Social-Media-Plugins und DSGVO: So binden Sie Facebook, Instagram & Co. datenschutzkonform ein
Facebook-Like-Buttons, Instagram-Feeds, Twitter-Timelines und LinkedIn-Share-Buttons gehören zum Standard vieler Websites. Doch die direkte Einbindung dieser Social-Media-Plugins ist aus Datenschutzsicht höchst problematisch. Bereits beim Laden der Seite werden Nutzerdaten an die jeweiligen Plattformen übertragen – ganz ohne Einwilligung. Wir zeigen Ihnen, wie es besser geht.
Das Problem: Datenübertragung beim Seitenaufruf
Wenn Sie ein Social-Media-Plugin direkt einbinden, lädt der Browser des Besuchers JavaScript-Code und andere Ressourcen direkt vom Server des jeweiligen Anbieters. Dabei werden automatisch die IP-Adresse, der User-Agent, die aktuelle URL und ggf. vorhandene Cookies an den Anbieter übermittelt.
Der EuGH hat 2019 im Fashion ID-Urteil (C-40/17) klargestellt, dass der Website-Betreiber für diese Datenübertragung mitverantwortlich ist – gemeinsam mit dem Social-Media-Anbieter. Das bedeutet: Sie brauchen eine Rechtsgrundlage für die Datenübermittlung, und in der Regel ist das die Einwilligung des Nutzers.
Lösung 1: Die Zwei-Klick-Lösung
Die Zwei-Klick-Lösung ist der etablierteste Ansatz für datenschutzkonformes Social-Media-Sharing. Dabei wird zunächst ein Platzhalter angezeigt, der das Plugin optisch darstellt, aber keine Verbindung zum Anbieter herstellt. Erst wenn der Nutzer aktiv auf den Button klickt (erster Klick = Aktivierung), wird die Verbindung hergestellt. Der zweite Klick ist dann die eigentliche Interaktion (Like, Share etc.).
Lösung 2: Shariff von Heise/c't
Die von der c't-Redaktion entwickelte Shariff-Lösung geht noch einen Schritt weiter. Die Share-Buttons werden komplett serverseitig gerendert. Share-Counts werden über einen eigenen Backend-Service abgerufen, sodass zu keinem Zeitpunkt eine direkte Verbindung zwischen dem Browser des Nutzers und den Social-Media-Plattformen hergestellt wird.
Vorteil von Shariff:
Keine Einwilligung erforderlich, da keine Datenübertragung an Dritte stattfindet. Die Buttons funktionieren über einfache Share-Links.
Lösung 3: Einbindung über Consent-Management
Wenn Sie auf die nativen Plugins nicht verzichten möchten, können Sie diese über Ihr Consent-Management-Tool steuern. Die Plugins werden dann erst nach ausdrücklicher Einwilligung geladen. Vorher wird ein Platzhalter mit einem Hinweis auf die Datenverarbeitung angezeigt.
Die meisten modernen CMP-Tools wie Borlabs Cookie, Cookiebot oder Usercentrics bieten Content-Blocker an, die externe Inhalte automatisch blockieren und durch einen Einwilligungshinweis ersetzen. Diese Lösung ist komfortabel, erfordert aber eine sorgfälltige Konfiguration.
Lösung 4: Einfache Share-Links statt Plugins
Die einfachste und datenschutzfreundlichste Alternative: Verwenden Sie statt der offiziellen Plugins einfache Share-Links. Jede Social-Media-Plattform bietet URLs an, über die Inhalte geteilt werden können. Diese Links öffnen die jeweilige Plattform in einem neuen Tab – ohne dass beim Laden Ihrer Seite Daten übertragen werden.
Instagram-Feeds und eingebettete Posts
Besonders beliebt sind eingebettete Instagram-Feeds auf Unternehmenswebsites. Auch hier gilt: Die direkte Einbindung über die Instagram-API oder Embed-Codes überträgt Daten an Meta. Alternativen sind statische Screenshots mit Verlinkung oder die Einbindung über ein CMP mit Content-Blocking.
Checkliste: Social Media DSGVO-konform
- ✓Keine direkten Social-Media-Plugins ohne Einwilligung laden
- ✓Zwei-Klick-Lösung oder Shariff für Share-Buttons verwenden
- ✓Datenschutzerklärung um Social-Media-Abschnitt ergänzen
- ✓Bei nativen Plugins: Content-Blocking über CMP einrichten
- ✓Gemeinsame Verantwortlichkeit mit Meta etc. dokumentieren (Art. 26 DSGVO)
Social-Media-Einbindung prüfen
Unser Scanner erkennt, ob Ihre Website Social-Media-Plugins ohne Einwilligung lädt.
Website jetzt scannen