Meta-App-Entwicklung
Zurück zu Deutsch
Dieses Dokument wurde aktualisiert.
Die Übersetzung ins Deutsche ist noch nicht fertig.
Englisch aktualisiert: 7. Mai

FAQs zur datenschutzrechtlichen Beurteilung

Was ist die datenschutzrechtliche Beurteilung?

  1. Was ist die datenschutzrechtliche Beurteilung?

    1. Die datenschutzrechtliche Beurteilung ist eine jährliche Anforderung für Apps, die auf bestimmte Arten von Daten zugreifen. Die Fragen in der Beurteilung zielen darauf ab, festzustellen, ob die Entwickler*innen unsere Plattform-Nutzungsbedingungen in Bezug auf die Nutzung, den Austausch und den Schutz von Plattformdaten einhalten.

  2. Was sind Plattformdaten?

    1. Der Begriff „Plattformdaten“ bezeichnet alle Informationen, Daten oder sonstigen Inhalte, die du von uns über die Plattform oder über deine App erhältst. Dies gilt unabhängig davon, ob du diese direkt oder indirekt und vor, am oder nach dem Datum, an dem du diesen Nutzungsbedingungen zustimmst erhältst, und schließt auch anonymisierte oder zusammengefasste Daten bzw. aus diesen Daten abgeleitete Daten mit ein. Zu den Plattformdaten gehören App-Zugriffsschlüssel, Seiten-Zugriffsschlüssel, Zugriffsschlüssel, App-Geheimcodes und Benutzer-Zugriffsschlüssel.
    2. Alle Daten, die du von Meta über die App erhältst, gelten als Plattformdaten. So gehören beispielsweise die Nutzer*innen-IDs, die E-Mail-Adressen der Nutzer*innen und die Freund*innen der Nutzer*innen zu den Plattformdaten.

  3. Wodurch unterscheidet sich dies von App Review und der Überprüfung der Datennutzung?

    1. App Review ist ein vorausschauender Prozess, mit dem du die Genehmigung für einzelne Berechtigungen und Funktionen anfordern kannst.
    2. Die Überprüfung der Datennutzung ist ein jährlicher Prozess, bei dem Entwickler*innen selbst bestätigen müssen, dass ihre fortlaufende Nutzung von und ihr Zugriff auf bestimmte Daten über Meta-APIs mit unseren Plattform-Nutzungsbedingungen und den Richtlinien für Entwickler*innen übereinstimmt.
    3. Die datenschutzrechtliche Beurteilung umfasst einen jährlichen Fragebogen, in dem Entwickler*innen über die Nutzung, Weitergabe und Sicherheit von Plattformdaten befragt werden.

  4. Wie kann ich mich auf die datenschutzrechtliche Beurteilung vorbereiten?

    1. Stelle sicher, dass du erreichbar bist:
      1. Aktualisiere die Kontakt-E-Mail-Adresse des Entwickler*innen- oder Business-Kontos und deine Benachrichtigungseinstellungen.
      2. Aktualisiere die Kontakt-E-Mail-Adresse auf der Seite Grundeinstellungen der App.
      3. Überprüfe die in der App aufgelisteten Administrator*innen und ziehe in Erwägung, die Mitglieder deines Rechts- und Datensicherheitsteams als Administrator*innen hinzuzufügen, damit auch sie Fragen beantworten können.
    2. Überprüfe die Fragen in der datenschutzrechtlichen Beurteilung und besprich mit deinen Teams, wie sie am besten zu beantworten sind.
    3. Lies unsere Plattform-Nutzungsbedingungen und unsere Richtlinien für Entwickler*innen.

Warum ist die datenschutzrechtliche Beurteilung notwendig?

  1. Warum muss ich eine datenschutzrechtliche Beurteilung durchführen?

    1. Angesichts der sich laufend ändernden Datenschutzbestimmungen und der stetig zunehmenden Bedrohungen für die Privatsphäre der Menschen sind wir alle dafür verantwortlich, das Vertrauen der Personen, die unsere Produkte und Services nutzen, zu stärken. Dies beginnt damit, wie ihre Daten im Internet genutzt, weitergegeben und geschützt werden.
      1. Die datenschutzrechtliche Beurteilung ist für Entwickler*innen vorgesehen, deren Apps auf bestimmte Datentypen auf unserer Plattform zugreifen.
      2. In der Vergangenheit haben wir bereits Erfolgsgeschichten von Entwickler*innen gesehen, die aufgrund unserer Standards neue Datensicherheitsmaßnahmen eingeführt haben. Gemeinsam verbessern wir die Standards im Internet und gewinnen das Vertrauen von Milliarden von Menschen, die unsere Services auf der ganzen Welt nutzen.

Prozess

  1. Woher weiß ich, ob ich die datenschutzrechtliche Beurteilung durchführen muss?

    1. Wenn du Administrator*in einer App bist, für die eine datenschutzrechtliche Beurteilung erforderlich ist, erhältst du auf der Seite Meine Apps, im App-Dashboard, im Postfach „Warnungen“ und unter der mit deinem Entwickler*innenkonto verbundenen E-Mail entsprechende Benachrichtigungen.
      1. Du erhältst eine Benachrichtigung und kannst dich mit folgenden Schritten auf die Prüfung vorbereiten:
        1. Stelle sicher, dass du erreichbar bist:
          1. Aktualisiere die Kontakt-E-Mail-Adresse des Entwickler*innen- oder Business-Kontos und deine Benachrichtigungseinstellungen.
          2. Aktualisiere die Kontakt-E-Mail-Adresse auf der Seite Grundeinstellungen der App.
          3. Überprüfe die in der App aufgelisteten Administrator*innen und ziehe in Erwägung, die Mitglieder deines Rechts- und Datensicherheitsteams als Administrator*innen hinzuzufügen, damit auch sie Fragen beantworten können.
        2. Überprüfe die Fragen in der datenschutzrechtlichen Beurteilung und besprich mit deinen Teams, wie sie am besten zu beantworten sind.
        3. Lies unsere Plattform-Nutzungsbedingungen und unsere Richtlinien für Entwickler*innen.

  2. Wie stelle ich sicher, dass ich E-Mail-Mitteilungen in Bezug auf die datenschutzrechtliche Beurteilung erhalte?

    1. Wenn du Administrator*in einer App bist, für die eine datenschutzrechtliche Beurteilung erforderlich ist, erhältst du auf der Seite Meine Apps, im App-Dashboard, im Postfach „Warnungen“ und unter der mit deinem App-Admin-Konto verbundenen E-Mail-Adresse entsprechende Benachrichtigungen.
    2. Als App-Admin musst du erreichbar sein:
      1. Aktualisiere die Kontakt-E-Mail-Adresse des Entwickler*innen- oder Business-Kontos und deine Benachrichtigungseinstellungen.
      2. Aktualisiere die Kontakt-E-Mail-Adresse auf der Seite Grundeinstellungen der App.

  3. Woher weiß ich, wann ich mit der datenschutzrechtlichen Beurteilung beginnen kann?

    1. Wenn du Administrator*in einer App bist, für die eine datenschutzrechtliche Beurteilung erforderlich ist, wirst du auf folgende Weise benachrichtigt:
      1. Benachrichtigungen:
        1. Eine E-Mail wird an die Kontakt-E-Mail-Adresse des jeweiligen Entwickler*innen- oder Business-Kontos gesendet. Bearbeite hier deine persönlichen Benachrichtigungseinstellungen für Entwickler*innen.
        2. Es wird eine Nachricht an das Postfach „Warnungen“ auf dem App-Dashboard gesendet.
        3. Es wird eine Benachrichtigung an den*die App-Admin über das App-Dashboard gesendet.
      2. Erforderliche Aktionen:
        1. Auf der Seite Meine Apps wird auf der App-Informationskarte unter „Erforderliche Aktion“ der Eintrag „Datenschutzrechtliche Beurteilung“ angezeigt.
        2. Auf dem App-Dashboard siehst du oben eine „Erforderliche Aktion“.
        3. Auf der Seite Grundeinstellungen der App wird der Eintrag „Datenschutzrechtliche Beurteilung“ angezeigt.

  4. Kann ich Fragen zu den in der datenschutzrechtlichen Beurteilung behandelten Themen stellen?

    1. Ja. Wenn du Fragen zur datenschutzrechtlichen Beurteilung hast, kannst du dich direkt an Meta wenden.
      1. In der datenschutzrechtlichen Beurteilung findest du auf der linken Seite einen Abschnitt mit der Überschrift „Brauchst du Hilfe?“. Klicke in dem Abschnitt auf die Schaltfläche „Eine Frage stellen“ und es öffnet sich ein Pop-up-Fenster, in dem du deine Frage eingeben kannst.
      2. Um auf diese Funktion zuzugreifen, brauchst du ein Business Manager-Konto und musst die App und die App-Admins hinzufügen. Unter diesen Links findest du Schritt-für-Schritt-Anleitungen.
      3. Du erhältst die Antwort von Meta per E-Mail und über das App-Dashboard.
    1. Meta hat Datensicherheitsanforderungen auf unserer Entwicklungsdokumentationsseite veröffentlicht. Dieser Inhalt ist jedoch nur für Nutzer*innen verfügbar, die in ihrem Facebook-Konto angemeldet sind. Wenn du diese Seite nicht öffnen und nicht auf die Dokumentation zugreifen kannst, stelle sicher, dass du:
      1. bei deinem Facebook-Konto angemeldet bist, und
      2. hier die Entwicklungsbedingungen von Facebook akzeptiert hast.

Einreichung

  1. Wie lange habe ich Zeit, die datenschutzrechtliche Beurteilung einzureichen?

    1. Du hast ab der ersten Benachrichtigung 60 Kalendertage Zeit, um die datenschutzrechtliche Beurteilung abzuschließen.

  2. Wie oft muss ich die datenschutzrechtliche Beurteilung einreichen?

    1. Die Beurteilung erfolgt einmal pro Jahr.

  3. Der Fragebogen ist sehr lang. Kann ich meinen Fortschritt speichern und ihn in mehreren Sitzungen beantworten?

    1. Ja. Das Formular wird automatisch gespeichert, sodass du dort weitermachen kannst, wo du aufgehört hast.

  4. Woher weiß ich, welchen Status die Einreichung meiner datenschutzrechtlichen Beurteilung hat?

    1. Im Folgenden findest du die Definitionen für alle Szenarien deiner Beurteilung:
      1. Nicht begonnen: Der*die Entwickler*in wurde darüber benachrichtigt, dass eine datenschutzrechtliche Beurteilung innerhalb der mitgeteilten Frist durchgeführt werden muss, hat aber noch nicht mit dem Ausfüllen des Formulars begonnen.
      2. Überfällig: Die Frist für das Einreichen des Formulars zur datenschutzrechtlichen Beurteilung ist abgelaufen. Der*die Entwickler*in muss die Beurteilung abschließen, da die App andernfalls Einschränkungen unterliegt.
      3. Eingereicht – weitere Informationen erforderlich: Der*die Entwickler*in hat den Fragebogen zur datenschutzrechtlichen Beurteilung beantwortet und eingereicht. Meta hat mit der Überprüfung begonnen und benötigt weitere Informationen.
      4. Eingereicht – Verstöße festgestellt: Der*die Entwickler*in hat den Fragebogen zur datenschutzrechtlichen Beurteilung beantwortet und eingereicht. Meta hat mit der Prüfung begonnen und festgestellt, dass die App gegen eine oder mehrere der Plattform-Nutzungsbedingungen verstößt. Je nach Schwere des Verstoßes besteht eventuell die Möglichkeit, den Verstoß zu beheben und eine Einschränkung zu vermeiden. Bei schweren Verstößen gibt es eine solche Möglichkeit jedoch nicht.
      5. Eingereicht – wird geprüft: Der*die Entwickler*in hat den Fragebogen zur datenschutzrechtlichen Beurteilung beantwortet und eingereicht oder auf die Anforderung weiterer Informationen geantwortet. Meta hat mit der Prüfung begonnen. Die Beurteilung ist noch nicht abgeschlossen.
      6. Eingereicht – keine Verstöße festgestellt: Der*die Entwickler*in hat den Fragebogen zur datenschutzrechtlichen Beurteilung ausgefüllt und eingereicht. Meta hat die Prüfung abgeschlossen und bestätigt, dass die App mit unseren Nutzungsbedingungen der Plattform konform ist. Es sind keine weiteren Aktionen erforderlich.

  5. Ich habe das schon letztes Jahr gemacht. Wo kann ich meine Antworten herunterladen?

    1. Leider kannst du die Antworten deiner letztjährigen Beurteilung nicht mehr herunterladen, da wir den Fragebogen zur Vermeidung von Unklarheiten überarbeitet haben. Nachdem du die Antworten deiner diesjährigen Beurteilung eingereicht hast, kannst du deinen Fragebogen einsehen und als PDF-Datei herunterladen.

Überprüfung

  1. Setzen sich die Prüfer*innen von Meta mit mir für zusätzliche Fragen in Verbindung, bevor sie eine Entscheidung treffen?

    1. Wenn die Prüfer*innen von Meta weitere Informationen zu einer der beantworteten Fragen benötigen, werden wir uns mit entsprechenden Nachfragen an dich wenden und dich auf folgende Weise benachrichtigen:
      1. Benachrichtigungen:
        1. Eine E-Mail wird an die Kontakt-E-Mail-Adresse des jeweiligen Entwickler*innen- oder Business-Kontos gesendet. Bearbeite hier deine persönlichen Benachrichtigungseinstellungen für Entwickler*innen.
        2. Es wird eine Nachricht an das Postfach „Warnungen“ auf dem App-Dashboard gesendet.
        3. Es wird eine Benachrichtigung an den*die App-Admin über das App-Dashboard gesendet.
      2. Erforderliche Aktionen:
        1. Auf der Seite Meine Apps wird auf der App-Informationskarte die „Erforderliche Aktion“ mit der Bezeichnung „Datenschutzrechtliche Beurteilung“ angezeigt.
        2. Auf dem App-Dashboard siehst du oben eine „Erforderliche Aktion“.
      3. Status: Erforderliche Aktion

  2. Ich habe eine E-Mail erhalten, in der mich Meta um weitere Informationen bittet. Warum?

    1. Räume gemeinsam mit den Prüfer*innen von Meta Unklarheiten aus. Sie müssen sich absolut sicher sein, bevor sie eine Entscheidung darüber treffen, ob die App mit unseren Plattform-Nutzungsbedingungen konform ist.

  3. Wie kann ich auf die Fragen der Prüfer*innen von Meta antworten?

    1. Die Benachrichtigungen, die du (wie oben beschrieben) erhalten hast, enthalten einen Link zum Beurteilungsfragebogen. Dort findest du oben auf der Seite Angaben dazu, welche zusätzlichen Informationen die Prüfer*innen von Meta benötigen. Bitte ergänze das Formular entsprechend und lade bei Bedarf die angeforderten Unterlagen hoch. Achte darauf, dass du nach Abschluss der Eingabe auf „Einreichen“ klickst.

  4. Wie lange habe ich Zeit, auf die Fragen der Prüfer*innen von Meta zu antworten?

    1. Wenn du die Anfrage „Weitere Informationen erforderlich“ erhältst, hast du 5 Werktage Zeit, um diese zu bearbeiten. Wenn du nicht innerhalb der ersten 5 Tage antwortest, wird die Frist zweimal automatisch auf insgesamt 15 Werktage verlängert.

Reaktion auf Verstöße

  1. Werden bei Verstößen gegen die Plattform-Nutzungsbedingungen Einschränkungen für meine App verhängt?

    1. Ja. Je nach Verstoß können verschiedene Einschränkungen für die App verhängt werden.

  2. Setzen sich die Prüfer*innen von Meta mit mir in Verbindung, wenn ein Verstoß festgestellt wird?

    1. Ja. Wenn die Prüfer*innen von Meta bei der Prüfung deiner Beurteilung einen Verstoß feststellen, wirst du auf folgende Weise benachrichtigt:
      1. Benachrichtigungen:
        1. Eine E-Mail wird an die Kontakt-E-Mail-Adresse des jeweiligen Entwickler*innen- oder Business-Kontos gesendet. Bearbeite hier deine persönlichen Benachrichtigungseinstellungen für Entwickler*innen.
        2. Es wird eine Nachricht an das Postfach „Warnungen“ auf dem App-Dashboard gesendet.
        3. Es wird eine Benachrichtigung an den*die App-Admin über das App-Dashboard gesendet.
      2. Erforderliche Aktionen:
        1. Auf der Seite Meine Apps wird auf der App-Informationskarte die Meldung „Erforderliche Aktion“ angezeigt.
          1. Wenn der Verstoß darauf zurückzuführen ist, dass die Beurteilung nicht fristgerecht eingereicht wurde, erscheint auf der Informationskarte die Meldung „Datenschutzrechtliche Beurteilung: Überfällig“
          2. Wenn die datenschutzrechtliche Beurteilung eingereicht wurde und ein Verstoß festgestellt wird, erscheint auf der Informationskarte die Meldung „Verstöße festgestellt“.
        2. Auf dem App-Dashboard siehst du oben eine „Erforderliche Aktion“.
      3. Status: Verstöße festgestellt

  3. Was passiert, wenn ich nicht antworte?

    1. Eine fehlende Antwort wird als Verstoß gegen die Plattformrichtlinien gewertet.
      1. Nach 60 Tagen ohne Antwort wird deine App deaktiviert.
        1. Schließe die Beurteilung ab und reiche sie ein, um die App wiederherzustellen.
        2. Wenn du die Anfrage „Weitere Informationen erforderlich“ erhältst, hast du 5 Werktage Zeit, um diese zu bearbeiten. Wenn du nicht innerhalb der ersten 5 Tage antwortest, wird die Frist zweimal automatisch auf insgesamt 15 Werktage verlängert. Nach 15 Tagen werden die Maßnahmen für die App durchgesetzt.
        3. Wenn du diese Fristen nicht einhältst, können Einschränkungen für die App verhängt werden. Auf der Seite Meine Apps werden alle Apps angezeigt, die aufgrund von Verstößen eingeschränkt sind.
          1. Je nach Schwere des Verstoßes besteht eventuell die Möglichkeit, den Verstoß zu beheben und eine Einschränkung zu vermeiden. Bei schweren Verstößen gibt es eine solche Möglichkeit jedoch nicht. Um einen Verstoß zu beheben, klicke auf der Seite Meine Apps auf den Link „Beheben“ und befolge die dort aufgeführten Schritte.

  4. Wie kann ich eine Verlängerung der Frist beantragen, in der ich auf den Verstoß reagieren muss?

    1. Wenn die Reaktionsfrist für einen Verstoß innerhalb von 3 Tagen abläuft, wird die Schaltfläche „Verlängerung beantragen“ angezeigt. Du kannst zwei Verlängerungen beantragen, die der Warnfrist entsprechen (die je nach Verstoß variiert) und automatisch genehmigt werden.

  5. Wie kann ich einen bei der datenschutzrechtlichen Beurteilung festgestellten Verstoß beheben?

    1. Wenn ein Verstoß festgestellt wird und die App Einschränkungen unterliegt, kann der Verstoß behoben werden, indem du eine Antwort mit Beweisen vorlegst, die zeigen, dass der Verstoß behoben wurde. Sobald eine Antwort eingereicht wurde, prüft ein*e Prüfer*in von Meta diese und antwortet direkt im Formular „Verstöße beheben“.

Plattform-Nutzungsbedingung 3 (Datennutzung)

  1. In der für meine App oder für meine Nutzer*innen geltenden Rechtsordnung gibt es (anders als z. B. in der Europäischen Union oder in Kalifornien) kein anwendbares Gesetz, das mich verpflichtet, Daten von Nutzer*innen nach Aufforderung durch den*die Nutzer*in zu löschen. Bin ich gemäß den Meta-Richtlinien dennoch verpflichtet, Löschanfragen von Nutzer*innen meiner App nachzukommen, und muss ich in meinen Datenschutzrichtlinien Auskunft darüber geben, wie Nutzer*innen die Löschung beantragen können?

    1. Ja. Auch wenn es in der für deine App oder für deine Nutzer*innen geltenden Rechtsordnung gesetzlich nicht vorgeschrieben ist, Daten von Nutzer*innen nach Aufforderung durch Nutzer*innen zu löschen, verlangen unsere Plattform-Nutzungsbedingungen, dass du 1) die Plattformdaten nach Aufforderung durch Nutzer*innen löschst und 2) in deiner Datenschutzerklärung darlegst, wie Nutzer*innen die Löschung ihrer Daten beantragen können. Voraussetzung ist, dass es kein anwendbares Gesetz und keine Vorschrift gibt, die dich daran hindert, diese beiden Anforderungen von Meta zu erfüllen.

  2. Mein Unternehmen nutzt Plattformdaten, um es Nutzer*innen zu ermöglichen, die gewünschten Auswahlkriterien für Matches auf Dating-Apps auszuwählen oder bestimmte Inhalte (wie z. B. den Verkauf von Alkohol) für minderjährige Nutzer*innen zu sperren. Bedeutet dies, dass wir die Plattformdaten nutzen, um bestimmte Menschen aufgrund persönlicher Eigenschaften wie ethnische Zugehörigkeit, Hautfarbe, nationale Herkunft, Religion, Alter, Geschlecht, sexuelle Orientierung, Geschlechtsidentität, Familienstand, Behinderung, Gesundheitszustand oder genetische Veranlagung zu benachteiligen?

    1. Nein. Die Nutzung von Plattformdaten, um es Nutzer*innen zu ermöglichen, in Dating-Apps Auswahlkriterien festzulegen oder Inhalte altersgerecht zu gestalten, gilt in der datenschutzrechtlichen Beurteilung nicht als Benachteiligung bestimmter Menschen aufgrund persönlicher Eigenschaften wie ethnische Zugehörigkeit, Hautfarbe, nationale Herkunft, Religion, Alter, Geschlecht, sexuelle Orientierung, Geschlechtsidentität, Familienstand, Behinderung, Gesundheitszustand oder genetische Veranlagung.

  3. Was passiert, wenn meine App die Plattformdaten in einigen oder allen von Meta geforderten Szenarien nicht löscht, weil wir keine Möglichkeit zum automatischen Löschen von Daten haben?

    1. Das Löschen muss nicht automatisch erfolgen. Bitte beantworte die Fragen in der datenschutzrechtlichen Beurteilung hinsichtlich des Löschens von Plattformdaten in bestimmten Szenarien mit „Ja“, wenn du die Daten entweder manuell oder automatisch löschst.

  4. Die Nutzungsbedingungen von Meta verlangen das Löschen der Plattformdaten eines*einer Nutzer*in, wenn diese*r sein*ihr Konto bei meiner App löscht. Dies ist mir jedoch nicht möglich, da meine App nicht über die notwendige Rückruf-Funktion verfügt und ich daher nicht benachrichtigt werde, wenn ein*e Nutzer*in sein*ihr Facebook-Konto löscht. Bedeutet das, dass meine App gegen die Nutzungsbedingungen von Meta verstößt?

    1. Nein. Das bedeutet nicht, dass die App gegen die Nutzungsbedingungen von Meta verstößt. Eine Rückruf-Funktion ist nicht erforderlich. Wenn deine App jedoch über eine Rückruf-Funktion verfügt, bist du verpflichtet, die Plattformdaten zu löschen, wenn ein*e Nutzer*in sein*ihr Facebook-Konto löscht. Du bist auch dann verpflichtet, die Plattformdaten zu löschen, wenn ein*e Nutzer*in sein*ihr Konto in der App löscht.

Plattform-Nutzungsbedingung 4 (Datenschutzrichtlinie)

  1. Die Datenschutzrichtlinie meiner App weist die Nutzer*innen darauf hin, dass sie die Löschung ihrer Daten anfordern können. Reicht das aus?

    1. Ein Hinweis allein ist nicht ausreichend. Die Datenschutzrichtlinie muss Anweisungen dazu enthalten, wie Nutzer*innen ihre Anfrage an dich stellen können.

Plattform-Nutzungsbedingung 5 (Dienstleister und Technologieanbieter)

  1. Was ist ein Dienstleister?

    1. „Dienstleister“ bezeichnet eine juristische Person, die du beauftragst, dir Dienstleistungen in Verbindung mit der Plattform oder mit Plattformdaten zu erbringen. Google Cloud und Amazon Web Services (AWS) sind Beispiele für bekannte, große Dienstleister.

  2. Was ist ein Subdienstleister?

    1. Ein Subdienstleister ist ein Dienstleister, der von einem anderen Dienstleister beauftragt wird, für diesen Dienstleistungen im Zusammenhang mit der Plattform oder mit Plattformdaten zu erbringen.

  3. Was ist ein Technologieanbieter?

    1. „Technologieanbieter“ bezeichnet eine*n Entwickler*in einer App, deren*dessen Hauptaufgabe darin besteht, den App-Nutzer*innen den Zugang zur Plattform oder zu Plattformdaten sowie deren Nutzung zu ermöglichen. In der Regel besteht die Hauptaufgabe eines Technologieanbieters darin, seinen Nutzer*innen den Zugriff auf und die Nutzung von Meta for Developers oder Plattformdaten zu ermöglichen.

  4. Was gilt im Sinne der Beschreibung in Frage 4 als schriftliche Vereinbarung für „andere“ Zwecke?

    1. Beispiele für eine schriftliche Vereinbarung sind allgemeine Geschäftsbedingungen, eine nicht verhandelte Standardvereinbarung oder ein unterzeichneter Vertrag.

Plattform-Nutzungsbedingung 6 (Datensicherheit)

  1. Wie kann ich nachweisen, dass ich die Meta-Plattform-Nutzungsbedingungen zur Datensicherheit (Abschnitt 6.a.i) einhalte?

    1. Eine Möglichkeit, die Einhaltung nachzuweisen, ist die Vorlage eines Informationssicherheitszertifikats von einem*einer externen Prüfer*in. Ein solches Zertifikat ist nicht verpflichtend, aber es ist eine gute Alternative, um die Einhaltung der Nutzungsbedingungen nachzuweisen. Darüber hinaus erkundigen wir uns, ob du bestimmte Schutzmaßnahmen getroffen hast. Deine Antworten werden von Meta anhand interner Kriterien bewertet und wir kontaktieren dich, wenn wir weitere Fragen haben oder wenn du zusätzliche Schutzmaßnahmen ergreifen musst.

  2. Muss ich eine ISF-Zertifizierung (Informationssicherheits-Framework) oder eine CSF-Zertifizierung (Cybersecurity Framework) von einem*einer externen Prüfer*in anfordern?

    1. Nein, du brauchst nicht von einem*einer Prüfer*in zertifiziert zu werden. Organisationen, die über Zertifizierungen nach SOC 2, ISO 27001, ISO 27018 oder PCI DSS verfügen, können diese als Nachweis einreichen.
      1. Die Zertifizierung muss die EDV-Umgebung betreffen, in der die Plattformdaten gespeichert oder verarbeitet werden.
    2. Bitte beachte, dass wir dich unabhängig davon, ob du eine Sicherheitszertifizierung einreichst, nach bestimmten Schutzmaßnahmen fragen werden.

  3. Welche Fragen über meine Schutzmaßnahmen für die Datensicherheit werden mir gestellt, falls ich keine Sicherheitszertifizierung einreiche?

    1. In der datenschutzrechtlichen Beurteilung werden die Entwickler*innen nach der Umsetzung der folgenden Maßnahmen gefragt:
      1. Durchsetzung der Verschlüsselung ruhender Daten für alle Plattformdatenspeicher (z. B. alle Datenbankdateien, Backups und Objektspeicher-Buckets).
      2. Technische und/oder administrative Schutzmaßnahmen hinsichtlich Plattformdaten, die auf Geräten der Organisation gespeichert sind (z. B. bei Verlust oder Diebstahl von Laptops oder Wechselmedien). Eine Vielzahl von Schutzmaßnamen ist denkbar, wie z. B. schriftliche Richtlinien mit jährlichen Schulungen, Auffrischveranstaltungen bezüglich der korrekten Speicherung von Plattformdaten oder technische Schutzmaßnamen.
      3. Aktivierung der TLS 1.2-Verschlüsselung oder höher für alle öffentlichen Netzwerkverbindungen, über die Plattformdaten übertragen werden.
    2. Außerdem werden Entwickler*innen von Apps, die Zugriff auf Daten mit hohem Risiko haben, gefragt, ob sie diese zusätzlichen Sicherheitsmaßnahmen implementiert haben:
      1. Überprüfung der App und der Systeme auf Schwachstellen und Sicherheitsprobleme – mindestens alle 12 Monate
      2. Schutz vertraulicher Daten, wie etwa Anmeldedaten und Zugriffsschlüssel
      3. Überprüfung der Systeme und Prozesse, die gegen Datensicherheitsvorfälle (z. B. Datenschutzverletzungen und Cyberangriffe) eingesetzt werden
      4. Erforderliche Multifaktor-Authentifizierung für den Fernzugriff
      5. Ein Kontoverwaltungssystem (Zuweisen, Widerrufen, Überprüfen von Zugriff und Berechtigungen)
      6. Ein System zur Aktualisierung des Systemcodes und der Umgebungen, einschließlich Server, virtuelle Computer, Verteilungen, Bibliotheken, Pakete und Antivirus-Software
      7. Hinweis: Diese Liste ist nicht vollständig und dient nicht als Ersatz für ein angemessenes Informationssicherheitsprogramm für deine Organisation.

  4. Ich werde gefragt, ob meine Organisation die Verschlüsselung ruhender Daten für alle Plattformdatenspeicher durchsetzt. Welchen Umfang hat diese Frage? Sind hierbei sowohl der Cloud- als auch der Client-Speicher gemeint?

    1. Die Verschlüsselung ruhender Daten schützt die Plattformdaten, indem sie die Daten ohne gesonderten Entschlüsselungscode unlesbar macht. Dies bietet einen zusätzlichen Schutz vor unbefugtem Lesezugriff.
    2. Auf Servern oder in einer Cloud-Umgebung, wo die Plattformdaten aller Nutzer*innen einer App gespeichert sind, verringert die Verschlüsselung ruhender Daten das Risiko einer Datenschutzverletzung. Die Verschlüsselung ruhender Daten schützt beispielsweise vor Bedrohungen wie dem unbefugten Zugriff auf ein Datenbank-Backup, das möglicherweise nicht so gut geschützt ist wie die Produktionsdatenbank selbst.
    3. Wenn deine Organisation Plattformdaten in der Cloud speichert, MUSST du diese Daten durch Verschlüsselung im Ruhezustand oder durch geeignete Ersatzmechanismen schützen. Es ist sowohl eine Verschlüsselung auf Anwendungsebene (z. B. Software, die bestimmte Spalten in einer Datenbank ver- und entschlüsselt) als auch eine Verschlüsselung des gesamten Speichermediums zulässig. Obwohl wir empfehlen, eine Verschlüsselung nach Industriestandard (z. B. AES, BitLocker, Blowfish, TDES, RSA) zu verwenden, schreiben wir keine bestimmten Algorithmen oder Schlüssellängen vor.
    4. Wenn deine Organisation Plattformdaten NICHT in der Cloud speichert, so ist diese Anforderung nicht zutreffend.
    5. Um Missverständnisse zu vermeiden: Daten, die in Web- oder Mobilclients für einzelne Nutzer*innen deines Services gespeichert werden, sind ebenfalls davon ausgenommen.
    6. Wenn deine Organisation Plattformdaten über ein IaaS-Produkt in der Cloud speichert (z. B. AWS EC2, Microsoft Azure IaaS und Google Compute Engine), oder wenn du Self-Hosting oder einen hybriden Ansatz verwendest, so ist diese Anforderung zutreffend.
    7. Es gibt jedoch auch andere Backend-Hosting-Modelle, die einen Sonderfall darstellen: Nutzung von SaaS-Produkten – wenn deine Organisation Plattformdaten über ein SaaS-Produkt speichert (z. B. MailChimp oder Salesforce), so ist diese Anforderung nicht zutreffend. Du solltest diese Beziehung stattdessen im Abschnitt „Dienstleister“ der datenschutzrechtlichen Beurteilung beschreiben. Nutzung von PaaS-Hosting – wenn deine Organisation Plattformdaten über ein PaaS-Produkt speichert (z. B. AWS Elastic Beanstalk, Google App Engine, Force.com), so ist diese Anforderung nicht zutreffend. Du solltest diese Beziehung stattdessen im Abschnitt „Dienstleister“ der datenschutzrechtlichen Beurteilung beschreiben. Nutzung von BaaS-Hosting – wenn deine Organisation Plattformdaten über ein BaaS-Produkt speichert (z. B. AWS Amplify, Azure Mobile Apps, Azure Playfab, Google Firebase und MongoDB Switch), so ist diese Anforderung nicht zutreffend. Du solltest diese Beziehung stattdessen im Abschnitt „Dienstleister“ der datenschutzrechtlichen Beurteilung beschreiben.

  5. Ich wurde gefragt, wie ich verhindere, dass Plattformdaten auf den Geräten der Organisation und auf persönlichen Geräten gespeichert werden. Welche Präventionsmaßnahmen sind zulässig?

    1. Entwickler*innen müssen technische und/oder administrative Schutzmaßnahmen ergreifen (z. B. Richtlinien und Regeln), um Plattformdaten zu schützen, die auf Geräten der Organisation gespeichert sind (z. B. Laptops oder Wechselmedien, die gestohlen werden oder verloren gehen können). Eine Vielzahl von Schutzmaßnamen ist denkbar, wie z. B. schriftliche Richtlinien mit jährlichen Schulungen, Auffrischveranstaltungen bezüglich der korrekten Speicherung von Plattformdaten oder technische Schutzmaßnamen.

  6. Ich werde gefragt, ob meine Organisation TLS 1.2 oder höher für alle Netzwerkverbindungen aktiviert hat, auf denen Plattformdaten übertragen werden. Welchen Umfang hat diese Frage?

    1. Diese Frage bezieht sich auf jede Datenübertragung über das Internet, die unsere Plattformdaten enthält, unabhängig davon, ob die Übertragung von einem Web- oder Mobil-Client zu deiner Cloud-Umgebung oder zwischen Cloud-Umgebungen über das Internet erfolgt.
    2. Plattformdaten, die über das Internet übertragen werden, sind für alle Personen zugänglich, die den Netzwerkverkehr überwachen können. Deshalb müssen die Plattformdaten durch Verschlüsselung geschützt werden, um unbefugten Lesezugriff zu verhindern. Die Verschlüsselung während der Übertragung schützt die Plattformdaten, wenn sie über nicht vertrauenswürdige Netzwerke (z. B. das Internet) übertragen werden, indem sie außer für das Herkunfts- und das Zielgerät unlesbar gemacht werden. Mit anderen Worten: Zwischengeschaltete Dritte sind nicht in der Lage, die Plattformdaten zu lesen, selbst wenn sie den Netzwerkverkehr mitverfolgen können (dies wird auch als Man-in-the-Middle-Angriff bezeichnet). TLS ist die am weitesten verbreitete Form der Verschlüsselung bei der Übertragung. Diese Technologie wird von Browsern für eine sichere Kommunikation mit Websites, wie etwa denen von Banken, eingesetzt.
    3. Das folgende Diagramm veranschaulicht Netzwerkverbindungen, die möglicherweise die Übertragung von Plattformdaten umfassen. Die gelben gestrichelten Linien stellen Verbindungen dar, die du per TLS-Verschlüsselung sichern musst.
      Für Übermittlungen von Daten, die vollständig innerhalb privater Netzwerke stattfinden, z. B. in einer AWS oder GCP Virtual Private Cloud (VPC), wird TLS empfohlen, ist aber nicht erforderlich.
      In der folgenden Tabelle werden die TLS-Verschlüsselungsanforderungen für die Übermittlung von Meta-Plattformdaten zusammengefasst.
      VerbindungenTLS-Richtlinie

      Zwischen Endgeräten (Mobiltelefone, PCs, Tablets usw.) und deiner Server- oder Cloud-Infrastruktur

      TLS 1.2 oder höher muss für kompatible Geräte aktiviert sein

      TLS 1.0 und 1.1 können für die Kompatibilität mit älteren Geräten aktiviert werden

      Zwischen deiner Server- oder Cloud-Infrastruktur und einem Remote-Server, einer Cloud-Infrastruktur oder einem Viertanbieterdienst

      TLS 1.2 oder höher muss sichergestellt sein

      Zwischen Komponenten, die sich ausschließlich in deinem privaten Rechenzentrum, deiner Server- oder Cloud-Infrastruktur befinden

      Für Übermittlungen von Plattformdaten, die sich ausschließlich innerhalb eines privaten Cloud-Netzwerks befinden, wird TLS-Verschlüsselung empfohlen, ist jedoch nicht erforderlich

      Zwischen Facebook und beliebigen Geräten, Servern oder Cloud-Infrastrukturen

      Nicht Bestandteil der datenschutzrechtlichen Beurteilung – Facebook kontrolliert die TLS-Richtlinie für diese Übertragungen

      Wende dich an deinen Chief Information Security Officer (CISO) oder eine vergleichbare Stelle in deiner Organisation oder an eine qualifizierte Cybersecurity-Firma, die dich bei der Auswahl einer geeigneten Verschlüsselung und geeigneter Ersatzmechanismen für die App unterstützt.

  7. Ich werde gefragt, ob meine Organisation unsere App und Systeme mindestens alle 12 Monate auf Schwachstellen und Sicherheitsprobleme testet. Welche Arten von Tests werden akzeptiert?

    1. App-Entwickler*innen, die auf die Meta-Plattform zugreifen, schreiben Software für den Zugriff auf und die Verarbeitung von Plattformdaten und erbringen Services für Personen, die die Software nutzen. Diese Software und die dazugehörigen Systemkonfigurationen können Sicherheitslücken enthalten, die es böswilligen Akteur*innen ermöglichen, unbefugten Zugriff auf die Plattformdaten zu erhalten. Entwickler*innen müssen ihre Apps daher auf Schwachstellen und Sicherheitsprobleme testen, damit diese proaktiv entdeckt und im Idealfall Sicherheitsvorfälle verhindert werden können, bevor sie auftreten.
    2. Während des gesamten App-Lebenszyklus sollten verschiedene Arten von Sicherheitstests durchgeführt werden. Normalerweise wird eine Kombination aus Testmethoden eingesetzt, wie etwa einfache Schwachstellen-Scans, Anwendungssicherheit-Scans und Penetrationstests – insbesondere, wenn vertrauliche Daten wie persönliche Informationen verarbeitet werden.
    3. Du musst deine Software, mit der du die Plattformdaten verarbeitest, auf Sicherheitslücken testen. Dazu kannst du entweder einen Penetrationstest oder einen Schwachstellen-Scan bzw. eine statische Analyse deiner Software durchführen. Das Ergebnis des Tests darf keine unbehobenen kritischen oder hochgradigen Schwachstellen aufweisen. Der Test darf nicht länger als 12 Monate zurückliegen.
    4. Wenn deine Organisation Plattformdaten in der Cloud verarbeitet, muss außerdem ein zugelassener Test auf Sicherheitsschwachstellen deiner Cloud-Software durchgeführt werden. Dabei kann es sich entweder um einen Penetrationstest der App/des Systems oder einen Schwachstellen-Scan bzw. eine statische Analyse handeln. Außerdem musst du deine Cloud-Konfiguration auf Sicherheitsprobleme testen. Diese Anforderung gilt unabhängig von der Art des Hostings (z. B. BaaS, PaaS, IaaS, Self-Hosting oder hybrid).

  8. Ich werde gefragt, ob meine Organisation vertrauliche Daten wie Anmeldeinformationen und Zugriffsschlüssel schützt. Welchen Umfang hat diese Frage?

    1. App-Geheimcodes und Zugriffsschlüssel sind für die Sicherheit der APIs von Meta von grundlegender Bedeutung, da sie den Zugriff auf die über die APIs verfügbaren Daten kontrollieren. Unbefugte mit Zugriff auf die Anmeldeinformationen könnten sich als die tatsächlichen Entwickler*innen ausgeben, Meta-APIs aufrufen und darin sämtliche Aktionen ausführen, die wir den jeweiligen Apps gewährt haben (z. B. das Auslesen von Daten über die App-Nutzer*innen).
    2. Entwickler*innen haben im Rahmen der Nutzung der Meta-Plattform Zugang zu vertraulichen Anmeldeinformationen. Dies sind im Einzelnen:
      1. App-Geheimcode: Meta teilt einen App-Geheimcode mit den Entwickler*innen und geht davon aus, dass nur vertrauenswürdige Personen (z. B. App-Admins) innerhalb der Organisation der Entwickler*innen Zugang zu diesem Geheimcode haben.
      2. Zugriffsschlüssel: Wenn eine App autorisiert wird, erhält der*die Entwickler*in einen Zugriffsschlüssel, der bei nachfolgenden API-Aufrufen verwendet werden kann.
    3. Wenn Unbefugte Zugriff auf die vertraulichen Anmeldeinformationen haben, können sie damit Meta-APIs aufrufen und diese so nutzen, als ob sie der*die Entwickler*in wären (dies wird auch als Token-Nachahmung bezeichnet). Dies führt zu unbefugtem Zugriff auf die Plattformdaten. Deshalb müssen Anmeldeinformationen vor unbefugten Zugriffen geschützt werden, um eine Nachahmung zu verhindern.
    4. App-Geheimcode – einer der folgenden Punkte muss zutreffen:
      1. Der*die Entwickler*in gibt den App-Geheimcode niemals außerhalb einer gesicherten Serverumgebung weiter (beispielsweise wird er niemals über einen Netzwerkaufruf an einen Browser oder eine mobile App übermittelt und wird nicht in den Code eingebettet, der an mobile oder native bzw. Desktop-Clients weitergegeben wird).
      2. Oder: Der*die Entwickler*in muss die App mit dem Typ Native/Desktop konfiguriert haben, damit API-Aufrufe, die den App-Geheimcode enthalten, von unseren APIs zurückgewiesen werden.
    5. Zugriffsschlüssel – alle der folgenden Punkte müssen zutreffen:
      1. Auf Client-Geräten: Meta-Zugriffsschlüssel dürfen nicht von anderen Nutzer*innen oder Prozessen gelesen werden können.
      2. In der Cloud: Wenn der*die Entwickler*in Meta-Zugriffsschlüssel in der Cloud verarbeitet oder speichert, gelten folgende Anforderungen für die Zugriffsschlüssel:
        1. Sie müssen durch einen Vault oder mit einer Anwendungsverschlüsselung geschützt werden, bei der der Zugriff auf den Entschlüsselungscode auf die Anwendung beschränkt ist und nicht in Protokolldateien geschrieben werden darf.
        2. Alternativ müssen sie durch geeignete Ersatzmechanismen geschützt werden.

  9. Ich werde gefragt, ob meine Organisation die Systeme und Abläufe unserer Reaktion auf Sicherheitsvorfälle mindestens alle 12 Monate testet. Welchen Umfang hat diese Frage?

    1. Sicherheitsvorfälle treten früher oder später in jeder Organisation auf. Daher ist es wichtig, dass Organisationen im Voraus planen, welche Maßnahmen zur Eindämmung des Vorfalls, zur Kommunikation mit den Betroffenen, zur Wiederherstellung und zur Aufarbeitung ergriffen werden müssen. Wenn ein Sicherheitsvorfall auftritt, kann ein entsprechender Aktionsplan mit einem geschulten Team die Vorfallsdauer verkürzen und letztlich die Gefährdung der Plattformdaten begrenzen.
    2. Auch wenn die verschiedenen Organisationen unterschiedlich auf Vorfälle reagieren, benötigen wir zumindest einen grundlegenden Reaktionsplan, der die wichtigsten Aktivitäten zur Erkennung, Reaktion, Wiederherstellung und Überprüfung sowie die zugewiesenen Rollen und Verantwortlichkeiten der Mitarbeiter*innen enthält. Du solltest auch dokumentierte Belege dafür haben, dass der Reaktionsplan kürzlich getestet wurde (innerhalb der letzten 12 Monate) und dass alle darin genannten Personen daran teilgenommen haben.

  10. Ich werde gefragt, ob meine Organisation die Multifaktor-Authentifizierung für den Fernzugriff erfordert. Welchen Umfang hat diese Frage?

    1. Eine gängige Vorgehensweise von Angreifern, um sich Zugang zu vertraulichen Daten zu verschaffen, besteht darin, sich zunächst Zugang zu den Tools zu verschaffen, die der*die Entwickler*in für die Erstellung oder den Betrieb der App/des Systems verwendet. Es gibt eine Vielzahl raffinierter Tools, um an Zugangsdaten von Nutzer*innen zu gelangen (z. B. Phishing-Angriffe) und sich in Konten zu hacken, die nur durch Passwörter geschützt sind. Die Multi-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene zum Schutz vor diesem Risiko.
    2. Softwareentwickler*innen verwenden für die Entwicklung, den Einsatz und die Verwaltung ihrer Apps bzw. Systeme eine Vielzahl von Tools. Es ist üblich, diese Tools remote über das Internet zu nutzen (z. B. wenn ein Mitarbeiter von zu Hause aus arbeitet und eine neue Softwarefunktion ausliefert oder die Cloud-Konfiguration aktualisiert). Wenn diese Tools lediglich mit einer Ein-Faktor-Authentifizierung (Benutzername und Passwort) geschützt werden, sind sie sehr anfällig für Kontoübernahmeangriffe. Angreifer*innen verwenden verschiedene Kombinationen von durchgesickerten Benutzernamen und Passwörtern, um sich mit Hilfe bestimmter Tools Zugang zu anderen Tools zu verschaffen. Die Multi-Faktor-Authentifizierung schützt vor solchen Angriffen, indem sie bei der Anmeldung neben dem Passwort einen zusätzlichen Faktor verlangt, z. B. einen von der Authentifizierungs-App generierten Code.
    3. Im Zusammenhang mit der Verarbeitung von Plattformdaten durch die Organisation muss der Fernzugriff auf die folgenden Tools durch eine Mehrfaktor-Authentifizierung (d. h. nicht lediglich durch ein Passwort) geschützt werden:
      1. Tools für die Bereitstellung und Verwaltung von Code- und Konfigurationsänderungen an der App bzw. dem System
      2. Administrativer Zugang zu einer Cloud- oder Serverumgebung, sofern zutreffend
      3. Dies sind im Einzelnen:
        1. Tools für die Zusammenarbeit und Kommunikation, wie beispielsweise geschäftliche E-Mails oder Slack
        2. Code-Repository-Tools wie beispielsweise GitHub oder ein anderes Tool, das verwendet wird, um Änderungen am Code oder an der Konfiguration der App bzw. des Systems zu verfolgen
      4. Und wenn die Organisation Plattformdaten in einer Cloud- oder Serverumgebung verarbeitet:
        1. Software-Deployment-Tools: Tools zur Bereitstellung von Code in der Cloud- oder Serverumgebung, wie beispielsweise Jenkins oder ein anderes Continuous Integration/Continuous Deployment-Tool (CI/CD-Tool)
        2. Verwaltungstools: Portale oder andere Zugangslösungen für die Verwaltung bzw. Überwachung der Cloud- oder Serverumgebung
        3. Fernzugriff auf Server: SSH, Remote-Desktop oder ähnliche Tools zur Fernanmeldung bei Servern, die in der Cloud- oder Serverumgebung laufen

  11. Ich werde gefragt, ob meine Organisation über ein Kontoverwaltungssystem (Zuweisen, Widerrufen, Überprüfen von Zugriff und Berechtigungen) verfügt. Welchen Umfang hat diese Frage?

    1. Eine gute Kontoverwaltung ist wichtig, um den unbefugten Zugriff auf Konten und Plattformdaten zu verhindern. Vor allem müssen die Entwickler*innen sicherstellen, dass der Zugriff auf Ressourcen oder Systeme gesperrt wird, wenn er nicht mehr benötigt wird. Konten sind die grundlegende Verwaltungseinheit, um Personen Zugang zu Systemen, Daten und Verwaltungsfunktionen zu gewähren. Konten werden mit Berechtigungen ausgestattet, die bestimmte Aktionen ermöglichen. Eine gute Praxis ist es, einem Konto nur das erforderliche Mindestmaß an Berechtigungen zu gewähren. Dies wird als Prinzip der minimalen Berechtigungsvergabe bezeichnet.
    2. Wenn eine Person aus einer Organisation ausscheidet, ist es wichtig, ihre Nutzerkonten umgehend zu deaktivieren, unter anderem aus den folgenden Gründen:
      1. Um zu verhindern, dass die betreffende Person (d. h. der*die ehemalige Mitarbeiter*in) darauf zugreifen kann und
      2. um die Wahrscheinlichkeit zu verringern, dass eine unbefugte Person das Konto unbemerkt nutzen kann. Ein*e böswillige*r Akteur*in könnte beispielsweise mittels Social Engineering einen IT-Helpdesk dazu bringen, das Passwort für das Konto zurückzusetzen. Handelt es sich um das Konto eines*einer aktuellen Mitarbeiter*in, wird diese*r wahrscheinlich Probleme beim Anmelden im Konto melden. Handelt es sich hingegen um ein Konto, das noch aktiv ist, jedoch einem*einer ausgeschiedenen Mitarbeiter*in gehört, ist es weniger wahrscheinlich, dass dies bemerkt wird.
    3. Aus diesem Grund müssen Organisationen über ein systematisches Verfahren für die Verwaltung von Konten, die Vergabe von Berechtigungen und den Entzug von nicht mehr benötigten Zugriffsrechten verfügen.
    4. Entwickler*innen müssen über ein Tool oder einen Prozess zur Verwaltung von Konten für alle folgenden Tools, Systeme und Apps verfügen:
      1. Lösungen für die Kommunikation untereinander, z. B. Slack oder geschäftliche E-Mails
      2. Lösungen für die Auslieferung von Software, z. B. Code-Repository-Tools, und
      3. Lösungen für die Verwaltung und den Betrieb von Systemen (soweit auf die Verarbeitung von Plattformdaten anwendbar)
    5. Die Entwickler*innen müssen die Zugriffsberechtigungen regelmäßig (d. h. mindestens alle 12 Monate) überprüfen und über ein Verfahren verfügen, um Zugriffsrechte zu entziehen, wenn diese (1) nicht mehr erforderlich sind und (2) nicht mehr genutzt werden.
    6. Außerdem muss es ein Verfahren geben, mit dem der Zugang zu diesen Tools umgehend gesperrt werden kann, wenn eine Person die Organisation verlässt.

  12. Ich werde gefragt, ob meine Organisation ein System zur Aktualisierung des Systemcodes und der Umgebungen hat, einschließlich Servern, virtuellen Computern, Verteilungen und Antivirus-Software. Welchen Umfang hat diese Frage?

    1. Softwarekomponenten werden regelmäßig aktualisiert oder gepatcht, um Sicherheitsschwachstellen zu beheben. Irgendwann erreichen diese Komponenten jedoch das Ende ihrer Lebensdauer und werden nicht mehr unterstützt. Entwickler*innen, die diese Komponenten in einem Paket einsetzen oder sich auf sie stützen, müssen sich auf dem neuesten Stand halten, um den Einsatz von Software mit bekannten Sicherheitslücken zu vermeiden.
    2. App-Entwickler*innen verlassen sich auf eine Vielzahl von Software von Drittanbietern, um Apps bzw. Systeme zu betreiben, die Plattformdaten verarbeiten. Entwickler*innen setzen beispielsweise häufig einige oder sämtliche der folgenden Komponenten ein:
      1. Bibliotheken, SDKs, Pakete: Entwickler*innen verpacken diese bei der Erstellung einer App in ihren eigenen Code.
      2. Images von virtuellen Maschinen, App-Container und Betriebssysteme: Eine App läuft in einem oder mehreren dieser Container, die Services wie Virtualisierung und Zugriff auf Netzwerke und Speicher bereitstellen.
      3. Browser, Betriebssysteme und andere Anwendungen, die von den Mitarbeiter*innen/Mitwirkenden des*der Entwickler*in verwendet werden: Software, die auf den mobilen Geräten und Laptops läuft, die der*die Entwickler*in für die Entwicklung und den Betrieb seines*ihres Systems verwendet.
    3. In diesen Komponenten werden regelmäßig Sicherheitslücken gefunden, für die entsprechende Patches veröffentlicht werden. Die durch die Patches behobenen Schwachstellen werden danach in öffentlichen Datenbanken mit einer Bewertung des Schweregrads (niedrig, mittel, hoch oder kritisch) veröffentlicht. Daher müssen Entwickler*innen auf unserer Plattform ein systematisches Verfahren zur Verwaltung von Patches anwenden, um:
      1. Patches zu identifizieren, die für ihre App bzw. ihr System von Bedeutung sind
      2. Dringlichkeiten auf der Grundlage der Gefährdung zu priorisieren
      3. Patches im Rahmen der laufenden Geschäftsaktivität zu implementieren
    4. Für die folgenden Softwarekomponenten muss der*die Entwickler*in über ein systematisches Verfahren verfügen, um verfügbare Patches zur Behebung von Sicherheitsschwachstellen zu identifizieren, nach Risiko zu priorisieren und sie kontinuierlich anzuwenden:
      1. Bibliotheken, SDKs, Pakete, App-Container und Betriebssysteme, die in einer Cloud- oder Serverumgebung verwendet werden
      2. Bibliotheken, SDKs und Pakete, die auf Client-Geräten verwendet werden, z. B. in mobilen Apps
      3. Betriebssysteme und Anwendungen, die von den Mitgliedern der Organisation zur Entwicklung und zum Betrieb eigener Apps bzw. Systeme verwendet werden, wie beispielsweise Betriebssysteme und Browser, die auf den Laptops der Mitarbeiter*innen laufen

  13. Was soll ich tun, wenn ich eine oder mehrere Sicherheitskontrollen nicht eingerichtet, jedoch kompensierende Sicherheitskontrollen implementiert habe?

    1. Wenn du denkst, dass eine der von Meta geforderten Schutzmaßnahmen für die Verwendung (z. B. Speicherung oder Verarbeitung) von Meta-Plattformdaten nicht sinnvoll ist, oder wenn du Ersatzmaßnahmen für eine oder mehrere dieser Schutzmaßnahmen einführst, erkläre bitte deine Gründe und lege entsprechende Nachweise vor, um den Verstoß zu beheben. Wenn du eine E-Mail von uns bezüglich der Compliance-Anforderungen erhalten hast, solltest du den Anweisungen in der E-Mail folgen und im App-Dashboard darauf antworten. Wenn du deine E-Mail-Benachrichtigung nicht mehr findest, gehe bitte auf die Seite Meine Apps oder rufe das App-Dashboard der App auf.

  14. Ich wurde gefragt, ob es einen öffentlich zugänglichen Weg gibt, Sicherheitslücken an uns zu melden. Müssen wir dafür einen speziellen Kommunikationskanal einrichten?

    1. Obwohl unsere Richtlinien keinen separaten Kommunikationskanal für die Meldung von Sicherheitslücken vorschreiben (jede regelmäßig überwachte Kontaktmethode, wie z. B. eine E-Mail-Adresse, ein Kontaktformular oder eine Telefonnummer, ist ausreichend), empfehlen wir Entwickler*innen, ein strukturiertes Programm für diesen Zweck einzurichten, wie beispielsweise ein Vulnerability Disclosure Program (VDP) auf BugCrowd oder HackerOne.

  15. Ich sehe einen Verweis auf eine Fragennummer in der Mitteilung, die ich vom Review-Team der datenschutzrechtlichen Beurteilung erhalten habe. Worauf beziehen sich diese Zahlen?

    1. Du findest möglicherweise in den Mitteilungen von unserem Review-Team einen Verweis auf eine Fragennummer. Diese Nummern werden hauptsächlich für interne Überprüfungsprozesse verwendet, jedoch kannst du hier ablesen, wofür sie stehen:
      1. Q9 – Verschlüsselung ruhender Daten in einer Cloud- oder Serverumgebung.
      2. Q10 – Schutz von Plattformdaten auf Organisations- oder persönlichen Geräten.
      3. Q11 – Schutz von Plattformdaten durch Verschlüsselung während der Übermittlung.
      4. Q12 – Überprüfung der App und der Systeme auf Sicherheitslücken.
      5. Q13 – Meta-App-Geheimcode und -Zugriffsschlüssel schützen.
      6. Q14 – Reaktionsplan für Vorfälle bereithalten und die Systeme und Prozesse zur Vorfallsreaktion überprüfen.
      7. Q15 – Erfordernis einer Multi-Faktor-Authentifizierung für den Fernzugriff.
      8. Q16 – Einsatz eines Systems zur Verwaltung von Nutzer*innenkonten.
      9. Q17 – Software auf dem neuesten Stand halten.

  16. Ich habe vom Review-Team der datenschutzrechtlichen Beurteilung Feedback zu fehlenden oder unzureichenden Richtlinien- oder Verfahrensnachweisen erhalten. Was sind Richtlinien- oder Verfahrensnachweise?

    1. Es kann sein, dass du eine Folgefrage zu Richtlinien- oder Verfahrensnachweisen im Zusammenhang mit einer oder mehreren Fragen zur Datensicherheit erhältst, auf die sich das Meta-Review-Team möglicherweise unter einer der folgenden Nummern bezieht: Q9, Q10, Q11, Q12, Q13, Q14, Q15, Q16 und Q17.

      In all diesen Fällen handelt es sich bei den Richtlinien- und Verfahrensnachweisen um schriftliche Dokumentationen, die den Ansatz deiner Organisation zur Implementierung einer bestimmten Datenschutzmaßnahme erläutern. Beispielsweise könnte deine Organisation folgende Dokumente haben:
      1. Ein Authentifizierungsrichtliniendokument, das vorschreibt, dass alle Unternehmens-, Entwicklungs- und Systemverwaltungstools, über die auf Plattformdaten zugegriffen werden könnte, durch Multi-Faktor-Authentifizierung geschützt werden müssen.
      2. Eine Verschlüsselungsrichtlinie, die vorschreibt, dass alle Meta-Plattformdaten durch Verschlüsselung während der Übertragung und im Ruhezustand geschützt werden müssen.
      3. Ein Patching-Verfahren, das auflistet, wie oft Schritte unternommen werden müssen, um alle verfügbaren Sicherheitspatches zu ermitteln, die sich auf die Cloud-Anwendung der Organisation auswirken, wie eine Folgenabschätzung für jeden Patch durchgeführt wird, was die maximale Dauer bis zur Bereitstellung von Patches basierend auf dem Schweregrad ist und wie Patches bereitgestellt werden.
      Diese Beispiele sind alles akzeptable Arten der Richtlinien- oder Verfahrensdokumentation für die entsprechende Frage. Die Prüfer*innen der datenschutzrechtlichen Beurteilung überprüfen die bereitgestellten Dokumente, um zu bestätigen, dass dein Ansatz unseren Anforderungen entspricht. Weitere Informationen, einschließlich zusätzlicher Beispiele und Details zur Vorbereitung von Richtliniennachweisen für die Einreichung, findest du in unserer Entwicklungsdokumentation zur Erstellung von Nachweisen.

  17. Ich habe vom Review-Team der datenschutzrechtlichen Beurteilung Feedback zu fehlenden oder unzureichenden Implementierungsnachweisen erhalten. Was ist ein Implementierungsnachweis?

    1. Möglicherweise erhältst du eine Folgefrage zu Implementierungsnachweisen im Zusammenhang mit einer oder mehreren der Datensicherheitsfragen. Es werden manchmal Nummern verwendet, um auf bestimmte Datensicherheitsfragen zu verweisen: Q9, Q10, Q11, Q12, Q13, Q14, Q15, Q16 und Q17.

      In all diesen Fällen ist das Beifügen von Implementierungsnachweisen wichtig, um die Implementierung deiner dokumentierten Richtlinie oder deines Verfahrens nachzuweisen. Zu den Nachweisen können Screenshots von Verwaltungssystemen und Ausgaben von Tool gehören, die aufzeigen, wie eine Organisation ihren Ansatz einer bestimmten Schutzmaßnahme umgesetzt hat. Gültige Implementierungsnachweise müssen belegen, dass die Implementierung deiner Organisation den Schutzanforderungen von Meta entspricht. Du musst für jeden Schutz mindestens einen Implementierungsnachweis einreichen.

      Weitere Informationen findest du in unserer Entwicklungsdokumentation zur Erstellung der einzelnen Nachweise:
      1. Verschlüsselung ruhender Daten in einer Cloud- oder Serverumgebung.
      2. Schutz von Plattformdaten auf Organisations- oder persönlichen Geräten.
      3. Schutz von Plattformdaten durch Verschlüsselung während der Übermittlung.
      4. Überprüfung der App und der Systeme auf Sicherheitslücken.
      5. Meta-App-Geheimcode und -Zugriffsschlüssel schützen.
      6. Reaktionsplan für Vorfälle bereithalten und die Systeme und Prozesse zur Vorfallsreaktion überprüfen.
      7. Erforderliche Multifaktor-Authentifizierung für den Fernzugriff.
      8. Einsatz eines Systems zur Verwaltung von Nutzer*innenkonten.
      9. Software auf dem neuesten Stand halten.

  18. Ich wurde gefragt, wie ich Plattformdaten auf Organisations- oder persönlichen Geräten schütze. Was sind die Anforderungen von Meta?

    1. Möglicherweise erhältst du eine Folgefrage dazu, wie deine Organisation den Verlust von Plattformdaten verhindert, die auf Organisations- oder persönlichen Geräten gespeichert sind. Auf diese Fragen wird möglicherweise auch mit den Nummern Q10a oder Q10b verwiesen.

      Meta erfordert mindestens einen dieser Nachweise:
      1. Deine Organisation ergreift Maßnahmen, um den Zugriff auf Systeme zu blockieren, die Plattformdaten von Meta enthalten, mit Ausnahme von Geräten, die mindestens eine dieser Anforderungen erfüllen:
        1. Auf allen Geräten muss die Verschlüsselung auf dem gesamten Speichermedium aktiviert sein, beispielsweise über FileVault oder BitLocker.
        2. Auf allen Geräten muss Endpunkt-DLP-Software ausgeführt werden, beispielsweise Microsoft Intune oder Symantec DLP.
      2. Deine Organisation verfügt über eine Richtlinie, die es jedem in der Organisation verbietet, Plattformdaten von Meta auf einem Organisations- oder persönlichen Gerät zu speichern. Außerdem hast du einen schriftlichen Nachweis darüber, dass Personen in deiner Organisation zur Einhaltung dieser Richtlinie verpflichtet sind.
      3. Deine Organisation verfügt über eine Richtlinie, die Folgendes vorschreibt:
        1. Nur diejenigen Personen, die Zugriff benötigen und einen autorisierten Geschäftszweck haben, dürfen Plattformdaten auf Organisationsgeräten verarbeiten UND
        2. Einzelpersonen müssen Plattformdaten von diesen Geräten löschen, wenn der autorisierte Geschäftszweck nicht mehr vorliegt.
      4. Meta-Plattformdaten sind aufgrund der Art und Weise, wie deine Software strukturiert ist (z. B werden Meta-Plattformdaten nur im vorübergehenden Speicher auf Geräten von Endkund*innen gespeichert) für niemanden in deinem Unternehmen zugänglich.

  19. Was ist ein Facebook- oder Meta-App-Geheimcode?

    1. Möglicherweise erhältst du eine Folgefrage dazu, wie du den Facebook- oder Meta-App-Geheimcode schützt. Auf diese Fragen wird möglicherweise auch mit der Nummer Q13 verwiesen.

      Der App-Geheimcode ist ein mit Facebook-Apps verknüpfter Parameter, der in bestimmten API-Aufrufen als Zugriffsschlüssel verwendet werden kann, um die Konfiguration deiner App zu ändern (z. B. Konfigurieren von Webhook-Rückrufen). Du findest den Facebook-App-Geheimcode in auf deinem Entwicklungs-Dashboard unter „Einstellungen“ > „Allgemeines“. Weitere Informationen zum App-Geheimcode findest du in unserer Entwicklungsdokumentation zur Login-Sicherheit.

      Weitere Informationen zu unseren Anforderungen zum Schutz des App-Geheimcodes und der Nutzer*innen-Zugriffsschlüssel, einschließlich aller Nachweise, die du möglicherweise vorlegen musst, findest du in unserer Entwicklungsdokumentation unter Meta-App-Geheimcode und -Zugriffsschlüssel schützen.

  20. Ich wurde gefragt, wie ich Konten verwalte und führe. Was sind die Anforderungen von Meta?

    1. Du erhältst möglicherweise eine Folgefrage dazu, ob deine Organisation über ein System zur Verwaltung von Konten und einigen damit verbundenen Prozessen verfügt. Auf diese Frage wird möglicherweise auch mit der Nummer Q16 verwiesen.
      1. Du musst über ein Tool oder ein Verfahren verfügen, das den Zugriff auf die Apps und Systeme gewährt oder widerruft, die deine Organisation verwendet, um innerhalb der Organisation zu kommunizieren, Software zu entwickeln sowie auszuliefern und deine Systeme/Anwendungen zu verwalten (insofern diese Apps und Systeme Plattformdaten verarbeiten).
      2. Du musst über ein Verfahren verfügen, das alle 12 Monate bereits gewährte Zugriffe überprüft und nicht mehr benötigte/genutzte Zugriffe widerruft.
      3. Du musst über ein Verfahren verfügen, das den Zugriff auf alle Apps und Systeme umgehend widerruft, wenn eine Person deine Organisation verlässt.
      Weitere Informationen, einschließlich der möglicherweise angabepflichtigen Nachweise, findest du in unserer Entwicklungsdokumentation unter Einsatz eines Systems zur Verwaltung von Nutzer*innenkonten.

  21. Ich wurde gefragt, wie ich mein System/meine Software auf Sicherheitslücken teste. Was sind die Anforderungen von Meta?

    1. Du erhältst möglicherweise eine Folgefrage dazu, ob deine Organisation dein System/deine Software auf Sicherheitslücken testet. Auf diese Frage wird möglicherweise auch mit der Nummer Q12 verwiesen.

      Wenn deine Organisation Meta-Plattformdaten in einer Cloud-Umgebung verarbeitet (z. B. innerhalb von AWS, Azure, GCP, Alibaba Cloud, Tencent Cloud) gelten folgende Anforderungen:
      1. Du musst deine Cloud-Software wie folgt auf Sicherheitslücken getestet haben:
        1. Mit einem Penetrationstest oder einem extern durchgeführten Scan der App oder des Systems, oder
        2. mit einem statischen oder dynamischen Analyse-Sicherheitstool der Software, oder
        3. du betreibst ein Vulnerability Disclosure Program, das unseren Anforderungen entspricht.
      2. Du musst außerdem deine Cloud-Asset-Konfiguration folgendermaßen auf Sicherheitslücken getestet haben:
        1. Über ein vom Cloud-Host bereitgestelltes Tool, oder
        2. ein anderes kommerzielles oder Open-Source-Tool, oder
        3. du betreibst ein Vulnerability Disclosure Program, das unseren Anforderungen entspricht.
        4. Wenn eine Cloud-Konfigurationsüberprüfung für deine Organisation nicht anwendbar ist, musst du im Rahmen deiner angegebenen Nachweise erläutern, warum dies der Fall ist.
      3. Du musst nachweisen, dass beide oben genannten Aktivitäten innerhalb der letzten 12 Monate stattgefunden haben.
      Meta erfordert im Allgemeinen, dass alle kritischen oder schwerwiegenden Sicherheitslücken behoben wurden.

      Wenn deine Organisation Meta-Plattformdaten in einer Serverumgebung verarbeitet, die auf eine andere Art und Weise gehostet wird, gelten folgende Anforderungen:
      1. Du musst deine Server-Software wie folgt auf Sicherheitslücken getestet haben:
        1. Mit einem Penetrationstest oder einem extern durchgeführten Scan der App oder des Systems, oder
        2. mit einem statischen oder dynamischen Analyse-Sicherheitstool der Software, oder
        3. du betreibst ein Vulnerability Disclosure Program, das unseren Anforderungen entspricht.
    Meta erfordert im Allgemeinen, dass alle kritischen oder schwerwiegenden Sicherheitslücken behoben wurden.

    Für alle anderen Organisationen gelten folgende Anforderungen:
    1. Du musst deine Client-Software wie folgt auf Sicherheitslücken getestet haben:
      1. Mit einem Penetrationstest oder einem extern durchgeführter Scan, oder
      2. mit einem statischen oder dynamischen Analyse-Sicherheitstool, oder
      3. du betreibst ein Vulnerability Disclosure Program, das unseren Anforderungen entspricht.
    2. Du musst nachweisen, dass diese Aktivität innerhalb der letzten 12 Monate stattgefunden hat.
    Meta erfordert im Allgemeinen, dass alle kritischen oder schwerwiegenden Sicherheitslücken behoben wurden.

    Weitere Informationen, einschließlich der möglicherweise angabepflichtigen Nachweise, findest du in unserer Entwicklungsdokumentation unter Überprüfung der App und der Systeme auf Schwachstellen und Sicherheitsprobleme.


  22. Ich wurde gefragt, wie ich meine Systeme auf dem neuesten Stand halte. Was sind die Anforderungen von Meta?

    1. Du erhältst möglicherweise eine Folgefrage dazu, ob deine Organisation über ein System zur Aktualisierung des Systemcodes und der Umgebungen verfügt. Auf diese Frage wird möglicherweise auch mit der Nummer Q17 verwiesen.
      2. Du musst ein definiertes und wiederholbares Verfahren vorweisen, um:
      1. Patches zu ermitteln, die Sicherheitslücken schließen und für die Software relevant sind, die du zur Verarbeitung von Meta-Plattformdaten verwendest.
      2. diese Patches basierend auf dem Risiko zu priorisieren, und
      3. Patches im Rahmen des laufenden Betriebs zu implementieren.
      Stelle sicher, dass du genügend Informationen darüber angibst, wie deine Software Plattformdaten verarbeitet, damit wir überprüfen können, ob dein Verfahren alle oben genannten Anforderungen erfüllt. Es ist beispielsweise nicht zureichend, lediglich zu erklären, dass deine Organisation über ein Verfahren zum Patchen des Server-Betriebssystems verfügt, ohne deinen Ansatz für andere Schichten des Stacks zu erläutern (z. B. Virtualisierungsschicht, Container-Schicht, Anwendungs-Container-Schicht, Bibliotheken oder Abhängigkeiten innerhalb deiner Anwendung).

      Weitere Informationen findest du in unserer Entwicklungsdokumentation unter Software auf dem neuesten Stand halten.

Bitte beachte, dass diese häufig gestellten Fragen hilfreiche Informationen und Links bereitstellen, die dich bei der Beantwortung der datenschutzrechtlichen Beurteilung unterstützen sollen. Für unsere datenschutzrechtliche Beurteilung gelten jedoch die Datensicherheitsanforderungen. Die häufig gestellten Fragen dienen nur als Leitfaden und sollen nicht den Anforderungen widersprechen oder diese ersetzen.

Mehr dazu