Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Disqus ist eine Drittanbieter-Kommentarplattform, die es Website-Betreibern ermöglicht, einen Diskussionsbereich direkt in ihre Seiten einzubetten. Es lädt ein JavaScript-Widget, das persistente Tracking-Cookies setzt und seitenübergreifende Nutzerprofile für Werbezwecke aufbaut. Unter der DSGVO und der ePrivacy-Richtlinie erfordert das Laden von Disqus eine vorherige Nutzereinwilligung, da es Drittanbieter-Tracking-Cookies einsetzt und personenbezogene Daten an Disqus Inc. in den USA überträgt, bevor ein Kommentar abgegeben wird.
Disqus ist eine cloudbasierte Kommentar-Hosting-Plattform, die 2007 gegründet wurde und heute Zeta Global gehört, mit Hauptsitz in den USA. Sie ist auf Millionen von Websites als Drittanbieter-JavaScript-Widget eingebunden, das native Kommentarsysteme ersetzt oder ergänzt. Wenn ein Besucher eine Seite mit eingebettetem Disqus lädt, kontaktiert das Skript Disqus-Server, lädt den Kommentar-Thread und setzt gleichzeitig Tracking-Cookies, unabhängig davon, ob der Besucher mit dem Kommentarbereich interagiert. Disqus wird wegen seiner einfachen Integration, Spam-Filterung und Social-Login-Optionen häufig genutzt, sein Tracking-Verhalten wirft jedoch erhebliche DSGVO- und ePrivacy-Compliance-Fragen auf.
Beim Laden setzt Disqus persistente Cookies, darunter disqus_unique (eine eindeutige Besucherkennung), __jid (Session-Tracking) und G_AUTHUSER_H (Authentifizierungsstatus für Social Login). Disqus erfasst die IP-Adresse des Besuchers, den Browser-Fingerabdruck, die Referrer-URL, besuchte Seiten und Interaktionsdaten. Ist der Besucher bei einem Disqus- oder Social-Account angemeldet, werden diese Browsing-Daten mit einem persönlichen Profil verknüpft. Die gesammelten Daten dienen der zielgerichteten Werbung im Disqus-Werbenetzwerk und werden mit Werbepartnern geteilt. Durch die seitenübergreifende Natur des Disqus-Cookies werden Daten selbst auf Websites erfasst, mit denen der Besucher nie direkt interagiert hat.
Disqus fällt eindeutig in den Anwendungsbereich der ePrivacy-Richtlinie, da es Drittanbieter-Tracking-Cookies auf dem Gerät des Nutzers speichert und liest. Gemäss Artikel 5(3) der ePrivacy-Richtlinie ist eine vorherige informierte Einwilligung erforderlich. Gemäss DSGVO Artikel 6(1)(a) erfordert auch die Verarbeitung personenbezogener Daten zu Werbeprofiling-Zwecken eine Einwilligung. Berechtigte Interessen können nicht als Rechtsgrundlage für seitenübergreifendes Tracking zu Werbezwecken dienen, wie von mehreren EU-Datenschutzbehörden bestätigt. Das Laden von Disqus ohne vorherige Einwilligung stellt einen Verstoss gegen die ePrivacy-Richtlinie und die DSGVO dar.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Disqus ist ein US-Unternehmen und verarbeitet alle Daten auf US-amerikanischen Servern. Datenübertragungen von der EU in die USA unterliegen den Anforderungen von DSGVO Kapitel V. Disqus stützt sich auf den EU-US-Datenschutzrahmen (DPF) für transatlantische Übertragungen. Website-Betreiber müssen sicherstellen, dass Disqus eine gültige DPF-Zertifizierung besitzt, und diese Übertragungen in ihrer Datenschutzerklärung offenlegen. Falls die DPF-Zertifizierung ausläuft oder durch ein Gerichtsurteil annulliert wird, sind Standardvertragsklauseln (SCC) als Ersatz-Übertragungsmechanismus erforderlich.
Die einzige gültige Rechtsgrundlage für die Einbettung von Disqus auf einer Website, die EU-Besucher anspricht, ist eine freiwillig, spezifisch, informiert und unmissverständlich erteilte Einwilligung. Disqus darf erst geladen werden, wenn der Besucher der entsprechenden Cookie-Kategorie aktiv zugestimmt hat. Das Script-Tag muss standardmässig blockiert und erst nach Aufzeichnung der Einwilligung aktiviert werden. Ein Consent Management Platform (CMP), das Script-Blocking für eingebettete Kommentare unterstützt, ist erforderlich. Besucher müssen ihre Einwilligung ebenso leicht widerrufen können, wie sie sie erteilt haben, was erfordert, dass der Kommentarbereich beim Widerruf entladen wird.
So nutzen Sie Disqus konform mit DSGVO und ePrivacy: (1) Blockieren Sie das Disqus-Einbettungs-Script standardmässig mit einem CMP mit Script-Blocking-Funktionen. (2) Zeigen Sie einen Platzhalter mit einem klaren Einwilligungshinweis anstelle des Kommentarbereichs an, bevor die Einwilligung erteilt wird. (3) Listen Sie Disqus-Cookies in Ihrer Cookie-Richtlinie unter der Kategorie Werbung oder soziale Medien mit genauen Cookie-Namen und Laufzeiten auf. (4) Legen Sie die US-Datenübertragung und den anwendbaren Übertragungsmechanismus (DPF oder SCCs) in Ihrer Datenschutzerklärung offen. (5) Nehmen Sie Disqus in Ihr Verarbeitungsverzeichnis auf und prüfen Sie, ob eine DSFA erforderlich ist. (6) Erwägen Sie datenschutzfreundliche selbst gehostete Alternativen wie Commento oder Remark42, wenn die Einwilligungsraten niedrig sind.
Websites using Disqus must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA sollte für Websites mit erheblichem EU-Traffic in Betracht gezogen werden, die Disqus einbetten, da Disqus seitenübergreifende Werbeprofile erstellt und Daten in die USA überträgt. Die Kombination aus persistenten Tracking-Cookies, seitenübergreifendem Audience-Profiling und Drittlanddatenübertragungen stellt eine risikoreiche Verarbeitung nach Art. 35 DSGVO dar.
Sample consent text
Wir verwenden Disqus, um einen Kommentarbereich auf dieser Website bereitzustellen. Disqus verwendet Cookies und sammelt Daten über Ihre Browsing-Aktivitäten, um Zielgruppenprofile für Werbezwecke zu erstellen. Daten werden an Disqus Inc. in den USA übertragen und dort verarbeitet. Bitte akzeptieren Sie, um den Kommentarbereich zu laden.
Third-party domains contacted
disqus.comc.disquscdn.comdisqusads.comreferrer.disqus.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| disqus_unique | persistent | 2 years | Assigns a unique identifier to the visitor for comment tracking and moderation purposes |
| __jid | session | session | Stores Disqus session data to maintain user login state in the comment widget |
| G_AUTHUSER_H | persistent | 1 year | Stores the authenticated Google user index for single sign-on in Disqus |
| disqusauth | persistent | 1 year | Authentication token used to keep the user logged in to Disqus across sessions |
Disqus erhebt Analyse-Daten — Sie benötigen rechtlich ein Cookie-Banner. Testen Sie FlowConsent kostenlos.
Ja. Disqus setzt beim Laden der Seite persistente seitenübergreifende Tracking-Cookies, bevor der Besucher irgendeine Interaktion vorgenommen hat. Gemäss der ePrivacy-Richtlinie ist für jeden nicht wesentlichen Cookie eine vorherige Einwilligung erforderlich. Unter der DSGVO erfordert auch das von Disqus durchgeführte Werbeprofiling eine Einwilligung nach Art. 6(1)(a). Sie müssen das Disqus-Script blockieren, bis der Besucher aktiv der entsprechenden Cookie-Kategorie zugestimmt hat.
Disqus setzt mehrere persistente Cookies: disqus_unique (ein seitenübergreifender Besucheridentifikator, 2 Jahre), __jid (Session-Tracking, Sitzungsdauer), G_AUTHUSER_H (Authentifizierungsstatus für Social Login, 2 Jahre) und disqusauth (Disqus-Login-Token, 1 Jahr). Diese Cookies ermöglichen die Besucheridentifikation, Session-Verwaltung, Social-Authentifizierung und seitenübergreifendes Audience-Profiling für Werbezwecke.
Die einzige gültige Rechtsgrundlage für das Laden von Disqus auf einer Website, die EU-Besucher anspricht, ist die Einwilligung nach Artikel 6(1)(a) DSGVO. Berechtigte Interessen können nicht für seitenübergreifendes Tracking zu Werbeprofiling-Zwecken herangezogen werden, wie von mehreren EU-Datenschutzbehörden bestätigt. Keine andere Rechtsgrundlage gilt für die Werbe- und Tracking-Komponenten von Disqus.
Ja. Disqus gehört zu Zeta Global und verarbeitet alle Daten auf US-amerikanischen Servern. Datenübertragungen von der EU in die USA unterliegen DSGVO Kapitel V. Disqus stützt sich auf den EU-US-Datenschutzrahmen (DPF). Sie müssen diese Übertragung in Ihrer Datenschutzerklärung offenlegen und sicherstellen, dass Disqus eine gültige DPF-Zertifizierung besitzt. Falls der DPF annulliert wird, müssen Standardvertragsklauseln (SCC) als Ersatz vorhanden sein.
Eine Datenschutz-Folgenabschätzung (DSFA) sollte in Betracht gezogen werden, wenn Ihre Website erheblichen EU-Traffic hat und Disqus einbettet, da Disqus persistentes seitenübergreifendes Tracking, Werbeprofiling und US-Datenübertragungen kombiniert. Diese drei Faktoren stellen zusammen eine risikoreiche Verarbeitung nach Artikel 35 DSGVO dar. Konsultieren Sie Ihren DSB, um zu beurteilen, ob eine formale DSFA erforderlich ist.
Verwenden Sie ein Consent Management Platform (CMP), das Drittanbieter-Script-Blocking unterstützt. Konfigurieren Sie das CMP, um das Disqus-Einbettungs-Script standardmässig zu blockieren und es erst zu injizieren, wenn der Besucher aktiv der Werbe- oder Social-Media-Cookie-Kategorie zugestimmt hat. Zeigen Sie einen einwilligungsgesteuerten Platzhalter anstelle des Kommentarbereichs an. Stellen Sie sicher, dass der Widerruf der Einwilligung das Disqus-Widget von der Seite entfernt.
Ja. Mehrere selbst gehostete Kommentarsysteme vermeiden Drittanbieter-Datenübertragungen vollständig. Commento und Remark42 sind Open-Source-Alternativen, die auf Ihrer eigenen Infrastruktur ohne seitenübergreifendes Tracking oder Werbeprofiling laufen. Für Websites, die Datenschutz-Compliance priorisieren, ist ein natives oder vollständig selbst gehostetes System die DSGVO-konformste Option für Nutzerkommentare.
Listen Sie in Ihrer Cookie-Richtlinie jeden Disqus-Cookie (disqus_unique, __jid, G_AUTHUSER_H, disqusauth) mit Name, Kategorie (Werbung oder soziale Medien), Laufzeit und Zweck auf. In Ihrer Datenschutzerklärung nennen Sie Disqus als Auftragsverarbeiter, beschreiben die Werbeprofiling-Aktivitäten, geben die Rechtsgrundlage (Einwilligung) an und legen die US-Datenübertragung mit dem anwendbaren Mechanismus (DPF oder SCC) offen.