Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Twitter, umbenannt in X, ist ein US amerikanisches soziales Netzwerk, das von der X Corp betrieben wird. Websites integrieren Twitter typischerweise über eingebettete Tweets und Timelines (platform.twitter.com/widgets.js), das X Werbe Pixel zur Conversion Messung, den Mit X anmelden Login Button oder Share Buttons. Jede Integration lädt Drittanbieter JavaScript und setzt identifizierende Cookies, mit denen X Besucher seitenübergreifend wiedererkennen kann, auch solche ohne X Konto. Aus DSGVO Sicht werden Twitter oder X Einbindungen wie andere Social Plugins behandelt: Sie erfordern eine vorherige, informierte und ausdrückliche Einwilligung, eine klare Datenschutzinformation und eine Rechtsgrundlage nach Artikel 6 Absatz 1 Buchstabe a. Daten werden in die USA unter dem EU US Data Privacy Framework und mit Standardvertragsklauseln übermittelt.
Twitter, im Jahr 2023 in X umbenannt, wird von der X Corp betrieben, einem privaten Unternehmen mit Sitz in San Francisco, Kalifornien. Auf Websites erscheint der Dienst in mehreren Formen: eingebettete Tweets und Timelines, die über das Script unter platform.twitter.com/widgets.js geladen werden, das X Werbe Pixel für Retargeting und Conversion Messung, der Mit X anmelden Authentifizierungs Button, Share Buttons, die Intent URLs öffnen, sowie serverseitige API Integrationen. Jeder dieser Berührungspunkte lädt Code von twitter.com oder x.com und setzt in den meisten Konfigurationen persistente Cookies, mit denen X denselben Browser über viele Websites hinweg wiedererkennen kann. Für europäische Websites bedeutet das, dass Twitter oder X Einbindungen vollständig unter die DSGVO und die ePrivacy Richtlinie fallen, ebenso wie andere Social Plugins.
Sobald ein Twitter oder X Widget geladen wird, werden mehrere Cookies auf den Domains .twitter.com und .x.com geschrieben. Das Cookie guest_id identifiziert den Browser auch bei nicht angemeldeten Nutzern, personalization_id steuert die Werbepersonalisierung im gesamten Web, ct0 dient als CSRF Token für die Sitzung, muc_ads verfolgt Werbeinteraktionen, lang merkt sich die Sprache der Oberfläche, und für angemeldete Nutzer tragen _twitter_sess und auth_token die authentifizierte Sitzung. Die meisten dieser Cookies haben eine Lebensdauer von ein bis zwei Jahren und werden von Netzwerkaufrufen begleitet, die die URL der aufrufenden Seite, die IP Adresse des Besuchers und den User Agent übermitteln. Da sie eine personenbezogene Nachverfolgung ermöglichen, sind sie nicht zwingend erforderlich und benötigen vor dem Setzen eine Einwilligung nach Artikel 5 Absatz 3 der ePrivacy Richtlinie.
Das X Pixel, früher Twitter Pixel, ist ein kleines JavaScript Tag, das ausgelöst wird, wenn ein Nutzer eine Seite besucht oder eine Conversion Aktion wie einen Kauf, eine Anmeldung oder einen Lead ausführt. Es sendet das Ereignis zusammen mit Cookies, Seiten URL, IP Adresse und optional gehashten Identifiern wie E Mail oder Telefonnummer an die X Corp, die die Daten nutzt, um Zielgruppen aufzubauen, Conversions zuzuordnen und die Anzeigenauslieferung zu optimieren. Da das Pixel für Werbung und Profiling verwendet wird, ist die einzige gültige Rechtsgrundlage in der EU die Einwilligung. Es darf niemals standardmäßig laden, das Consent Banner muss es ablehnen, bis der Nutzer auf Akzeptieren klickt, und nach Widerruf der Einwilligung muss das Pixel entladen und die gesetzten Cookies sollten entfernt werden.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Die X Corp hat ihren Sitz in den USA und verarbeitet die durch Embeds und Pixel erhobenen Daten auf US Infrastruktur. Übermittlungen aus dem EWR, dem Vereinigten Königreich oder der Schweiz stützen sich auf das EU US Data Privacy Framework, ergänzend werden Standardvertragsklauseln verwendet, wenn der Importeur oder die Datenart nicht vom DPF abgedeckt ist. Verantwortliche sollten den Übermittlungsmechanismus in ihrem Verarbeitungsverzeichnis dokumentieren, die DPF Zertifizierung der X Corp auf der offiziellen DPF Liste überprüfen und eine Transfer Impact Assessment durchführen, die US Überwachungsgesetze (FISA 702, Executive Order 12333) berücksichtigt. Ergänzende Maßnahmen wie IP Kürzung oder die Beschränkung der über das Pixel gesendeten Daten werden empfohlen.
Nach den EDPB Leitlinien zu Social Plugins sind Website Betreiber und X Corp im Moment der Erhebung gemeinsam Verantwortliche. Die Einwilligung muss daher eingeholt werden, bevor das Widget geladen wird, mit einer klaren Beschreibung des Empfängers, der Zwecke (Anzeige sozialer Inhalte, Werbung, Analyse) und der Übermittlung in die USA. Eine Datenschutz Folgenabschätzung ist erforderlich, wenn der Einsatz groß angelegt ist, wenn das Pixel sensible Kategorien verarbeitet, wenn sich die Inhalte an Kinder richten oder wenn Mit X anmelden als primäre Authentifizierungsmethode genutzt wird. Die DSFA sollte Datenflüsse kartieren, die Notwendigkeit der Integration begründen, den Einwilligungsmechanismus dokumentieren und Mitigationen auflisten.
Für Websites, die Twitter oder X Inhalte referenzieren möchten, ohne Besucher Tracking auszusetzen, gibt es mehrere Alternativen. Ein statischer Screenshot oder ein typografisches Zitat mit einem Link auf den Originalbeitrag vermittelt den Inhalt ohne Drittanbieter JavaScript. Ein Fassaden Muster zeigt einen Klick zum Laden Platzhalter an und injiziert das offizielle Widget erst nach expliziter Nutzerinteraktion, was dann als Einwilligung zählt. Eine serverseitige Wiedergabe des Tweets über die öffentliche oEmbed API kann das Setzen von Cookies vermeiden, wenn die Antwort von entfernten Ressourcen bereinigt wird. Für die Messung reduzieren serverseitige Conversion APIs die im Browser gesendeten Daten. Welche Option auch gewählt wird, die Cookie Richtlinie und Datenschutzinformation müssen Twitter oder X klar als Drittempfänger und die Übermittlung in die USA beschreiben.
Websites using Twitter (X) must obtain user consent under GDPR regulations.
DPIA considerations
Eine Datenschutz Folgenabschätzung wird dringend empfohlen, wenn Twitter oder X über einfache eingebettete Tweets hinaus eingesetzt wird, insbesondere beim Einsatz des X Pixels für Werbung oder Conversion Messung, wenn Mit X anmelden als Authentifizierungsoption angeboten wird, wenn Timelines oder Share Buttons auf Seiten platziert werden, die sich an Kinder, sensible Kategorien oder politische Inhalte richten, oder wenn Integrationen im großen Stil auf einer reichweitenstarken Website verwendet werden. Die DSFA sollte die Datenflüsse zur X Corp in den USA, die gesetzten Cookies (guest_id, personalization_id, ct0, muc_ads, auth_token), die Rechtsgrundlage (Einwilligung), den Übermittlungsmechanismus (DPF und SCC), die Speicherdauer sowie die technisch organisatorischen Maßnahmen einschließlich Consent Gating und einer standardmäßig nicht ladenden Strategie beschreiben.
Sample consent text
Wir verwenden Twitter (X), um eingebettete Beiträge und Timelines anzuzeigen und die Leistung unserer Werbekampagnen zu messen. Mit Ihrer Einwilligung kann die X Corp Cookies auf Ihrem Gerät lesen und setzen (guest_id, personalization_id, ct0, muc_ads) und Ihre IP Adresse sowie Ihre Browsing Daten in den Vereinigten Staaten im Rahmen des EU US Data Privacy Framework verarbeiten. Sie können Ihre Auswahl jederzeit in unseren Cookie Einstellungen akzeptieren, ablehnen oder ändern.
Third-party domains contacted
twitter.comx.complatform.twitter.comsyndication.twitter.comanalytics.twitter.comads-twitter.comt.coCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| guest_id | third_party | 2 years | Identifies the browser for users who are not logged in to X, enabling visitor recognition across sites that embed Twitter or X content. |
| personalization_id | third_party | 2 years | Used by X to personalize advertising and content recommendations across the web, including on third party sites that load X widgets or pixels. |
| ct0 | third_party | 6 hours to 1 year | CSRF token used to protect authenticated actions on the X platform and supporting widgets, also leveraged for security and fraud prevention signals. |
| muc_ads | third_party | 2 years | Tracks interactions with advertising on X properties and through the X Pixel, supporting conversion measurement and audience building. |
| lang | third_party | Session | Stores the preferred interface language used by Twitter and X widgets to display embedded content. |
| auth_token | third_party | 5 years | Authentication cookie set for users logged in to X, used by widgets and Sign in with X to keep the session active. |
| _twitter_sess | third_party | Session | Session cookie set by twitter.com and x.com when a user interacts with embedded content or signs in, used to maintain server side session state. |
Twitter (X) setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.
Wenn ein Twitter oder X Widget geladen wird, werden mehrere Cookies auf .twitter.com und .x.com geschrieben, darunter guest_id zur Identifikation des Browsers bei nicht angemeldeten Nutzern, personalization_id für seitenübergreifende Werbepersonalisierung, ct0 als CSRF Token, muc_ads zur Verfolgung von Werbeinteraktionen, lang zur Speicherung der Sprache und für angemeldete Nutzer _twitter_sess und auth_token zur Übertragung der authentifizierten Sitzung. Die Lebensdauer reicht von Session bis zu zwei Jahren. Alle sind nicht zwingend erforderlich und benötigen eine vorherige Einwilligung nach Artikel 5(3) ePrivacy.
Ja. Das Script platform.twitter.com/widgets.js lädt Drittanbieter JavaScript und setzt Cookies auf dem Gerät des Besuchers, und die Verbindung selbst übermittelt die IP Adresse und die URL der aufrufenden Seite an die X Corp. Nach den EDPB Leitlinien zu Social Plugins sind Website Betreiber und X Corp im Moment der Erhebung gemeinsam Verantwortliche, die Einwilligung muss daher vor dem Laden des Widgets eingeholt werden. Eine Klick zum Laden Fassade ist die häufigste Methode, um die Integration bis zur Annahme zu verzögern.
Die einzige gültige Rechtsgrundlage ist die Einwilligung nach Artikel 6 Absatz 1 Buchstabe a DSGVO, in Verbindung mit dem Einwilligungserfordernis aus Artikel 5(3) ePrivacy für Cookie Speicherung und Zugriff. Berechtigtes Interesse ist nicht geeignet, da die Embeds, das Pixel und der Login Button seitenübergreifendes Profiling und Werbung ermöglichen, was EDPB und nationale Aufsichtsbehörden als die Erwartungen der Nutzer überwiegend ansehen. Die Einwilligung muss freiwillig, spezifisch, informiert und unmissverständlich sein und ebenso einfach widerrufbar wie erteilbar.
Ja. Die X Corp hat ihren Sitz in den USA und verarbeitet Daten auf US Infrastruktur. Übermittlungen aus dem EWR, dem Vereinigten Königreich und der Schweiz stützen sich auf das EU US Data Privacy Framework, sofern die X Corp auf der DPF Liste steht, ergänzend auf Standardvertragsklauseln. Verantwortliche sollten den Mechanismus dokumentieren, den DPF Zertifizierungsstatus überwachen und eine Transfer Impact Assessment durchführen, die US Überwachungsgesetze (FISA 702, Executive Order 12333) berücksichtigt.
Eine DSFA wird empfohlen, sobald die Integration über wenige isolierte Tweet Embeds hinausgeht. Sie ist erforderlich, wenn das X Pixel für Werbung oder Conversion Messung eingesetzt wird, wenn Mit X anmelden als Authentifizierung angeboten wird, wenn Inhalte auf Kinder oder sensible Kategorien abzielen oder wenn Integrationen in großem Umfang auf einer reichweitenstarken Website laufen. Die DSFA sollte Datenflüsse abbilden, die Notwendigkeit begründen, Mitigationen auflisten und den Einwilligungsmechanismus dokumentieren.
Laden Sie widgets.js nicht standardmäßig. Nutzen Sie eine Fassade mit Klick zum Laden Platzhalter, binden Sie Twitter oder X an Ihre Consent Management Plattform an, sodass es erst nach einer positiven Wahl ausgelöst wird, bevorzugen Sie statische Embeds oder Screenshots für weniger relevante Nutzungen, begrenzen Sie die über das X Pixel gesendeten Daten und erwägen Sie das Hashen von Identifiern, dokumentieren Sie die Integration in Ihrem Verarbeitungsverzeichnis, benennen Sie die X Corp als Empfänger in Ihrer Datenschutzinformation und Cookie Richtlinie und bieten Sie einen klaren Widerrufsweg.
Gängige Alternativen sind ein statischer Screenshot des Tweets mit Link zum Original, ein typografisches Zitat mit Quellenangabe, eine serverseitige Wiedergabe über die öffentliche oEmbed API mit entfernten Remote Ressourcen, ein Fassaden Muster mit Klick zum Laden oder schlicht ein Text Link zu twitter.com bzw. x.com. Für Messung reduzieren serverseitige Conversion APIs die im Browser fließenden Daten und begrenzen die Cookie Nutzung.
Listen Sie Twitter oder X als Drittempfänger auf, nennen Sie die X Corp als Datenimporteur in den USA, beschreiben Sie die Zwecke (Anzeige sozialer Inhalte, Werbung, Analyse, Authentifizierung), benennen Sie die Hauptcookies (guest_id, personalization_id, ct0, muc_ads, lang, _twitter_sess, auth_token) mit Laufzeiten, geben Sie den Übermittlungsmechanismus (DPF oder SCC) an und verlinken Sie auf die Datenschutzerklärung von X. Stellen Sie sicher, dass das Cookie Banner Twitter oder X mit derselben Sichtbarkeit ablehnen lässt wie akzeptieren.