ShareThis und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber ShareThis ein, verarbeitet er beim Aufruf der eingebundenen Sharing-Buttons Webserver-Protokolldaten, Endgeräte-Daten, grobe Standortdaten und Klickpfade zum Zweck der Bereitstellung von Social-Sharing-Funktionen sowie – nach Angaben des Anbieters – auch zur Bildung von Nutzerprofilen für Werbezwecke (sog. „Sharing Intelligence Network"). Wegen dieser Tracking- und Profilbildungs-Komponente kommt als Rechtsgrundlage regelmäßig die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG in Betracht. Diese Seite fasst zusammen, was Webseitenbetreiber zum Einsatz von ShareThis wissen sollten und welche Angaben in ihre Datenschutzerklärung gehören.

A. Zweck und Funktionsweise von ShareThis

ShareThis ist eine Social-Sharing-Plattform des US-Anbieters ShareThis, Inc., die Webseitenbetreibern fertige Widgets bereitstellt, mit denen Webseitenbesucher Inhalte über soziale Netzwerke, Messenger oder per E-Mail teilen können. Zu den typischen Integrations-Funktionen gehören Inline-Sharing-Buttons (am Ende oder neben einem Beitrag), eine seitlich oder unten haftende Sticky/Floating-Bar, Reaction-Buttons (Emoji-Reaktionen auf Inhalte) sowie Follow-Buttons für Social-Media-Profile des Webseitenbetreibers.

Diese Tool-Einstiegsseite konzentriert sich auf die für Webseitenbetreiber typische ShareThis-Integrations-Funktion, also das Einbinden der Sharing-Widgets über ein vom Anbieter ausgeliefertes JavaScript bzw. ein konfiguriertes Snippet von der Plattform platform.sharethis.com. Nicht im Fokus stehen davon abweichende Geschäftsmodelle wie das Daten- und Audience-Geschäft, das ShareThis nach eigenen Angaben gegenüber Werbetreibenden, Agenturen und Datenhändlern betreibt; diese Daten- und Audience-Vermarktung ist jedoch ein wesentliches Hintergrundgeschäft von ShareThis und prägt die datenschutzrechtliche Bewertung mit.

Nach den öffentlich zugänglichen Angaben des Anbieters wird ShareThis als ein Bestandteil eines übergreifenden „Sharing Intelligence Network" beschrieben, das Daten aus Sharing-Aktivitäten und Webseitennutzung pseudonym zusammenführt und für Werbe-, Targeting- und Analyse-Zwecke nutzt.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von ShareThis

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu den Rechten der betroffenen Person und zur Aufsichtsbehörde in Bezug auf die Nutzung von Tools wie ShareThis insbesondere folgende spezifische Pflichtangaben:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei einer Verarbeitung auf Grundlage einer Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO) zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zur Festlegung der Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO),
• sowie – soweit Daten nicht direkt beim Betroffenen erhoben werden – die Kategorien der personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben werden nachfolgend für ShareThis aufgeschlüsselt.

Es ist datenschutzrechtlich nicht erforderlich, ShareThis in der Datenschutzerklärung mit einem eigenen, namentlichen Textbaustein aufzuführen – auch wenn diese Praxis weit verbreitet ist. Dieser „Textbaustein-pro-Tool"-Ansatz hat sich als schlechte Manier etabliert: Er führt zu langen, schwer pflegbaren Datenschutzerklärungen mit ständig wiederkehrenden Standardpassagen und widerspricht damit dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein themenorientierter Ansatz, der Verarbeitungen übergreifend (Serverbetrieb, Tracking, Drittanbieter-Inhalte, Social Plugins) beschreibt und die konkret eingesetzten Dienstleister – darunter ShareThis – lediglich in einem Anhang als Empfänger aufführt.

C. Anbieter von ShareThis

Vertragspartner für deutsche Webseitenbetreiber ist nach den Angaben des Anbieters die

ShareThis, Inc. 3000 El Camino Real, Building 4, Suite 200 Palo Alto, CA 94306 USA

ShareThis, Inc. ist nach eigener Darstellung eine Tochter („division") der Predactiv, Inc. ShareThis nennt zudem für Großbritannien eine eigene Vertretung (ShareThis UK Limited, 10 John Street, London WC1N 2EB) und einen EU-Vertreter (VeraSafe). Die endgültige Identifikation des Vertragspartners im Einzelfall ergibt sich aus den jeweiligen vertraglichen Unterlagen und ist vom Webseitenbetreiber zu prüfen.

Da der Sitz der Gesellschaft in den USA liegt, ist eine Übermittlung in ein Drittland im Sinne der DSGVO regelmäßig gegeben. ShareThis gibt an, als Bestandteil von Predactiv unter dem EU-US Data Privacy Framework (DPF) zertifiziert zu sein und zusätzlich EU-Standardvertragsklauseln (SCC) für Drittlandtransfers einzusetzen. Webseitenbetreiber sollten den DPF-Status zum Zeitpunkt der Einbindung selbst über https://www.dataprivacyframework.gov/s/participant-search verifizieren.

Die Datenschutzhinweise des Anbieters für diesen Dienst sind unter https://sharethis.com/privacy/ abrufbar.

D. Datenverarbeitung mit ShareThis – Ablauf in Schritten

E. Von ShareThis erhobene Daten

Beim Einsatz von ShareThis werden nach den Angaben des Anbieters insbesondere folgende Daten verarbeitet: IP-Adresse, User-Agent-String, Geräte-IDs, aufgerufene URLs, geteilte Inhalte (Shares), Klick- und Reaktionsereignisse, geografische Informationen auf Land-, Stadt-, Bundesland- oder Postleitzahlen-Ebene, Browser- und Endgeräte-Informationen, Cookie-Identifier (z. B. _stid, _stidv) sowie ggf. gehashte E-Mail-Adressen.

Diese Datenpunkte lassen sich in die folgenden standardisierten Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der Webserver des Anbieters bei jeder Anfrage des Endgeräts erhält, insbesondere IP-Adresse, Datum und Uhrzeit, URL des angefragten Inhalts, Referrer und technische Metadaten.
• Klickpfade: Informationen darüber, welche Seiten der Webseite aufgerufen wurden, welche Sharing-, Reaction- oder Follow-Buttons angeklickt wurden, jeweils mit Datum und Uhrzeit.
• Endgeräte-Daten: Angaben zum Endgerät, z. B. Gerätetyp, Betriebssystem, Bildschirmauflösung, Touch-Unterstützung.
• Browserinformationen: Browsername, Browserversion, ggf. installierte Erweiterungen.
• Grobe Standortdaten: Anhand der IP-Adresse ermittelter grober Standort auf Land-, Stadt-, Postleitzahlen- oder Regionsebene.
• Nutzerprofile: Vom Anbieter zu einem (pseudonymen) Nutzer ermittelte Interessen, Segmentzuordnungen, Sharing- und Nutzungshistorien sowie daraus abgeleitete Kennzahlen.
• Conversion-Ereignisse: Vom Webseitenbetreiber als relevant festgelegte Interaktionen, z. B. Klick auf einen Share-Button, Reaction, Follow oder Aufruf bestimmter Inhalte.
• Interaktionsdaten: Informationen darüber, wie sich der Nutzer auf einer Seite verhält, z. B. Klicks auf Buttons und Reaktionsverhalten in Bezug auf einzelne Beiträge.

Daneben werden nach Angaben des Anbieters Cookies und vergleichbare Identifier (Pixel-Tags, Hash-IDs, probabilistische IDs) eingesetzt.

F. Nutzungszwecke beim Einsatz von ShareThis

Der Webseitenbetreiber nutzt ShareThis typischerweise, um seinen Webseitenbesuchern eine komfortable Möglichkeit zur Verbreitung von Inhalten in sozialen Netzwerken zu bieten, die Reichweite eigener Beiträge zu erhöhen und Sharing-Aktivitäten messbar zu machen. ShareThis nutzt die erhobenen Daten nach eigenen Angaben darüber hinaus für eigene Zwecke der Nutzerprofil-Erstellung und der Vermarktung von Audience-Segmenten an Dritte.

Die Zwecke, die der Webseitenbetreiber mit dem Einsatz von ShareThis typisch verfolgt, lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Bereitstellung der Sharing-, Reaction- und Follow-Funktionen, Darstellung der Buttons sowie Übergabe der Inhalte an die jeweilige Zielplattform.
• Allgemeine Produktverbesserung: Auswertung der Sharing-Aktivitäten und der besonders geteilten Inhalte zur bedarfsgerechten Gestaltung der Online-Dienste.
• Allgemeines Marketing: Reichweitenanalyse, Bewertung von Kommunikationskanälen (z. B. einzelner sozialer Netzwerke) und allgemeine Erfolgsmessung von Inhalten.
• Nutzerprofil-Erstellung: Bildung pseudonymer Nutzerprofile auf Basis der Sharing- und Klickdaten durch ShareThis und seine Partner.
• Nutzerindividuelles Marketing: Ausspielung interessenbezogener Werbung in Werbenetzwerken auf Basis der über ShareThis erhobenen Daten (Audience-/Remarketing-Komponente).

G. Rechtsgrundlagen für ShareThis

ShareThis fällt nach der oben beschriebenen Funktionsweise und insbesondere wegen der Daten- und Audience-Vermarktung primär in die Tool-Kategorie Drittanbieter-Inhalte / Social Plugins / Tracking (Marketing).

Da beim Aufruf der Sharing-Widgets aktive Inhalte von Servern des Anbieters geladen, Cookies und vergleichbare Identifier auf dem Endgerät gesetzt sowie pseudonyme Nutzerprofile mit Werbebezug gebildet werden, kommt als Rechtsgrundlage regelmäßig die Einwilligung in Betracht – konkret: eine Marketing-Einwilligung des Webseitenbesuchers nach Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG. Ohne eine solche Einwilligung sollte das Widget regelmäßig nicht ausgeliefert werden.

Eine Stützung allein auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO – etwa an Effizienz, Werbung oder Geschäftssteuerung – ist wegen der Tracking- und Profilbildungs-Komponente kontrovers und wird in der aufsichtsbehördlichen Praxis für Social-Sharing-Widgets mit Werbeanteil regelmäßig nicht akzeptiert.

Die einschlägige Rechtsgrundlage ist im Einzelfall vom Webseitenbetreiber zu prüfen und hängt unter anderem von der konkreten Konfiguration des Widgets, einem etwaigen Verzicht auf Tracking-Komponenten und der Frage ab, ob ShareThis als alleiniger oder gemeinsamer Verantwortlicher auftritt.

H. Besonderheiten und Hinweise zu ShareThis

• Opt-Out-Möglichkeiten: ShareThis stellt nach eigenen Angaben einen direkten Opt-Out auf seiner Datenschutzseite zur Verfügung (https://sharethis.com/privacy/). Daneben verweist der Anbieter auf die Branchen-Plattformen Digital Advertising Alliance (DAA, https://optout.aboutads.info/) und European Interactive Digital Advertising Alliance (EDAA, https://www.youronlinechoices.eu/).
• Drittlandtransfer / DPF: ShareThis gibt an, als Teil von Predactiv unter dem EU-US Data Privacy Framework zertifiziert zu sein, und stützt Übermittlungen ergänzend auf EU-Standardvertragsklauseln. Der DPF-Status ist über https://www.dataprivacyframework.gov/ zu verifizieren.
• Subprozessoren: ShareThis nennt unter anderem Amazon Web Services (Cloud-Hosting), Google Analytics (Webanalyse), E-Mail-Dienstleister, CRM- und Sicherheitsdienstleister als eingesetzte Service Provider.
• Rolle des Anbieters: Aus den Angaben von ShareThis lässt sich entnehmen, dass der Anbieter Daten auch zu eigenen Zwecken (Audience-/Profilbildung, Vermarktung) verarbeitet. Eine pauschale Einordnung als Auftragsverarbeiter ist daher in der Regel nicht zutreffend; in Betracht kommt – je nach Konstellation – eine eigenständige oder gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Die Rolle ist im Einzelfall zu prüfen.
• AVV/DPA: ShareThis stellt nach Anbieterangaben einen Data Processing Addendum bzw. eine entsprechende Vereinbarung zur Verfügung. Bei einer eigenständigen oder gemeinsamen Verantwortlichkeit kann zusätzlich eine Vereinbarung nach Art. 26 DSGVO erforderlich sein.
• Einstellungen für den Webseitenbetreiber: Über das ShareThis-Dashboard lassen sich u. a. Auswahl der angezeigten Netzwerke, Trigger-Events und – soweit verfügbar – Tracking-Komponenten konfigurieren. Webseitenbetreiber sollten Einbindung und Auslieferung an die Einwilligungssteuerung ihres Consent-Banners koppeln.
• Datenschutzhinweise des Anbieters: https://sharethis.com/privacy/.

I. ShareThis – häufig gestellte Fragen

J. Fazit zu ShareThis und Empfehlung

ShareThis ist ein Social-Sharing-Widget mit einer Daten- und Werbe-Komponente: Es stellt zwar Sharing-, Reaction- und Follow-Funktionen für die Webseite bereit, bildet im Hintergrund aber – nach Angaben des Anbieters – pseudonyme Nutzerprofile, die in einem „Sharing Intelligence Network" für Targeting- und Vermarktungszwecke genutzt werden. Vor diesem Hintergrund sind ein vorgeschalteter Consent-Mechanismus, eine Marketing-Einwilligung der Besucher und transparente Angaben in der Datenschutzerklärung zu Datenarten, Zwecken, Empfängern und Drittlandtransfers regelmäßig unverzichtbar.

Es ist für den Webseitenbetreiber meist wenig sinnvoll, für ShareThis – ebenso wenig wie für jedes andere einzelne Tool – einen eigenen, namentlichen Textbaustein in die Datenschutzerklärung aufzunehmen. Das macht die Datenschutzerklärung lang, unübersichtlich und schwer pflegbar und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der Verarbeitungen nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Tracking, Verkauf …) übergreifend beschreibt und nur im Anhang „Empfänger" auf einzelne Tools wie ShareThis verweist. Genau diese Methodik verfolgt der matterius-Generator.

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com