Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

AddThis

Was macht AddThis?

AddThis war ein Social Sharing Widget von Oracle, das Werbe Cookies setzte und Daten an Oracle Data Cloud (BlueKai) übermittelte. Der Dienst wurde am 31. Mai 2023 eingestellt, doch verbliebener AddThis Code stellt weiterhin ein DSGVO Risiko dar und sollte entfernt werden.

Was war AddThis

AddThis war ein JavaScript Widget, das Social Sharing Buttons in Webseiten einfügte und das Verhalten der interagierenden Besucher protokollierte. Nach der Übernahme durch Oracle 2016 wurde der Dienst in Oracle Data Cloud (BlueKai) integriert, bevor er am 31. Mai 2023 endgültig eingestellt wurde. Verbliebener Code im Frontend funktioniert nicht mehr korrekt, birgt aber weiterhin Datenschutz und Sicherheitsrisiken.

Welche Cookies und Daten erfasst wurden

AddThis setzte Cookies wie __atuvc, __atuvs, di2, uvc, ouid und bku sowie Identifikatoren im Local Storage. Erfasst wurden IP, User Agent, Seiten URL, Sharing Aktionen, die in Oracle Data Cloud mit Werbe IDs verknüpft wurden, um Cross Site Audience Segmente zu schärfen.

DSGVO und ePrivacy Anforderungen

AddThis war ein Lehrbuchbeispiel für einen einwilligungspflichtigen Werbe Tracker (Art. 5 Abs. 3 ePrivacy Richtlinie, Art. 6 Abs. 1 lit. a DSGVO). Aufsichtsbehörden wie CNIL listeten ihn mehrfach in Cookie Sweeps. Nach Schrems II benötigten die Transfers an Oracle in den USA Standardvertragsklauseln plus zusätzliche Schutzmaßnahmen.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Abschaltung am 31. Mai 2023

Oracle stellte AddThis am 31. Mai 2023 endgültig ein. Endpunkte wie s7.addthis.com und m.addthisedge.com liefern zunehmend Fehler. Verbliebene Snippets verursachen kaputte Integrationen, ein potenzielles Risiko durch Drittanbieter Domain Übernahme und werden weiterhin von Cookie Audits beanstandet.

Empfohlene Maßnahme: Entfernen und Ersetzen

Entfernen Sie jeden AddThis Snippet (s7.addthis.com, m.addthisedge.com), löschen Sie verbliebene Cookies über Ihre CMP und wechseln Sie zu DSGVO freundlichen Alternativen wie Shariff (heise), AddToAny, ShareThis (nur mit Einwilligung) oder einfachen HTML mailto / share Links, die keine Cookies setzen.

Praktische Compliance Schritte

Durchsuchen Sie Repositories und CDN nach Verweisen auf addthis.com, entfernen Sie den AddThis Eintrag aus der Cookie Richtlinie oder markieren Sie ihn als deaktiviert, prüfen Sie per Cookie Scan, dass keine Requests mehr an AddThis Hosts gehen, und informieren Sie Nutzer über die Löschung der Altdaten.

GDPR consent category

Marketing

Websites using AddThis must obtain user consent under GDPR regulations.

Legal basisConsent (Art. 6(1)(a) GDPR and Art. 5(3) ePrivacy Directive) was required because AddThis installed advertising cookies and shared data with the Oracle Data Cloud. Since the service is shut down, the recommended action is to remove the snippet entirely.

Risk levelhigh

Applicable regulationsGDPR, ePrivacy Directive, CCPA, CNIL guidelines on cookies and trackers

DPIA considerations

Eine DSFA war zu Lebzeiten von AddThis berechtigt, da das Widget Werbeprofile in Oracle Data Cloud aufbaute. Heute liegt die Priorität darauf, jeden AddThis Snippet aus dem Code zu entfernen und die Cookie Richtlinie zu aktualisieren.

Sample consent text

Unsere Website nutzte zuvor AddThis für Social Sharing, was Werbe Cookies setzte und Daten an Oracle (USA) übertrug. Der Dienst ist eingestellt. Der AddThis Code wurde ersetzt oder entfernt.

Technical details

Tracking methodJavaScript widget for social sharing buttons. Sets first and third party cookies, builds visitor profiles via Oracle Data Cloud (formerly BlueKai), and links sharing behaviour to advertising audiences. Service was officially shut down on 31 May 2023, but legacy snippets may still be embedded.

Server locationUnited States (Oracle Corporation, Austin TX). AddThis was acquired by Oracle in 2016 and integrated into Oracle Data Cloud.

Data transferred outside the EUData was transferred to Oracle (United States) and to advertising partners across multiple third countries. Following the Schrems II ruling, AddThis was the subject of a CNIL warning. The service has been discontinued since 31 May 2023, so any remaining integration is a legacy risk that should be removed.

Third-party domains contacted

s7.addthis.comm.addthisedge.comsu.addthis.comtag.bkrtx.com

Cookies placed

Name	Type	Duration	Purpose
__atuvc	first_party	13 months	Counted shares of a page and updated the social share button counters; remained accessible to AddThis JavaScript.
__atuvs	first_party	30 minutes	Stored a short term sharing session identifier used by AddThis to recognise the latest share action.
di2	third_party	2 years	Oracle Data Cloud / AddThis cross site advertising identifier used to build advertising audiences.
uvc	third_party	2 years	Tracked the frequency of visits across AddThis enabled sites for advertising and analytics.
ouid	third_party	2 years	Oracle BlueKai user identifier shared with AddThis to associate browsing with audience segments.
bku	third_party	6 months	Oracle BlueKai cookie used for cross domain advertising and visitor profiling.

AddThis setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzte AddThis?

AddThis setzte First und Third Party Cookies wie __atuvc, __atuvs, di2, uvc, ouid, bku sowie Identifikatoren im Local Storage. Sie dienten der Besuchererkennung und speisten Audience Segmente in Oracle Data Cloud (BlueKai).

War eine Einwilligung erforderlich?

Ja. AddThis war ein einwilligungspflichtiger Werbe Tracker (Art. 5 Abs. 3 ePrivacy Richtlinie, Art. 6 Abs. 1 lit. a DSGVO). Aufsichtsbehörden wie CNIL beanstandeten regelmäßig das Laden des Skripts vor der Einwilligung.

Welche Rechtsgrundlage galt?

Einzig zulässige Rechtsgrundlage war die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Berechtigtes Interesse schied aus, da das Tracking Cross Site Werbeprofiling diente.

Wurden Daten in die USA übertragen?

Ja. AddThis wurde von Oracle in den USA betrieben. Nach Schrems II benötigte jeder Transfer Standardvertragsklauseln mit zusätzlichen Maßnahmen und eine Transferfolgenabschätzung.

War eine DSFA erforderlich?

Eine DSFA war zur Lebzeit von AddThis berechtigt, da der Dienst systematisches Werbeprofiling betrieb und Daten an Oracle Data Cloud weitergab. Heute steht die Entfernung aller AddThis Reste im Vordergrund.

Was tun, wenn die Website noch AddThis enthält?

Suchen Sie im Code nach jeder Referenz zu addthis.com, entfernen Sie Skript Tags und CSS, löschen Sie verbliebene Cookies über Ihre CMP, prüfen Sie per Cookie Scan, dass keine Requests mehr an AddThis Hosts gehen, und markieren Sie AddThis als deaktiviert in der Cookie Richtlinie.

Welche Alternativen gibt es jetzt?

Datenschutzfreundliche Alternativen: Shariff (heise), AddToAny im statischen Modus, ShareThis (nur mit Einwilligung) oder einfache HTML Share Links (mailto, X (Twitter), LinkedIn, Facebook), die kein Drittanbieter Skript laden.

Wie aktualisiere ich die Cookie Richtlinie?

Markieren Sie AddThis als deaktiviert in Ihrer Cookie Richtlinie, listen Sie Cookies, die bei wiederkehrenden Besuchern noch vorhanden sein könnten, dokumentieren Sie die Löschung der Restdaten und weisen Sie auf die Abschaltung am 31. Mai 2023 hin.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note