja gar nicht, denn IT-Recht sagt "eine belastbare Rechtsprechung zu diesem Thema existiert nach unserem Kenntsnisstand bislang noch nicht." Die wissen also auch real nicht was geht und was nicht geht. Bei neuen Gesetzgebungen ist das immer so, erst wenn ein paar ergänzende Urteile gesprochen sind, herrscht irgendwann eine Klarheit. Das bedeutet für jetzt: vielleicht ist unsere Umsetzung nicht In Ordnung, vielleicht ist sie es aber auch. Man kann das nicht feststellen. Wenn man weiteres Risiko vermeiden will, kann man eine Usabilityhölle wie vorgeschlagen drumrumbauen, die den Komforteffekt und die Einfachheit glaub ich aber deutlich angreift. Eine "Risikominimierlösung" wie IT-Recht aus dem Bauch vorschlägt, hab ich auch noch echt soweit nirgends gesehen, damit gibts neben keiner sicheren Anwort auch keine Vorbilder. Solange da nichtmal jemand sagt: Wir finden dies sicher falsch oder jenes definitiv richtig, werden wir da wenig anfassen, das macht keinen Sinn.
Kleiner Hinweis in diesem Kontext: Solche Hinweise gehen meist davon aus, dass man den Single-SignOn so implementiert, wie die Anbieter das propagieren, nämlich vermittels der dafür zur Verfügung gestellten Javascript-Libraries, die dann die Login-Buttons darstellen. Wir vermeiden so etwas so weit irgend möglich, aus Datenschutz- und Performancegründen. Man sieht das, wenn man z.B. mal Facebook-SSO aktiviert und überprüft, welche Ressourcen vom Browser beim Abruf der Shop-Startseite geladen werden: Abgesehen von einem Webfont von Google wird dabei keine externe Ressource geladen. Es findet also keine Verbindung zu Facebook statt, bevor der Kunde wissentlich und willentlich den Facebook-Login-Button anklickt.
Ich übersetz Marco mal: Das ist im Prinzip das, was die Shariff-Buttons prinzipiell auch tun: Erst mit der anderen Seite reden, wenn die Login-Buttons aktiv angeklickt werden. Bei denen weiss man schon mal: die sind Stand heute rechtssicher. Und: damit unterscheidet sich unsere Lösung auch von der vieler anderer Anbieter, die da mehr mit fertigen Ressourcen der Login-Anbieter machen, die früher in die Seite geladen werden und schon früher und die ganze Sitzungszeit mehr Informationen austauschen. Wir haben die Dinger quasi mit eigenen Methoden und nach eigenen Ansichten restriktiver nachgebaut. Das bedeutet es verbessert, wenn sich da mal irgendwann was tun sollte, die Startposition aller Gambionutzer gegenüber so einigen anderen Systemen sicherlich ungemein. Wenn ich ein "schlechter Mensch" auf der Suche nach Abmanhnopfern wäre, würde ich auch bei den Systemen zuerst Opfer abklopfen, bei denen es mehr Material für potenzielle Fehlleistungen gäbe. Wir glauben das ist das beste, was man da gerade liefern kann, und wir glauben der Nutzwert des Features SSO ist hoch.
Ich habe das was. Quelle It-Recht " Hinweis Achtung: Die Verwendung von Facebook Connect ist rechtlich umstritten, eine eindeutig zulässige datenschutzkonforme Verwendung von Facebook Connect ist derzeit nicht möglich, es verbleibt ein Restrisiko bei der Verwendung dieses Single Sign On-Verfahrens. Eine das rechtliche Risiko minimierende Lösung wäre die Implementierung des nachstehenden Verfahrens: - Im Rahmen des Login-/Registrierungsprozess im Zusammenhang mit Facebook Connect ist die ausdrückliche Einwilligung des Seitenbesuchers einzuholen, eine solche Einwilligung mit verbundener (nicht vorangecheckter) Check-Box könnte wie folgt aussehen: "Ich bin damit einverstanden, dass durch Facebook-Connect automatisch Daten an den Seitenbetreiber übermittelt und verwendet werden. Dies betrifft meine als öffentlich markierten Profildetails bei Facebook, wie z.B. Anrede, Vorname, Nachname, Adressdaten, Land, E-Mail Adresse, Geburtsdatum, aber auch die Nutzer-IDs meiner Freunde, meine Profilbilder und meine Freundesliste. Die Datenschutzerklärung habe ich gelesen. Diese Einwilligung kann ich jederzeit durch eine E-Mail an die im Impressum benannte Adresse widerrufen." Hinweise: Die vorstehende Einwilligung muss in unmittelbarer Nähe zum Facebook Connect-Button platziert werden, die Funktion Facebook-Connect darf nicht ausführbar sein, solange die Einwilligung noch nicht erteilt worden ist. Zudem sollte das Wort "Datenschutzerklärung" in der vorstehenden Einwilligungsklausel mit der Seite verlinkt sein, auf welcher die Datenschutzerklärung abrufbar ist. Die Einholung der Einwilligung mitprotokolliert und gespeichert werden. Ob dieses Vorgehen einem gerichtlichen Verfahren Stand halten würde, lässt sich allerdings mit letzter Gewissheit nach dem gegenwärtigen Stand der Rechtsprechung nicht mit Sicherheit vorhersagen, wenn Sie ganz sicher handeln möchten, dürfen Sie Facebook Connect nicht verwenden! "
Das ist nicht neu, das ist genau der Beitrag #5, und weil das so ist, gibts da auch wenig neues zu sagen.
Achso nicht gesehen. Ich habe mir lediglich die Frage selbst beantwortet. Da ich einfach heute an DSVGO Umsetzung arbeite, ist mir das über den weg gelaufen.
Ich kann der Anleitung zur Erstellung der Zugangsdaten für Amazon SSO nicht folgen: Das was in der Anleitung als Clickpfad steht finde ich nicht: Auch nichts ähnliches. Ich habe jetzt schon Amazon MWS Developer Zugangsdaten hinterlegt und getestet - die sind aber wohl nicht gemeint. Hat jemand einen aktuellen Weg, um an die Daten zu kommen?
Und bei Paypal komme ich auch nicht weiter: In der Anleitung steht alles haarklein für die Sandbox drin. Muss man das für den Live-Modus nicht auch machen? Wenn ja: Dort sind die ganzen Address Information Felder nicht auswählbar, und der Login im Shop funktioniert nicht. Fehlermeldung:
PayPal hat im Zuge von DSGVO-Anpassungen bei Login mit PayPal eine zusätzliche Hürde eingebaut, und zwar dergestalt, dass man erst begründet beantragen muss, die Daten zu bekommen. Das ist leider im Grunde gerade wenige brauchbar.