Datenschutz und Sicherheit in Firebase

Auf dieser Seite werden die wichtigsten Sicherheits- und Datenschutzinformationen von Firebase aufgeführt. Ganz gleich, ob Sie ein neues Projekt mit Firebase starten möchten oder neugierig sind, wie Firebase mit Ihrem bestehenden Projekt funktioniert: Lesen Sie weiter, um zu erfahren, wie Firebase Sie und Ihre Benutzer schützen kann.

letzter Änderung : 25. Juli 2023

Datenschutz

Firebase-Unterstützung für DSGVO und CCPA

Am 25. Mai 2018 ersetzen die EU-Datenschutzgrundverordnung ( DSGVO ) die EU-Datenschutzrichtlinie von 1995. Am 1. Januar 2020 treten der California Consumer Privacy Act ( CCPA ) in Kraft . Am 1. Januar 2023 treten der California Privacy Rights Act ( CPRA ) in Kraft , ein Datenschutzgesetz , das den CCPA ändern und erweitern . Google ist bestreben , seinen Kunde dabei zu helfen , diese Datenschutzbestimmunge erfolgreich einhalten , unabhängig davon , ob es sich um große Softwareunternehmen oder unabhängig Entwickler handeln .

Die DSGVO erlegen datenverantwortlicher und Datenverarbeiter Verpflichtung auf , und die CCPA / CPRA erlegen Unternehmen und ihren Dienstleister Verpflichtung auf . Firebase-Kunde fungieren in der Regel als „ Datenverantwortlicher “ ( DSGVO ) oder „ Unternehmen “ ( CCPA / CPRA ) für alle personenbezogen Datum oder Information über ihre Endnutzer , die sie Google im Zusammenhang mit der Nutzung von Firebase zur Verfügung stellen , und Google fungieren im Allgemeinen als dieser ein „ Datenverarbeiter “ ( DSGVO ) oder „ Dienstleister “ ( CCPA / CPRA ) .

Das bedeuten , dass die Datum unter der Kontrolle des Kunde stehen . Kunde sind für Verpflichtung wie die Erfüllung der Rechte einer Person in Bezug auf ihre persönlich Datum oder Information verantwortlich .

Firebase-Datenverarbeitungs- und Sicherheitsbedingungen

Wenn Kunde Firebase nutzen , ist Google in der Regel Datenverarbeiter im Sinn der DSGVO und verarbeiten personenbezogen Datum in ihrem Name . Wenn Kunde Firebase nutzen , agieren Google im Allgemeinen als Dienstleister im Rahmen des CCPA / CPRA und verarbeiten personenbezogen Datum in ihrem Name . Die Firebase-Bedingung umfassen Datenverarbeitungs- und Sicherheitsbedingung , in denen diese Verantwortlichkeit detailliert beschreiben werden .

Bestimmte Firebase-Dienste , die den Nutzungsbedingungen der Google Cloud Platform (GCP) unterliegen, unterliegen bereits den zugehörigen Datenverarbeitungsbedingungen, dem Cloud Data Processing Addendum . Eine vollständige Liste der Firebase-Dienste, die derzeit den GCP-Nutzungsbedingungen unterliegen, finden Sie in den Nutzungsbedingungen für Firebase-Dienste .

Google Analytics ist ein separater Dienst, der zusammen mit Firebase verwendet werden kann und separaten Bedingungen unterliegt.

Firebase ist nach wichtigen Datenschutz- und Sicherheitsstandards zertifiziert

ISO- und SOC-Konformität

Alle Firebase-Dienste (außer App Indexing) haben den ISO 27001- und SOC 1- , SOC 2- und SOC 3 -Bewertungsprozess erfolgreich abgeschlossen, und einige haben auch den ISO 27017- und ISO 27018- Zertifizierungsprozess abgeschlossen. Compliance-Berichte und Zertifikate für Firebase-Dienste, die den GCP-Nutzungsbedingungen unterliegen, können über den Compliance Reports Manager angefordert werden

Internationale Datenübertragungen

Die Privacy Shield-Rahmenwerke stellten einen Mechanismus zur Einhaltung der Datenschutzanforderungen bei der Übermittlung personenbezogener Daten aus dem EWR, dem Vereinigten Königreich oder der Schweiz in die Vereinigten Staaten und darüber hinaus bereit. Angesichts des Urteils des Gerichtshofs der Europäischen Union zu Datenübermittlungen, mit dem das EU-US-Datenschutzschild für ungültig erklärt wurde, ist Firebase dazu übergegangen, sich für relevante Datenübermittlungen auf Standardvertragsklauseln zu stützen, die laut Urteil weiterhin gelten können gültiger rechtlicher Mechanismus zur Datenübermittlung gemäß der DSGVO. Die Europäische Kommission hat am 4. Juni 2021 neue Versionen der Standardvertragsklauseln genehmigt, die wir in unsere Verträge mit Firebase-Kunden für relevante Datenübertragungen integrieren.

Wir verpflichten uns zu einer rechtmäßigen Grundlage für Datenübertragungen unter Einhaltung der geltenden Datenschutzgesetze.

Informationen zur Datenverarbeitung

Beispiele für von Firebase verarbeitete Endnutzerdaten

Einige Firebase-Dienste verarbeiten die Daten Ihrer Endbenutzer, um ihren Dienst bereitzustellen. Die folgende Tabelle enthält Beispiele dafür, wie verschiedene Firebase-Dienste potenziell identifizierende Endbenutzerdaten verwenden und verarbeiten. Darüber hinaus bieten viele Firebase-Dienste die Möglichkeit, die Löschung bestimmter Daten anzufordern oder den Umgang mit Daten zu steuern.

Beispiele für von Crashlytics gesammelte Informationen

• Eine RFC-4122-UUID , die es uns ermöglichen , Abstürz zu Deduplizier
• Die Crashlytics-Installations-UUID
• Die Firebase-Installations-ID ( FID )
• Die Firebase-Sitzungs-ID , eine zufällig generiert UUID , um Ereignis mit einer Sitzung zu kennzeichnen
• Der Zeitstempel des Absturzes
• Die Bundle-ID und die vollständige Versionsnummer der App
• Der Betriebssystemname und die Versionsnummer des Geräts
• Ein boolesch Wert , der angeben , ob das Gerät einen Jailbreak / Rooting hatte
• Der Modellname des Geräts, die CPU-Architektur, die Menge an RAM und der Speicherplatz
• Der uint64-Anweisungszeiger jedes Frames jedes aktuell ausgeführt Thread
• Sofern in der Laufzeit verfügbar, der Klartext-Methoden- oder Funktionsname, der jeden Anweisungszeiger enthält.
• Wenn eine Ausnahme ausgelöst wurde, der Klartext-Klassenname und der Nachrichtenwert der Ausnahme
• Wenn ein schwerwiegend Signal auslösen wurde , dessen Name und Ganzzahlcode
• Für jedes in die Anwendung geladene Binärbild: Name, UUID, Bytegröße und die uint64-Basisadresse, an der es in den RAM geladen wurde
• Ein boolesch Wert , der angeben , ob sich die App zum Zeitpunkt des Absturz im Hintergrund befinden oder nicht
• Ein ganzzahliger Wert, der die Drehung des Bildschirms zum Zeitpunkt des Absturzes angibt
• Ein boolesch Wert , der angeben , ob der Näherungssensor des Gerät auslösen wurde
• Der Inhalt von version-control-info.textproto (nur für Android-Apps , die für die Verwendung der Versionskontrollsystem-Integration (VCS) konfiguriert sind )

Beispiele für von der Leistungsüberwachung erfasste Informationen

• Die Firebase-Installations-ID ( FID )
• Die Firebase-Sitzungs-ID , eine zufällig generiert UUID , um Ereignis mit einer Sitzung zu kennzeichnen
• allgemein Geräteinformation wie Modell , Betriebssystem und Ausrichtung
• RAM- und Festplattengröße
• CPU auslastung
• Mobilfunkanbieter (basierend auf Mobilfunkland und Netzwerkcode)
• Funk-/Netzwerkinformation ( z. B. WLAN , LTE , 3 G )
• Land ( basierend auf IP-Adresse )
• Gebietsschema/Sprache
• App Version
• App-Vordergrund- oder Hintergrundstatus
• Name des App-Pakets
• Firebase-Installations-IDs
• Dauer für automatisierte Ablaufverfolgungen
• Netzwerk-URLs (ohne URL-Parameter oder Payload-Inhalte) und die folgenden entsprechenden Informationen:
  • Antwortcodes (z. B. 403, 200)
  • Nutzlastgröße in Bytes
  • Reaktionszeit

Sehen Sie sich eine vollständige Liste der von Performance Monitoring erfassten automatischen Traces an.

Anleitungen zum Aktivieren der Opt-in-Option für die Datenverarbeitung von Endbenutzern

Die Dienste in der obigen Tabelle benötigen eine gewisse Menge an Endbenutzerdaten, um zu funktionieren. Daher ist es nicht möglich, die Datenerfassung während der Nutzung dieser Dienste vollständig zu deaktivieren.

Wenn Sie ein Kunde sind, der Benutzern die Möglichkeit bieten möchte, sich für einen Dienst und die damit verbundene Datenerfassung anzumelden, reicht es in den meisten Fällen aus, vor der Nutzung des Dienstes lediglich einen Dialog hinzuzufügen oder die Einstellungen umzuschalten.

Einige Dienste starten jedoch automatisch, wenn sie in eine App integriert werden. Um Benutzern die Möglichkeit zu geben, sich vor der Nutzung dieser Dienste anzumelden, können Sie die automatische Initialisierung für jeden Dienst deaktivieren und sie stattdessen zur Laufzeit manuell initialisieren. Um herauszufinden, wie das geht, lesen Sie die folgenden Anleitungen:

Wenn Sie Firebase mit Google Analytics integrieren, erfahren Sie, wie Sie die Analytics-Datenerfassung konfigurieren .

Speicher- und Verarbeitungsorte der Daten

Sofern ein Dienst oder eine Funktion keine Auswahl des Datenstandorts bietet, kann Firebase Ihre Daten überall dort verarbeiten und speichern, wo Google oder seine Vertreter Einrichtungen unterhalten. Mögliche Standorte der Einrichtungen variieren je nach Dienst.

Nur in den USA verfügbare Dienste

Der Firebase-Authentifizierungsdienst wird nur von US-Rechenzentren aus ausgeführt. Daher verarbeitet Firebase Authentication Daten ausschließlich in den Vereinigten Staaten.

Globale Dienstleistungen

Die meisten Firebase-Dienste laufen auf der globalen Google-Infrastruktur. Sie könnten Daten an jedem der Google Cloud Platform-Standorte oder Google-Rechenzentrumsstandorte verarbeiten. Für einige Dienste können Sie eine bestimmte Datenstandortauswahl treffen, die die Verarbeitung auf diesen Standort beschränkt.

• Cloud-Speicher für Firebase
• Cloud Firestore
• Cloud-Funktionen für Firebase
• Firebase-Hosting
• Firebase Crashlytics
• Firebase-Leistungsüberwachung
• dynamisch Firebase-Link
• Firebase-Remote-Konfiguration
• Firebase Cloud-Messaging
• Firebase ML
• Firebase-Testlabor
• Firebase-App-Check

Sicherheitsinformationen

Datenverschlüsselung

Firebase-Dienste verschlüsseln Daten während der Übertragung mithilfe von HTTPS und isolieren Kundendaten logisch.

Darüber hinaus verschlüsseln mehrere Firebase-Dienste ihre Daten auch im Ruhezustand:

• Cloud Firestore
• Cloud-Funktionen für Firebase
• Cloud-Speicher für Firebase
• Firebase Crashlytics
• Firebase-Authentifizierung
• Firebase Cloud-Messaging
• Firebase-Echtzeitdatenbank
• Firebase-Testlabor
• Firebase-App-Check
• Firebase-Leistungsüberwachung

Sicherheitspraktiken

Um den Schutz personenbezogen Datum zu gewährleisten , setzen Firebase umfangreich Sicherheitsmaßnahme ein , um den Zugriff zu minimieren :

• Firebase beschränkt den Zugriff auf ausgewählte Mitarbeiter, die aus geschäftlichen Gründen auf personenbezogene Daten zugreifen.
• Firebase protokolliert den Mitarbeiterzugriff auf Systeme, die personenbezogene Daten enthalten.
• Firebase erlaubt den Zugriff auf personenbezogene Daten nur durch Mitarbeiter, die sich mit Google Sign-In und 2-Faktor-Authentifizierung anmelden.

Firebase-Dienstdat

Firebase-Dienstdat sind personenbezogene Daten, die Google während der Bereitstellung und Verwaltung der Firebase-Dienste ^* erhebt und generiert, mit Ausnahme von Kundendaten ^{* *} , wie in unseren Kundenvereinbarungen für Firebase-Dienste und Google Cloud-Dienstdaten definiert. Beispiele für Firebase-Dienstdat sind Informationen zur Dienstnutzung, Ressourcenkennungen wie Anwendungs-IDs und Paketnamen/Bundle-IDs, technische und betriebliche Details der Nutzung wie IP-Adresse sowie direkte Kommunikation mit Entwicklern aus Feedback- und Supportgesprächen.

^{*Zu den abgedeckten Diensten gehören Firebase A/B Testing, Firebase App Check, Firebase App Distribution, Firebase Cloud Messaging, Firebase Crashlytics, Firebase Dynamic Links, Firebase Hosting, Firebase In-App Messaging, Firebase ML, Firebase Performance Monitoring, Firebase Realtime Database, Firebase Remote Config und Firebase User Segmentation Storage.}

^{* *Weitere Informationen darüber, wie wir Kundendaten verarbeiten, finden Sie in unseren Firebase-Datenverarbeitungs- und Sicherheitsbestimmungen .}

Beispiele dafür, wie Firebase-Dienstdat von Firebase verarbeitet werden

Google verwendet Firebase-Dienstdat gemäß unserer Datenschutzrichtlinie und den geltenden Bedingungen. Firebase-Dienstdat werden beispielsweise verwendet, um:

• Stellen Sie die von Ihnen angeforderten Firebase-Dienste bereit
• Geben Sie Empfehlungen zur Optimierung der Nutzung der Firebase-Dienste
• Pflegen und verbessern Sie Firebase-Dienste
• Bereitstellung und Verbesserung anderer von Ihnen angefordert Dienst
• verstehen Sie Ihre Nutzung von Firebase und anderen Google-Dienst
• Bieten Sie eine bessere Unterstützung und Kommunikation mit Ihnen
• Schützen Sie Sie, unsere Nutzer, die Öffentlichkeit und Google
• Halten Sie gesetzliche Verpflichtungen ein

Verwendung von Firebase-Dienstdat durch Nicht-Firebase-Google-Dienste

Sie können steuern, ob Ihre Firebase-Dienstdat von Google verwendet werden dürfen, um detailliertere Analysen, Einblicke und Empfehlungen zu Nicht-Firebase -Google-Diensten bereitzustellen und Nicht-Firebase- Google-Dienste zu verbessern. Sie können dies auf der Seite mit Ihren Firebase-Datenschutzeinstellungen konfigurieren.

Wenn diese Kontrolle deaktiviert ist, werden die Firebase-Dienstdat gemäß unserer Datenschutzrichtlinie und den geltenden Bedingungen weiterhin für andere Zwecke wie die oben genannten verwendet, einschließlich der Abgabe von Empfehlungen zu Firebase- Diensten und deren Verbesserung sowie der Bereitstellung und Verbesserung anderer Von Ihnen angeforderte Dienste, beispielsweise Google-Produkte, die Sie mit Ihrem Firebase-Projekt verknüpfen.

Wenn Sie Frage zum Datenschutz haben , die hier nicht behandeln werden , wenden Sie sich an den Firebase-Support . Wenn Sie ein Firebase-Entwickler sind , geben Sie Ihre Firebase-App-ID an . Finden Sie Ihre Firebase-App-ID auf der Karte„Ihre Apps“ Ihrer Projekteinstellungen settings