Social-Media-Buttons
AppCore InFocus
Art. 6 DSGVO
Social Plugins
Referenz-Urteil seit — Tagen
Eingebettete Social-Media-Buttons wie der Like- oder Share-Button laden beim bloßen Seitenaufruf Skripte vom Anbieter, die Daten übertragen, egal ob jemand klickt. Ein Gerichtsurteil von 2016 machte das erstmals deutlich.
Was Social-Media-Buttons technisch tun
Ein Social-Media-Button, etwa ein Facebook-Like-Button oder ein eingebetteter Share-Button, wird in der einfachsten Umsetzung als aktives Plugin direkt vom Server des Anbieters geladen. Das bedeutet: Sobald die Seite aufgerufen wird, lädt der Browser Code von Facebook, X oder einem anderen Netzwerk, unabhängig davon, ob der Besucher den Button jemals anklickt.
Bei diesem Ladevorgang werden häufig Daten wie IP-Adresse, Browser-Informationen und unter Umständen sogar Angaben zu einem bestehenden Login beim jeweiligen Netzwerk an dessen Server übertragen. Diese Übertragung geschieht ohne Zutun des Besuchers, allein durch den Seitenaufruf, und ist damit vom bloßen Wunsch, Inhalte zu teilen, weit entfernt.
Wichtig ist die Abgrenzung: Ein einfacher Link, der beim Klick zu einem Netzwerk führt, ohne vorher ein aktives Plugin zu laden, wirft dieses Problem nicht auf. Das Problem entsteht erst durch das eingebettete, sofort ladende Plugin.
Die Rechtsgrundlage: das Düsseldorfer Urteil und die Einwilligungspflicht
Das Oberlandesgericht Düsseldorf entschied 2016 in einem vielbeachteten Verfahren, dass der Betreiber einer Website für die durch einen eingebundenen Facebook-Like-Button ausgelöste Datenübertragung mitverantwortlich ist und diese nicht ohne Weiteres ohne Einwilligung erfolgen darf. Die Entscheidung gilt seither als Referenz für den Umgang mit Social-Media-Plugins auf Websites.
Rechtlich braucht die Datenübertragung durch ein aktives Plugin dieselbe vorherige Einwilligung wie jeder andere nicht notwendige Drittdienst, gestützt auf § 25 TDDDG für das technische Laden und Art. 6 DSGVO für die anschließende Datenverarbeitung. Ohne Einwilligung ist der Einsatz eines aktiv ladenden Plugins in aller Regel unzulässig.
Zwei-Klick-Lösung und Shariff als Alternativen
Um Social-Media-Funktionen anzubieten, ohne die Nachteile aktiv ladender Plugins in Kauf zu nehmen, haben sich zwei datensparsame Ansätze etabliert. Die Zwei-Klick-Lösung zeigt zunächst nur einen inaktiven Platzhalter-Button; erst ein erster Klick lädt das eigentliche Plugin, ein zweiter Klick löst die Aktion beim Netzwerk aus. Erst der erste Klick löst überhaupt eine Datenübertragung aus.
Shariff: Teilen ohne Vorab-Übertragung
Die von einem deutschen Computer-Magazin mitentwickelte Shariff-Lösung geht noch weiter: Sie ermittelt Like- und Share-Zahlen über den eigenen Server der Website, statt direkt beim Netzwerk anzufragen, und öffnet erst beim tatsächlichen Klick ein neues Fenster zum jeweiligen Netzwerk. Bis zu diesem Klick findet keine Datenübertragung an das Netzwerk statt.
Wie hoch ist dein Risiko bei Social-Media-Buttons?
Schalte ein, was auf deine Website zutrifft. Der Wert ist ein Anhaltspunkt, keine Rechtsprüfung.
Trifft mich das?
Woran sich eine saubere Social-Media-Einbindung misst
Was eine datenschutzkonforme Einbindung von Social-Media-Funktionen ausmacht, in vier Prinzipien.
Vier Anforderungen, zum Durchtippen
Kein Live-Plugin ohne Zutun.
Ein Plugin, das erst nach einer aktiven Handlung Daten überträgt, vermeidet die ungefragte Übertragung beim bloßen Seitenaufruf.
Hilft Zwei-Klick- oder Shariff-Lösung statt direktem Netzwerk-Plugin.
Stolperfalle Facebook-Like-Button lädt direkt beim Seitenaufruf.
Falls doch aktiv, dann erst nach Zustimmung.
Wird dennoch ein aktiv ladendes Plugin genutzt, muss es wie jeder andere nicht notwendige Dienst erst nach Einwilligung laden.
Hilft Aktives Plugin nur nach Klick auf Zustimmen im Cookie-Banner.
Stolperfalle Plugin unabhängig von der Cookie-Entscheidung eingebunden.
Plugin- von Link-Einbindung unterschieden.
Ein einfacher Link zu einem Netzwerk ist unproblematisch, ein aktiv ladendes Plugin nicht. Diese Unterscheidung sollte im Quellcode geprüft werden.
Hilft Quellcode auf tatsächliche Plugin-Einbindungen durchsucht.
Stolperfalle Nie geprüft, ob Icons einfache Links oder aktive Plugins sind.
Die gewählte Lösung ist nachvollziehbar.
Eine nachvollziehbare Dokumentation der gewählten Lösung erleichtert es, im Streitfall den aktuellen Stand zu belegen.
Hilft Entscheidung für Shariff oder Zwei-Klick-Lösung im Projekt vermerkt.
Stolperfalle Keine Dokumentation, welche Lösung wann eingeführt wurde.
Der häufigste Irrtum: „Das ist doch nur ein kleines Icon“
Ein verbreiteter Irrtum ist, ein kleines Social-Media-Icon wirke automatisch harmlos. Entscheidend ist aber nicht die optische Größe, sondern die technische Umsetzung dahinter: Ein winziges Icon kann ein voll aktives Plugin mit Datenübertragung sein, während ein größer gestalteter, aber als einfacher Link umgesetzter Button unproblematisch bleibt.
Ein zweiter Irrtum ist, viele Content-Management-Systeme würden Social-Media-Buttons automatisch datenschutzkonform einbinden. Tatsächlich setzen zahlreiche Standard-Plugins und Theme-Erweiterungen weiterhin auf die einfache, aktiv ladende Variante, weil sie technisch am schnellsten einzubauen ist.
Wie steht es um deine Social-Media-Buttons?
Wähle die Situation, die deiner aktuellen Website am nächsten kommt.
Trifft eine der folgenden Situationen auf dich zu?
Zeitleiste
Vom Like-Button-Boom zur datensparsamen Alternative
Wie sich der Umgang mit Social-Media-Plugins auf Websites rechtlich und technisch entwickelt hat.
- 2010er
Like-Buttons verbreiten sich rasant
Aktive Social-Media-Plugins werden zum Standard auf Websites, meist ohne Rücksicht auf die dahinterliegende Datenübertragung.
- 2013
Die Zwei-Klick-Lösung entsteht
Als frühe Antwort auf die Datenschutzbedenken verbreitet sich die Zwei-Klick-Lösung als Alternative zum direkt ladenden Plugin.
- 2016
Das Düsseldorfer Urteil zum Like-Button
Das Oberlandesgericht Düsseldorf bestätigt die Mitverantwortung von Website-Betreibern für die durch Like-Buttons ausgelöste Datenübertragung.
- laufend
Shariff und Einwilligungspflicht als Standard
Datensparsame Lösungen wie Shariff und die generelle Einwilligungspflicht für aktive Plugins sind heute etablierter Standard.
Die Rechtslage: Art. 6 DSGVO, § 25 TDDDG und die Gerichtspraxis
Rechtlich braucht die Datenübertragung durch ein aktiv ladendes Social-Media-Plugin dieselbe vorherige Einwilligung wie jeder andere nicht notwendige Drittdienst, gestützt auf § 25 TDDDG für den technischen Ladevorgang und Art. 6 DSGVO für die anschließende Verarbeitung. Das Düsseldorfer Urteil von 2016 hat die Mitverantwortung des Website-Betreibers für diese Übertragung gerichtlich bestätigt.
Für die Praxis kommt es auf eine klare technische Unterscheidung an: Ein einfacher Link zu einem Netzwerk ist unproblematisch, ein aktiv ladendes Plugin braucht entweder eine vorherige Einwilligung oder eine datensparsame Lösung wie die Zwei-Klick- oder Shariff-Variante, die den Ladevorgang verzögert.
So prüft der AppCore Audit Social-Media-Einbindungen
Der AppCore Audit prüft mit der Lösung PrivacyScanner, ob eingebundene Social-Media-Elemente als aktive Plugins direkt laden oder als datensparsame Lösung umgesetzt sind, und macht typische Risikomuster wie ein vorzeitiges Laden ohne Einwilligung sichtbar.
Abmahnung und Bußgeld: die Folgen
Ein aktiv ladendes Social-Media-Plugin ohne vorherige Einwilligung ist sowohl datenschutzrechtlich als auch wettbewerbsrechtlich angreifbar: Aufsichtsbehörden können ein Bußgeld verhängen, Mitbewerber und Verbände können über § 3a UWG wegen des Verstoßes gegen § 25 TDDDG abmahnen. Beide Wege können unabhängig voneinander beschritten werden.
Da Social-Media-Buttons auf sehr vielen Websites in ähnlicher Form vorkommen, lässt sich das Problem technisch leicht systematisch auffinden, ähnlich wie bei anderen extern eingebundenen Standard-Ressourcen. Das macht eine frühzeitige Prüfung besonders lohnend.
Die eigene Social-Media-Einbindung prüfen
Die Prüfung ist unkompliziert. Drei Fragen helfen bei der Einordnung. Erstens: Handelt es sich bei den eingebundenen Buttons um aktive Plugins, die beim Seitenaufruf laden, oder um einfache Links? Zweitens: Falls ein aktives Plugin genutzt wird, lädt es erst nach einer erteilten Einwilligung? Drittens: Wäre eine datensparsame Alternative wie Shariff oder die Zwei-Klick-Lösung technisch einfach umsetzbar?
Wer diese Fragen ehrlich beantwortet, findet die häufigsten Lücken selbst. Standard-Plugins aus Themes oder Erweiterungen, die ohne Prüfung übernommen wurden, und eine fehlende Verzögerung des Ladevorgangs gehören zu den klassischen Fundstellen.
Für Seiten mit mehreren eingebundenen Netzwerken wird die Prüfung schnell unübersichtlich. Genau hier setzt der AppCore Audit an: Er prüft die tatsächlich geladenen externen Elemente und macht sichtbar, wo eine datensparsamere Lösung sinnvoll wäre.
Social-Media-Funktionen und Datenschutz schließen sich nicht aus. Wer auf eine verzögerte oder einwilligungsabhängige Einbindung setzt, bietet das Teilen weiterhin an und senkt gleichzeitig sein Compliance-Risiko spürbar.
Wo stehst du gerade?
Nimm gleich eine datensparsame Variante: Shariff oder eine Zwei-Klick-Lösung teilen genauso, senden aber nichts, bevor jemand klickt.
Klassische Like-Buttons senden Daten schon beim Laden der Seite, ganz ohne Klick. Der AppCore Audit zeigt, welche Verbindungen deine Seite ungefragt aufbaut.
Dein Weg zu mehr Sicherheit
Vom Befund zur laufenden Prüfung
Drei Schritte, jeder für sich nutzbar.
AppCore Audit
Wir prüfen deine Seite über alle 20 Lösungen und zeigen dir, was offen ist.
Kostenfrei startenBluePrint oder CMS
Offene Befunde werden behoben, technisch direkt oder über ExpertSeal.
Plan
Deine Seite bleibt dauerhaft sauber, mit laufender Prüfung.
Pläne ansehenAudit → BluePrint / CMS → Plan
Nächster Schritt
Compliance-Risiko einschätzen
Der AppCore-Erstaudit zeigt dir in 10 Minuten, wo deine Website steht.