Instagram Embed und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Instagram Embed ein, verarbeitet er beim Aufruf der eingebundenen Beiträge, Reels oder Profile Webserver-Protokolldaten, Endgeräte-Daten, Browserinformationen, grobe Standortdaten sowie ggf. Cookies und Profildaten zum Zweck der Einbindung sozialer Inhalte – regelmäßig auf Basis einer Drittanbieter-Inhalte-Einwilligung. Diese Seite erklärt kompakt, welche Daten beim Instagram Embed an Meta fließen und welche Pflichtangaben in die Datenschutzerklärung der Webseite gehören.

A. Zweck und Funktionsweise von Instagram Embed

Instagram Embed bezeichnet die Einbindung einzelner Instagram-Beiträge, -Reels oder -Profile in eine fremde Webseite. Technisch geschieht dies in der Regel über einen von Instagram bereitgestellten HTML-Schnipsel, der ein <blockquote>-Element mit der URL des Beitrags und ein nachgeladenes Skript von //www.instagram.com/embed.js enthält. Das Skript wandelt das Blockquote in eine interaktive Vorschau um, indem es einen <iframe> zu Instagram-Servern öffnet (instgrm.Embeds.process()). Alternativ steht über die Facebook Graph API ein oEmbed-Endpunkt bereit, der den Embed-Code serverseitig liefert.

Beim Rendern des Embeds baut der Browser des Webseitenbesuchers eine direkte Verbindung zu Servern von Meta (Instagram, cdninstagram.com, Facebook) auf. Erst dadurch wird der Beitrag dargestellt; ohne diesen Drittserver-Request ist die Funktion nicht verfügbar.

Diese Einstiegsseite behandelt ausschließlich die Embed-Funktion auf der Webseite des Webseitenbetreibers (Drittanbieter-Inhalte / Social Media Embed). Andere Funktionen aus dem Meta-Kosmos – etwa der Meta-Pixel für Tracking, Instagram Login als Single-Sign-On, Werbeanzeigen im Ads Manager, Instagram-Shopping-Tags oder eine eigenständige Instagram-Unternehmensseite (vergleichbar einer Facebook-Seite) – sind nicht Gegenstand dieser Seite. Sie sind datenschutzrechtlich gesondert zu bewerten.

B. Pflichtangaben in der Datenschutzerklärung

Die DSGVO verlangt vom Webseitenbetreiber neben allgemeinen Angaben zur eigenen Identität, zu den Betroffenenrechten und zur Aufsichtsbehörde in Bezug auf den Einsatz konkreter Tools wie Instagram Embed eine Reihe spezifischer Pflichtangaben. Dazu zählen die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die einschlägigen Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO), bei einer Stütze auf Art. 6 Abs. 1 lit. f DSGVO zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO), die Empfänger oder Empfängerkategorien (Art. 13 Abs. 1 lit. e DSGVO), Hinweise zur Übermittlung in unsichere Drittländer und auf die maßgeblichen Garantien (Art. 13 Abs. 1 lit. f DSGVO), die Speicherdauer oder die Kriterien für ihre Festlegung (Art. 13 Abs. 2 lit. a DSGVO) sowie – bei nicht beim Betroffenen erhobenen Daten – die Datenkategorien (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben werden nachfolgend für Instagram Embed konkretisiert.

In der Praxis hat sich eingebürgert, in der Datenschutzerklärung für jedes Tool – also auch für Instagram Embed – einen eigenen Textbaustein aufzunehmen. Diese „Textbaustein-pro-Tool"-Manier ist sachlich nicht erforderlich und führt zu langen, kaum lesbaren Texten mit redundanten Passagen, die immer wieder dieselben Datenarten und Zwecke abhandeln. Sachgerechter ist ein themenorientierter Ansatz: Verarbeitungen werden übergreifend beschrieben (z. B. „Drittanbieter-Inhalte"), und die konkret eingesetzten Dienstleister – darunter Meta für Instagram Embed – werden in einem Anhang Empfänger aufgelistet. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Instagram Embed

Vertragspartner für Webseitenbetreiber mit Sitz in der EU/im EWR ist nach den öffentlich zugänglichen Angaben von Meta die Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland. Muttergesellschaft ist die Meta Platforms, Inc., 1 Meta Way, Menlo Park, CA 94025, USA. Die Datenverarbeitung erfolgt in einem konzernweiten Verbund mit Servern weltweit, einschließlich der USA.

Meta Platforms, Inc. ist nach Angaben der offiziellen US-Liste unter dem EU-US Data Privacy Framework (DPF) zertifiziert (siehe Data Privacy Framework Search). Damit besteht für Übermittlungen an Meta in den USA nach derzeitigem Stand ein Angemessenheitsbeschluss der EU-Kommission als Übermittlungsgrundlage gemäß Art. 45 DSGVO. Ergänzend nutzt Meta Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO für Übermittlungen, die nicht vom DPF erfasst sind.

Maßgebliche Primärquellen für Instagram Embed:

• Instagram-Datenrichtlinie / Privacy Center
• Meta-Datenschutzrichtlinie
• Instagram Help Center – Embeds
• Instagram oEmbed API (Meta for Developers)

D. Datenverarbeitung durch Instagram Embed – Ablauf in Schritten

1. Erhebung: Sobald eine Seite mit eingebettetem Instagram-Inhalt geladen wird, ruft der Browser des Webseitenbesuchers das Instagram-Embed-Skript bzw. den Embed-<iframe> direkt von Meta-Servern (www.instagram.com, cdninstagram.com, connect.facebook.net) ab. Bereits dabei werden IP-Adresse, User-Agent, Referrer (URL der einbettenden Seite), Datum/Uhrzeit und ggf. bestehende Instagram-/Facebook-Cookies an Meta übertragen. Beim Abspielen oder Interagieren mit dem Beitrag (Like, Profil aufrufen, Kommentar lesen) entstehen weitere Interaktionsdaten.
2. Speicherung: Die Verarbeitung erfolgt in der konzernweiten Infrastruktur von Meta, einschließlich Rechenzentren in den USA und weiteren Drittländern. Speicherfristen ergeben sich aus der Datenrichtlinie von Instagram; konkrete Fristen werden nicht produktscharf veröffentlicht.
3. Nutzung: Meta nutzt die Daten nach eigenen Angaben zur Auslieferung des Embeds, zur Sicherheit und Missbrauchsbekämpfung sowie – bei eingeloggten Meta-Nutzern – zur Personalisierung und Werbung im eigenen Ökosystem. Der Webseitenbetreiber selbst erhält durch das Embed keine Detaildaten zu einzelnen Besuchern; ihm geht es um die Funktionsbereitstellung des sozialen Inhalts.
4. Weitergabe: Daten fließen an Meta-Konzerngesellschaften und deren Subprozessoren weltweit. Eine Liste aller Subprozessoren produktbezogen für Embeds wird nicht veröffentlicht.
5. Löschung: Steuerungsmöglichkeiten des Webseitenbetreibers bestehen praktisch nur darin, das Embed nicht zu laden (z. B. über Consent-Banner). Eingeloggte Nutzer können in ihren Instagram-/Facebook-Einstellungen Aktivitäten verwalten und Werbeeinstellungen anpassen.

E. Erhobene Daten beim Einsatz von Instagram Embed

Beim Aufruf eines Instagram Embeds werden nach den öffentlich zugänglichen Angaben von Meta typischerweise folgende Daten erhoben: IP-Adresse, Datum und Uhrzeit der Anfrage, URL der eingebundenen Seite (Referrer) und URL des angefragten Beitrags, Informationen zu Browser, Betriebssystem und Endgerät, Bildschirmgröße, Spracheinstellungen, ggf. eine grobe Standortableitung aus der IP-Adresse sowie – sofern der Webseitenbesucher zeitgleich bei Instagram oder Facebook eingeloggt ist – eine Verknüpfung der Anfrage mit seinem Meta-Konto über Cookies. Hinzu kommen Interaktionen mit dem eingebetteten Inhalt (Klick auf Profil, Like, Mehrfachbild-Wechsel, Tonsteuerung bei Reels).

Diese Daten lassen sich in die folgenden standardisierten Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum, Uhrzeit, URL des angefragten Beitrags, Referrer-URL der einbettenden Seite, Statuscode, übertragene Datenmenge.
• Klickpfade: Aufruf des einbettenden Beitrags, Klicks auf Profil, Beitrags-URL oder weiterführende Links innerhalb des Embeds.
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung, Ausrichtung, Touch-Unterstützung.
• Browserinformationen: Browsername, -version, Spracheinstellung, ggf. Erweiterungen.
• Grobe Standortdaten: aus der IP-Adresse abgeleiteter Standort auf Stadt-/Regionsebene.
• Nutzer-Inhalte: in Instagram-Beiträgen oder Reels enthaltene Inhalte des Embeds, mit denen der Besucher interagiert.
• Nutzerprofile: bei eingeloggten Instagram-/Facebook-Nutzern Verknüpfung der Daten mit dem dortigen Profil samt Interessen und Segmentzuordnungen (durch Meta).
• Interaktionsdaten: Klicks, Wischen, Tonsteuerung, Pause/Play bei Reels innerhalb des Embeds.
• Conversion-Ereignisse: nur soweit der Webseitenbetreiber zusätzliche Tracking-Komponenten von Meta einsetzt – beim reinen Embed üblicherweise nicht relevant.

Zusätzlich können von Meta Cookies auf dem Endgerät des Besuchers gesetzt oder gelesen werden, soweit eine wirksame Einwilligung nach § 25 Abs. 1 TDDDG vorliegt.

F. Nutzungszwecke des Webseitenbetreibers bei Instagram Embed

Der Webseitenbetreiber nutzt Instagram Embed in erster Linie, um redaktionelle oder Marketing-Inhalte mit aktuellen Beiträgen aus seinem Instagram-Auftritt anzureichern, Social Proof darzustellen oder Reels und Posts ohne Medienbruch innerhalb der eigenen Webseite verfügbar zu machen. Aus Sicht des Webseitenbetreibers steht damit die Bereitstellung der Embed-Funktion im Vordergrund; die weitergehende Verwendung der Daten erfolgt durch Meta auf eigener Verantwortlichkeit.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Anzeige des eingebetteten Instagram-Beitrags, Reels oder Profils einschließlich Steuerelementen wie Play/Pause, Profilverlinkung und Mehrfachbild-Navigation.
• Sicherheit und Missbrauchsschutz: Erkennung und Abwehr automatisierter Anfragen und Missbrauch des Embed-Endpunkts (durch Meta).
• Allgemeine Produktverbesserung: Auswertung, welche Beiträge besonders viel Aufmerksamkeit erzeugen, zur redaktionellen Optimierung der einbettenden Seite (sofern der Webseitenbetreiber dies eigenständig misst).
• Allgemeines Marketing und – bei eingeloggten Nutzern durch Meta – Nutzerprofil-Erstellung, nutzerindividuelle Produktverbesserung und nutzerindividuelles Marketing im Meta-Ökosystem.

G. Rechtsgrundlagen für Instagram Embed

Instagram Embed fällt nach dem Muster der Datenschutzhinweise-Vorlage in die Tool-Kategorie Drittanbieter-Inhalte (Social Media Embed). Maßgeblich ist, dass schon das Laden des Embeds einen direkten Drittserver-Request an Meta auslöst und dabei Cookies bzw. Cookie-ähnliche Identifier verarbeitet werden können.

Als Rechtsgrundlagen kommen typischerweise in Betracht:

• Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG für das Setzen und Auslesen von Cookies und für die nachgelagerte Verarbeitung („Drittanbieter-Inhalte-Einwilligung" bzw. „Funktions-Einwilligung", typischerweise im Consent-Banner abgefragt). Diese ist regelmäßig der saubere Weg, da der Embed-Aufruf in der Standardkonfiguration einen Drittserver-Request mit potentiellem Tracking auslöst.
• Berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO an Funktionsbereitstellung und Effizienz kommen nur in eng begrenzten Konstellationen in Betracht, etwa bei einer datenschutzfreundlichen Variante (Klick-Lösung / „Two-Click-Solution", lokale Speicherung statischer Vorschauen).

Da Meta die über das Embed erlangten Daten als eigenständig Verantwortlicher für eigene Zwecke (insbesondere Werbung und Profilbildung bei eingeloggten Nutzern) weiterverarbeitet, ist diese Folgeverarbeitung dem Webseitenbetreiber rechtlich nicht zuzurechnen, muss aber in der Datenschutzerklärung transparent erwähnt werden.

Hinweis: Die einschlägige Rechtsgrundlage ist fallabhängig und vom Webseitenbetreiber im Einzelfall zu prüfen, insbesondere im Zusammenspiel mit dem eingesetzten Consent-Management.

H. Besonderheiten und Hinweise zu Instagram Embed

• Drittserver-Request schon beim Seitenaufruf: Anders als bei lokal eingebundenen Inhalten wird beim klassischen Embed bereits beim Laden der Seite eine Verbindung zu Meta aufgebaut. Eine Lösung mit verzögertem Laden (Klick-Lösung, statische Vorschau) reduziert das Risiko erheblich.
• Eingeloggte Nutzer: Ist der Webseitenbesucher zeitgleich bei Instagram oder Facebook eingeloggt, kann Meta die Daten dem dortigen Konto zuordnen und für eigene Zwecke (Profil, Werbung, Geräteübergreifendes Tracking) nutzen. Hierauf ist in der Datenschutzerklärung hinzuweisen.
• Joint-Controller-Konstellation: Der EuGH hat für die Facebook-Fanpage (Urteil vom 5. Juni 2018, C-210/16) und für Like-Buttons (Fashion ID, Urteil vom 29. Juli 2019, C-40/17) eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO angenommen. Für reine Inhalts-Embeds (Beitrag, Reel, Profil) ohne aktiven Social-Plugin-Charakter ist die Einordnung in der Praxis weniger eindeutig. Soweit der Webseitenbetreiber die Datenerhebung durch Meta wesentlich mitveranlasst und Parameter (z. B. Reichweitendaten) erhält, kommt eine Joint-Controllership für die Erhebungsphase in Betracht; die anschließende Nutzung durch Meta erfolgt jedenfalls in eigener Verantwortung. Ein gesondertes Joint-Controller-Addendum gibt es speziell für Instagram-Inhalts-Embeds nicht in vergleichbarer Form wie das Page Controller Addendum für Facebook-Seiten. Die Einordnung ist im Einzelfall zu prüfen.
• Drittlandtransfer / DPF-Status: Meta Platforms, Inc. ist nach öffentlich zugänglichen Angaben der DPF-Liste DPF-zertifiziert. Übermittlungen an die USA können sich darauf stützen; ergänzend nutzt Meta SCC. Kritische Aufsichtsbehörden weisen darauf hin, dass die Belastbarkeit des DPF Gegenstand laufender Verfahren ist – Webseitenbetreiber sollten die Entwicklung beobachten.
• AVV/DPA: Für die Bereitstellung des Embeds tritt Meta nicht als Auftragsverarbeiter, sondern als eigenständig Verantwortlicher (bzw. ggf. als gemeinsam Verantwortlicher in der Erhebungsphase) auf. Ein klassischer Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist daher in der Embed-Konstellation nicht der relevante Vertrag; einschlägig sind die Meta Data Processing Terms und ggf. das genannte Page Controller Addendum (für Pages, nicht für Embeds).
• Opt-Out / Einstellungen für Besucher: Eingeloggte Nutzer können in den Instagram- und Facebook-Einstellungen Aktivitäten und Werbeeinstellungen anpassen (Instagram-Aktivität, Meta Werbeeinstellungen). Wirksame Kontrolle bietet darüber hinaus der Verzicht auf das Laden des Embeds via Consent-Banner.
• Einstellungen für den Webseitenbetreiber: Einsatz einer Klick-/Two-Click-Lösung; Bereitstellen einer statischen Vorschau ohne Embed-Skript; Trennung von Embed und Tracking-Pixel; Einbindung erst nach erteilter Einwilligung über das Consent-Management.

I. FAQ zu Instagram Embed und Datenschutz

J. Fazit zu Instagram Embed und Call-to-Action

Instagram Embed bietet eine schlanke Möglichkeit, Instagram-Inhalte in eigene Webseiten zu integrieren, löst aber bereits beim Seitenaufruf eine Datenübermittlung an Meta in den USA und in weitere Drittländer aus. Maßgebliche Pflichtangaben in der Datenschutzerklärung betreffen insbesondere Anbieter (Meta Platforms Ireland Limited), erhobene Datenarten, Zwecke, Rechtsgrundlage (regelmäßig Einwilligung), Drittlandtransfer (DPF / SCC) und die Hinweise zur Verknüpfung mit Meta-Konten bei eingeloggten Nutzern.

Für den Webseitenbetreiber ist es meist wenig sinnvoll, für jedes einzelne Tool – einschließlich Instagram Embed – einen eigenen, lang ausformulierten Textbaustein in die Datenschutzerklärung aufzunehmen. Solche Baustein-Sammlungen blähen den Text auf, wiederholen sich inhaltlich und verfehlen den Transparenzgrundsatz des Art. 12 Abs. 1 DSGVO, der eine präzise, leicht zugängliche und verständliche Information verlangt.

Empfehlenswert ist ein strukturierter, themenorientierter Ansatz, der Verarbeitungen übergreifend nach Themenblöcken (Serverbetrieb, Newsletter, Tracking, Verkauf, Drittanbieter-Inhalte …) beschreibt und nur im Anhang Empfänger auf konkret eingesetzte Dienstleister wie Meta Platforms Ireland Limited verweist. Genau diese Methodik verfolgt der matterius-Generator.

K. Kurator dieser Seite zu Instagram Embed