Anmeldung über die Dienste VK, Mail.ru und OK

Diskurs
,
1

Ab Ende 2025 hat VK auf den Domainnamen .ru umgestellt und das Anmelde-App für den Zugang zur Website geändert. In den Einstellungen wurde zudem die Möglichkeit hinzugefügt, sich auch über Mail.ru und OK zu authentifizieren. Aufgrund dieser Änderungen werden die folgenden rechtlich relevanten Änderungen erläutert.

:red_circle: 1. Verpflichtung, Dokumente innerhalb von 3 Kalendertagen bereitzustellen

Artikel:

  • In PDF (Odnoklassniki): Art. 3.3.1
  • In textuellem Vertrag (Mail.ru): Art. 3.3.1

„Innerhalb von drei (3) Kalendertagen nach Erhalt der Anfrage durch das Unternehmen sind geeignete, beglaubigte Kopien der Dokumente einzureichen, die die von Ihnen bei der Anwendungregistrierung angegebenen Informationen bestätigen.“

:magnifying_glass_tilted_left: Praktische Bedeutung:

  • Beim Registrieren einer Anwendung (z. B. hier) geben Sie folgende Daten an:
    • Für natürliche Personen: Vor- und Nachname, Personalausweisdaten, Kontaktdaten.
    • Für juristische Personen: Firmenname, OGRN/INN, Adresse usw.
  • Wenn VK/Mail.ru diese Daten bestätigen lassen (z. B. bei Verdacht auf Betrug, Massenregistrierung oder Verstoß gegen die Nutzungsbedingungen), müssen Sie innerhalb von 3 Tagen Scans der Dokumente (Personalausweis, Auszug aus dem EGRUL, Vollmacht usw.) versenden.
  • Risiko: Nichterfüllung → einseitige Sperre oder Blockierung des API- und OAuth-Zugangs (Art. 3.2.2 beider Verträge) ohne vorherige Benachrichtigung, nur mit Nachricht nachträglich.

:white_check_mark: Empfehlung:

  • Bereiten Sie den Dokumentenkomplex im Voraus vor.
  • Stellen Sie sicher, dass bei der Anwendungsregistrierung aktuelle und verifizierbare Daten angegeben werden — andernfalls ist eine Anfrage zur Bestätigung fast unvermeidlich.

:red_circle: 2. Verpflichtung, ausdrückliche Zustimmung der Nutzer zur Übertragung personenbezogener Daten einzuholen

Artikel:

  • OK PDF: Art. 3.3.4
  • Mail.ru: Art. 3.3.4

Der Partner ist verpflichtet, die Zustimmung der Nutzer (insbesondere gemäß Gesetz Nr. 152-FZ) zur Übertragung ihrer Daten aus den Diensten des Unternehmens einzuholen → ausdrückliche Zustimmung mit Angabe von:

  • Umfang der übertragenen Daten (E-Mail, Name, Foto usw.)
  • Zweck der Verarbeitung
  • Link zu Ihrer Datenschutzrichtlinie

:warning: Kritisch:

  • Sie dürfen keine Daten automatisch übertragen (z. B. E-Mail) ohne ausdrückliche, informierte Zustimmung des Nutzers — selbst wenn er „Mit OK/Mail anmelden“ geklickt hat.
  • Die Zustimmung muss als eigener Checkbox vor oder zusammen mit dem Login-Button angezeigt werden, mit klarer Formulierung, z. B.:

„Ich stimme zu, dass meine Daten (Name, E-Mail, Profilfoto) aus Odnoklassniki/Mail.ru an example.com übertragen und gemäß Datenschutzrichtlinie verarbeitet werden.“

  • Sie dürfen keine überflüssigen Daten anfordern (Art. 3.3.5): z. B. Geburtsdatum, wenn es für die Authentifizierung nicht erforderlich ist.

:red_circle: 3. Verbot der Modifikation von Logos, Buttons und UI-Elementen

Artikel:

  • OK: Art. 3.3.3
  • Mail.ru: Art. 3.3.3

Verboten ist:

  • Verstecken oder Ändern von Logos („Mit OK anmelden“ → darf nicht in „Schnellzugang“ umbenannt werden),
  • Entfernen von Hyperlinks zu OK/Mail,
  • Verwendung nicht-offizieller Buttons und Bilder.

:white_check_mark: Lösung:

:red_circle: 4. Einschränkungen bei der Verwendung von Nutzerdaten

Artikel:

  • OK: Art. 3.3.6
  • Mail.ru: Art. 3.3.6

Verboten ist:

  • Speichern, Verarbeiten oder Weitergabe an Dritte von Nutzerdaten (E-Mail, Name usw.), die über OAuth erhalten wurden, sofern dies nicht zur Authentifizierung erforderlich ist und nicht im Vertrag geregelt ist.
  • Verwendung der Daten für Newsletter, Analytik oder Werbeprofile — ohne zusätzliche Zustimmung.

:warning: Beispiel für Risiko:

Wenn Sie eine E-Mail über OAuth erhalten und sie sofort in einen Newsletter einfügen — ist dies eine Verletzung.

:white_check_mark: Lösung:

  • Trennen Sie klar:
    • Daten zur Authentifizierung (nur zur Identifikation),
    • Daten zum weiteren Einsatz (Newsletter, Profil usw.) → müssen getrennt gesammelt werden, mit getrennter Zustimmung.

:red_circle: 5. Vertrag gilt „wie er ist“ — ohne Garantien und Haftung

Artikel:

Das Unternehmen garantiert keine störungsfreie Funktionalität und übernimmt keine Haftung für Ausfälle, Datenverluste, Sperrungen usw.

:shield: Was tun:

  • Verlassen Sie sich nicht allein auf OAuth als einzigen Zugangsweg. Halten Sie immer einen Backup-Zugang (z. B. E-Mail + Passwort) bereit.
  • In der UI informieren Sie: „Zugang über OK ist derzeit nicht verfügbar — versuchen Sie es später oder nutzen Sie eine andere Methode.“

:pushpin: Fazit: Kritische Punkte, die unmittelbare Aufmerksamkeit erfordern
1 Vorbereiten und bei Bedarf versenden von beglaubigten Dokumenten innerhalb von 3 Tagen nach Anfrage Sperre des API-/OAuth-Zugangs
2 Erhalten Sie ausdrückliche Zustimmung der Nutzer zur Übertragung personenbezogener Daten vor der Authentifizierung Strafen gemäß Gesetz Nr. 152, Sperrung durch Beschwerden
3 Verwenden Sie nur offizielle Buttons und UI sofort Ablehnung der Anwendungszulassung
4 Verwenden Sie keine über die Authentifizierung hinausgehenden Daten konstant Sperrung + Beschwerden von Aufsichtsbehörden
5 Folgen Sie den offiziellen Anweisungen und Regeln konstant Risiko einer Sperrung ohne Vorwarnung