Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Firebase ist eine Google-Cloud-Plattform mit Mobile- und Web-Backend-Diensten, die in Europa weit verbreitet ist für Authentifizierung, Echtzeit-Datenbanken, Push-Nachrichten, Hosting und Analyse. Die meisten Firebase-Produkte laufen auf Google-Infrastruktur mit standardmäßig multi-regionalem Speicher; Cloud Firestore, Cloud Storage und Cloud Functions lassen sich auf EU-Regionen festlegen, während Firebase Analytics und Cloud Messaging Daten global verarbeiten und in den USA speichern.
Firebase ist eine Google-Cloud-Plattform, die Mobile- und Web-Backend-Dienste in einem SDK bündelt. Häufige Produkte sind Firebase Authentication, Cloud Firestore, Realtime Database, Firebase Cloud Messaging, Firebase Analytics, Crashlytics, Firebase Hosting und Cloud Functions. Sie ist in Europa weit verbreitet, weil sie es erspart, Authentifizierung, Datenbank und Analyse separat zu betreiben.
Firebase Authentication speichert Anmeldedaten, Refresh-Tokens und Sitzungs-IDs. Cloud Firestore und Realtime Database speichern die Anwendungsdaten, die der Entwickler schreibt. Firebase Cloud Messaging speichert Geräte-Tokens für Push-Nachrichten. Firebase Analytics erfasst Events, Screens, Geräteinformationen, IP-Adressen und eine persistente App-Instanz-ID (Firebase Installation ID). Crashlytics erfasst Stack-Traces, Gerätestatus und Nutzer-IDs, falls angehängt.
Authentifizierung, Cloud Firestore und Realtime Database, die zur Bereitstellung der App genutzt werden, stützen sich auf Vertragserfüllung (Art. 6(1)(b) DSGVO). Firebase Analytics und Crashlytics stützen sich auf Einwilligung (Art. 6(1)(a) DSGVO) sowie Art. 5(3) ePrivacy, da sie Kennungen auf dem Gerät lesen und schreiben. Marketing-Kampagnen via Cloud Messaging erfordern Einwilligung. Nutzen Sie Firebase Consent Mode (Google Consent Mode v2), um Consent-Signale an Analytics weiterzugeben.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Cloud Firestore, Cloud Storage und Cloud Functions lassen sich auf EU-Regionen (europe-west1, europe-west3, eur3 usw.) festlegen. Firebase Authentication, Firebase Analytics und Cloud Messaging verarbeiten Daten derzeit global mit US-Speicherung. Übermittlungen stützen sich auf die Google-Zertifizierung nach dem Data Privacy Framework EU-US und auf Standardvertragsklauseln im Google-Cloud-DPA.
Schließen Sie den Google-Cloud-DPA aus der Firebase-Konsole ab. Setzen Sie Cloud Firestore und Cloud Storage auf EU-Regionen. Aktivieren Sie Firebase Consent Mode und schalten Sie Firebase Analytics und Crashlytics über Ihre CMP frei. Für mobile Apps fordern Sie iOS App Tracking Transparency vor Analytics-Aktivierung an und folgen Sie den Vorgaben der Android Privacy Sandbox. Dokumentieren Sie genutzte Firebase-Dienste, Regionen und die Data-Privacy-Framework-Grundlage in der Datenschutzerklärung.
Websites using Firebase must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA wird für Firebase-Implementierungen empfohlen, die Authentication, Analytics und Crashlytics mit großen Nutzerzahlen kombinieren, da die globale Google-Cloud-Verarbeitung und persistente Kennungen für Analyse und Marketing genutzt werden.
Sample consent text
Diese Anwendung verwendet Firebase (Google LLC) für Authentifizierung, Speicherung und Analyse. Firebase Analytics und Crashlytics werden erst nach Ihrer Einwilligung aktiviert. Personenbezogene Daten können auf Google-Infrastruktur außerhalb des EWR übertragen werden, gestützt auf das Data Privacy Framework EU-US oder Standardvertragsklauseln.
Third-party domains contacted
firebase.googleapis.comfirebaseio.comfirebaseinstallations.googleapis.comfcmregistrations.googleapis.comfirebaselogging-pa.googleapis.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| firebase_id_token | first_party | 1 hour | Short-lived ID token issued by Firebase Authentication after a successful login. |
| firebase_refresh_token | first_party | Variable (long-lived) | Refresh token stored locally so the app can request new ID tokens without forcing re-authentication. |
| FIREBASE_INSTALLATION_ID | first_party | Persistent | Persistent app instance identifier used by Firebase Analytics, Crashlytics and Cloud Messaging to attribute events. |
| FCM_TOKEN | first_party | Persistent | Device token used by Firebase Cloud Messaging to deliver push notifications. |
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
Firebase Authentication erstellt einen ID-Token (1 Stunde) und einen langlebigen Refresh-Token. Firebase Installations vergibt eine persistente App-Instanz-ID, die von Analytics, Crashlytics und Cloud Messaging verwendet wird. Firebase Cloud Messaging speichert ein Geräte-Token. Firebase Analytics und Crashlytics schreiben zusätzlich Event-Payloads mit Geräte- und IP-Informationen, sofern aktiv.
Firebase Authentication und die zur Bereitstellung der gewünschten Funktion genutzten Datenbanken brauchen kein eigenes Cookie-Banner. Firebase Analytics, Crashlytics und Marketing-Kampagnen via Cloud Messaging erfordern eine freiwillige Einwilligung nach Art. 6(1)(a) DSGVO und Art. 5(3) ePrivacy. Nutzen Sie Firebase Consent Mode, um die Erfassung zu steuern.
Authentifizierung, Cloud Firestore und Realtime Database zur App-Bereitstellung stützen sich auf Vertragserfüllung (Art. 6(1)(b)). Firebase Analytics, Crashlytics und Marketing-Kampagnen via Cloud Messaging stützen sich auf Einwilligung (Art. 6(1)(a)). Steuer-Aufbewahrung kann auf rechtlicher Verpflichtung beruhen (Art. 6(1)(c)). Strikt notwendige Identifier stützen sich auf Art. 5(3) ePrivacy.
Ja für mehrere Firebase-Produkte. Cloud Firestore, Cloud Storage und Cloud Functions lassen sich auf EU-Regionen festlegen. Firebase Authentication, Firebase Analytics und Cloud Messaging verarbeiten Daten derzeit global mit US-Speicherung. Übermittlungen stützen sich auf die Google-Zertifizierung im Data Privacy Framework EU-US und auf Standardvertragsklauseln im Google-Cloud-DPA.
Eine DSFA wird empfohlen, wenn Firebase Authentication, Analytics und Crashlytics mit größeren Nutzerzahlen kombiniert werden, da global verarbeitet und persistente Kennungen genutzt werden. Für ein kleines Authentication- oder Hosting-Only-Projekt ist sie in der Regel nicht erforderlich.
Schließen Sie den Google-Cloud-DPA in der Firebase-Konsole ab. Setzen Sie Cloud Firestore und Cloud Storage auf EU-Regionen. Aktivieren Sie Firebase Consent Mode und schalten Sie Firebase Analytics und Crashlytics über Ihre CMP frei. Für mobile Apps fordern Sie iOS App Tracking Transparency vor Analytics-Aktivierung an. Dokumentieren Sie Firebase-Dienste, Regionen und die DPF-Grundlage in Ihrer Datenschutzerklärung.
EU-basierte Alternativen sind Supabase (verwaltet in EU-Regionen auf AWS), Appwrite (Open Source, selbst hostbar oder EU-Cloud), Hasura mit EU-Hosting und Nhost (EU-Hosting). Für reine Analyse sind Plausible, Matomo, Pirsch oder Posthog mit EU-Hosting vorzuziehen. Die Wahl hängt davon ab, ob ein vollständiges Backend oder nur einzelne Firebase-Produkte ersetzt werden sollen.
Listen Sie die genutzten Firebase-Dienste (Authentication, Cloud Firestore, Storage, Functions, Cloud Messaging, Analytics, Crashlytics) mit Zweck, konfigurierten Regionen und ausgegebenen persistenten Identifiern auf. Erläutern Sie, dass Daten auf Google-Infrastruktur außerhalb des EWR im Rahmen des Data Privacy Framework EU-US oder Standardvertragsklauseln übermittelt werden können, und verweisen Sie auf den Google-Cloud-DPA.