Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Facebook Login (auch Anmelden mit Facebook) ist das Social-Authentifizierungs- und Social-Graph-SDK von Meta. Es ermoeglicht Besuchern, sich auf einer Drittseite mit ihrem Facebook-Konto anzumelden, und gibt Profildaten, Freundeslisten, Altersgruppen und weitere Graph-Felder gemaess Nutzererlaubnis frei. Das Einbetten des Anmelden-mit-Facebook-Buttons oder des Meta-JavaScript-SDK auf einer europaeischen Website setzt Cookies auf der Facebook-Domain, uebermittelt Identifier an Meta und begruendet eine gemeinsame Verantwortlichkeit nach DSGVO.
Facebook Login ist der OAuth-2.0- und OpenID-Connect-Authentifizierungsdienst von Meta. Eine Website bettet den Anmelden-mit-Facebook-Button ein, indem sie das Meta-JavaScript-SDK (sdk.js von connect.facebook.net) laedt oder den Facebook-Login-Dialog direkt aufruft. Nach Autorisierung der angeforderten Berechtigungen (E-Mail, oeffentliches Profil, Freundesliste, Altersgruppe, Marketing-Praeferenzen) gibt Meta ein Access-Token zurueck, mit dem die Website Graph-Daten ueber die Graph API abrufen kann.
In der Praxis entscheidet der Betreiber, welche Facebook-Berechtigungen angefordert werden, ob die Facebook-ID lokal gespeichert wird und wie die Facebook-Daten mit dem restlichen Profil kombiniert werden. Jede Entscheidung hat unmittelbare DSGVO-Konsequenzen.
Facebook Login setzt mehrere Cookies auf der Third-Party-Domain .facebook.com: c_user (eingeloggte Nutzer-ID), xs (Session), datr (Browser-Identifier, 2 Jahre), sb (Sicherheit), fr (Werbe-Identifier, 90 Tage) und weitere. Auf der Betreiber-Domain kann Meta ein Facebook-Login-Token im localStorage als fblo_<APP_ID> speichern und einen kurzlebigen State-Parameter fuer den OAuth-Handshake. Graph-API-Aufrufe uebermitteln IP, User-Agent, die angeforderten Berechtigungen und die App-ID an Meta-Server.
Das Laden des Meta-SDK, bevor der Nutzer auf Facebook-Login klickt, wird von mehreren EU-Aufsichtsbehoerden (CNIL Frankreich, Datenschutzbehoerde Oesterreich, AEPD Spanien) als Social Plugin gewertet, das nach Artikel 5 Absatz 3 ePrivacy eine vorherige Einwilligung benoetigt. Die Bundeskartellamt-Meta-Entscheidung, bestaetigt durch EuGH C-252/21 vom 4. Juli 2023, stellt klar, dass die Kombination von Facebook-Daten mit Off-Platform-Daten Einwilligung statt berechtigtes Interesse verlangt. Betreiber und Meta sind gemeinsam Verantwortliche fuer den Datenaustausch durch den Login-Button.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Meta Platforms Inc. (USA) ist unter dem EU-US Data Privacy Framework zertifiziert. Der Meta-DPA integriert Standardvertragsklauseln fuer Drittlaender ausserhalb des Rahmens. Nach der irischen Datenschutzentscheidung gegen Meta vom 22. Mai 2023 hat Meta den EU-Data-Center-Ausbau beschleunigt (Irland, Daenemark, Schweden, Spanien), die Identitaetspruefung laeuft jedoch weiterhin ueber US-Infrastruktur. Eine Uebermittlungs-Folgenabschaetzung wird empfohlen.
Einwilligung (Artikel 6 Absatz 1 lit. a DSGVO) ist fuer das initiale Laden des Meta-SDK und den weiteren Datenaustausch mit Meta erforderlich. Vertragsnotwendigkeit (Artikel 6 Absatz 1 lit. b) kann die rein authentifizierungsbezogene Verarbeitung abdecken, sobald der Nutzer auf Login mit Facebook geklickt hat. Optionale Berechtigungen (Freundesliste, Marketing-Audiences, Custom Audiences) erfordern eine separate granular Einwilligung.
Das Meta-SDK erst nach ausdruecklicher Einwilligung laden, die Facebook-App so konfigurieren, dass minimale Berechtigungen angefordert werden, nur die Facebook-ID und die unbedingt erforderlichen Daten speichern, die gemeinsame Verantwortlichkeit ueber den Meta Joint Controller Addendum dokumentieren, Meta im Datenschutzhinweis als Empfaenger nennen, eine alternative Anmeldemethode anbieten (E-Mail/Passwort oder anderes SSO) und einen einfachen Weg zum Trennen und Loeschen der Facebook-ID anbieten.
Websites using Facebook Login (Anmelden mit Facebook) must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA wird dringend empfohlen, wenn Facebook Login Kunden authentifiziert, Profilinformationen im CRM speichert oder Inhalte basierend auf Facebook-Graph-Daten personalisiert. Die DSFA muss die mit Meta ausgetauschten Daten, die Vereinbarung gemeinsamer Verantwortlichkeit, die Rechtsgrundlage jeder angeforderten Berechtigung, die Aufbewahrung der Facebook-IDs, den Uebermittlungsmechanismus und die Verfahren fuer Betroffenenanfragen abdecken.
Sample consent text
Sie koennen sich mit Ihrem Facebook-Konto bei dieser Website anmelden. Beim Klick auf Anmelden mit Facebook oeffnet Ihr Browser ein Meta-Popup, uebermittelt Identifier und Ihre IP-Adresse an Meta Platforms Ireland Limited und Meta Platforms Inc. in den USA und setzt Cookies auf facebook.com. Wir verarbeiten die von Ihnen autorisierten Profildaten zur Anlage oder Aktualisierung Ihres Kontos. Grundlage sind Ihre Einwilligung und das EU-US Data Privacy Framework. Sie koennen den Zugriff jederzeit in Ihren Facebook-Einstellungen widerrufen.
Third-party domains contacted
facebook.comconnect.facebook.netgraph.facebook.comfbcdn.netmeta.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| c_user | HTTP cookie | 1 year | Logged in Facebook user ID set on .facebook.com after login. |
| xs | HTTP cookie | 1 year | Facebook session secret combined with c_user to authenticate the request. |
| datr | HTTP cookie | 2 years | Browser identifier set on first visit to facebook.com, used for security and abuse detection. |
| sb | HTTP cookie | 2 years | Facebook browser security cookie that helps detect impersonation. |
| fr | HTTP cookie | 90 days | Meta advertising identifier used for ad delivery on the Meta network. |
Facebook Login (Anmelden mit Facebook) setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.
Facebook Login setzt c_user (1 Jahr, Nutzer-ID), xs (Sitzungsgeheimnis), datr (Browser-ID, 2 Jahre), sb (Sicherheit, 2 Jahre) und fr (Werbe-ID, 90 Tage) auf .facebook.com. Auf der Betreiber-Domain koennen ein voruebergehender OAuth-State und ein fblo_<APP_ID> im localStorage liegen.
Ja. Das Meta-JavaScript-SDK gilt als Social Plugin im Sinne der ePrivacy-Richtlinie und erfordert ein vorheriges Opt-in vor dem Laden. Jede ueber die Basisanmeldung hinausgehende Facebook-Berechtigung benoetigt eine eigene granulare Einwilligung.
Einwilligung (Artikel 6 Absatz 1 lit. a DSGVO) fuer den SDK-Load und den weiteren Datenaustausch. Vertragsnotwendigkeit (Artikel 6 Absatz 1 lit. b) deckt die rein authentifizierungsbezogene Verarbeitung ab, sobald der Nutzer auf Facebook-Login klickt.
Ja. Meta Platforms Inc. ist US-kontrolliert und unter dem EU-US Data Privacy Framework zertifiziert. Der Meta-DPA enthaelt Standardvertragsklauseln. Trotz des EU-Data-Center-Ausbaus laeuft die Identitaetspruefung weiterhin ueber US-Infrastruktur.
Ja, wenn Facebook Login Kunden authentifiziert, Facebook-IDs in der Datenbank speichert oder Facebook-Daten in die Marketing-Personalisierung einfliessen. Die DSFA muss die gemeinsame Verantwortlichkeit und die EU-US-Uebermittlung adressieren.
Das Meta-SDK erst nach Einwilligung laden, minimale Berechtigungen anfordern, die gemeinsame Verantwortlichkeit dokumentieren, nur die noetigsten Profildaten speichern, eine alternative Anmeldemethode und einen einfachen Trennmechanismus anbieten.
Fuer Social Login: Sign in with Apple, Google Identity Services, GitHub OAuth, Microsoft Entra External ID, LinkedIn. Fuer passwortlos: WebAuthn, Magic Links, TOTP. OpenID Connect mit selbst gehostetem Keycloak fuer volle Souveraenitaet.
Einen eigenen Abschnitt anlegen, Meta Platforms Ireland Limited und Meta Platforms Inc. als gemeinsame Verantwortliche nennen, die Cookies und Zwecke (Authentifizierung und Werbung) auflisten, die EU-US Data Privacy Framework Zertifizierung und einen Link auf die Meta-Datenschutzerklaerung erwaehnen.