Graph API kostenlos nutzen: Was gratis ist, was kostet
Kann ich die Graph API kostenlos nutzen?
Kurz: Ja. Die Graph API von Meta – die HTTP-Schnittstelle zu Facebook, Instagram, Messenger, den Threads- und WhatsApp-Diensten – kostet pro Aufruf nichts. Sie zahlen keine Gebühr pro Request. Trotzdem stoßen viele Projekte auf Grenzen und unerwartete Kosten, weil „kostenlos“ nicht „unbegrenzt und ohne Prüfung“ heißt. Entscheidend ist die Unterscheidung zwischen der Schnittstelle selbst (gratis) und dem, was Sie darüber verschicken oder freischalten lassen. Im Folgenden: was ohne Zahlungsmittel funktioniert, wo Rate Limits die echte Grenze ziehen und die vier Stellen, an denen doch Geld fließt.
Nicht verwechseln: Dieser Text behandelt die Facebook/Meta Graph API. Microsoft betreibt eine völlig andere Schnittstelle mit demselben Namensteil – dazu haben wir einen eigenen Beitrag: Muss man für die Microsoft Graph API bezahlen?.
Was tatsächlich kostenlos ist
Kostenlos und ohne Kreditkarte bekommen Sie:
- Ein Meta-Entwicklerkonto unter developers.facebook.com.
- Eine oder mehrere Apps im App-Dashboard, jede mit eigener App-ID und App-Secret.
- Die Graph-API-Aufrufe selbst – Lese- und Schreibzugriffe verursachen keine Nutzungsgebühr.
- Den Graph API Explorer zum Testen von Anfragen im Browser, inklusive Token-Generator.
Eine minimale Anfrage sieht so aus – sie liefert Ihre eigene Nutzer-ID und Ihren Namen zurück:
curl -s "https://graph.facebook.com/v21.0/me?fields=id,name&access_token=IHR_TOKEN"
Sie zahlen also nicht für den Zugriff, sondern „bezahlen“ mit Auflagen: Berechtigungsprüfung (App Review), teils Unternehmensverifizierung und einem festen Rate-Limit-Budget.
Standardzugriff vs. Erweiterter Zugriff
Der entscheidende Punkt beim Thema „gratis“ ist die Zugriffsstufe jeder Berechtigung:
- Standardzugriff (Standard Access): Sofort verfügbar, ohne Prüfung. Damit greifen Sie aber nur auf Daten von Personen zu, die eine Rolle in Ihrer App haben – also Administratoren, Entwickler und Tester. Für die Entwicklung und interne Tools reicht das oft völlig.
- Erweiterter Zugriff (Advanced Access): Nötig, sobald Ihre App Daten anderer Nutzer in Produktion verarbeitet. Dafür müssen Sie den App Review durchlaufen: Sie beschreiben den Anwendungsfall, liefern ein Screencast und begründen jede angeforderte Berechtigung. Bei vielen Berechtigungen kommt eine Unternehmensverifizierung (Nachweis der Firma) hinzu.
Beides kostet kein Geld, aber Zeit. Rechnen Sie mit mehreren Tagen bis Wochen, wenn Berechtigungen wie pages_read_engagement, instagram_basic oder Ähnliches freigeschaltet werden sollen.
Rate Limits: die eigentliche Kostengrenze
Statt Geld begrenzt Meta die Nutzung über Aufruf-Kontingente. Für die klassische Graph API gelten die Platform Rate Limits. Die Faustformel:
Zulässige Aufrufe pro Stunde ≈ 200 × Anzahl der Nutzer Ihrer App
„Anzahl der Nutzer“ meint dabei die eindeutigen Personen, die Ihre App zuletzt genutzt haben – nicht die theoretische Reichweite. Eine junge App mit wenigen Nutzern hat also ein kleines Budget.
Für die Marketing API und die Instagram-Plattform gelten stattdessen Business Use Case (BUC) Rate Limits – ein separates Budget pro Anwendungsfall. Bei Instagram liegt die Grenze beispielsweise typischerweise bei rund 200 Aufrufen pro Nutzer und Stunde.
Kontrollieren müssen Sie das nicht raten – Meta liefert die aktuelle Auslastung in den Antwort-Headern mit:
X-App-Usage: {"call_count":45,"total_cputime":12,"total_time":8}
X-Business-Use-Case-Usage: {...}
Steigt ein Wert Richtung 100, drosseln Sie. Wird das Limit überschritten, antwortet die API mit Fehlercodes wie 4 (App-Limit), 17 (Nutzer-Limit) oder 613 – nicht mit einer Rechnung. Sinnvolle Gegenmaßnahmen:
- Felder gezielt anfordern (
?fields=...) statt ganze Objekte zu ziehen. - Mehrere Objekte in einem Batch-Request bündeln.
- Ergebnisse cachen und mit exponentiellem Backoff erneut versuchen.
Wo doch echte Kosten entstehen
„Die Graph API ist kostenlos“ stimmt – aber vier angrenzende Bereiche kosten Geld:
- WhatsApp Cloud API: Hier zahlen Sie pro Nachricht. Seit dem 1. Juli 2025 gilt Pro-Nachricht-Abrechnung: Vorlagen-Nachrichten (Marketing, Utility, Authentication) sind kostenpflichtig, während Servicenachrichten innerhalb des 24-Stunden-Kundendienstfensters kostenfrei bleiben.
- Marketing API / Werbeanzeigen: Die API-Aufrufe sind gratis, aber die Anzeigen, die Sie darüber schalten, kosten Ihr normales Werbebudget.
- Unternehmensverifizierung und Zusatzdienste: Die Verifizierung selbst ist kostenlos, aber die geforderten Nachweise oder Dienstleister drumherum können Aufwand verursachen.
- Datendienste von Drittanbietern: Wer über die freien Grenzen hinaus große Datenmengen braucht, greift oft zu kostenpflichtigen Anbietern oder individuellen Meta-Vereinbarungen.
Merksatz: Die Schnittstelle ist gratis, bestimmte Nachrichten und Anzeigen darüber nicht.
Access Tokens richtig handhaben
Jeder Aufruf braucht ein gültiges Access Token. Kostenlos, aber kurzlebig – und die häufigste Fehlerquelle:
- Kurzlebiges Nutzer-Token: rund ein bis zwei Stunden gültig, ideal zum Testen.
- Langlebiges Nutzer-Token: rund 60 Tage, erzeugt durch Tausch des kurzlebigen Tokens.
- Seiten-Token (Page Token): aus einem langlebigen Nutzer-Token abgeleitet, oft ohne festes Ablaufdatum.
- System-User-Token: für Server-zu-Server-Betrieb, kann dauerhaft gültig sein.
Ein kurzlebiges Token tauschen Sie so gegen ein langlebiges:
curl -s "https://graph.facebook.com/v21.0/oauth/access_token?grant_type=fb_exchange_token&client_id=APP_ID&client_secret=APP_SECRET&fb_exchange_token=KURZLEBIGES_TOKEN"
Speichern Sie App-Secret und Tokens niemals im Frontend oder im Git-Repository, sondern serverseitig in Umgebungsvariablen oder einem Secret-Store. Läuft ein Token ab, meldet die API Fehlercode 190 – dann neu ausstellen, nicht den Nutzer erneut durch den Login zwingen.
Typische Fehler und schnelle Lösungen
- „(#10) / (#200) Permission denied“: Die Berechtigung ist nur im Standardzugriff. Lösung: App Review beantragen oder die Person als Tester hinzufügen.
- Leere Antwort in Produktion, obwohl der Test lief: Die App steht noch im Entwicklungsmodus und sieht nur Rollen-Inhaber. Auf „Live“ umschalten (setzt freigegebene Berechtigungen voraus).
- Fehler 4 / 17 / 613: Rate Limit erreicht – Header prüfen, drosseln, cachen.
- Fehler 190: Token abgelaufen oder widerrufen – neu ausstellen.
FAQ
Brauche ich eine Kreditkarte, um die Graph API zu nutzen? Nein. Entwicklerkonto, App und Aufrufe sind ohne Zahlungsmittel möglich. Nur wenn Sie über die WhatsApp Cloud API kostenpflichtige Vorlagen versenden oder Anzeigen schalten, wird eine Zahlungsmethode fällig.
Reicht der kostenlose Zugang für ein echtes Produkt? Für viele Anwendungen ja – solange Sie den App Review für die benötigten Berechtigungen bestehen und innerhalb der Rate Limits bleiben. Kritisch wird es erst bei sehr hohem Aufrufvolumen oder Massen-Datenexporten.
Was ist der Unterschied zwischen Graph API und Marketing API bei den Kosten? Beide APIs kosten pro Aufruf nichts. Bei der Graph API gelten Platform Rate Limits, bei der Marketing API BUC-Limits – und die dort erzeugten Anzeigen kosten separat Werbebudget.
Brauchen Sie Hilfe dabei? Ypsilon.dev — Webagentur aus Regensburg, kostenlose Erstberatung.