Wer einen Spotify-Player auf seiner Website einbindet, bekommt mehr als Musik: Beim Laden der Seite baut der Player sofort eine Verbindung zu Spotify-Servern auf, Tracking-Cookies werden gesetzt und Daten fließen in die USA – alles ohne dass der Besucher irgendetwas anklickt. Das gilt unabhängig davon, ob du den WordPress-Block verwendest oder den Player per iframe-Code eingebettet hast.
Überblick
Was ist Spotify?
Spotify ist ein Musik-Streaming-Dienst, über den Nutzer Songs, Podcasts, Playlisten und Alben abspielen können. Auf einer WordPress-Website lässt sich Spotify auf zwei Wegen einbinden: entweder über den eingebauten WordPress-Block, der aus einem eingefügten Spotify-Link automatisch einen Player erzeugt, oder über einen iframe-Code, den Spotify direkt zum Einbetten bereitstellt. In beiden Fällen erscheint auf der Seite ein abspielbarer Player – und in beiden Fällen gelten dieselben Datenschutzpflichten.
Spotify – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🔴 | Spotify setzt Tracking-Cookies, die Nutzerverhalten erfassen und mit Spotify-Konten verknüpfbar sind. |
| Externe Verbindungen | 🔴 | Der Player baut beim Seitenaufruf eine direkte Verbindung zu open.spotify.com auf – ohne Zustimmung. |
| Datenschutzerklärung | 🔴 | Spotify muss als Drittdienst namentlich in der Datenschutzerklärung genannt werden. |
| Drittlandtransfer | 🔴 | Spotify überträgt Daten laut eigener Datenschutzrichtlinie in die USA und andere Drittländer. |
| Auftragsverarbeitung | 🟢 | Spotify bietet keinen AVV für reine Embed-Nutzer an – kein Vertrag erforderlich. |
| Benutzereingaben | 🟢 | Der Player ist ein reiner Mediaplayer ohne Eingabefelder oder Formulare. |
Datenverarbeitung
Was passiert datenschutzrechtlich, wenn jemand eine Seite mit Spotify-Player aufruft?
Sobald jemand eine Seite aufruft, auf der du einen Spotify-Player eingebunden hast, lädt der Browser des Besuchers den Player direkt von Spotify-Servern – automatisch, ohne Klick, ohne Zustimmung. Das passiert sowohl beim WordPress-Block als auch beim manuell eingebetteten iframe-Code, weil in beiden Fällen derselbe Spotify-Server angesprochen wird.
Dabei überträgt der Browser die IP-Adresse des Besuchers an Spotify. Außerdem setzt Spotify zwei Cookies, die Informationen über das Verhalten auf deiner Seite und besuchte Websites erfassen.
Ist der Besucher gleichzeitig bei Spotify eingeloggt, können diese Daten mit seinem Spotify-Konto verknüpft werden. Spotify AB hat seinen Sitz in Schweden, überträgt Daten aber laut eigener Datenschutzrichtlinie auch in die USA und andere Länder außerhalb der EU. Du als Website-Betreiber bist dafür verantwortlich, Besucher darüber zu informieren – und die Verbindung zu blockieren, bis sie zugestimmt haben.
Cookies
Welche Cookies setzt Spotify?
Spotify setzt beim Laden des Players zwei Cookies: sp_t und sp_landing. Beide haben eine Laufzeit von einem Tag und werden von der Domain spotify.com gesetzt. Sie registrieren, wie der Besucher mit dem Player interagiert, und erfassen besuchte Seiten. Diese Daten können mit bestehenden Spotify-Konten verknüpft werden. Beide Cookies sind zustimmungspflichtig – sie sind kein technisch notwendiger Bestandteil deiner Website. Dein Cookie-Banner muss diese Cookies blockieren, bis der Besucher zustimmt. Das gilt unabhängig davon, ob du den Player per WordPress-Block oder per iframe eingebunden hast.
Externe Verbindungen
Baut der Spotify-Player eine Verbindung nach außen auf?
Sobald eine Seite mit eingebettetem Spotify-Player geladen wird, baut der Browser des Besuchers eine direkte Verbindung zu open.spotify.com auf. Dabei werden IP-Adresse und Browser-Informationen an Spotify übertragen.
Diese Verbindung entsteht nicht erst, wenn jemand auf Play drückt – sie passiert automatisch beim Öffnen der Seite, egal ob der Player per WordPress-Block oder per iframe-Code eingebunden ist. Dein Cookie-Banner muss diese Verbindung blockieren, bis der Besucher zustimmt. Die meisten Cookie-Banner-Plugins haben dafür eine Funktion, mit der du externe Player bis zur Zustimmung durch einen Platzhalter ersetzt.
Spotify auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Werden über den Spotify-Player persönliche Daten eingegeben?
Der Spotify-Player ist ein reiner Mediaplayer mit Abspielen, Pause und Track-Wechsel. Es gibt keine Eingabefelder, kein Kontaktformular und keine Möglichkeit, persönliche Daten über den eingebetteten Player einzugeben. Dieser Punkt ist für Spotify nicht relevant.
Drittlandtransfer
Werden Besucherdaten durch Spotify in die USA übertragen?
Spotify AB hat zwar seinen operativen Sitz in Stockholm, Schweden, überträgt Daten aber laut eigener Datenschutzrichtlinie international – unter anderem an Konzerngesellschaften und Dienstleister in den USA. Spotify betreibt eine US-Tochtergesellschaft mit Sitz in New York.
Dass Daten beim Laden des Players in die USA fließen, lässt sich nicht durch eine Einstellung verhindern – es sei denn, du blockierst den Player vollständig über deinen Cookie-Banner, bis der Besucher zustimmt. Spotify gibt in seiner Datenschutzrichtlinie an, für solche Übertragungen Vertragsklauseln zu verwenden, die mit der EU abgestimmt sind.
Auftragsverarbeitung
Brauche ich einen Vertrag mit Spotify?
Spotify bietet für Website-Betreiber, die lediglich einen eingebetteten Player nutzen, keinen Auftragsverarbeitungsvertrag an. Solche Verträge stellt Spotify ausschließlich für Unternehmen bereit, die eigene Inhalte über Spotify vertreiben oder Werbung schalten. Wenn du nur einen Musik-Player auf deiner Website einbettest, ist kein Vertrag mit Spotify erforderlich.
Datenschutzerklärung
Muss Spotify in der Datenschutzerklärung stehen?
Spotify setzt Tracking-Cookies und verarbeitet IP-Adressen von Website-Besuchern – damit muss Spotify als eingebundener Drittdienst namentlich in deiner Datenschutzerklärung erwähnt werden. Folgende Angaben gehören in den Eintrag:
- Zweck: Einbindung von Audio-Inhalten und Erfassung von Nutzerinteraktionen
- Rechtsgrundlage: Einwilligung
- Empfänger: Spotify AB, Regeringsgatan 19, 111 53 Stockholm, Schweden
- Drittlandtransfer: Übermittlung in die USA und andere Länder außerhalb der EU möglich
- Speicherdauer: Die Cookies sp_t und sp_landing haben eine Laufzeit von einem Tag; weitere Daten nach Spotify-Datenschutzrichtlinie
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
Spotify – Einbindung von Audio-Inhalten
Auf dieser Website sind Inhalte des Musik-Streaming-Dienstes Spotify eingebunden. Anbieter ist die Spotify AB, Regeringsgatan 19, 111 53 Stockholm, Schweden. Beim Aufruf einer Seite mit eingebettetem Spotify-Player stellt dein Browser eine direkte Verbindung zu Servern von Spotify her. Dabei wird deine IP-Adresse übertragen. Spotify setzt außerdem Cookies, die Informationen über besuchte Seiten und Nutzerinteraktionen erfassen. Wenn du bei Spotify eingeloggt bist, können diese Daten deinem Spotify-Konto zugeordnet werden.
Spotify überträgt Daten laut eigener Datenschutzrichtlinie auch an Empfänger in Ländern außerhalb der EU, darunter die USA. Die Nutzung von Spotify auf dieser Website erfolgt auf Grundlage deiner Einwilligung. Du kannst diese Einwilligung jederzeit widerrufen. Weitere Informationen findest du in der Datenschutzrichtlinie von Spotify unter www.spotify.com/de/legal/privacy-policy.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zum Spotify-Player?
Keine Alternative für Spotify-Inhalte. Spotify-Tracks, Playlisten und Podcasts lassen sich nur über den offiziellen Spotify-Player einbetten. Es gibt keinen datenschutzfreundlicheren Weg, Spotify-Inhalte direkt auf einer Website abspielbar zu machen.
Wenn du eigene Audiodateien einbinden möchtest, kannst du sie direkt auf deinem Webserver hosten und den WordPress-Audio-Block verwenden – das ist die datenschutzfreundlichste Lösung für eigene Inhalte. Für Spotify-Inhalte selbst gibt es diese Option nicht.
Fehler
Diese Fehler passieren mit dem Spotify-Player oft
Der häufigste Fehler: Der Spotify-Player lädt sofort, obwohl der Cookie-Banner noch keine Zustimmung eingeholt hat. Das passiert, wenn der Cookie-Banner nicht so konfiguriert ist, dass er Verbindungen zu open.spotify.com bis zur Zustimmung blockiert. Viele Cookie-Banner-Plugins haben dafür eine eigene Einstellung oder eine Vorlage speziell für Spotify – prüfe, ob diese bei dir aktiv ist.
Ein weiterer Fehler betrifft den iframe-Code: Wer den Einbettungs-Code manuell in den HTML-Editor kopiert, vergisst manchmal, den Cookie-Banner-Eintrag dazu anzupassen. Der Cookie-Banner erkennt iframes von open.spotify.com nicht automatisch, wenn er nicht entsprechend eingerichtet ist. Überprüfe das in den Einstellungen deines Cookie-Banner-Plugins.
Außerdem wird Spotify in der Datenschutzerklärung häufig vergessen, weil der Player schon lange auf der Seite ist und als selbstverständlich gilt. Geh deine Seiten und Beiträge einmal durch und prüfe, ob irgendwo ein Spotify-Player eingebettet ist – dann gehört Spotify in deine Datenschutzerklärung.
DSGVO-Check
So prüfst du, ob dein Spotify-Player datenschutzkonform eingebunden ist
Öffne deine Website in einem Browser und prüfe die gesetzten Cookies, bevor du dem Cookie-Banner zugestimmt hast. Suche nach den Cookies sp_t und sp_landing. Sind diese bereits vorhanden, bevor du zugestimmt hast, blockiert dein Cookie-Banner den Spotify-Player nicht korrekt.
Zusätzlich kannst du in den Entwickler-Tools deines Browsers unter „Netzwerk“ prüfen, ob deine Website beim Seitenaufruf eine Verbindung zu open.spotify.com aufbaut – auch das sollte vor der Zustimmung nicht passieren. Das gilt sowohl für den WordPress-Block als auch für manuell eingebettete iframes.
Der vollständige Datenschutz-Check für deine gesamte Website – inklusive Spotify und allen anderen eingebundenen Diensten – erledigt es automatisch für dich.
Quellen und weiterführende Links
- WordPress.org – Spotify Embed Block Dokumentation
- Spotify – Datenschutzrichtlinie
- Spotify – Cookie-Richtlinie
- Spotify – DSGVO-Informationen nach Artikel 15
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.