Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Instagram Embed ist die offizielle Methode, um einen öffentlichen Instagram Beitrag, Reel oder ein Profil per oEmbed iframe und einem Skript (embeds.js) von instagram.com in einer anderen Website darzustellen. Der Embed setzt Meta Tracking Cookies (datr, fr, ig_did, mid, c_user bei eingeloggten Nutzern) auf der Domain instagram.com und übermittelt IP Adresse und User Agent des Besuchers an Meta, sobald das Skript geladen wird. Nach DSGVO und ePrivacy Richtlinie ist hierfür eine vorherige Einwilligung erforderlich, weil der Embed nicht technisch notwendig ist und personenbezogene Daten an Meta Platforms Inc in die USA übertragen werden.
Ein Instagram Embed ist die offizielle Möglichkeit, einen öffentlichen Beitrag, ein Reel, ein Story Highlight oder ein Profil innerhalb einer anderen Website anzuzeigen. Die Integration besteht aus einem iframe auf der Domain instagram.com und einer kleinen JavaScript Datei (embeds.js), die auf Meta Infrastruktur gehostet wird. Sobald der iframe lädt, kontaktiert der Browser des Besuchers instagram.com, das dieselben Identifikatoren liest und schreibt, die Instagram auf seiner eigenen Plattform nutzt (datr, fr, ig_did, mid und die c_user Variante bei eingeloggten Nutzern). Selbst ein scheinbar passiver Embed ist daher ein direkter Kontakt mit Meta mit den gleichen Datenflüssen wie ein Besuch von instagram.com.
Meta erhält die IP Adresse des Besuchers, den User Agent, die Sprache, die Referrer URL (Ihre Seite) und alle Cookies, die zuvor auf instagram.com gesetzt wurden. Ist der Besucher in Instagram oder Facebook eingeloggt, erhält Meta zusätzlich die Konto Kennung (c_user) und kann den Besucher im offenen Web re identifizieren. Der Embed wird damit Teil der Meta Tracking Infrastruktur auf Ihrer Domain. Auch ohne Meta Pixel reicht der Embed aus, um einen Seitenbesuch mit einem Meta Konto zu verknüpfen und in das Werbegraph einzuspeisen.
Der Instagram Embed kann sich nicht auf die Ausnahme der unbedingten Erforderlichkeit nach Artikel 5(3) der ePrivacy Richtlinie berufen, da er für den gewünschten Dienst nicht zwingend ist. Es ist eine vorherige, informierte und granulare Einwilligung erforderlich. Hinzu kommt die Übermittlung an Meta Platforms Inc in den USA, ein Drittlandstransfer nach Kapitel V DSGVO. Der EuGH hat in Schrems II (C 311/18) den Privacy Shield für ungültig erklärt, und europäische Aufsichtsbehörden (CNIL, deutsche Datenschutzbehörden, Garante, EDPB) sehen das Datenteilen mit Meta auch unter dem EU US Data Privacy Framework als erheblich risikobehaftet (FISA 702, Executive Order 12333).
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Empfohlen ist das Zwei Klick oder Click to load Muster. Der Embed wird durch einen statischen Platzhalter ersetzt, bis der Besucher ausdrücklich zustimmt. Der Platzhalter muss klar darauf hinweisen, dass der Inhalt von Instagram stammt, dass das Laden personenbezogene Daten an Meta in die USA überträgt und dass der Besucher ablehnen kann. Die Zustimmung muss opt in erfolgen (keine vorausgewählten Häkchen), genauso einfach zu widerrufen sein wie zu erteilen und über ein dauerhaft sichtbares Consent Panel reversibel bleiben. Die CNIL hat mehrere französische Betreiber für vor der Einwilligung geladene Meta Embeds sanktioniert.
Da der Instagram Embed eine umfangreiche Verarbeitung durch Meta, mögliche Rückschlüsse auf besondere Kategorien personenbezogener Daten (sexuelle Orientierung, politische Meinungen, Religion über besuchte Konten) und einen risikobehafteten internationalen Transfer kombiniert, ist eine DSFA in vielen EU Mitgliedstaaten verpflichtend. Sie muss Notwendigkeit, Verhältnismäßigkeit, vorhandene Schutzmaßnahmen (Einwilligung, DPF, SCC, Click to load) und geprüfte Alternativen dokumentieren. Betreiber in regulierten Branchen (Gesundheit, Bildung, öffentliche Verwaltung) sollten den Embed in der Regel vermeiden.
Implementieren Sie einen Click to load Platzhalter, listen Sie Instagram in Ihrem Consent Banner als Social Media oder Advertising Vendor und laden Sie den Embed erst nach granularer Einwilligung. Dokumentieren Sie die Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten und aktualisieren Sie die Datenschutzerklärung mit dem Link zu den Meta Bedingungen und der Liste der von instagram.com gesetzten Cookies. Sicherere Alternativen sind das Hosten eines Screenshots auf der eigenen CDN, die Nutzung eines statischen Bildes mit Link auf die Instagram URL oder offizielle Presse APIs, die den Inhalt serverseitig ausliefern, ohne dass der Browser des Besuchers Meta kontaktiert.
Websites using Instagram Embed must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA wird empfohlen, sobald der Instagram Embed auf Seiten genutzt wird, die EU Besucher adressieren, da systematische Übermittlungen personenbezogener Daten an Meta in den USA ausgelöst werden und mehrere europäische Aufsichtsbehörden (CNIL, Bundeskartellamt, Garante) das Risiko als hoch einstufen. Die DSFA muss den Einwilligungsmechanismus, das Fehlen einer technischen Notwendigkeit, das Restrisiko unter dem EU US Data Privacy Framework sowie die Eignung sichererer Alternativen (statisches Bild, selbst gehostete Screenshots) behandeln.
Sample consent text
Wir binden Inhalte von Instagram ein. Das Laden dieses Embeds übermittelt Ihre IP Adresse, Ihren User Agent und den Browsing Kontext an Meta Platforms Inc in den USA, und Meta setzt Cookies auf der Domain instagram.com. Der Embed lädt erst, nachdem Sie Werbe und Social Media Cookies akzeptiert haben.
Third-party domains contacted
instagram.comwww.instagram.comcdninstagram.comscontent.cdninstagram.comfacebook.comstatic.cdninstagram.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| datr | http | 2 years | Meta browser identifier used for security, fraud detection and analytics. Set on the instagram.com domain when the embed loads. |
| fr | http | 90 days | Meta advertising cookie used to deliver, measure and personalise ads across Meta properties and the Audience Network. |
| ig_did | http | 2 years | Instagram device identifier used to recognise the browser across sessions. |
| mid | http | 2 years | Alternative Instagram device identifier set by the embed. |
| sb | http | 2 years | Meta security cookie used to identify the browser and detect suspicious activity. |
| c_user | http | 1 year | Meta logged in user identifier. Set on the instagram.com domain when the visitor is also logged into Instagram or Facebook. Enables cross site identification. |
| xs | http | Session | Meta session token used to maintain the logged in state and tie the embed view to a Meta Account. |
Instagram Embed setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.
Sobald der Embed lädt, setzt instagram.com die typischen Meta Tracking Cookies: datr (Browser Identifikation, 2 Jahre), fr (Werbung und Analyse, 90 Tage), ig_did und mid (Instagram Device Identifier, 1 bis 2 Jahre), sb (Sicherheit, 2 Jahre) sowie c_user / xs bei eingeloggten Instagram oder Facebook Nutzern. Es handelt sich um Third Party Cookies von Meta in den USA.
Ja. Der Embed lädt Skripte und schreibt Meta Tracking Cookies und ist für den vom Nutzer gewünschten Dienst nicht technisch notwendig. Artikel 5(3) der ePrivacy Richtlinie verlangt eine vorherige Opt in Einwilligung, und die DSGVO fordert eine transparente Information über die internationale Übermittlung an Meta. Standardlösung ist ein Zwei Klick Platzhalter, der den Embed erst nach Einwilligung lädt.
Die einzige realistische Grundlage ist die Einwilligung nach Artikel 6(1)(a) DSGVO. Vertrag oder berechtigtes Interesse scheiden aus, weil der Embed dekorativ und nicht essenziell ist und den Besucher umfangreichem Meta Profiling aussetzt. Meta selbst nutzt für eigene Verarbeitungen weitere Grundlagen, der einbettende Verantwortliche muss aber die Einwilligung einholen, bevor Daten den Besucher Browser verlassen.
Ja. Auch wenn EWR Besucher mit Inhalten interagieren, die unter der Verantwortung von Meta Platforms Ireland Ltd stehen, fließen die technischen Daten an die Meta Platforms Inc Infrastruktur in den USA. Dies ist ein Drittlandstransfer nach Kapitel V DSGVO und stützt sich derzeit auf das EU US Data Privacy Framework (Meta ist zertifiziert) sowie Standardvertragsklauseln. Schrems II und die folgenden EDPB Leitlinien stufen diesen Transfer weiterhin als risikoreich ein.
In den meisten Fällen wird sie dringend empfohlen, und einige europäische Aufsichtsbehörden verlangen sie ausdrücklich beim großflächigen Einsatz. Die Kombination aus verhaltensbasiertem Profiling durch Meta, möglicher Ableitung besonderer Kategorien personenbezogener Daten und risikoreichen internationalen Übermittlungen überschreitet in der Regel die Schwelle von Artikel 35 DSGVO. Regulierte Branchen sollten den Embed in der Regel meiden.
Verwenden Sie einen von Ihrer eigenen Domain ausgelieferten Click to load Platzhalter, listen Sie Instagram im Consent Banner als Social Media oder Advertising Vendor und laden Sie den Embed iframe erst nach granularer Opt in Einwilligung. Dokumentieren Sie die Verarbeitung in der Datenschutzerklärung, verlinken Sie auf die Meta Datenschutzhinweise, führen Sie die von instagram.com gesetzten Cookies auf und protokollieren Sie die Einwilligung. Verzichten Sie auf den Embed bei besonders schutzbedürftigen Zielgruppen.
Übliche Alternativen sind das Hosten eines Screenshots des Beitrags auf der eigenen CDN mit Textbeschreibung, ein statisches Bild mit Link zur Instagram URL oder das serverseitige Rendern über die Instagram Graph API und die Auslieferung aus eigener Infrastruktur. Einige EU freundliche Drittanbieter (Embedly Proxies, selbst gehostete Snapshots) verhindern, dass der Besucher Browser Meta kontaktiert.
Dokumentieren Sie Instagram und Meta Platforms Inc als Empfänger, listen Sie die Meta Cookies (datr, fr, ig_did, mid, sb, c_user) mit Speicherdauer und Zweck auf, benennen Sie die Übermittlung in die USA unter dem EU US Data Privacy Framework, geben Sie die Rechtsgrundlage an (Einwilligung) und verlinken Sie auf die Meta Datenschutzerklärung und Cookie Liste. Aktualisieren Sie den Eintrag bei jeder Änderung der Meta Angaben.