Falls Sie auf der Suche nach „dem groß angelegten Scraping von Instagram-Follower-Listen durch das Ausnutzen angemeldeter Konten“ hierher gelangt sind – dieser Ansatz ist nicht mehr möglich. Meta hat diese Funktion in den letzten Jahren abgeschaltet, und die inoffiziellen Python-Bibliotheken, die darauf aufbauten (Instagramy, die älteren Forks von instagram-scraper sowie der „Logged-in“-Modus von instaloader), sind seit 2022 entweder nicht mehr funktionsfähig oder sogar aktiv gefährlich.

Was bleibt, ist ein eingeschränkteres, aber ehrlicheres Bild: Es gibt aussagekräftige öffentliche Daten auf Instagram, die erfasst werden können, die offizielle Graph-API deckt einen bestimmten geschäftlichen Anwendungsfall ab, und eine Handvoll legitimer Techniken schließen die Lücke dazwischen. Dieser Beitrag erläutert, was im Jahr 2026 bei der Erfassung von Instagram-Daten tatsächlich funktioniert, was nicht funktioniert und wo die rechtlichen und ethischen Grenzen liegen.

Was Sie sammeln dürfen und was nicht

Das Wichtigste, was Sie wissen müssen, bevor Sie im Jahr 2026 ein Instagram-Datenprojekt starten: Die Zugangsbeschränkungen wurden verschärft. Es gibt öffentliche und private Daten, und die Kluft zwischen beiden ist größer und wird strenger durchgesetzt, als in den meisten älteren Artikeln eingeräumt wird.

Öffentlich zugänglich ohne Anmeldung (auslesbar):

• Öffentliche Profildaten – Benutzername, vollständiger Name, Biografie, Anzahl der Follower (ungefähr), Anzahl der Personen, denen Sie folgen, Anzahl der Beiträge, Verifizierungsstatus, geschäftliche Kontaktdaten bei Unternehmenskonten
• Öffentliche Beiträge auf öffentlichen Konten – Bilder, Video-URLs, Bildunterschriften, Hashtags, Anzahl der Likes, Anzahl der Kommentare
• Kommentare zu öffentlichen Beiträgen – Text, Benutzername des Autors, Zeitstempel, Anzahl der Likes
• Öffentliche Hashtag-Feeds – aktuelle und beliebteste Beiträge zu jedem beliebigen Hashtag
• Öffentliche Ortsseiten – Beiträge, die mit einem Ort getaggt sind

Erfordert die offizielle Graph-API (nur für Ihre eigenen Konten):

• Detaillierte Analysen zu den Konten, die Sie besitzen oder verwalten
• Zugriff auf Direktnachrichten (nur Ihre eigenen Direktnachrichten)
• Veröffentlichung und Inhaltsverwaltung
• Daten zur Anzeigenleistung
• Insights-Daten zu Ihren eigenen Beiträgen

Unzulässig, unabhängig von der Methode:

• Daten aus privaten Konten – alles, was für einen nicht angemeldeten Besucher nicht sichtbar ist
• Direktnachrichten zwischen anderen Nutzern
• E-Mail-Adressen, Telefonnummern oder andere personenbezogene Daten
• Detaillierte Follower-Listen in großem Umfang für Konten jeder nennenswerten Größe (Instagram schränkt selbst den legitimen Zugriff auf Follower-Daten stark ein)
• Beiträge auf privaten Konten (und zunehmend auch auf öffentlichen Konten nur noch in begrenztem Umfang)

Dieser letzte Punkt bezüglich der Follower-Listen verdient besondere Hervorhebung. Die ursprüngliche Fassung dieses Artikels trug den Titel „Scraping Instagram Followers“, und genau den darin beschriebenen Arbeitsablauf – sich bei einem Konto anmelden, die Follower des Zielkontos scrapen, wiederholen – hat Meta mit aller Kraft zu verhindern versucht. Selbst die offizielle Graph-API stellt Follower-Listen in keiner brauchbaren Form zur Verfügung. Gehen Sie davon aus, dass das Auslesen von Follower-Daten eines bestimmten Kontos im Jahr 2026 im Grunde unmöglich ist, und betrachten Sie jeden „Scraper“, der behauptet, dies zuverlässig zu tun, entweder als defekt, als Lügner oder als ein Tool, das in wenigen Wochen nicht mehr funktionieren wird.

Warum die alten Methoden nicht funktionieren

Es lohnt sich, genau zu erläutern, was sich geändert hat, da das Internet nach wie vor voller veralteter Anleitungen ist:

Das Scraping über Login-Daten ist passé. Sich mit einem echten Konto über ein automatisiertes Tool bei Instagram anzumelden und anschließend im Rahmen der Sitzung dieses Kontos Daten zu scrapen, war von etwa 2015 bis 2020 die gängige Vorgehensweise. Die Kontosicherheitssysteme von Meta erkennen dieses Muster mittlerweile innerhalb weniger Minuten. Das Konto erhält zunächst eine Sicherheitsabfrage, dann eine vorübergehende Sperre und schließlich eine dauerhafte Sperrung. Dies gilt unabhängig davon, ob Sie instagrapi, instaloader im angemeldeten Modus, Selenium mit einem echten Instagram-Konto oder eines der GUI-Tools zum „Instagram-Scraping“, bei denen Sie zur Eingabe Ihrer Zugangsdaten aufgefordert werden. Tun Sie das nicht.

Die offizielle Graph-API wurde für diesen Anwendungsfall eingestellt. Die API von Meta wurde im Zeitraum 2022–2025 schrittweise eingeschränkt. Die veraltete Instagram Basic Display API wurde als veraltet eingestuft. Die aktuelle Graph-API existiert zwar weiterhin, dient jedoch dazu, Unternehmen bei der Verwaltung ihrer eigenen Instagram-Konten zu unterstützen – nicht zur Analyse anderer Konten, nicht zur Konkurrenzforschung und nicht zur Datenaggregation. Wenn Ihr Anwendungsfall darin besteht, „Daten zu Konten zu erhalten, die mir nicht gehören“, ist die offizielle API nicht die richtige Lösung.

Die meisten Python-Bibliotheken für „Instagram-Scraper“ werden nicht mehr gepflegt oder funktionieren nicht mehr. Die Liste der noch aktiven Bibliotheken ist wesentlich kürzer, als ältere Artikel vermuten lassen. Alles, was in den letzten sechs Monaten nicht aktualisiert wurde, sollte bis zum Beweis des Gegenteils als nicht funktionsfähig betrachtet werden.

IP-Adressen von Rechenzentren werden sofort markiert. Das ist zwar nichts Neues, doch der Schwellenwert wurde verschärft. Die Bot-Erkennung von Instagram identifiziert bei vielen Anfragen die IP-Adressbereiche von Rechenzentren bereits, bevor die erste Anfrage abgeschlossen ist. Privathaushalts-Proxys bilden die Untergrenze; mobile Proxys sind leistungsstärker.

requests weist einen nachweisbaren TLS-Fingerabdruck auf. Pythons Standard requests Die Bibliothek führt einen TLS-Handshake durch, den das Anti-Bot-System von Instagram – unabhängig von der IP-Adresse und den Headern – als automatisiert identifiziert. Im Jahr 2026 lautet die gängige Abhilfe curl_cffi, das den TLS-Stack eines echten Browsers nachahmt.

Was tatsächlich funktioniert: drei praktikable Methoden

Um im Jahr 2026 öffentlich zugängliche Instagram-Daten auf rechtmäßige Weise zu erfassen, stehen folgende realistische Möglichkeiten zur Verfügung:

Methode 1: Offizielle Graph-API (nur für Ihre eigenen Konten)

Wenn Ihr Anwendungsfall in der Analyse von Konten besteht, die Sie als Unternehmen besitzen oder verwalten – das Konto Ihrer Marke, die Konten Ihrer Kunden, Konten, auf die Sie ausdrücklichen Zugriff haben –, ist die Instagram Graph API die richtige Lösung. Sie ist stabil, wird offiziell unterstützt und liefert Ihnen detaillierte Daten, die im öffentlichen Web nicht zugänglich sind: Einblicke auf Beitragsebene, demografische Daten zur Zielgruppe (anonymisiert und aggregiert), Kennzahlen zu Stories sowie Aufschlüsselungen zum Engagement.

Was die API nicht leistet: Daten zu Konten, die Sie nicht verwalten. Die API wurde bewusst so konzipiert, dass dies verhindert wird.

Für die Einrichtung benötigen Sie ein Meta-Developer-Konto, eine Facebook-App, die Unternehmensverifizierung für die App sowie ein Instagram-Business- oder Creator-Konto, das mit einer Facebook-Seite verknüpft ist. Der gesamte Vorgang dauert einige Stunden, wenn alles reibungslos verläuft, und länger, falls dies nicht der Fall ist.

Methode 2: Direktes Auslesen öffentlicher Webdaten

Für Daten zu Konten, die Ihnen nicht gehören – Wettbewerbsanalyse, Markenüberwachung, Hashtag-Tracking, Identifizierung von Influencern – ist das direkte Scraping des öffentlichen Webs der richtige Weg. Das Web-Frontend von Instagram kommuniziert mit GraphQL-Endpunkten im Backend; diese Endpunkte geben strukturierte JSON-Daten zurück, mit denen sich viel einfacher arbeiten lässt als mit dem Parsen von HTML.

Ein Skelett in Python unter Verwendung von curl_cffi:

Python

from curl_cffi import requests
import json

def get_public_profile(username):
    url = f"https://www.instagram.com/{username}/?__a=1&__d=dis"
    headers = {
        "x-ig-app-id": "936619743392459",  # Public app ID used by web frontend
        "Accept": "*/*",
        "Accept-Language": "en-US,en;q=0.9",
    }
    response = requests.get(
        url,
        headers=headers,
        impersonate="chrome120",  # curl_cffi browser impersonation
        proxies={"https": "http://USER:PASS@proxy.example.com:8080"},
    )
    if response.status_code != 200:
        return None
    return response.json()

Einige praktische Hinweise, die in den meisten Anleitungen nicht zu finden sind:

• Die interne Struktur der Endpunkte ändert sich regelmäßig — Instagram dreht das Bild doc_id Parameter an den GraphQL-Endpunkten alle paar Wochen. Alles, was Sie entwickeln, erfordert eine kontinuierliche Wartung.
• Sticky-Sessions sind für die Paginierung unerlässlich. Hashtag-Feeds, Kommentarthreads und alle paginierten Endpunkte verwenden Cursor-Token, die an Ihre IP-Sitzung gebunden sind. Ein Wechsel der IP-Adresse während der Paginierung macht den Cursor ungültig, und Ihr Skript bricht ohne Fehlermeldung ab.
• Die Ratenbegrenzung ist selbst bei öffentlichen Daten sehr streng. Ein sinnvoller Ausgangspunkt ist eine Anfrage alle 3–5 Sekunden pro IP-Adresse, mit einer Wartezeit bei jeder 429- oder 401-Antwort.
• Mobile Endgeräte weisen häufig großzügigere Ratenbeschränkungen auf als Desktop-Geräte. Aus diesem Grund leiten einige Scraper alle Anfragen über die mobile API-Schnittstelle weiter.

Diese Methode funktioniert zwar, ist jedoch sehr wartungsintensiv. Die Endpunkte ändern sich, die Erkennung wird verbessert, und was letzten Monat noch funktioniert hat, muss möglicherweise schon im nächsten Monat angepasst werden.

Methode 3: Verwaltete Scraping-APIs

Für die meisten Teams, die Instagram-Daten benötigen, ohne technische Ressourcen für die Wartung eines Scrapers aufwenden zu müssen, ist eine verwaltete Scraping-API die richtige Lösung. Diese Dienste betreiben die Scraping-Infrastruktur und geben JSON-Daten zurück; Sie zahlen pro Abfrage.

Die derzeitigen Optionen, die Sie kennen sollten: der Instagram-Scraper von ScrapFly, die Instagram-Actors von Apify (von der Community gepflegt, mehrere verschiedene Varianten für unterschiedliche Aufgaben), der Instagram-Datensatz und die SERP-API von Bright Data sowie eine Reihe kleinerer Dienste (SociaVault, die verschiedenen Anbieter von „Instagram-APIs“, die nach der Einstellung der Basic Display API von Meta auf den Markt gekommen sind).

Abwägungen:

• Vorteil: Völlig wartungsfrei. Der Anbieter kümmert sich um die Proxy -Rotation, die Umgehung von Erkennungsmechanismen, Änderungen an Endpunkten und die Datenauswertung.
• Vorteil: Schnellere Markteinführung. Sie integrieren eine API, anstatt eine Infrastruktur aufzubauen.
• Nachteil: Bei großem Umfang summieren sich die Kosten pro Abfrage. Bei 100.000 Abfragen pro Monat ist das reine Scraping mit eigenen Residential-Proxys in der Regel kostengünstiger – sofern Sie die entsprechende Infrastruktur bereits aufgebaut haben.
• Nachteil: Anbieterrisiko. Sollte das Scraping des Anbieters blockiert werden, bricht Ihre Pipeline zusammen, bis der Anbieter das Problem behoben hat.
• Nachteil: Die Datenqualität schwankt. Einige Anbieter liefern sauberere und vollständigere Daten als andere. Testen Sie zunächst mit einer kleinen Stichprobe, bevor Sie sich festlegen.

Für die meisten Teams ist eine verwaltete API der richtige Ausgangspunkt. Eine Umstellung auf internes Scraping sollte nur dann erfolgen, wenn die Kosten oder spezifische Datenanforderungen den technischen Aufwand rechtfertigen.

Die Proxy-Ebene

Unabhängig davon, für welche Methode Sie sich entscheiden, spielt die IP-Ebene eine wichtige Rolle. Beim Raw-Scraping (Methode 2) liegt dies in Ihrer Verantwortung. Bei verwalteten APIs (Methode 3) kümmert sich der Anbieter darum, nutzt jedoch im Hintergrund Privat-Proxys – deshalb ist die API nicht kostenlos.

Speziell für Instagram gelten folgende Anforderungen:

• Nur IP-Adressen von Privathaushalten oder mobile IP-Adressen. Das Rechenzentrum wird erkannt, bevor die erste Anfrage abgeschlossen ist. ISP-Proxys befinden sich dazwischen und funktionieren in manchen Fällen, sind jedoch bei schwierigen Zielen wie Instagram weniger effektiv.
• Persistente Sitzungen für paginierte Arbeitsabläufe. Hashtag-Feeds, Kommentarthreads, Follower-Endpunkte (sofern überhaupt zugänglich) – alles, was einen Cursor verwendet, benötigt für die Dauer der Sitzung dieselbe IP-Adresse. Eine IP-Rotation führt hier zu Störungen.
• Länderspezifische Ausrichtung für regionsspezifische Inhalte. Instagram liefert je nach geografischem Standort der anfragenden IP-Adresse leicht unterschiedliche Ergebnisse; wenn Sie regionsspezifische Daten erfassen (brasilianische Influencer, japanische Hashtag-Trends), müssen sich Ihre IP-Adressen in diesen Regionen befinden.
• Mobile IP-Adressen sind die wirksamste Methode zur Umgehung von Erkennungsmechanismen. Die IP-Adressen von Mobilfunkanbietern (AT&T, T-Mobile, Verizon, Vodafone) genießen bei den Systemen von Instagram ein höheres Vertrauen als private IP-Adressen. Die Kosten sind höher; die Erfolgsquote ist bei den am schwersten zu erkennenden Endpunkten entsprechend höher.

Die Residential- und Mobile-Proxys von IPBurger eignen sich für das Scraping öffentlicher Daten – saubere IP-Adressen, Targeting auf Länderebene, bei Bedarf „Sticky Sessions“ – und das allgemeine Prinzip gilt unabhängig vom Anbieter: Bei den relevanten Datenmengen entscheidet die IP-Ebene darüber, ob der Scraping-Vorgang vollständig abgeschlossen wird oder bereits bei 30 % ins Stocken gerät.

Die rechtliche und ethische Ebene

Dies ist der Abschnitt, den der ursprüngliche Beitrag nur unzureichend behandelt hat und der im Jahr 2026 wirklich von Bedeutung ist. Es lohnt sich, hier genau zu sein:

Das Scraping öffentlicher Daten ist in den USA grundsätzlich rechtmäßig. Das Urteil im Fall „hiQ Labs gegen LinkedIn“ (Neunter Bundesberufungsgerichtshof, 2022 beigelegt) hat festgestellt, dass das Scraping öffentlich zugänglicher Daten nicht gegen den „Computer Fraud and Abuse Act“ verstößt. Dies gilt für öffentliche Instagram-Profile, Beiträge, Hashtags und Kommentare – jeder kann diese ohne Anmeldung einsehen, und deren Erfassung in großem Umfang ist grundsätzlich rechtlich vertretbar.

Verstöße gegen die Nutzungsbedingungen sind eine andere Sache. Selbst wenn das Scraping legal ist, verbieten die Nutzungsbedingungen von Instagram den automatisierten Zugriff. Meta kann zivilrechtliche Schritte einleiten (was das Unternehmen bereits getan hat) und alle Konten sperren, die mit dem Scraping in Verbindung stehen. Das CFAA und die Nutzungsbedingungen sind zwei getrennte Themen; wenn Sie bei dem einen im Recht sind, bedeutet das nicht automatisch, dass Sie auch bei dem anderen im Recht sind.

Die DSGVO gilt für die Daten von EU-Nutzern unabhängig davon, ob diese öffentlich zugänglich sind. Dies ist die Falle, in die die meisten in den USA ansässigen Web-Scraper tappen. Wenn Sie Daten über EU-Bürger erheben – selbst wenn es sich um öffentlich zugängliche Daten handelt –, benötigen Sie eine dokumentierte Rechtsgrundlage gemäß der DSGVO, klare Aufbewahrungsrichtlinien und die Möglichkeit, Löschanträge zu bearbeiten. Die öffentliche Zugänglichkeit von Daten befreit diese nicht vom Geltungsbereich der DSGVO.

Vermeiden Sie diese Vorgehensweisen unabhängig vom rechtlichen Status:

• Anmeldung mit gefälschten Konten, um auf nicht öffentliche Daten zuzugreifen
• Erhebung und Speicherung personenbezogener Daten, die über die öffentlich zugänglichen Informationen hinausgehen
• Die erneute Veröffentlichung von gescrapten Inhalten in einer Weise, die gegen das Urheberrecht verstößt
• Die Nutzung von gesammelten Daten für gezielte Belästigung oder Doxing
• Weiterverkauf von durch Scraping gewonnenen personenbezogenen Daten ohne legitimen geschäftlichen Zweck

Die ehrliche Faustregel: Wenn es Ihnen unangenehm wäre, Ihre Scraping-Aktivitäten einem Journalisten oder den Anwälten von Meta zu erklären, sollten Sie es sich noch einmal überlegen. Der rechtliche Spielraum für das Scraping öffentlicher Daten ist zwar vorhanden, aber sehr begrenzt.

Ein sinnvoller Arbeitsablauf für den Einstieg

Falls Sie derzeit ein Instagram-Datenprojekt aufbauen und nicht sicher sind, wo Sie anfangen sollen:

1. Legen Sie genau fest, welche Daten Sie benötigen. Bei den meisten Projekten werden nicht alle Daten benötigt. Grenzen Sie den Umfang ein – dies senkt die Kosten, verringert die Erfassungsfläche und schafft Klarheit hinsichtlich Ihrer rechtlichen Risiken.
2. Prüfen Sie, ob die Graph-API dies abdeckt. Wenn Sie sich ausschließlich mit den von Ihnen verwalteten Konten befassen, nutzen Sie die offizielle API. Sie ist stabil, kostenlos und wird unterstützt.
3. Bei Projekten mit öffentlichen Daten sollten Sie mit einer verwalteten API beginnen – beispielsweise ScrapFly, Apify oder ähnlichen Diensten. Stellen Sie die Integration sicher, stellen Sie das Projekt bereit und prüfen Sie, ob die Daten tatsächlich einen geschäftlichen Mehrwert bieten.
4. Stellen Sie nur dann auf eine interne Datenerfassung um, wenn dies aus Kosten- oder Umfangsgründen gerechtfertigt ist. Bei den meisten Projekten ist dies nicht erforderlich. Der technische Aufwand für die Wartung eines Instagram-Scrapers ist erheblich und läuft kontinuierlich an.
5. Wenn Sie sich für eine interne Lösung entscheiden, sollten Sie dies als echte Investition in die Technik planen. Privat- oder mobile Proxys, curl_cffi für TLS-Fingerprinting, Sticky Sessions, exponentielles Backoff, die Überwachung von Endpunktänderungen und spezielle Wartungszeit. Dies ist ein echtes Projekt, kein Wochenend-Skript.
6. Sorgen Sie von Anfang an für die Einhaltung der DSGVO, sobald EU-Daten betroffen sind. Die nachträgliche Umsetzung der Compliance-Anforderungen ist wesentlich schwieriger als deren integrierte Umsetzung.

Die ehrliche Schlussfolgerung

Die Strategie zum „groß angelegten Scraping von Instagram-Followern“ aus den Jahren 2018–2021 hat ausgedient. Die Methoden, die diese Strategie prägten – Login-basiertes Scraping, Account-Farmen zur Umgehung von Ratenbeschränkungen, das Sammeln von Follower-Listen – funktionieren nicht mehr zuverlässig, führen zur Sperrung von Konten und überschreiten zunehmend rechtliche Grenzen.

Das realistische Szenario für das Jahr 2026 ist zwar eingeschränkter, aber durchaus realisierbar: Wesentliche öffentliche Daten lassen sich durch ordnungsgemäßes Web-Scraping im öffentlichen Bereich oder über verwaltete APIs erfassen, die offizielle Graph-API deckt unternehmensgeführte Konten ab, und die richtige Infrastruktur (Privat- oder Mobil-Proxys, moderne TLS-Verarbeitung, „Sticky Sessions“, sorgfältige Ratenbegrenzung) sorgt dafür, dass das Scraping öffentlicher Daten nachhaltig möglich ist. Damit erhalten Sie zwar keine privaten Direktnachrichten oder umfangreiche Follower-Listen, aber alles zusammen bietet Ihnen ausreichend Informationen für die legitimen geschäftlichen Anwendungsfälle – Wettbewerbsbeobachtung, Markenbewertung, Hashtag-Tracking, Identifizierung von Influencern, öffentliche Stimmung –, für deren Unterstützung der ursprüngliche Beitrag nominell verfasst wurde.

Die Methoden, die funktionieren, sind langweiliger als diejenigen, die nicht funktionieren. Es sind zudem jene, die auch im nächsten Jahr noch Bestand haben.