Spotify mit Borlabs Cookie DSGVO-konform einbinden

DSGVO

Ein eingebetteter Spotify-Player lädt schon beim Seitenaufruf Daten von open.spotify.com, setzt Cookies und baut eine Verbindung zu Spotify auf – und zwar, bevor der Besucher irgendetwas anklickt. Genau dafür verlangt § 25 TDDDG (früher TTDSG) aber eine vorherige, aktive Einwilligung. Mit dem Inhaltsblocker von Borlabs Cookie sperren Sie den Player, bis der Besucher zustimmt – über die automatische Hostname-Erkennung oder per Shortcode. Unten stehen beide Wege, ein belastbarer Hinweistext und die Lösungen für die Fehler, die dabei am häufigsten auftreten.

Der Standard-Einbettungscode von Spotify ist ein <iframe>, das direkt von Spotify ausgeliefert wird:

<iframe src="https://open.spotify.com/embed/track/..." width="100%" height="152" frameborder="0" allow="encrypted-media"></iframe>

Sobald dieses iframe im DOM steht, lädt der Browser den Inhalt von Spotify. Dabei werden Drittanbieter-Cookies gesetzt – dokumentiert sind vor allem sp_t und sp_landing, beide mit rund einem Jahr Laufzeit (Stand: Juli 2026) – und Verbindungsdaten wie die IP-Adresse an Spotify (Spotify AB, Schweden bzw. Konzerngesellschaften) übertragen. Das ist eine Datenverarbeitung durch einen Dritten – rechtlich sauber nur mit vorheriger, aktiver Einwilligung (§ 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO).

Die Konsequenz für die Praxis: Es genügt nicht, Spotify nur als Cookie zu „deklarieren”. Der iframe muss vor dem Laden verhindert und durch einen Platzhalter ersetzt werden. Genau dafür gibt es in Borlabs den Inhaltsblocker.

Borlabs Cookie trennt zwei Dinge, die oft verwechselt werden:

  • Dienste / Cookies (in älteren Versionen „Cookies”, ab Borlabs 3 „Services”): steuern das Ausführen von Skripten und das Setzen eigener oder erster Cookies, z. B. Google Analytics.
  • Inhaltsblocker (englisch Content Blocker): blockieren eingebettete Fremdinhalte wie iframes und Skripte anderer Anbieter und zeigen stattdessen eine Vorschau mit Einwilligungsbutton.

Für einen Spotify-Player brauchen Sie den Inhaltsblocker. Er fängt das iframe ab, bevor es lädt, und gibt es erst nach dem Klick frei. Standardmäßig liefert Borlabs fertige Inhaltsblocker für YouTube, Vimeo, Google Maps, Instagram, Facebook und einige mehr mit. Für Spotify müssen Sie ihn nicht von Grund auf bauen: In Borlabs Cookie 3.x liegt in der Bibliothek (der zentralen Vorlagensammlung mit inzwischen mehreren Hundert Paketen) eine fertige Spotify-Vorlage bereit, die Sie mit einem Klick übernehmen und anschließend anpassen können (Stand: Juli 2026). Prüfen Sie also zuerst die Bibliothek, bevor Sie einen Inhaltsblocker manuell anlegen.

Der grundsätzliche Ablauf ist in allen aktuellen Versionen gleich; nur die Menübezeichnungen unterscheiden sich zwischen Borlabs 2.x und 3.x. In Borlabs Cookie 2.x heißt der Bereich „Inhaltsblocker”, in Borlabs Cookie 3.x wurde er auf „Content-Blocker” umbenannt und liegt dort im Menü unter „Consent Manager”; die früheren „Cookies” heißen in 3.x „Services” (Stand: Juli 2026). Die folgenden Pfade beziehen sich auf die aktuelle Oberfläche.

Schritt für Schritt: Spotify-Embed mit Borlabs sperren

1. Inhaltsblocker anlegen

Öffnen Sie Borlabs Cookie → Inhaltsblocker und legen Sie einen neuen Blocker an. Wichtig sind:

  • Name: z. B. Spotify
  • ID: ein eindeutiger Bezeichner ohne Leerzeichen, z. B. spotify – diese ID brauchen Sie später für den Shortcode.
  • Anbieter/Provider: legen Sie „Spotify AB” als Anbieter an und hinterlegen Sie den Link zur Spotify-Datenschutzerklärung. Der Blocker verlinkt diese Info im Platzhalter.

2. Automatische Erkennung über den Hostnamen

Damit Borlabs Spotify-iframes automatisch erkennt und blockt, tragen Sie im Inhaltsblocker unter „Hosts” bzw. „Global gesuchte Hostnamen” den Domainnamen ein:

open.spotify.com

Borlabs durchsucht dann den Seiten-HTML nach iframes mit diesem Host und ersetzt sie – ohne dass Sie jeden Embed einzeln anfassen müssen. Das ist die bequemste Variante, wenn Sie viele Player einsetzen oder Redakteure die Embeds selbst einbauen.

3. Alternative: manuell per Shortcode einbetten

Greift die automatische Erkennung nicht (etwa weil ein Page Builder oder Cache das HTML verändert), umschließen Sie den Embed-Code direkt mit dem Borlabs-Shortcode:

[borlabs-cookie id="spotify" type="content-blocker"]
<iframe src="https://open.spotify.com/embed/track/..." width="100%" height="152" frameborder="0" allow="encrypted-media"></iframe>
[/borlabs-cookie]

Die id muss exakt der Inhaltsblocker-ID aus Schritt 1 entsprechen. Nutzen Sie in Gutenberg einen Shortcode-Block oder einen Custom-HTML-Block; in Elementor oder Bricks ein Shortcode-Widget. Eine vollständige Übersicht finden Sie in unserer Liste aller Borlabs-Shortcodes.

4. Vorschau und Datenschutzhinweis gestalten

Im Inhaltsblocker legen Sie fest, was der Besucher vor der Einwilligung sieht: einen kurzen Hinweistext plus Button. Ein sauberer Beispieltext:

„Zum Abspielen des Spotify-Players werden Inhalte von Spotify geladen. Dabei können personenbezogene Daten an Spotify übertragen werden. Mit Klick auf ‚Einwilligen’ stimmen Sie dem zu.”

Vermeiden Sie pauschale Formulierungen à la „Wir nutzen Cookies für die beste Erfahrung” – die reichen als Einwilligung nicht aus, weil sie nicht benennen, wer welche Daten erhält.

5. Cache leeren und testen

Speichern Sie den Blocker und leeren Sie anschließend alle Caches: den Borlabs-eigenen Cache sowie den Ihres Caching-Plugins (WP Rocket, LiteSpeed Cache, W3 Total Cache) und ggf. den Server-/CDN-Cache. Prüfen Sie danach im Inkognito-Fenster mit den Entwicklertools (Netzwerk-Tab), ob vor der Einwilligung wirklich keine Anfrage an open.spotify.com geht. Erst nach dem Klick auf „Einwilligen” darf der Player laden.

Automatisch oder manuell – was wann?

Die Hostname-Erkennung (Schritt 2) ist die erste Wahl: pflegeleicht, funktioniert auch bei Embeds, die andere ins CMS einfügen. Die Shortcode-Variante (Schritt 3) brauchen Sie, wenn die automatische Erkennung den Embed nicht findet – häufig bei Page Buildern, die iframes in eigene Container packen, oder wenn ein Skript-Optimierer das HTML nachträglich umbaut. Faustregel: Hostname-Erkennung als Standard, Shortcode überall dort, wo ein Page Builder oder Optimierer im Spiel ist. Der Shortcode gewinnt im Zweifel, weil er unabhängig davon greift, wie das umgebende HTML am Ende aussieht. Wie Sie iframes generell in Borlabs freigeben, zeigt der Beitrag iframes in Borlabs zulassen.

Typische Fehler und ihre Lösungen

Der Player lädt trotz fehlender Einwilligung. Der Inhaltsblocker greift nicht. Prüfen Sie: Ist der Hostname exakt open.spotify.com (ohne https://, ohne Pfad)? Wird das iframe evtl. per JavaScript nachgeladen, sodass es im initialen HTML fehlt? Dann hilft nur die Shortcode-Variante. Deaktivieren Sie testweise HTML-/JS-Minifizierung des Caching-Plugins – sie kann den Blocker aushebeln.

Nach der Einwilligung bleibt der Platzhalter stehen. Fast immer liefert ein Cache noch die alte, blockierte Seite aus. Leeren Sie Borlabs- und Seiten-Cache; bei WP Rocket zusätzlich „Used CSS” und Preload neu aufbauen. Details dazu im Beitrag Borlabs-Cache zurücksetzen. Bleibt es dabei, prüfen Sie die Browser-Konsole auf JavaScript-Fehler eines anderen Plugins.

Mehrere Player auf einer Seite. Aktivieren Sie im Inhaltsblocker die Option, alle Inhalte desselben Anbieters mit einem Klick freizugeben („Alle entsperren”). Sonst muss der Besucher jeden Player einzeln bestätigen.

Player im Page Builder verschwindet komplett. Manche Builder rendern den Shortcode nicht in reinen HTML-Elementen. Nutzen Sie das dedizierte Shortcode-Widget statt eines Text-/HTML-Felds. Wenn Sie Borlabs grundsätzlich sauber aufsetzen wollen, hilft unsere Übersicht der optimalen Borlabs-Einstellungen.

FAQ

Muss ich für einen Spotify-Player überhaupt eine Einwilligung einholen? Ja. Der Embed lädt Fremdinhalte und setzt Cookies von Spotify. Nach § 25 TDDDG ist dafür eine vorherige, aktive Einwilligung nötig – ein reiner Hinweis „durch Weitersurfen stimmen Sie zu” genügt nicht.

In welche Cookie-Gruppe gehört Spotify? Der Inhaltsblocker selbst wird einer Gruppe zugeordnet. Sinnvoll sind „Marketing” oder „Externe Medien”, weil es sich um eingebettete Fremdinhalte handelt – nicht „Essenziell”, denn der Player ist technisch nicht notwendig für den Betrieb der Seite.

Reicht Lazy-Loading statt eines Inhaltsblockers? Nein. Lazy-Loading verzögert das Laden nur, verhindert es aber nicht – spätestens beim Scrollen lädt der Player samt Cookies ohne Einwilligung. Rechtssicher ist ausschließlich die Sperre über den Inhaltsblocker.

Brauchen Sie Unterstützung bei DSGVO & Cookie-Consent (Borlabs & Co.)? Ypsilon.dev ist Ihre Webagentur aus Regensburg – jetzt kostenlose Erstberatung anfragen.