Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Twitter Widgets (seit 2023 auch X Widgets genannt) ist die JavaScript-Bibliothek, mit der eine Website Live-Tweets, Timelines, Follow- und Share-Buttons sowie Konversations-Threads aus X (frueher Twitter) einbetten kann. Die Widgets laden Skripte von platform.twitter.com und platform.x.com, setzen X-Session- und Tracking-Cookies im Browser des Besuchers und uebertragen IP, User-Agent und Referrer an X-Corp.-Server in den USA. Fuer europaeische Publisher faellt das direkt unter die ePrivacy-Einwilligungspflicht und das DSGVO-Drittlandregime.
Twitter Widgets (seit 2023 X Widgets) sind eine Familie einbettbarer Komponenten von X Corp., um live X-Inhalte auf Drittseiten darzustellen. Sie umfassen einzelne Tweets, Timelines, Follow-Buttons, Share-Buttons und Konversations-Threads. Die Widgets laden JavaScript von platform.twitter.com oder platform.x.com, das den Inhalt in iframes auf syndication.twitter.com oder syndication.x.com rendert.
Twitter Widgets setzen oder lesen Cookies wie guest_id, personalization_id, ct0, auth_token (bei angemeldeten Nutzern), kdt und twid. Sie uebertragen IP-Adresse, User-Agent, URL der einbettenden Seite, Referrer, Bildschirmaufloesung, Spracheinstellungen und (bei angemeldeten Nutzern) die X-Konto-ID. Daten werden an X Corp. in den USA gesendet.
Twitter Widgets fallen klar unter Art. 5(3) ePrivacy: Sie setzen nicht notwendige Drittanbieter-Cookies und erfordern vorherige Einwilligung. X kann zudem eingebettete Widget-Impressionen zur Anreicherung von Werbeprofilen nutzen, was die EDPB wiederholt in Social-Plugin-Leitlinien adressiert hat. Der Betreiber des Widgets (Ihre Website) kann nach dem Fashion-ID-EuGH-Urteil gemeinsam mit X verantwortlich sein. Da X eine Very Large Online Platform nach EU-DSA ist, gelten zusaetzliche Transparenzpflichten.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Alle vom Widget erhobenen Daten werden von X Corp. in den USA verarbeitet. Die Uebermittlung stuetzt sich auf die SCC 2021 und ggf. auf die DPF-Zertifizierung von X. X stand wiederholt im Fokus europaeischer Aufsichtsbehoerden, und der DPF-Status wurde zeitweise hinterfragt; pruefen Sie den aktuellen Status vor der Anwendung.
Das Twitter-Widgets-Skript darf nicht vor einer Einwilligung in Marketing- oder Social-Media-Cookies geladen werden. Implementieren Sie ein Click-to-Load: Platzhalter mit Tweet laden-Button anzeigen und das platform.twitter.com-Skript erst nach Klick oder CMP-Annahme einbinden. Cookielose Alternative: statischer Screenshot des Tweets mit Link auf X.
1. Twitter-/X-Skript im CMP blockieren. 2. Click-to-Load-Platzhalter fuer einzelne Tweets nutzen. 3. X Corp. in der Datenschutzerklaerung als gemeinsamen oder unabhaengigen Verantwortlichen mit USA-Transfer-Hinweis dokumentieren. 4. DSFA durchfuehren. 5. EU-freundliche Alternativen wie Mastodon-Embeds oder statische Screenshots pruefen. 6. Aktuellen DPF-Status von X verifizieren. 7. Widget aus AMP-Seiten entfernen, wo Consent-Management schwieriger ist.
Websites using Twitter Widgets must obtain user consent under GDPR regulations.
DPIA considerations
Twitter Widgets uebertragen bei jedem Laden personenbezogene Daten an X Corp., auch ohne Nutzerinteraktion. Wesentliche DSFA-Aspekte: (1) Drittanbieter-Cookies (auth_token, guest_id, personalization_id) ermoeglichen seitenuebergreifendes Verhaltens-Profiling; (2) X kann den Besuch mit dem eingeloggten X-Konto verknuepfen und ein Profil fuer Werbe-Targeting aufbauen; (3) saemtliche Daten in die USA uebertragen; (4) X war Gegenstand mehrerer nationaler Aufsichtsentscheidungen (Garante, DPC) zur Rechtsgrundlage; (5) der DSA klassifiziert X als Very Large Online Platform mit zusaetzlichen Transparenzpflichten; (6) KI-Feed-Personalisierung kann Art. 22 DSGVO ausloesen. Eine DSFA ist fuer jeden produktiven Embed auf einer europaeischen Seite erforderlich.
Sample consent text
Diese Seite kann Live-Tweets und X-Buttons einbetten. Beim Laden teilt das Widget Daten mit X Corp. in den USA, einschliesslich Ihrer IP-Adresse, Browserinformationen, der URL dieser Seite und X-Cookies, sofern Sie angemeldet sind. Wir laden das Widget erst, wenn Sie unten zustimmen. Mehr in unserer Cookie-Richtlinie.
Third-party domains contacted
platform.twitter.complatform.x.comsyndication.twitter.comsyndication.x.comtwitter.comx.compbs.twimg.comvideo.twimg.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| guest_id | Marketing / Tracking | 2 years | Persistent visitor identifier used by X to recognise the browser across visits and embedded widget impressions. |
| personalization_id | Marketing / Advertising | 2 years | Used by X to personalise ads and content recommendations, including across sites that embed X widgets. |
| ct0 | Strictly necessary (X) | Session | CSRF protection token for X interactions; required for logged-in widget actions like Like or Follow. |
| auth_token | Functional | Persistent | Authentication token set if the visitor is logged into X. Lets the widget recognise the X account and personalise. |
| twid | Functional | 6 years | Stores the X user identifier when logged in, allowing rapid recognition across widget loads. |
| kdt | Security | 10 years | Trusted-device identifier used by X for security checks on login. |
Twitter Widgets setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.
Haeufige Cookies: guest_id (Besucherkennung, 2 Jahre), personalization_id (seitenuebergreifende Werbe-Personalisierung, 2 Jahre), ct0 (CSRF-Token), auth_token (angemeldete Session), kdt und twid. Alle sind nicht notwendig und erfordern vorherige Einwilligung.
Ja. Twitter / X Widgets setzen nicht notwendige Drittanbieter-Cookies und uebertragen beim Laden personenbezogene Daten (IP, Browsing-Kontext) an X Corp. Eine vorherige Einwilligung nach Art. 5(3) ePrivacy ist erforderlich. Implementieren Sie Click-to-Load, sodass das Widget erst nach ausdruecklicher Annahme laedt.
Einwilligung (Art. 6(1)(a) DSGVO) fuer das Setzen der Cookies und die durch das Widget ausgeloeste Datenuebermittlung. Die einbettende Website kann mit X gemeinsam Verantwortlicher fuer diese Erhebung sein (Fashion-ID-EuGH-Urteil), was eine Joint-Controller-Vereinbarung nach Art. 26 DSGVO erfordert, auch wenn X in der Praxis keine anbietet.
Ja. X Corp. verarbeitet Daten in den USA. Die Uebermittlung stuetzt sich auf die SCC 2021 und ggf. die DPF-Zertifizierung von X. Der DPF-Status kann sich aendern; pruefen Sie die aktuelle oeffentliche Zertifizierung, bevor Sie sich darauf stuetzen.
Ja fuer jeden Produktiveinsatz, besonders bei vielen eingebetteten Widgets oder hohem europaeischen Traffic. Die Kombination aus Verhaltens-Profiling, USA-Transfer und moeglicher gemeinsamer Verantwortlichkeit mit einer VLOP unter dem DSA erfuellt mehrere Kriterien des Art. 35(3) DSGVO.
Click-to-Load implementieren: statischen Platzhalter (Autor, Datum, Vorschau) rendern und das platform.twitter.com-Skript erst nach ausdruecklicher Einwilligung einbinden. X Corp. in Datenschutzerklaerung und Cookie-Richtlinie dokumentieren. Hinweis auf gemeinsame Verantwortlichkeit aufnehmen. Alternativen wie statische Screenshots oder Mastodon-Embeds pruefen.
EU-freundliche Alternativen: statischer Screenshot des Tweets mit Link auf X, serverseitiges Rendern oeffentlichen Inhalts (vorbehaltlich X-AGB), Einbettung von Mastodon oder Bluesky, oder datenschutzfreundliche Embed-Dienste wie Iframely oder Embedly im No-Cookie-Modus.
Listen Sie guest_id, personalization_id, ct0, auth_token und alle in der Produktion beobachteten X-Cookies mit Zweck, Dauer und Drittanbieter-Quelle. In der Datenschutzerklaerung X Corp. als (gemeinsamen) Verantwortlichen ausweisen, USA-Transfer mit SCC und DPF-Status offenlegen und auf die Datenschutzerklaerung von X verlinken.