AddThis und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber AddThis ein, verarbeitet er regelmäßig Webserver-Protokolldaten, Klickpfade, Endgeräte- und Browserinformationen sowie Cookies zum Zweck der Bereitstellung von Social-Sharing-Buttons und – historisch – des nutzerbezogenen Marketings auf Basis einer Marketing-Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG). Diese Seite erläutert in kompakter Form, welche Daten AddThis typischerweise verarbeitet, wer Anbieter ist, welche Rechtsgrundlagen in Betracht kommen und – besonders wichtig – welcher Status dem Dienst seit der Einstellung durch Oracle zukommt.

A. Zweck und Funktionsweise von AddThis

AddThis war ein weit verbreitetes Widget für Webseiten, das auf Artikel- und Produktseiten Buttons zum Teilen von Inhalten über soziale Netzwerke (z.B. Facebook, X/Twitter, LinkedIn, Pinterest), per E-Mail oder über andere Kanäle eingebunden hat. Daneben bot AddThis Funktionen für Reichweitenanalysen, Audience-Targeting und das Setzen von Cookies zum Zwecke der Werbeaussteuerung im Verbund mit dem Werbenetzwerk des Anbieters.

Technisch wurde AddThis als JavaScript-Snippet (typischerweise von s.addthis.com und m.addthis.com) in den Quellcode der einbindenden Webseite eingefügt. Beim Aufruf einer Seite mit AddThis-Buttons stellte der Browser des Nutzers eine direkte Verbindung zu Servern des Anbieters her; dabei wurden Anfragedaten und Cookies erhoben.

Diese Toolseite konzentriert sich auf die typische Integrationsfunktion – das in die Seite eingebettete Sharing-Widget. Andere Funktionen von AddThis (z.B. Targeting Tools, Audience Builder) lagen historisch im Backend und sind seit der Abschaltung 2023 ohne Praxisrelevanz.

B. Pflichtangaben zu AddThis in der Datenschutzerklärung

Die DSGVO schreibt dem Webseitenbetreiber für die Datenschutzerklärung neben allgemeinen Angaben zum Verantwortlichen, zu den Rechten der betroffenen Person und zur Aufsichtsbehörde in Bezug auf den Einsatz von Tools wie AddThis spezifische Pflichtangaben vor:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO),
• bei Verarbeitung auf Grundlage einer Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO) zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• sowie – soweit Daten nicht direkt beim Betroffenen erhoben werden – die Kategorien der verarbeiteten personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben werden für AddThis in den nachfolgenden Abschnitten C bis H aufgeschlüsselt.

Es ist allerdings nicht erforderlich, jedes einzelne Tool – auch nicht AddThis – in der Datenschutzerklärung mit einem eigenen Textbaustein zu führen, auch wenn sich genau diese Praxis weithin eingebürgert hat. Der „Textbaustein-pro-Tool"-Ansatz hat sich als schlechte Manier etabliert: Er führt zu langen, anwaltlich vorformulierten Texten, die sich inhaltlich wiederholen, und macht die Datenschutzerklärung schwer pflegbar und kaum lesbar – im Widerspruch zum Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein themenorientierter Ansatz: Die Verarbeitungen werden übergreifend (Drittanbieter-Inhalte, Tracking, Marketing) beschrieben; konkret eingesetzte Dienstleister werden in einem Anhang Empfänger aufgelistet. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von AddThis

Anbieter von AddThis war zuletzt:

• Oracle America, Inc., 2300 Oracle Way, Austin, TX 78741, USA (Mutterkonzern Oracle Corporation).
• Sitzland: USA. Oracle hatte AddThis 2016 über die Oracle Data Cloud übernommen.
• DPF-Status: Oracle America, Inc. ist nach öffentlich zugänglichen Angaben aktiver Teilnehmer am EU-U.S. Data Privacy Framework, am UK Extension und am Swiss-U.S. DPF (Selbstzertifizierung; zu prüfen unter dataprivacyframework.gov). Die Zertifizierung bezog sich nach den Angaben Oracles allerdings primär auf „Services Personal Information" und dürfte für den Werbe- und Tracking-Datenfluss von AddThis nicht uneingeschränkt einschlägig gewesen sein.
• Privacy Policy AddThis: oracle.com/legal/privacy/addthis-privacy-policy.html.
• Status: Oracle hat den Dienst zum 31. Mai 2023 eingestellt; die Privacy Policy bleibt für Altbestände abrufbar, der Dienst selbst ist nicht mehr verfügbar.

D. Datenverarbeitung durch AddThis – Ablauf in Schritten

E. Erhobene Daten bei AddThis

Nach den öffentlich zugänglichen Angaben des Anbieters und den in Cookie-Datenbanken dokumentierten Verarbeitungen erhob AddThis insbesondere: IP-Adresse, Datum/Uhrzeit der Anfrage, aufgerufene URL, Referrer, User-Agent (Browser-/Betriebssysteminformation), Bildschirminformationen, Klicks auf Sharing-Buttons, daraus abgeleitete Nutzungs- und Interessenprofile, Conversion-Ereignisse sowie eindeutige Kennungen über Cookies (u.a. __atuvc, loc, ouid, uvc, xtc).

Diese Daten lassen sich folgenden standardisierten Datenarten-Klassen zuordnen:

• Webserver-Protokolldaten: Daten, die der Server des Anbieters bei jeder Anfrage erhält; insbesondere IP-Adresse, Datum, Uhrzeit, Zeitzone, URL des angefragten Inhalts, Referrer, Statuscode und übertragene Datenmenge.
• Klickpfade: besuchte Seiten der einbindenden Webseite, jeweils mit Datum und Uhrzeit; angeklickte Sharing-Schaltflächen.
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung, Touch-Unterstützung.
• Browserinformationen: Browsername, Browserversion.
• Grobe Standortdaten: anhand der IP-Adresse ermittelter Standort auf Stadt- oder Regionsebene.
• Nutzerprofile: Interessen, Segmentzuordnungen, Nutzungshistorien sowie daraus abgeleitete Kennzahlen.
• Conversion-Ereignisse: vom Webseitenbetreiber als relevant festgelegte Nutzerinteraktionen, z.B. Klick auf Share-Button, Aufruf bestimmter Seiten.

Zusätzlich setzte AddThis Cookies und Pixel ein, die der Synchronisation eindeutiger Kennungen zwischen Oracle und Werbepartnern dienten.

F. Nutzungszwecke von AddThis

Webseitenbetreiber setzten AddThis typischerweise ein, um Besuchern das Teilen von Inhalten in sozialen Netzwerken zu erleichtern, die Reichweite von Beiträgen zu messen und Daten für die Werbeaussteuerung im Oracle Advertising Network (vormals BlueKai) zu erheben.

Diese Zwecke lassen sich folgenden standardisierten Nutzungszweck-Klassen zuordnen:

• Funktionsbereitstellung: Darstellung der Sharing-Buttons und Bereitstellung der Sharing-Funktionalität.
• Allgemeines Marketing: Reichweitenanalyse, Erfolgsmessung von Inhalten, Bewertung von Kommunikationskanälen wie Social Media insgesamt.
• Nutzerprofil-Erstellung: Ermittlung von Interessen und Vorlieben, Zuordnung zu Segmenten und Zielgruppen.
• Nutzerindividuelles Marketing: Ausrichtung von Werbung in Werbenetzwerken auf Basis des Nutzungsverhaltens (Remarketing/Retargeting im Oracle-Werbeverbund).

G. Rechtsgrundlagen für AddThis

AddThis fällt nach der Tool-Kategorisierung der einschlägigen Datenschutz-Vorlagen primär in die Kategorie Drittanbieter-Inhalte mit Tracking-/Marketing-Komponente (Social Plugin). In Betracht kommen daher:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG) – regelmäßig erforderlich für das Setzen und Auslesen von Cookies sowie für die Verarbeitung zu Marketing- und Profiling-Zwecken. Da AddThis Cookies für Werbezwecke setzte und Daten an Werbepartner weitergab, ist im Regelfall eine Marketing-Einwilligung über das Consent-Banner erforderlich gewesen.
• Drittanbieter-Inhalte-Einwilligung für die reine Einbindung des Drittanbieter-Skripts (Verbindungsaufbau zum Anbieter-Server, Übermittlung von Webserver-Protokolldaten).
• Hilfsweise berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an Werbung und Effizienz – im Tracking-/Marketing-Kontext aufsichtsrechtlich umstritten, regelmäßig nicht tragfähig, sobald Cookies oder vergleichbare Identifier für nicht zwingend erforderliche Zwecke gesetzt werden.

H. Besonderheiten und Hinweise zu AddThis

• End of Life: Oracle hat AddThis zum 31. Mai 2023 eingestellt. Webseitenbetreiber sollten das Snippet aus ihrem Quellcode entfernen und entsprechende Verweise in der Datenschutzerklärung streichen oder als historische Verarbeitung kennzeichnen.
• Migrationspfade: Als Nachfolgeoptionen werden in der Praxis häufig ShareThis (sharethis.com), native Sharing-Buttons der Plattformen (Web Share API), eigene reine HTML/CSS-Buttons ohne Drittanbieter-Skripte oder datenschutzfreundliche Alternativen wie das Shariff-Verfahren genannt. Jeder Wechsel ist eine neue datenschutzrechtliche Verarbeitung und erfordert eine eigene Prüfung.
• Drittlandtransfer: Verarbeitung erfolgte regelmäßig in den USA. Oracle America, Inc. ist nach den öffentlich zugänglichen Informationen aktiver DPF-Teilnehmer; der konkrete Geltungsbereich für AddThis-Datenflüsse ist nicht eindeutig dokumentiert. Bei Restbeständen oder Vergleichsfragen sind Standardvertragsklauseln (SCC) als Ergänzung in Betracht zu ziehen.
• Joint Controllership: Für Sharing-Plugins kommt – entsprechend der EuGH-Rechtsprechung „Fashion ID" – eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) zwischen Webseitenbetreiber und Anbieter zumindest für die Phase der Datenerhebung und Übermittlung in Betracht. Ob Oracle ein Joint-Controller-Agreement bereitgestellt hat, ist anhand der historischen Vertragsdokumentation des Webseitenbetreibers zu prüfen.
• Opt-Out: Oracle bot eine zentrale Opt-Out-Möglichkeit für sein Werbenetzwerk an unter datacloudoptout.oracle.com/#optout. Diese Funktion war an Oracle-Cookies gebunden.
• Cookies: AddThis setzte u.a. die Cookies __atuvc, __atuvs, loc, ouid, uvc, xtc mit Laufzeiten von wenigen Stunden bis zu zwei Jahren.

Die vorstehenden Hinweise beruhen auf den öffentlich zugänglichen Angaben des Anbieters und allgemein recherchierbaren Quellen und ersetzen keine Einzelfallprüfung durch den Webseitenbetreiber.

I. FAQ zu AddThis und Datenschutz

J. Fazit zu AddThis und Call-to-Action

AddThis war über Jahre hinweg eines der meistgenutzten Sharing-Widgets im Web. Mit der Abschaltung durch Oracle zum 31. Mai 2023 ist der Dienst nicht mehr verfügbar; Restbestände im Quellcode sind funktional wertlos und sollten entfernt werden. Datenschutzrechtlich war AddThis wegen der Cookie-Nutzung, der Profilbildung und der Datenübermittlung in die USA ein Tool mit hoher Anforderungslage – regelmäßig war eine Marketing-Einwilligung erforderlich, und es bestand ein erhebliches Risiko hinsichtlich Drittlandtransfer und gemeinsamer Verantwortlichkeit nach „Fashion ID".

Für den Webseitenbetreiber bleibt der Aufwand, die Datenschutzerklärung sauber zu führen – gerade auch dann, wenn ein neuer Sharing-Dienst eingesetzt wird. Es ist dabei meist wenig sinnvoll, für jedes einzelne Tool – sei es AddThis, ShareThis, ein Newsletter-Dienst oder ein Tracking-System – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Das macht die Erklärung lang, unübersichtlich, schwer pflegbar und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Der bessere Weg ist ein strukturierter, themenorientierter Ansatz, der Verarbeitungen nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Tracking, Marketing) übergreifend erklärt und nur im Anhang Empfänger auf konkrete Tools und Dienstleister verweist. Genau dies ist die Methodik des matterius-Generators.

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com