Datenschutzfreundliches Video-Plugin für Webseiten, ganz ohne YouTube und Vimeo

Kategorien: Datenschutz

Wer Datenschutz ernst nimmt, kann die Video Plugins von YouTube und Vimeo nicht nutzen. Alle anderen müssen mindestens eine Einwilligung abfragen, und tun dies oft falsch. In diesem Beitrag wird eine datenschutzkonforme Lösung für einen Video Player für die eigene Webseite vorgestellt.

Das Problem mit Video Plugins von YouTube und Vimeo

Einige Unternehmen binden eigene Videos über ein Plugin auf ihren Webseiten ein, weil sie sich davon einen positiven Effekt versprechen. Ob dieser Effekt tatsächlich vorliegt, soll hier nicht weiter thematisiert werden. Ich weise nur darauf hin, dass man sich mal die Zugriffsstatistiken für Videos ansehen und den dadurch erzielten Mehrwert für das Unternehmen prognostizieren sollte.

Wer den YouTube Video Player einbindet, setzt sich rechtlichen Gefahren aus. Der Grund: Es muss erklärt werden, welche Daten wie von wem und warum verarbeitet werden. Dummerweise verrät Google das nicht so genau. Und das, was nachzulesen ist, sorgt für Sorgenfalten auf der Stirn. Anscheinend geht es überwiegend gar nicht um das Abspielen eines Videos, sondern um Marketing-Zwecke. Nur so ist es zu erklären, dass selbst, ohne dass ein YouTube Video abgespielt werden soll, bereits zahlreiche Datenverarbeitungen stattfinden.

Der Vimeo Video Player ist nicht viel besser und bringt eine ähnliche rechtlichen Problemlage mit sich.

Den Player von YouTube und das Plugin von Vimeo hatte ich bereits vor einiger Zeit untersucht. Erstaunlich ist jedenfalls, dass der YouTube Player selbst in der Einbindung im "Nocookie-Modus" doch ein Cookie setzt.

Dass die Anbieter von YouTube und Vimeo ihren Hauptfirmensitz in den USA haben, verschärft das Problem noch. Geheimdienste dort dürfen sich über weitere Datenlieferungen über Ihr Nutzerverhalten freuen, die frei Haus erfolgen. Verantwortlich sind die Betreiber deutscher Webseiten, die diese Video Player nutzen.

Die Lösung

Grundsätzlich ist es technisch einfach, ein Video Plugin für Webseiten bereitzustellen. Das Problem ist eher die Bandbreite. Allerdings ist gerade diese Bandbreite für die allermeisten Webseiten eben kein Problem, wie wir zeigen wollen. Wir, das sind Philipp Lahn und ich. Wir kannten uns bis vor kurzem noch nicht. Das Projekt entstand spontan. Philipp Lahn ist Inhaber von LA Webhosting aus Erfurt und bietet ein Web Hosting aus Deutschland zu, wie ich finde, sehr guten Preisen an. Wir stehen übrigens in keiner Geschäftsbeziehung, sondern haben dieses Projekt spontan ins Leben gerufen.

Ja, richtig: Wer datenschutzkonforme Lösungen haben will, muss dafür in diesem Fall Geld bezahlen anstatt oft rechtswidrig mit den Daten von Nutzern. Die Lösung kann von Firmen auch selbst realisiert werden, ganz ohne weiteres Web Hosting. Es kommt eben auf den richtigen Tarif an. Übrigens kostet es auch Geld, wenn der Datenschutzbeauftragte wegen YouTube gefragt, die Agentur oder der Webmaster mit Änderungen beauftragt oder ausgefragt werden muss. Auch Rechtsunsicherheit muss mit einem fiktiven Geldbetrag eingepreist werden, der das Risiko rechtlicher Auseinandersetzungen oder von Mehrarbeit aufgrund von Aktionen betroffener Personen, wie etwa dem Recht auf Auskunft, reflektiert.

Wir machen hiermit einen Test für einen DSGVO-konformen Video Player. Dazu binde ich in diesem Beitrag ein Video von mir ein. Das Video entstand anlässlich meines Vortrags bei der Herbstakademie der Deutsche Stiftung für Recht und Informatik (DSRI) in Hannover Ende letzten Jahres.

Schauen Sie sich das Video bitte zum Test an, oder wenigstens Teile davon. Wir werden in einigen Tagen, wenn genügend Aufrufe vorliegen, eine Auswertung machen. Schreiben Sie mir, wenn das Video nicht ordentlich ablief und es nicht an Ihrem eigenen Internetzugang liegt.

Hier das Video (mit der Maus drüberfahren bzw. Play drücken zum Abspielen). Update: Video mit VIDEO-Tag eingebunden statt mit IFRAME, da IFRAME-Einbindung nicht zuverlässig funktionierte.

Achtung: uBlock Origin (Werbeblocker) blockiert das Video, wenn die Blocker-Einstellungen zu hoch gesetzt werden. Mit Ghostery wiederum (anderer Werbeblocker) funktioniert es einwandfrei. Allerdings blockiert uBlock auch die LinkedIn Plattform komplett.

Infos zum Video und zum Video Server

Das Video wurde über einen simplen Standard-HTML Befehl namens VIDEO eingebunden (sehr einfach: <video src="…" controls/>). Die responsive Größendarstellung für alle möglichen Endgeräte wurde nicht optimiert. Der Video Player ist HTML Standard.

Die Tonqualität im Video ist aufgrund der Aufnahme schlecht. Es liegt also nicht an der Wiedergabe! Auch die Bildqualität des Ausgangsmaterials ist nicht optimal. Auch die Darstellungsqualität liegt also grundsätzlich nicht an der Wiedergabe, sondern an der Aufnahme.

Auch wenn ich abgebildet bin, habe ich den Ersteller der Aufnahme um Erlaubnis für die Veröffentlichung gebeten. Die DSRI hat die freundliche Genehmigung erteilt.

Das Video liegt auf einem Server von Herrn Lahn. Es handelt sich um einen repräsentativen Server, der bei LA Webhosting für netto 2,51 Euro pro Monat erhältlich ist. Ich hatte Herrn Lahn extra gebeten, eine Low Cost Server zu verwenden, den sich jeder leisten kann. Der Server kann auch als Backup-Speicher, Datenspeicher sowie für das direkt unterstützte Nextcloud Webhosting genutzt werden.

Zum Datenschutz: Das Video Plugin verwendet keine Cookies. Warum auch? Nur YouTube und Vimeo meinen, sie bräuchten Cookies. Das Video ist auf einem Server im Erfurter Rechenzentrum von LA Webhosting gehostet. Diese Firma von Herrn Lahn hat keine amerikanische Muttergesellschaft. Klingt selbstverständlich, ist es aber nicht, wie Sie anhand von YouTube und Vimeo schnell selbst erkennen.

Selbstverständlich findet keine Nutzerprofilbildung statt. Auch Ihre IP-Adresse oder Ihr Browser Fingerprint werden nicht anlasslos gespeichert und gegen Sie verwendet (sondern höchstens, wenn Sie ein Bösewicht sind und als solcher entlarvt werden). Ebenso werden diese Daten auch nicht in verschlüsselter Form gespeichert. Google gibt bei Google Fonts ja an, die IP Adresse werde nicht gespeichert. Dafür speichert Google aber einen Wert, auf den Ihre IP-Adresse beim nächsten Google Kontakt zurückgeführt werden kann. Auch dies findet bei unserem Video selbstverständlich nicht statt. Zu allem Überfluss haben LA Webhosting und ich auch noch einen Auftragsverarbeitungsvertrag abgeschlossen. Haben Sie eigentlich einen mit YouTube oder Vimeo, wenn Sie Videos über diese Plattformen auf Ihren Webseiten einbetten?

Zum Inhalt des Videos eine Anmerkung: Ich hatte den § 26 TTDSG in einem Punkt wahrscheinlich falsch wiedergegeben. Nicht die Frist bis zum Erlass einer Verordnung nach § 26 TTDSG scheint zwei Jahre zu betragen, sondern die Frist, nachdem die noch zu erlassende Verordnung evaluiert werden soll.

Die Auswertung

Wir werden die auf dem Video Server verbrauchte Bandbreite auswerten. Die Bandbreite sollte in dem Bereich liegen, den der Low Cost Server inklusive bietet. Ich glaube ja, dass die meisten auf Webseiten eingebundenen Videos nur sehr selten abgerufen werden und wenn, dann auch nicht von 10 Usern gleichzeitig.

Außerdem werden wir Ihre Rückmeldungen einfließen lassen. Sicher wird es ab und zu bei jedem beliebigen Video Server vorkommen, dass ein Video aufgrund anderer Aspekte nicht flüssig abläuft. Deswegen streben wir keine Vollzufriedenheit an, dafür aber eine hohe Übereinstimmung mit der Lösung.

Zusätzlich werde ich mir ansehen, wie oft dieser Beitrag aufgerufen wurde. Wir warten jedenfalls so lange, bis eine nennenswerte Anzahl an Aufrufen vorliegt. Da dieser Datenschutz-Blog recht gut besucht ist, sollte es nicht Jahre, sondern eher wenige Wochen oder Monate dauern, bis eine repräsentative Zahl erreicht ist.

Fazit

Bereits diverse Male hatte ich selbst eigene Videos über einen lokalen Video Player eingebunden. Nun wollen wir es offiziell prüfen: Können Videos über ein ordinär billiges Webhosting Made in Germany so bereitgestellt werden, dass jeder Website-Besucher, der das Video sehen möchte, eine ruckelfreie Wiedergabe bekommt? Ein datenschutzfreundliches Video Plugin also.

Ich meine, dass dies möglich ist. Der Test wird es zeigen. Unternehmen, deren Webseiten zehntausende von Besuchern täglich haben, werden sicher statt 2,51 Euro pro Monat ein paar Euro mehr übrig haben, um sich einen etwas besseren Server zu leisten. Auch die Ausfallsicherheit kann mit ein paar Euro mehr noch weiter erhöht werden. Sie ist an sich schon sehr gut, weil die Infrastruktur über mehrere Gebäude verteilt ist, die hunderte Meter auseinander stehen. Eine Aufteilung auf mehrere Städte ist technisch möglich, kann aber im Rahmen dieses Pilotprojekts nicht geleistet werden.

Übrigens gibt es keine völlige Ausfallsicherheit, wie eine Störung am Flughafen Frankfurt/Main kürzlich zeigte. Wegen Bauarbeiten für eine Straßenbahn zertrennte ein Baggerfahrer ein Glasfaserkabel, das einige Kilometer vom Flughafen entfernt lag. Dadurch kam es zum Ausfall wichtiger IT-Systeme am Flughafen. Fast alle Flüge mussten gestrichen werden.

Dieses Projekt soll jedenfalls zeigen, dass es auf sehr einfache Weise möglich ist, Videos datenschutzkonform einzubinden. Wenn ein Video bei einem von hundert Besuchern mal nicht ruckelfrei oder gar nicht abspielt, dann wird das Unternehmen dadurch nicht zugrunde gehen.

Meine These ist auch, dass das Einbinden von Fremdvideos keinen echten Mehrwert bietet. Diese sollten über ein geeignetes Vorschaubild und einen Link auf die Seite mit dem Originalvideo eingebunden werden. Noch besser ist es oft, derartige Drittinhalte ohne jegliche eigene Mitarbeit einfach wegzulassen. Kopieren oder das Wiedergeben von Kopien ist jedenfalls kein besonderer Ausdruck von Qualität oder Kompetenz, sondern eher das Zeichen von Hilflosigkeit, fehlenden eigenen guten Inhalten oder ähnlichem.

Das Beitragsbild ganz oben wurde von einem Computer-Programm und ohne meine kreative Mitarbeit erzeugt. Verwendet wurde ein KI-Programm, was ähnlich zu Dall-E ist. Die Bilder dürfen auf Webseiten frei verwendet werden, mit der Bitte, eine Verlinkung auf diesen Blog zu setzen.