Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
TikTok Embed ist der offizielle iframe, mit dem ein öffentliches TikTok Video in einer anderen Website angezeigt werden kann. Der Embed lädt embed.js von www.tiktok.com, setzt ByteDance Tracking Cookies (tt_webid, tt_csrf_token, _ttp, msToken, ttwid) und übermittelt IP Adresse, User Agent und Referrer URL des Besuchers an TikTok, sobald der iframe initialisiert wird. Die irische DPC verhängte im September 2023 ein Bußgeld von 345 Mio. Euro und im Mai 2025 weitere 530 Mio. Euro wegen Datenübermittlungen nach China. EU Aufsichtsbehörden stufen den Embed als Hochrisikoverarbeitung ein, die nach ePrivacy Richtlinie eine vorherige Einwilligung erfordert.
Der TikTok Embed wird über ein Script Tag auf www.tiktok.com/embed.js sowie eine Blockquote mit der Video URL eingebunden. Sobald das Skript ausgeführt wird, öffnet der Besucher Browser Verbindungen zu www.tiktok.com, p16 sign.tiktokcdn us.com und mehreren weiteren CDN Domains, lädt den Player und erlaubt TikTok das Lesen und Schreiben seiner Tracking Identifikatoren. Technisch entspricht dies dem Öffnen des Videos auf tiktok.com selbst, nur innerhalb eines iframes auf Ihrer Domain. ByteDance erhält damit IP Adresse, User Agent, Sprache, Zeitzone, Referrer URL und alle zuvor auf tiktok.com gesetzten Cookies.
TikTok setzt mehrere Tracking Cookies: tt_webid und tt_webid_v2 (Geräte Identifikatoren), tt_csrf_token (CSRF Schutz), _ttp (TikTok Pixel Identifier, falls Pixel aktiviert), msToken (Anti Scraping und Session Token), ttwid (Web Identifier) sowie passport_csrf_token / passport_auth_status_ss bei eingeloggten Nutzern. Der Embed Aufruf wird im TikTok Analytics protokolliert und fließt in den Empfehlungsgraphen ein. Betreibt der Operator zusätzlich einen TikTok Pixel auf derselben Domain, lassen sich Embed und Pixel korrelieren und das ByteDance Profil des Besuchers anreichern.
Der TikTok Embed ist für den vom Nutzer gewünschten Dienst nicht zwingend erforderlich. Artikel 5(3) der ePrivacy Richtlinie verlangt daher eine vorherige Opt in Einwilligung, bevor Cookies geschrieben oder Skripte geladen werden. Die DPC Entscheidung vom 1. September 2023 verhängte 345 Mio. Euro für Kinderdaten und Transparenzversäumnisse, und im Mai 2025 folgten weitere 530 Mio. Euro wegen Übermittlungen von Daten europäischer Nutzer nach China. Europäische Behörden stufen TikTok Integrationen durchgehend als hochriskant ein, insbesondere bei jugendlichen Zielgruppen.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Project Clover verpflichtet TikTok dazu, Daten europäischer Nutzer auf Oracle Infrastruktur innerhalb der EU zu speichern, mit der NCC Group als unabhängigem Security Trustee. Das Projekt wird noch ausgerollt und ByteDance Personal in China behält kontrollierten Remote Zugriff für Engineering, Moderation und Trust & Safety. Solange Project Clover nicht vollständig auditiert und vom EDPB bestätigt ist, muss der Embed als Hochrisiko Übermittlung in nicht adäquate Drittländer behandelt werden. In den meisten Fällen ist eine DSFA erforderlich, und regulierte Sektoren sollten den Embed vermeiden.
Implementieren Sie einen Click to load Platzhalter mit Opt in Default, listen Sie TikTok im Consent Banner als Social Media oder Advertising Vendor und injizieren Sie den Embed erst nach granularer Einwilligung. Vermeiden Sie TikTok Embeds auf Seiten für Minderjährige. Aktualisieren Sie die Datenschutzerklärung mit Link zu den TikTok Bedingungen, der Cookie Liste und der Übermittlung an ByteDance. Sicherere Alternativen sind das Hosting eines MP4 auf der eigenen CDN unter Creator Lizenz, ein statisches Vorschaubild mit Link zur TikTok URL oder ein Server Proxy, der das Video abruft, ohne dass der Besucher Browser TikTok kontaktiert.
Websites using TikTok Embed must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist für den TikTok Embed in den meisten EU Properties erforderlich. Die Kombination aus großvolumiger Verarbeitung durch ByteDance, möglichen Rückschlüssen auf besondere Datenkategorien über die konsumierten Videos und historischen Übermittlungen nach China macht den Embed zu einer Hochrisikoverarbeitung. Im Anschluss an die DPC Entscheidungen 2023 und 2025 müssen Betreiber die Rechtsgrundlage, den Einwilligungsfluss, das Restrisiko nach Project Clover, die übermittelten Datenkategorien und die geprüften sichereren Alternativen dokumentieren.
Sample consent text
Wir binden TikTok Videos ein. Das Laden dieses Embeds übermittelt Ihre IP Adresse, Ihren User Agent und den Browsing Kontext an TikTok und ByteDance und kann Übermittlungen außerhalb des EWR umfassen. Der Embed lädt erst, nachdem Sie Werbe und Social Media Cookies akzeptiert haben.
Third-party domains contacted
tiktok.comwww.tiktok.comp16-sign.tiktokcdn-us.comp16-sign-va.tiktokcdn.commssdk.tiktokv.combyteoversea.comtiktokcdn.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| tt_webid | http | 12 months | TikTok device identifier set by www.tiktok.com when the embed loads. Used for analytics, recommendations and fraud prevention. |
| tt_webid_v2 | http | 12 months | Newer TikTok device identifier used alongside tt_webid for cross session recognition. |
| tt_csrf_token | http | Session | CSRF token paired with TikTok requests to prevent cross site request forgery on actions performed inside the embed. |
| msToken | http | ~30 minutes | Anti scraping and short lived session token rotated on every interaction with TikTok endpoints. |
| ttwid | http | 12 months | TikTok web identifier used to track the device across TikTok properties and recommend content. |
| _ttp | http | 13 months | TikTok Pixel identifier. Set on the operator domain when a TikTok Pixel is installed and shared with the embed to correlate visits. |
| passport_csrf_token | http | 6 months | TikTok login session protection cookie set when the visitor is authenticated, linking the embed view to a TikTok account. |
TikTok Embed setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.
Beim Laden des Embeds setzt www.tiktok.com ByteDance Tracking Cookies: tt_webid und tt_webid_v2 (Geräte Identifikatoren, 12 Monate), tt_csrf_token (CSRF Schutz), msToken (Anti Scraping und Session, ca. 30 Minuten), ttwid (TikTok Web Identifier, 12 Monate) sowie _ttp, wenn der Betreiber zusätzlich einen TikTok Pixel nutzt. Bei eingeloggten Besuchern kommen Passport Cookies hinzu, die den Embed Aufruf mit dem TikTok Konto verknüpfen.
Ja. Der Embed lädt Skripte und schreibt Tracking Cookies und ist für den Dienst nicht zwingend erforderlich. Artikel 5(3) ePrivacy Richtlinie verlangt eine vorherige Opt in Einwilligung, und der EDPB stellt klar, dass diese spezifisch, informiert und granular sein muss. Standardlösung ist ein Zwei Klick Platzhalter auf der eigenen Domain, der den iframe erst nach Zustimmung lädt.
Die einzige realistische Grundlage ist die Einwilligung nach Artikel 6(1)(a) DSGVO. Berechtigtes Interesse scheidet aus, weil der Embed großvolumiges Profiling durch ByteDance ermöglicht und den Besucher potenziellen Transfers nach China aussetzt. TikTok selbst nutzt für eigene Verarbeitungen weitere Grundlagen, aber der Betreiber, der den iframe einbettet, ist für die Einholung der Einwilligung verantwortlich, bevor Daten den Besucher Browser verlassen.
Ja. Auch wenn Project Clover Daten europäischer Nutzer in Oracle Rechenzentren innerhalb der EU verlagert, behält ByteDance Personal in China kontrollierten Zugriff. Die irische DPC verhängte 2023 ein Bußgeld von 345 Mio. Euro und 2025 weitere 530 Mio. Euro, vor allem für Übermittlungen und Kinderdaten. Der Embed muss als Hochrisiko Übermittlung in nicht adäquate Drittländer behandelt und entsprechend in der Datenschutzerklärung offengelegt werden.
Ja in den meisten Fällen. Die Kombination aus großvolumiger Verarbeitung durch ByteDance, möglichen Rückschlüssen auf besondere Datenkategorien über die konsumierten Videos und historischen Übermittlungen nach China überschreitet in der Regel die Schwelle von Artikel 35 DSGVO. Die DSFA muss Notwendigkeit, Rechtsgrundlage, Einwilligungsmechanismus, Restrisiko unter Project Clover und geprüfte sicherere Alternativen dokumentieren. In regulierten Sektoren ist auf den Embed zu verzichten.
Blockieren Sie den Embed standardmäßig und ersetzen Sie ihn durch einen Click to load Platzhalter auf der eigenen Domain, der den Datenfluss zu TikTok erklärt. Listen Sie TikTok im Consent Banner als Social Media oder Advertising Vendor und injizieren Sie den iframe erst nach granularer Einwilligung. Dokumentieren Sie die Verarbeitung in der Datenschutzerklärung mit Cookie Liste, Link zu den TikTok Bedingungen und Hinweis auf die China Übermittlung. Auf Seiten für Minderjährige vollständig verzichten.
Übliche Alternativen sind das Herunterladen des MP4 unter Creator Lizenz und Hosting auf der eigenen CDN, ein statisches Vorschaubild mit Link zur TikTok URL oder ein Server Proxy, der das Video abruft, ohne den Besucher Browser den TikTok Endpoints auszusetzen. Für redaktionelle Anwendungen kann ein EU basierter Video Hoster (PeerTube, Vimeo mit EU Residenz, Bunny Stream) die TikTok Integration vollständig ersetzen.
Führen Sie TikTok und ByteDance Ltd als Datenempfänger auf, listen Sie die von www.tiktok.com gesetzten Cookies (tt_webid, tt_webid_v2, tt_csrf_token, msToken, ttwid, _ttp, Passport Varianten) mit Speicherdauer und Zweck auf, weisen Sie auf die Übermittlung außerhalb des EWR und nach China hin, erwähnen Sie Project Clover und referenzieren Sie die DPC Entscheidungen. Aktualisieren Sie den Eintrag bei jeder Änderung der TikTok Angaben.