Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
ShareThis ist ein Social Sharing Widget kombiniert mit einer Audience Daten Plattform. In Websites eingebettete Buttons ermöglichen es Besuchern, Inhalte in sozialen Netzwerken zu teilen, während das Skript zugleich Klickstrom und Verhaltenssignale (Seitenaufrufe, Referrer, Interessen) erhebt, die ShareThis an Werbetreibende und Datenkäufer weiterverkauft. Diese Doppelfunktion stellt ShareThis weit über einen einfachen Teilen Button und qualifiziert es als Profiling Tracker im Sinne der DSGVO.
ShareThis ist ein US Unternehmen mit Sitz in Palo Alto, Kalifornien, das ein JavaScript Widget veröffentlicht, mit dem Website Besucher Inhalte in sozialen Netzwerken wie Facebook, X, LinkedIn, Pinterest, WhatsApp und vielen anderen teilen können. Hinter den sichtbaren Teilen Buttons erfasst das ShareThis Skript zudem Klickstrom und Audience Daten, darunter Seiten URLs, Referrer, Browser Merkmale, aus der IP abgeleitete Signale und Interessen Segmente, die das Unternehmen an Werbetreibende, Datenbroker und Analytik Partner weiterleitet. Das Widget ist somit zugleich ein nutzerorientiertes Werkzeug und ein Sammelpunkt für Verhaltensdaten, dessen Compliance Profil einem Ad Tech Tracker näher steht als einem einfachen Teilen Link.
Nach dem Laden setzt und liest ShareThis mehrere Drittanbieter Cookies, darunter pxrc, rlas3, tuuid und tuuid_lu, die zur Vergabe persistenter Kennungen und zum Aufbau seitenübergreifender Audience Segmente dienen. Kombiniert mit den Daten, die das Skript an ShareThis Server zurücksendet, ermöglichen diese Identifier ein Cross Site Tracking und den Aufbau von Werbeprofilen. Unter DSGVO und ePrivacy Richtlinie erfordert diese Kombination aus nicht strikt notwendigen Cookies und Profiling zu Werbezwecken eine vorherige, informierte und freiwillige Einwilligung, bevor das Skript geladen wird.
ShareThis Inc verarbeitet Daten überwiegend in den Vereinigten Staaten. Transfers aus der EU und dem Vereinigten Königreich stützen sich auf das EU US Data Privacy Framework, gegebenenfalls auf dessen UK Extension und auf Standardvertragsklauseln für Partner, die nicht vom DPF abgedeckt sind. Verantwortliche müssen prüfen, ob ShareThis aktuell DPF zertifiziert ist, den Transfermechanismus dokumentieren und ein Transfer Impact Assessment durchführen, wenn Daten auch an Datenkäufer in nicht angemessenen Jurisdiktionen fließen. Die Dokumentation muss Kategorien personenbezogener Daten, Empfänger und herangezogene Garantien beinhalten.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Wenn das legitime Ziel lediglich darin besteht, Besuchern das Teilen von Inhalten zu ermöglichen, bieten mehrere Alternativen einen deutlich geringeren Compliance Aufwand. Native HTML Sharing Links (mailto, sms, share intents) und die Browser Web Share API lösen Teilen Vorgänge ohne Drittskript aus. Selbst gehostete Button Bibliotheken wie SHARE.JS oder AddToAny im minimalen, tracking freien Modus erlauben visuelle Sharing Widgets ohne Drittanbieter Cookies. Diese Ansätze vermeiden in der Regel die Notwendigkeit einer Vorab Einwilligung, weil sie keine Werbeskripte laden, und sie entfallen den Transfer von Audience Daten an einen US Datenbroker.
Um ShareThis in der EU rechtmäßig einzusetzen, müssen das Skript und seine Cookies hinter einer Consent Management Platform liegen, die mit dem IAB Transparency and Consent Framework oder den entsprechenden DSK Leitlinien kompatibel ist. Das ShareThis Tag darf erst eingefügt werden, wenn der Nutzer in die Zwecke ''Soziale Medien'' und ''Werbung'' eingewilligt hat. Ablehnen muss so einfach sein wie Zustimmen, und das Cookie Banner muss ShareThis als namentlich genannten Drittempfänger mit Link auf die Datenschutzerklärung sowie auf Widerspruchs und Widerrufsmöglichkeiten aufführen.
Da ShareThis groß angelegtes Tracking, Profiling und internationale Transfers verbindet, löst der Einsatz auf einer öffentlichen Website in der Regel die Kriterien einer Datenschutz Folgenabschätzung nach Artikel 35 DSGVO aus. Die DSFA muss Datenflüsse, Erforderlichkeitstest, Rechtsgrundlage (Einwilligung), Risiken für Betroffene und Schutzmaßnahmen (CMP Gating, Datenminimierung, vertragliche Garantien) beschreiben. Das Verzeichnis der Verarbeitungstätigkeiten, die Analyse einer gemeinsamen Verantwortlichkeit und eine regelmäßige Überprüfung des ShareThis Cookie Inventars sollten als Teil einer laufenden Datenschutz Governance gepflegt werden.
Websites using ShareThis must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist empfohlen, wenn ShareThis in größerem Umfang eingesetzt wird, da die Monetarisierung von Audience Daten und das Verhaltensprofiling Kernbestandteile des Dienstes sind. Die DSFA muss umfassen: die Prüfung einer möglichen gemeinsamen Verantwortlichkeit mit ShareThis Inc, den Umfang verarbeiteter Daten (IP, Cookie IDs, Referrer, URLs, Interessen Segmente), Speicherfristen, Transfers in die USA unter DPF und SCC, Profiling Logik und nachgelagerte Datenkäufer, die Betroffenenrechte (Auskunft, Widerspruch, Löschung) und den Erforderlichkeitstest. Wenn der Verantwortliche die strikte Erforderlichkeit nicht nachweisen kann, sind native Teilen Buttons (mailto, Web Share API) zu bevorzugen.
Sample consent text
Wir verwenden das ShareThis Social Sharing Widget, damit Sie unsere Inhalte in sozialen Netzwerken teilen können. ShareThis erhebt auch Audience und Klickstrom Daten, die an ShareThis Inc in den USA übermittelt und mit Werbepartnern zu Profiling Zwecken geteilt werden können. Mit Klick auf 'Akzeptieren' willigen Sie in diese Cookies und in diese Verarbeitung ein. Sie können die Einwilligung jederzeit über das Cookie Einstellungen Panel verweigern oder widerrufen.
Third-party domains contacted
sharethis.complatform.sharethis.combuttons-config.sharethis.comcount-server.sharethis.coml.sharethis.coms7.sharethis.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| __sharethis_cookie_test__ | third_party | session | Short lived test cookie written by the ShareThis script to detect whether third party storage is available in the current browser context |
| pxrc | third_party | 2 months | Persistent identifier set by ShareThis to recognise the browser across sites and to feed audience segments used in the data syndication products |
| rlas3 | third_party | 1 year | Cross site identifier used by ShareThis to build behavioural and interest profiles for advertising and audience monetisation purposes |
| tuuid | third_party | 2 years | Long lived unique user identifier set by ShareThis to track activity across websites and to power audience targeting and data licensing |
| tuuid_lu | third_party | 2 years | Companion cookie storing the last update timestamp of the tuuid identifier, used by ShareThis to manage identifier refresh and synchronisation |
| sharethis_session | third_party | session | Session level identifier used to correlate share events and audience signals within a single browsing session before persistent identifiers are written |
ShareThis setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.
ShareThis setzt mehrere Drittanbieter Cookies auf der Domain sharethis.com, darunter pxrc, rlas3, tuuid und tuuid_lu. Diese Cookies fungieren als persistente Kennungen, mit denen derselbe Browser über Websites hinweg erkannt, Audience Segmente aufgebaut und die Datenhandelsprodukte von ShareThis befüllt werden. Das Widget schreibt zusätzlich einen kurzlebigen Schlüssel __sharethis_cookie_test__, um zu prüfen, ob Drittanbieter Speicher verfügbar ist, und kann Session IDs im Local Storage ablegen. Keines dieser Cookies ist für die Bereitstellung der Inhalte strikt erforderlich, sie unterliegen daher alle der ePrivacy Einwilligungspflicht.
Ja. ShareThis kombiniert Drittanbieter Cookies, Cross Site Tracking und Verhaltensprofiling zu Werbemonetarisierungszwecken. Nach der ePrivacy Richtlinie erfordert das Speichern oder Auslesen von Informationen auf dem Endgerät des Nutzers zu diesen Zwecken eine vorherige, freiwillige, spezifische, informierte und eindeutige Einwilligung. Nach DSGVO benötigen das Profiling und die Audience Segmentierung eine ausdrückliche Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a. Konkludente Einwilligung, vorangekreuzte Felder oder Cookie Walls genügen nicht. Das Skript darf erst geladen werden, nachdem der Nutzer im Banner aktiv zugestimmt hat.
Die einschlägige Rechtsgrundlage ist die Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a DSGVO. Berechtigtes Interesse ist in der Regel ungeeignet, weil die Verarbeitung eingriffsintensiv ist, Cross Site Tracking einschließt und vorwiegend den kommerziellen Interessen von ShareThis und seinen Datenkäufern dient, nicht jenen des Nutzers. Wenn aus Interessen Segmenten besondere Datenkategorien abgeleitet werden könnten (Gesundheit, Religion, sexuelle Orientierung), wäre zusätzlich eine ausdrückliche Einwilligung nach Artikel 9 erforderlich. Verantwortliche müssen die Einwilligung nachweisen und einen Widerruf mit gleicher Granularität wie die Annahme ermöglichen.
Ja. ShareThis Inc hat seinen Sitz in den USA und verarbeitet Audience Daten überwiegend auf US Infrastruktur. Transfers aus der EU und dem Vereinigten Königreich stützen sich auf das EU US Data Privacy Framework, sofern ShareThis zertifiziert ist, auf die UK Extension, sofern anwendbar, und auf Standardvertragsklauseln für Datenkäufer oder Auftragsverarbeiter außerhalb des DPF. Verantwortliche sollten den Transfermechanismus dokumentieren, Empfänger identifizieren und ein Transfer Impact Assessment durchführen, das nachgelagerte Weitergaben an Werbenetzwerke berücksichtigt.
In den meisten Fällen ja. ShareThis löst mehrere von EDSA und nationalen Aufsichtsbehörden genannte Kriterien für eine DSFA Pflicht aus: systematische Überwachung von Nutzern in großem Umfang, Bewertung oder Scoring (Audience Segmente und Interessen Profiling), innovative Nutzung neuer Technologien sowie Transfers in Drittländer mit Weitergabe an Datenkäufer. Die DSFA sollte Datenkategorien, Datenflüsse, Speicherfristen, Risiken für Betroffene und Schutzmaßnahmen beschreiben, darunter CMP Gating, vertragliche Garantien mit ShareThis und Datenminimierung.
Setzen Sie ShareThis hinter eine Consent Management Platform ein, die das Skript blockiert, bis der Nutzer in die Zwecke soziale Medien und Werbung einwilligt. Nennen Sie ShareThis im Cookie Banner und in der Datenschutzerklärung als namentlich genannten Drittempfänger, mit Link zu seiner Erklärung und zu Widerspruchs und Widerrufsmöglichkeiten. Konfigurieren Sie die CMP so, dass ShareThis Cookies bei Ablehnung oder Widerruf gelöscht werden. Dokumentieren Sie die Datenschutzfolgenabschätzung, den Transfermechanismus (DPF oder SCC) und die Speicherfrist. Überprüfen Sie die Konfiguration regelmäßig, da sich ShareThis Cookies und Partnerlisten ändern.
Die datenschutzfreundlichste Alternative ist die Nutzung nativer HTML Sharing Links und der Browser Web Share API, die Teilen Vorgänge ohne Laden eines Drittanbieter Skripts oder Cookies auslösen. Für visuelle Sharing Buttons ermöglichen selbst gehostete Bibliotheken wie SHARE.JS oder AddToAny im minimalen, tracking freien Modus vertraute Icons ohne Drittanbieter Cookies und ohne US Datentransfers. Diese Optionen vermeiden in der Regel die Notwendigkeit einer Vorab Einwilligung, weil sie kein Profiling betreiben, und senken den Compliance Aufwand des Verantwortlichen erheblich.
Ergänzen Sie in der Cookie Richtlinie einen Eintrag, der ShareThis als Drittempfänger nennt, mit Unternehmensangaben (ShareThis Inc, Palo Alto, Kalifornien, Vereinigte Staaten) und Link zur Datenschutzerklärung. Listen Sie die wichtigsten Cookies (pxrc, rlas3, tuuid, tuuid_lu) mit Zweck (Audience Profiling, Datenhandel, Sharing Widget), Speicherdauer und Kategorie (Werbung). Erwähnen Sie den Transfer in die USA unter DPF und SCC sowie das Widerrufsrecht. Halten Sie die Cookie Liste regelmäßig aktuell, weil ShareThis Kennungen und Partner über die Zeit anpasst.