InFocus · Begriff

Social-Media-Buttons

Aktualisiert Juli 2026 ca. 8Minuten Norm-Anker: Art. 6 DSGVO, § 25 TDDDG, OLG Düsseldorf (2016)

AppCore IntelligenceUnit Redaktion, AppCore

Die AppCore IntelligenceUnit beobachtet die Entwicklung der einschlägigen Regulierung laufend und bereitet sie redaktionell auf.

  • Content-Compliance
  • Markenkommunikation
Diese Lösung prüft der AppCore Audit für Social-Media-Buttons direkt.

Eingebettete Social-Media-Buttons wie der Like- oder Share-Button laden beim bloßen Seitenaufruf Skripte vom Anbieter, die Daten übertragen, egal ob jemand klickt. Ein Gerichtsurteil von 2016 machte das erstmals deutlich.

In Kürze Rechtsgrundlage: Art. 6 DSGVO, § 25 TDDDGAktive Plugins übertragen Daten schon beim Laden, nicht erst beim KlickOLG Düsseldorf (2016) zum Facebook-Like-Button als GrundsatzentscheidungZwei-Klick-Lösung und Shariff sind anerkannte datensparsame AlternativenReine Verlinkungs-Icons ohne Live-Plugin sind unproblematisch

Was Social-Media-Buttons technisch tun

Ein Social-Media-Button, etwa ein Facebook-Like-Button oder ein eingebetteter Share-Button, wird in der einfachsten Umsetzung als aktives Plugin direkt vom Server des Anbieters geladen. Das bedeutet: Sobald die Seite aufgerufen wird, lädt der Browser Code von Facebook, X oder einem anderen Netzwerk, unabhängig davon, ob der Besucher den Button jemals anklickt.

Bei diesem Ladevorgang werden häufig Daten wie IP-Adresse, Browser-Informationen und unter Umständen sogar Angaben zu einem bestehenden Login beim jeweiligen Netzwerk an dessen Server übertragen. Diese Übertragung geschieht ohne Zutun des Besuchers, allein durch den Seitenaufruf, und ist damit vom bloßen Wunsch, Inhalte zu teilen, weit entfernt.

Wichtig ist die Abgrenzung: Ein einfacher Link, der beim Klick zu einem Netzwerk führt, ohne vorher ein aktives Plugin zu laden, wirft dieses Problem nicht auf. Das Problem entsteht erst durch das eingebettete, sofort ladende Plugin.

Die Rechtsgrundlage: das Düsseldorfer Urteil und die Einwilligungspflicht

Das Oberlandesgericht Düsseldorf entschied 2016 in einem vielbeachteten Verfahren, dass der Betreiber einer Website für die durch einen eingebundenen Facebook-Like-Button ausgelöste Datenübertragung mitverantwortlich ist und diese nicht ohne Weiteres ohne Einwilligung erfolgen darf. Die Entscheidung gilt seither als Referenz für den Umgang mit Social-Media-Plugins auf Websites.

Rechtlich braucht die Datenübertragung durch ein aktives Plugin dieselbe vorherige Einwilligung wie jeder andere nicht notwendige Drittdienst, gestützt auf § 25 TDDDG für das technische Laden und Art. 6 DSGVO für die anschließende Datenverarbeitung. Ohne Einwilligung ist der Einsatz eines aktiv ladenden Plugins in aller Regel unzulässig.

Zwei-Klick-Lösung und Shariff als Alternativen

Um Social-Media-Funktionen anzubieten, ohne die Nachteile aktiv ladender Plugins in Kauf zu nehmen, haben sich zwei datensparsame Ansätze etabliert. Die Zwei-Klick-Lösung zeigt zunächst nur einen inaktiven Platzhalter-Button; erst ein erster Klick lädt das eigentliche Plugin, ein zweiter Klick löst die Aktion beim Netzwerk aus. Erst der erste Klick löst überhaupt eine Datenübertragung aus.

Shariff: Teilen ohne Vorab-Übertragung

Die von einem deutschen Computer-Magazin mitentwickelte Shariff-Lösung geht noch weiter: Sie ermittelt Like- und Share-Zahlen über den eigenen Server der Website, statt direkt beim Netzwerk anzufragen, und öffnet erst beim tatsächlichen Klick ein neues Fenster zum jeweiligen Netzwerk. Bis zu diesem Klick findet keine Datenübertragung an das Netzwerk statt.

Wie hoch ist dein Risiko bei Social-Media-Buttons?

Schalte ein, was auf deine Website zutrifft. Der Wert ist ein Anhaltspunkt, keine Rechtsprüfung.

Trifft mich das?

Schalte mindestens ein Kriterium ein, um eine Einschätzung zu sehen.

Woran sich eine saubere Social-Media-Einbindung misst

Was eine datenschutzkonforme Einbindung von Social-Media-Funktionen ausmacht, in vier Prinzipien.

Vier Anforderungen, zum Durchtippen

Kein Live-Plugin ohne Zutun.

Ein Plugin, das erst nach einer aktiven Handlung Daten überträgt, vermeidet die ungefragte Übertragung beim bloßen Seitenaufruf.

Hilft Zwei-Klick- oder Shariff-Lösung statt direktem Netzwerk-Plugin.

Stolperfalle Facebook-Like-Button lädt direkt beim Seitenaufruf.

Falls doch aktiv, dann erst nach Zustimmung.

Wird dennoch ein aktiv ladendes Plugin genutzt, muss es wie jeder andere nicht notwendige Dienst erst nach Einwilligung laden.

Hilft Aktives Plugin nur nach Klick auf Zustimmen im Cookie-Banner.

Stolperfalle Plugin unabhängig von der Cookie-Entscheidung eingebunden.

Plugin- von Link-Einbindung unterschieden.

Ein einfacher Link zu einem Netzwerk ist unproblematisch, ein aktiv ladendes Plugin nicht. Diese Unterscheidung sollte im Quellcode geprüft werden.

Hilft Quellcode auf tatsächliche Plugin-Einbindungen durchsucht.

Stolperfalle Nie geprüft, ob Icons einfache Links oder aktive Plugins sind.

Die gewählte Lösung ist nachvollziehbar.

Eine nachvollziehbare Dokumentation der gewählten Lösung erleichtert es, im Streitfall den aktuellen Stand zu belegen.

Hilft Entscheidung für Shariff oder Zwei-Klick-Lösung im Projekt vermerkt.

Stolperfalle Keine Dokumentation, welche Lösung wann eingeführt wurde.

Der häufigste Irrtum: „Das ist doch nur ein kleines Icon“

Ein verbreiteter Irrtum ist, ein kleines Social-Media-Icon wirke automatisch harmlos. Entscheidend ist aber nicht die optische Größe, sondern die technische Umsetzung dahinter: Ein winziges Icon kann ein voll aktives Plugin mit Datenübertragung sein, während ein größer gestalteter, aber als einfacher Link umgesetzter Button unproblematisch bleibt.

Ein zweiter Irrtum ist, viele Content-Management-Systeme würden Social-Media-Buttons automatisch datenschutzkonform einbinden. Tatsächlich setzen zahlreiche Standard-Plugins und Theme-Erweiterungen weiterhin auf die einfache, aktiv ladende Variante, weil sie technisch am schnellsten einzubauen ist.

Wie steht es um deine Social-Media-Buttons?

Wähle die Situation, die deiner aktuellen Website am nächsten kommt.

Trifft eine der folgenden Situationen auf dich zu?

Wähle eine Situation, um die Einordnung zu sehen.

Zeitleiste

Vom Like-Button-Boom zur datensparsamen Alternative

Wie sich der Umgang mit Social-Media-Plugins auf Websites rechtlich und technisch entwickelt hat.

  1. 2010er

    Like-Buttons verbreiten sich rasant

    Aktive Social-Media-Plugins werden zum Standard auf Websites, meist ohne Rücksicht auf die dahinterliegende Datenübertragung.

  2. 2013

    Die Zwei-Klick-Lösung entsteht

    Als frühe Antwort auf die Datenschutzbedenken verbreitet sich die Zwei-Klick-Lösung als Alternative zum direkt ladenden Plugin.

  3. 2016

    Das Düsseldorfer Urteil zum Like-Button

    Das Oberlandesgericht Düsseldorf bestätigt die Mitverantwortung von Website-Betreibern für die durch Like-Buttons ausgelöste Datenübertragung.

  4. laufend

    Shariff und Einwilligungspflicht als Standard

    Datensparsame Lösungen wie Shariff und die generelle Einwilligungspflicht für aktive Plugins sind heute etablierter Standard.

Die Rechtslage: Art. 6 DSGVO, § 25 TDDDG und die Gerichtspraxis

Rechtlich braucht die Datenübertragung durch ein aktiv ladendes Social-Media-Plugin dieselbe vorherige Einwilligung wie jeder andere nicht notwendige Drittdienst, gestützt auf § 25 TDDDG für den technischen Ladevorgang und Art. 6 DSGVO für die anschließende Verarbeitung. Das Düsseldorfer Urteil von 2016 hat die Mitverantwortung des Website-Betreibers für diese Übertragung gerichtlich bestätigt.

Für die Praxis kommt es auf eine klare technische Unterscheidung an: Ein einfacher Link zu einem Netzwerk ist unproblematisch, ein aktiv ladendes Plugin braucht entweder eine vorherige Einwilligung oder eine datensparsame Lösung wie die Zwei-Klick- oder Shariff-Variante, die den Ladevorgang verzögert.

So prüft der AppCore Audit Social-Media-Einbindungen

Der AppCore Audit prüft mit der Lösung PrivacyScanner, ob eingebundene Social-Media-Elemente als aktive Plugins direkt laden oder als datensparsame Lösung umgesetzt sind, und macht typische Risikomuster wie ein vorzeitiges Laden ohne Einwilligung sichtbar.

Abmahnung und Bußgeld: die Folgen

Ein aktiv ladendes Social-Media-Plugin ohne vorherige Einwilligung ist sowohl datenschutzrechtlich als auch wettbewerbsrechtlich angreifbar: Aufsichtsbehörden können ein Bußgeld verhängen, Mitbewerber und Verbände können über § 3a UWG wegen des Verstoßes gegen § 25 TDDDG abmahnen. Beide Wege können unabhängig voneinander beschritten werden.

Da Social-Media-Buttons auf sehr vielen Websites in ähnlicher Form vorkommen, lässt sich das Problem technisch leicht systematisch auffinden, ähnlich wie bei anderen extern eingebundenen Standard-Ressourcen. Das macht eine frühzeitige Prüfung besonders lohnend.

Die eigene Social-Media-Einbindung prüfen

Die Prüfung ist unkompliziert. Drei Fragen helfen bei der Einordnung. Erstens: Handelt es sich bei den eingebundenen Buttons um aktive Plugins, die beim Seitenaufruf laden, oder um einfache Links? Zweitens: Falls ein aktives Plugin genutzt wird, lädt es erst nach einer erteilten Einwilligung? Drittens: Wäre eine datensparsame Alternative wie Shariff oder die Zwei-Klick-Lösung technisch einfach umsetzbar?

Wer diese Fragen ehrlich beantwortet, findet die häufigsten Lücken selbst. Standard-Plugins aus Themes oder Erweiterungen, die ohne Prüfung übernommen wurden, und eine fehlende Verzögerung des Ladevorgangs gehören zu den klassischen Fundstellen.

Für Seiten mit mehreren eingebundenen Netzwerken wird die Prüfung schnell unübersichtlich. Genau hier setzt der AppCore Audit an: Er prüft die tatsächlich geladenen externen Elemente und macht sichtbar, wo eine datensparsamere Lösung sinnvoll wäre.

Social-Media-Funktionen und Datenschutz schließen sich nicht aus. Wer auf eine verzögerte oder einwilligungsabhängige Einbindung setzt, bietet das Teilen weiterhin an und senkt gleichzeitig sein Compliance-Risiko spürbar.

Wo stehst du gerade?

Dein Weg zu mehr Sicherheit

Vom Befund zur laufenden Prüfung

Drei Schritte, jeder für sich nutzbar.

Schritt 1 · Diagnose

AppCore Audit

kostenfreieinmalige Diagnose

Wir prüfen deine Seite über alle 20 Lösungen und zeigen dir, was offen ist.

Kostenfrei starten
Schritt 3 · Dauerpflege

Plan

ab 99,- €pro Monat

Deine Seite bleibt dauerhaft sauber, mit laufender Prüfung.

Pläne ansehen

Audit BluePrint / CMS Plan

Nächster Schritt

Compliance-Risiko einschätzen

Der AppCore-Erstaudit zeigt dir in 10 Minuten, wo deine Website steht.