Disqus und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Disqus ein, verarbeitet er beim Aufruf einer Seite mit eingebettetem Kommentar-Widget unter anderem Webserver-Protokolldaten, Klickpfade, Endgeräte-Daten und Nutzer-Inhalte (Kommentare) zum Zweck der Bereitstellung der Kommentarfunktion und – nach den öffentlich zugänglichen Angaben des Anbieters – auch zu Marketing- und Profilbildungszwecken. Wegen dieser Werbe- und Tracking-Komponente kommt als Rechtsgrundlage regelmäßig die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG in Betracht. Diese Seite erläutert kompakt, was Webseitenbetreiber zum Disqus Datenschutz wissen sollten und welche Pflichtangaben in die Datenschutzerklärung der Webseite gehören.

Die Darstellung beruht auf den öffentlich zugänglichen Angaben des Anbieters und auf öffentlich recherchierbaren Quellen; sie ersetzt keine Einzelfallprüfung.

A. Zweck und Funktionsweise von Disqus

Disqus ist ein gehostetes Kommentar- und Diskussionssystem, das Webseitenbetreiber – insbesondere Blogs, Online-Magazine und Nachrichtenportale – per JavaScript-Embed (embed.js) in ihre Webseiten integrieren. Die Kommentare werden nicht beim Webseitenbetreiber, sondern auf den Servern von Disqus gespeichert und über einen iFrame bzw. via JavaScript in die Webseite eingebunden.

Die Kern-Integrations-Funktion, um die es auf dieser Seite geht, ist das eingebettete Kommentar-Widget: Nutzer der Webseite können dort Beiträge lesen, Kommentare verfassen, abstimmen und auf andere Kommentare antworten. Disqus stellt darüber hinaus ein zentrales Disqus-Nutzungskonto bereit, mit dem sich Nutzer plattformübergreifend an Diskussionen beteiligen können. Andere Funktionen wie Audience-Network-Werbung, Reaktions-Widgets oder Empfehlungen werden hier nicht im Detail behandelt; sie folgen aber denselben datenschutzrechtlichen Grundsätzen.

Disqus wurde 2017 von der Zeta Global Holdings Corp. übernommen. Zeta Global ist nach eigenen Angaben ein Marketing- und Datentechnologie-Unternehmen, das Daten zur Bildung von Zielgruppen- und Werbeprofilen nutzt. Diese Konzernzugehörigkeit ist für die datenschutzrechtliche Einordnung des Disqus-Embeds zentral.

B. Disqus in der Datenschutzerklärung – welche Pflichtangaben sind erforderlich?

Die DSGVO verlangt für die Datenschutzerklärung neben den allgemeinen Angaben zum Webseitenbetreiber, zu den Rechten der betroffenen Person und zur Aufsichtsbehörde bezogen auf eingesetzte Tools insbesondere folgende Pflichtangaben: die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO), bei berechtigten Interessen die konkret verfolgten Interessen (Art. 13 Abs. 1 lit. d DSGVO), die Empfänger oder Empfängerkategorien (Art. 13 Abs. 1 lit. e DSGVO), Hinweise auf Drittlandtransfers samt Garantien (Art. 13 Abs. 1 lit. f DSGVO) sowie die Speicherdauer oder die Kriterien für ihre Festlegung (Art. 13 Abs. 2 lit. a DSGVO). Werden Daten nicht direkt beim Betroffenen erhoben, sind zusätzlich die Kategorien der verarbeiteten Daten zu nennen (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben sollen nachfolgend für Disqus aufgeschlüsselt werden. Vorab eine wichtige Vorbemerkung: Es ist nicht erforderlich, jedes einzelne Tool – also auch Disqus – mit einem eigenen Textbaustein in der Datenschutzerklärung aufzuführen. Diese „Textbaustein-pro-Tool"-Praxis hat sich zwar weithin etabliert, führt aber zu langen, immer gleich klingenden, von Kanzleien vorformulierten Passagen, die die Datenschutzerklärung schwer pflegbar und für Leser kaum noch verständlich machen. Das widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO.

Sachgerechter ist ein themenorientierter Ansatz: Die Verarbeitungen werden übergreifend (Drittanbieter-Inhalte, Tracking, Serverbetrieb …) beschrieben; die konkret eingesetzten Dienstleister – etwa Disqus – werden in einem Anhang „Empfänger" benannt. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Disqus

Vertragspartner für Webseitenbetreiber ist nach den öffentlich zugänglichen Angaben:

• Disqus, Inc.
• 3 Park Avenue, 33rd Floor, New York, NY 10016, USA
• Sitzland: USA
• Konzernmutter: Zeta Global Holdings Corp. (USA)
• Privacy Policy: https://help.disqus.com/en/articles/1717103-disqus-privacy-policy
• Cookie-Übersicht: https://help.disqus.com/en/articles/1717155-use-of-cookies

Da Disqus seinen Sitz in den USA hat, liegt eine Datenübermittlung in ein Drittland vor. Ob Disqus, Inc. oder die Zeta Global Holdings Corp. unter dem EU-US Data Privacy Framework (DPF) zertifiziert sind, ist vom Webseitenbetreiber im Einzelfall über die offizielle DPF-Liste zu prüfen (https://www.dataprivacyframework.gov/s/participant-search). Nach den öffentlich zugänglichen Angaben in der Disqus Privacy Policy stützt sich der Anbieter für Datentransfers aus dem EWR auf Standardvertragsklauseln (SCC) der EU-Kommission.

D. Datenverarbeitung durch Disqus – Ablauf in Schritten

E. Welche Daten Disqus verarbeitet

Beim Einsatz von Disqus werden nach den öffentlich zugänglichen Angaben des Anbieters insbesondere folgende Daten verarbeitet: IP-Adresse, Datum und Uhrzeit des Aufrufs, Referrer, aufgerufene URL, Browserkennung, Betriebssystem, Geräteinformationen, anhand der IP-Adresse abgeleiteter grober Standort, Cookie- und Geräte-IDs, gehashte E-Mail-Adressen, Klick- und Interaktionsdaten innerhalb des Widgets, abgegebene Kommentare und – bei angemeldeten Nutzern – Disqus-Profilangaben (Benutzername, Avatar, Verlauf der Kommentare).

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der Disqus-Server bei jeder Anfrage vom Endgerät erhält, insbesondere IP-Adresse, Datum, Uhrzeit, URL des angefragten Inhalts, Referrer, Browser- und Betriebssysteminformationen sowie ergänzende technische Metadaten.
• Klickpfade: Innerhalb des Kommentar-Widgets aufgerufene Bereiche, geklickte Schaltflächen (z.B. Up-/Downvote, Antworten, Mehr laden) jeweils mit Datum und Uhrzeit.
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung, Touch-Unterstützung.
• Browserinformationen: Browsername, Browserversion, ggf. installierte Erweiterungen.
• Grobe Standortdaten: Anhand der IP-Adresse ermittelter Standort des Nutzers auf Stadt- oder Gemeindeebene.
• Nutzer-Inhalte: Vom Nutzer in das Disqus-Widget eingestellte Inhalte, insbesondere Kommentare, Antworten, Bewertungen (Up-/Downvotes) und ggf. hochgeladene Bilder oder Dateien.
• Nutzungskonto-Daten: Bei Nutzung eines Disqus-Kontos: Benutzername, E-Mail-Adresse, Avatar, Login-Verläufe, verbundene Geräte.
• Nutzerprofile: Vom Anbieter bzw. von Zeta Global zu einem Nutzer ermittelte Interessen, Segmentzuordnungen und Nutzungshistorien.
• Conversion-Ereignisse: Bei Werbeeinsatz erfasste, vom Werbetreibenden als relevant festgelegte Nutzerinteraktionen, z.B. Aufrufe bestimmter Seiten oder Klicks auf Werbeanzeigen.

F. Wofür der Webseitenbetreiber die Daten beim Disqus-Einsatz nutzt

Der Webseitenbetreiber nutzt Disqus typischerweise, um Nutzern auf der eigenen Webseite eine Kommentar- und Diskussionsfunktion bereitzustellen, ohne diese selbst entwickeln und hosten zu müssen. Daneben kann der Webseitenbetreiber Reichweiten- und Engagement-Daten zu seinen Beiträgen auswerten und – wenn die Werbefunktionen von Disqus genutzt werden – Werbeerlöse generieren bzw. Werbeerfolge messen.

Die Zwecke, die der Webseitenbetreiber mit dem Einsatz von Disqus typisch verfolgt, lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Erbringung der Kommentar- und Diskussionsfunktion auf der Webseite, einschließlich Anzeige bestehender Kommentare, Verfassen neuer Kommentare, Antworten und Abstimmungen.
• Sicherheit und Missbrauchsschutz: Erkennen und Verhindern von Spam, missbräuchlichen Beiträgen und Botnutzung; Authentifizierung von Kommentar-Autoren.
• Allgemeine Produktverbesserung: Auswertung, welche Beiträge besonders viele Reaktionen erzeugen, zur bedarfsgerechten Gestaltung des redaktionellen Angebots.
• Allgemeines Marketing: Reichweitenanalyse und Erfolgsmessung der Inhalte im Hinblick auf das Engagement der Nutzer.
• Nutzerprofil-Erstellung und Nutzerindividuelles Marketing: Soweit die Werbe- und Audience-Funktionen von Disqus/Zeta Global genutzt werden, Erstellung von Nutzerprofilen und Ausrichtung von Werbung an individuellen Interessen.
• Rechtsdurchsetzung: Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, z.B. bei rechtswidrigen Kommentaren.

G. Rechtsgrundlagen für den Einsatz von Disqus

Disqus fällt von seiner Funktionsweise her in die Kategorie Drittanbieter-Inhalte / Nutzer-Inhalte mit Tracking-Komponente (Marketing): Es handelt sich um einen extern eingebetteten Inhalt eines US-Anbieters, der bereits beim bloßen Seitenaufruf Verbindungen zu Drittservern auslöst, Cookies setzen kann und nach den eigenen Angaben des Anbieters Daten zu Marketing- und Profilbildungszwecken verarbeitet.

Wegen dieser Werbe- und Tracking-Komponente sowie der unmittelbaren Drittserver-Einbindung kommt als Rechtsgrundlage regelmäßig die Einwilligung des Nutzers nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG in Betracht – je nachdem, ob auf das Endgerät zugegriffen oder nur eine Drittanbieter-Verbindung aufgebaut wird, in Form einer Drittanbieter-Inhalte-Einwilligung, einer Funktions-Einwilligung oder einer Marketing-Einwilligung.

Soweit der Webseitenbetreiber das Disqus-Widget erst nach aktiver Einwilligung nachlädt (z.B. über einen Consent-Banner oder eine vorgeschaltete Klickfläche), ist die Einwilligung Rechtsgrundlage. Für die Verarbeitung etwaiger Nachweisdaten zur Einwilligung kommen ergänzend rechtliche Verpflichtungen (Art. 7 DSGVO, Art. 24 Abs. 1 DSGVO) und berechtigte Interessen an Rechtsdurchsetzung (Art. 6 Abs. 1 lit. f DSGVO) in Betracht.

Die konkrete Rechtsgrundlage ist fallabhängig und vom Webseitenbetreiber im Einzelfall zu prüfen, insbesondere abhängig davon, wie das Widget eingebettet wird, ob ein Consent-Management-System vorgeschaltet ist und ob die Werbe-Funktionen von Disqus aktiv sind.

H. Besonderheiten und Hinweise zum Disqus-Einsatz

• Drittlandtransfer / DPF: Disqus, Inc. sitzt in den USA. Eine eigenständige DPF-Zertifizierung von Disqus oder Zeta Global ist vom Webseitenbetreiber über die DPF-Liste zu verifizieren. Nach den öffentlich zugänglichen Angaben stützt sich Disqus auf Standardvertragsklauseln (SCC) der EU-Kommission.
• Konzernverbund: Disqus, Inc. ist eine Tochter der Zeta Global Holdings Corp. Der Anbieter gibt selbst an, dass Daten mit Zeta Global geteilt und zu Marketingzwecken weiterverwendet werden.
• AVV/DPA: Ob und in welcher Form Disqus einen AVV nach Art. 28 DSGVO bzw. eine Joint-Controllership-Vereinbarung nach Art. 26 DSGVO anbietet, ist über das Disqus-Help-Center bzw. den Anbieter direkt zu klären. Soweit Disqus im Hinblick auf Werbung als eigenständig Verantwortlicher auftritt, ist insoweit kein AVV einschlägig.
• Opt-Out / Betroffenenrechte: Nutzer können Betroffenenrechte über das OneTrust-DSAR-Portal von Disqus geltend machen (Link siehe oben in Abschnitt D). Für das Werbe-Tracking gelten zusätzlich die branchenüblichen Opt-Outs (z.B. https://www.youronlinechoices.eu/).
• Cookies: Disqus setzt nach den eigenen Cookie-Hinweisen Erst- und Drittanbieter-Cookies ein, u.a. disqus_unique, __qca, testCookie sowie Cookies von Subprozessoren wie scorecardresearch.com und quantserve.com.
• Einstellungen für den Webseitenbetreiber: Im Disqus-Admin-Bereich lassen sich datenschutzrelevante Optionen anpassen, insbesondere die Anzeige von Werbung („Ads"), die Datenfreigabe an Zeta Global („Data Sharing") und die Moderation. Webseitenbetreiber sollten diese Schalter aktiv prüfen und nach Möglichkeit datenschutzfreundlich konfigurieren.
• Two-Click-/Consent-Lösung: Eine Einbettung des Disqus-Widgets erst nach aktiver Einwilligung des Nutzers (z.B. über einen Consent-Banner oder eine vorgeschaltete Klickfläche) reduziert das datenschutzrechtliche Risiko erheblich.

I. FAQ zum Disqus Datenschutz

J. Fazit zum Disqus Datenschutz und nächster Schritt

Disqus ist ein US-basiertes Kommentar-System mit Konzernanbindung an einen Marketing- und Datenkonzern (Zeta Global). Beim Einsatz auf einer Webseite werden bereits durch das Embed Webserver-Protokolldaten, Klickpfade, Endgeräte- und Browserinformationen, grobe Standortdaten und – beim Kommentieren – Nutzer-Inhalte und Nutzungskonto-Daten an Disqus übermittelt. Nach Anbieterangaben werden Daten auch zur Profilbildung und für zielgruppenbezogene Werbung verwendet. Wegen dieser Tracking- und Marketing-Komponente kommt als Rechtsgrundlage regelmäßig die Einwilligung in Betracht.

Es ist für den Webseitenbetreiber meist wenig sinnvoll, für jedes einzelne Tool – also auch für Disqus – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Solche Bausteine machen die Datenschutzerklärung lang, schwer pflegbar und für Leser kaum noch verständlich; das widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO.

Sachgerechter ist ein strukturierter, themenorientierter Ansatz: Verarbeitungen werden nach Themenblöcken (Drittanbieter-Inhalte, Nutzer-Inhalte, Tracking, Serverbetrieb …) übergreifend beschrieben; Disqus wird lediglich im Anhang „Empfänger" als konkret eingesetzter Dienstleister aufgeführt. Das ist die Methodik des matterius-Generators.

K. Kurator dieser Seite zum Disqus Datenschutz

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com