Ist der DSGVO-Scan kostenlos?

Ja, 100% kostenlos. Keine Anmeldung, keine Kreditkarte, keine versteckten Kosten.

Was kostet ein DSGVO-Audit?

Das Komplett-Audit kostet €149 einmalig. Das Komplett-Paket mit Umsetzung aller Fixes kostet €399.

Was kostet eine professionelle Website?

Landingpages ab €990, Business-Websites ab €2.490, Web-Apps ab €4.990. Transparente Festpreise.

Ersetzt der Scanner einen Anwalt?

Nein. Der Scanner prüft technische Aspekte. Für rechtliche Bewertung empfehlen wir einen Fachanwalt.

Anleitung6. Februar 2026· 12 Min. Lesezeit

Social Media Buttons DSGVO konform einbinden — So geht es richtig

Standard-Social-Buttons von Facebook, Instagram und Co. übertragen bei jedem Seitenaufruf Daten an die Plattformen — auch wenn der Besucher gar nicht klickt. Ohne Einwilligung ist das ein klarer DSGVO-Verstoß.

Abmahnungen wegen Facebook-Buttons sind Alltag

LG München (3 O 17493/20): Facebook-Like-Button ohne Einwilligung ist rechtswidrig. EuGH (C-673/17, „Planet49“): Einwilligung muss durch aktive Handlung erfolgen.

Das Problem: Was passiert bei Standard-Buttons?

Beim Laden einer Seite mit Standard-Social-Buttons werden automatisch IP-Adresse, Referrer, User-Agent und Cookies an die Social-Media-Server übertragen. Facebook, Instagram & Co. nutzen diese Daten für webseitenübergreifendes Tracking und personalisierte Werbung — ohne Zustimmung des Nutzers.

Das betrifft insbesondere den Facebook Like-Button, den Instagram-Feed-Embed, den Twitter/X Tweet-Button und den LinkedIn Share-Button. All diese Widgets laden beim Seitenaufruf externe JavaScript-Dateien und setzen Cookies — bevor der Besucher überhaupt interagiert.

Rechtliche Grundlage: Warum ist das ein Problem?

Nach Art. 6 Abs. 1 lit. a DSGVO brauchen Sie für die Verarbeitung personenbezogener Daten eine Einwilligung, wenn kein anderer Rechtsgrund greift. Die Übertragung von IP-Adressen und Cookies an Dritte wie Facebook ist eine solche Verarbeitung. Ohne vorherige Einwilligung liegt ein Verstoß gegen die DSGVO vor.

Das § 25 TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) verschärft die Lage zusätzlich: Jeder Zugriff auf das Endgerät des Nutzers (z.B. durch Cookies) erfordert eine Einwilligung — es sei denn, er ist technisch notwendig. Social-Media-Buttons sind das definitiv nicht.

Lösung 1: Die 2-Klick-Lösung mit Shariff (Empfohlen)

Shariff wurde von c't (Heise Verlag) entwickelt — speziell für DSGVO-Compliance. Zunächst werden nur Platzhalter-Bilder angezeigt. Erst bei Klick erscheint ein Hinweis, dann wird der echte Button nachgeladen. So findet keine Datenübertragung vor der aktiven Handlung des Nutzers statt.

WordPress: Plugin „Shariff Wrapper“ installieren → Einstellungen → Dienste wählen (Facebook, Twitter, LinkedIn, WhatsApp etc.) → Position auswählen (vor/nach Inhalt) → Fertig. Das Plugin ist Open Source, kostenlos und unterstützt über 20 Dienste.

Für Entwickler: Shariff gibt es auch als npm-Paket (npm install shariff). Die JavaScript-Bibliothek funktioniert mit jedem CMS oder statischen Website-Generator. Der Shariff-Backend-Server zählt Shares serverseitig, ohne dass der Browser des Nutzers die Social-Media-APIs kontaktiert.

Lösung 2: Einfache Share-Links (ohne JavaScript)

Die datenschutzfreundlichste Variante: Normale HTML-Links, die auf die Share-Funktionen der Plattformen verlinken. Es wird kein JavaScript eingebunden, keine Daten werden vor dem Klick übertragen.

Beispiel-URLs für Share-Links:

• Facebook: https://www.facebook.com/sharer/sharer.php?u=IHRE-URL
• Twitter/X: https://twitter.com/intent/tweet?url=IHRE-URL&text=TITEL
• LinkedIn: https://www.linkedin.com/sharing/share-offsite/?url=IHRE-URL
• WhatsApp: https://wa.me/?text=IHRE-URL
• E-Mail: mailto:?subject=TITEL&body=IHRE-URL

Diese Links öffnen sich in einem neuen Tab — der Nutzer entscheidet selbst, ob er teilen möchte. Kein Tracking, keine Cookies, keine Einwilligung nötig.

Lösung 3: Follow-Buttons als einfache Links

Statt der offiziellen Follow-Widgets (die ebenfalls tracken) nutzen Sie einfache <a>-Links zu Ihren Profilen. Wichtig dabei:

• Icons lokal hosten: Laden Sie SVG-Icons herunter und binden Sie sie von Ihrem eigenen Server ein — nicht von CDNs wie Font Awesome (das ebenfalls trackt)
• Attribute setzen: target="_blank" rel="noopener noreferrer" bei allen externen Links
• Keine iFrames: Betten Sie niemals Instagram-Feeds, Facebook-Seiten oder Twitter-Timelines per iFrame ein

YouTube-Videos DSGVO-konform einbetten

Das Standard-YouTube-Embed (youtube.com/embed/...) setzt Cookies und überträgt Daten an Google — das ist ohne Einwilligung nicht konform. Sie haben drei Optionen:

1. youtube-nocookie.com: Nutzen Sie youtube-nocookie.com/embed/... statt youtube.com/embed/.... Das reduziert Cookies, überträgt aber weiterhin die IP-Adresse
2. 2-Klick-Lösung: Zeigen Sie zunächst ein Vorschaubild. Erst nach Klick und Hinweis wird das Video geladen
3. Content-Blocker: Cookie-Banner-Plugins wie Borlabs Cookie oder Real Cookie Banner bieten automatische YouTube-Content-Blocker, die Videos erst nach Einwilligung laden

Datenschutzerklärung anpassen

Wenn Sie Social-Media-Buttons einsetzen — selbst mit 2-Klick-Lösung — müssen Sie dies in Ihrer Datenschutzerklärung dokumentieren. Pflichtangaben nach Art. 13 DSGVO:

• Welche Dienste eingebunden sind (Facebook, Twitter, LinkedIn etc.)
• Welche Daten übertragen werden (IP, Cookies, Referrer)
• Die Rechtsgrundlage (Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO)
• Hinweis auf Drittlandtransfer (USA) und das EU-US Data Privacy Framework
• Widerrufsmöglichkeit (Cookie-Einstellungen erneut öffnen)

Mehr dazu: Datenschutzerklärung erstellen — Anleitung & Muster.

Checkliste

☐ Keine Standard-Buttons von Facebook/Instagram/Twitter
☐ Shariff oder 2-Klick-Lösung nutzen
☐ Content-Blocker für Social-Media-Einbettungen
☐ YouTube mit 2-Klick oder youtube-nocookie.com
☐ Icons lokal gehostet
☐ Datenschutzerklärung ergänzt
☐ Follow-Links als einfache Links

Die 3 sichersten Optionen

1. Shariff (Open Source, kostenlos, DSGVO-konform). 2. Einfache Share-Links (maximal datenschutzfreundlich). 3. Content-Blocker via Cookie-Banner-Plugin.

Häufig gestellte Fragen (FAQ)

Sind einfache Link-Buttons zu Social Media DSGVO-konform?

Ja. Einfache HTML-Links (ohne JavaScript-Einbindung oder iFrames) übertragen keine Daten an die Plattformen, solange der Nutzer nicht klickt. Sie brauchen dafür weder Cookie-Banner noch Einwilligung. Hosten Sie die Icons lokal und verwenden Sie rel="noopener noreferrer".

Muss ich Social-Media-Buttons in der Datenschutzerklärung erwähnen?

Bei einfachen Links: nein. Sobald Sie jedoch Widgets, Plugins oder die 2-Klick-Lösung (nach Klick werden externe Scripte geladen) einsetzen, müssen Sie dies in der Datenschutzerklärung dokumentieren — inklusive Zweck, Rechtsgrundlage und Hinweis auf Drittlandtransfer.

Was ist mit WhatsApp-Share-Buttons?

Ein einfacher wa.me-Link ist unproblematisch — er öffnet lediglich die WhatsApp-App mit einer vorausgefüllten Nachricht. Verwenden Sie jedoch kein WhatsApp-Widget, das JavaScript nachlädt oder Nutzerdaten an Meta überträgt.

Gilt die 2-Klick-Lösung auch für eingebettete Instagram-Posts?

Ja. Eingebettete Instagram-Posts laden externe Scripte von Meta-Servern und setzen Cookies. Nutzen Sie entweder einen Content-Blocker (über Ihr Cookie-Banner-Plugin) oder zeigen Sie zunächst ein Vorschaubild mit Hinweis und laden den Embed erst nach Einwilligung.

Social-Media-Tracking auf Ihrer Website? Jetzt prüfen.

Unser Scanner erkennt problematische Social-Buttons automatisch.

Jetzt Website prüfen