gekennzeichnet.
YouTube-Videos können über ein Script in Webseiten eingebettet werden. Dies ist datenschutzrechtlich problematisch, weil bereits beim Laden dieses Scripts zahlreichen Datenerhebungen stattfinden. Auch ohne das Abspielen des eigentlichen Videos ist der Hase also bereits erlegt.
Laut YouTube Nutzungsbedingungen wird der Dienst von YouTube LLC, USA, bereitgestellt. Damit unterliegt er bereits dem Einwilligungserfordernis aufgrund des Datentransfers in ein unsicheres Drittland gemäß Artikel 44 DSGVO (vgl. EuGH-Urteil zum Privacy Shield und den Cloud Act). Ignoriert man das, wird es dennoch nicht besser:
Laut Nutzungsbedingungen von Google muss für eingebundene Dienste wie YouTube für folgende Aktivitäten eine Einwilligung eingeholt werden:
… den Einsatz von Cookies oder anderer Formen der lokalen Speicherung von Informationen, soweit die Einholung einer Einwilligung hierfür gesetzlich vorgeschrieben ist; und die Erhebung, Weitergabe und Nutzung von personenbezogenen Daten zur Personalisierung von Werbeanzeigen.
Quelle: https://www.google.com/about/company/user-consent-policy/
Die Einbindung von YouTube-Videos ohne erweiterte Datenschutzeinstellungen wird in diesem Beitrag nicht weiter betrachtet, weil dabei einwilligungspflichtige Cookies zum Einsatz kommen. Die Nutzungsbedingungen des Google Konzerns selbst fordern insbesondere wegen dieser Cookies eine Einwilligung: Auch die ePrivacy Richtlinie fordert eine Einwilligung, und die stellt eine verbindliche Regelung für Deutschland dar, wie der BGH im Jahr 2020 in einem Urteil festgestellt hat. Die deutsche Regelung wird über § 25 TTDSG ab Dezember 2021 konkretisiert. Seit Mai 2024 gilt das TDDDG statt dem TTDSG. Es ist allerdings wortgleich.
Bei der Einbindung von Videos mit aktivierten erweiterten Datenschutzeinstellungen (youtube-nocookie.com) passiert Folgendes:
- Scripte und andere Dateien werden von den Domänen youtube-nocookie.com, ytimg.com und ggpht.com geladen
- Google Schriften werden von der Domäne gstatic.com geladen
- Der DoubleClick Tracker wird von der Domäne doubleclick.net geladen
- YouTube sendet wenige Sekunden nach dem Laden der Seite (oder des Videos?) Daten an Google (Beispiel: Zieladresse: https://www.youtube-nocookie.com/youtubei/v1/log_event?alt=json&key=xxxaSyAO_xxxlqU8Q4STEHLGCilw_Y9_11xxxx, Inhalt: {"context":{"client":{"hl":"de","gl":"DE","clientName":50,"clientVersion":"20201110"}},"events":[{"eventTimeMs":1606215721310,"visualElementHidden":{"csn":"T-i8X5q6xxxxx_AP_bSxxxx","ve":{"veType":11123},"eventType":12},"context":{"lastActivityMs":"262"}},{"eventTimeMs":1316245761311,"screenCreated":{"csn":"MCxxxxE3OTAwNzc1NTMzxxxxODY.","pageVe":{"veType":12421},"implicitGesture":{"parentCsn":"T-ixxxx6CNiWx_AP_bS68yy","gesturedVe":{"veType":12211}}},"context":{"lastActivityMs":"263"}},{"eventTimeMs":1102345661336,"foregroundHeartbeatScreenAssociated":{"clientDocumentNonce":"tV2_xxxx-TExxxxs","clientScreenNonce":"MC4wNxxxxTAwNzc1NTxxxxcyxxx."},"context":{"lastActivityMs":"288"}}],"requestTimeMs":"1111111111142","serializedClientEventId":{"serializedEventId":"A-xxxxq6Cxxxx_AP_bSxxxx","clientCounter":"1"}}
- DoubleClick sendet – anscheinend mit und ohne Nutzeraktion bzw. evtl. schon nach Bewegungen mit dem Mauszeiger – in unbestimmten Abständen Daten an Google
- Trotz der nocookie-Domäne wird ein Cookie namens CONSENT gesetzt, und zwar auch dann, wenn gar kein Video abgespielt werden soll. Dieses Cookie ist an sich nicht erforderlich und bedarf somit einer Einwilligung.
Diese umfangreichen Datenerhebungen sind offensichtlich nicht mit dem berechtigten Interesse zu rechtfertigen. Somit ist die Verarbeitung ohne Einwilligung nicht rechtmäßig. Vgl. hierzu den Art. 6 DSGVO (Rechtsgrundlagen) in Verbindung mit Art. 5 DSGVO (Datenminimierung), Art. 25 DSGVO (Datenschutz durch Technikgestaltung) und Art. 32 DSGVO (Sicherheit der Verarbeitung). Auch das Cookie namens CONSENT ist nicht einwilligungsfrei, wie § 25 TTDSG verrät.
Werden YouTube Videos mit Cookies eingebunden, setzen sie mehrere Drittpartei-Cookies der Domäne youtube.com (mit längerer Lebensdauer) und sind alleine deswegen der Einwilligungspflicht zuzuordnen. Dies geht alleine schon aus Art. 5 Abs. 3 der ePrivacy Richtlinie hervor, die wegen §15 Abs. 3 TMG im Wesentlichen auch für Deutschland gilt, wie der BGH feststellte.
Generell stellt Google in seiner Datenschutzerklärung klar:
„Wir erheben Daten, […] wie zum Beispiel […] YouTube-Videos, die Sie interessant finden.“ und „Wenn Sie in einem Google-Konto angemeldet sind, erheben wir auch Daten, die wir in Ihrem Google-Konto speichern und als personenbezogene Daten erachten.“
Somit liegt immer eine Verarbeitung personenbezogener Daten vor, wenn eine Webseite ein YouTube Video einbindet und der Besucher der Webseite in seinem Google Konto angemeldet ist. Da der Betreiber der Webseite den Besucher nicht zwingen kann, sich vorher von seinem Google Konto abzumelden, ist immer eine Einwilligung einzuholen!
Fazit:
YouTube Videos, selbst ohne Verwendung von Cookies, bedürfen einer Einwilligung vor dem Einbinden über ein YouTube-Script in eine Webseite.
Schlussfolgerung aus DSGVO-Sicht und Google Nutzungsbedingungen
YouTube Video über IFRAME einbinden
Diesen Fall habe ich mir bisher nur kurz angesehen, da mir die Unterschiede zur Script-Einbindung erst kürzlich deutlich wurden. Ich werde hier bald näher darauf eingehen. Soviel für das Erste:
Per IFRAME können YouTube Videos anscheinend etwas datenschutzfreundlicher eingebunden werden als über ein YouTube-Script. Verwendet man als Adresse youtube-nocookie.com, finden beim Laden des IFRAME einige Datentransfers statt, die nur auf die eben genannte Adresse gehen. Hier finden immer noch recht viele Transfers statt, aber nicht zu anderen Adressen. Dennoch gibt es auch hier Tracking Events nach Laden des IFRAMES, ohne dass der Nutzer etwas anklickt. Diese finden sogar immer wieder (periodisch?) statt.
Außerdem findet trotz nocookie-Einstellung der Transfer eines Cookies namens CONSENT mit dem Wert PENDING+107 (o. ä.) statt. In der LocalStorage werden zahlreiche weitere Werte abgespeichert:
Neben der LocalStorage wird auch noch die Session Storage extensiv genutzt, ebenfalls die Indexed DB. Diese Speicherbezeichnungen habe ich der Firefox Entwicklerkonsole entnommen, die über die Taste F12 geöffnet werden kann. Im Karteireiter Web-Speicher sind die genannten Speicher zu sehen.
Die LocalStorage stellt ebenfalls einen Cookie-Speicher dar! In der ePrivacy-Richtlinie wird das Wort Cookie zudem nicht erwähnt. Vielmehr wird dort von Informationen, die im Endgerät des Nutzers gespeichert sind, gesprochen. Also gilt auch für die LocalStorage die ePrivacy-Richtlinie in Deutschland!
Wird das Video dann abgespielt, folgen weitere Datentransfers zur Adresse googlevideo.com.
Alles in allem ist dies immer noch entfernt von datenschutzfreundlich, aber besser als die Einbindung über ein Script.
Alternativen für YouTube Videos
Vimeo Videos sind keine gute Alternative für YouTube Videos, weil sie ebenso Datenschutzprobleme erzeugen. Hier ist eine Auswahl an datenschutzfreundlichen Möglichkeiten, Videos auf der eigenen Webseite einzubinden:
- Standard HTML, siehe beispielsweise meinen Beitrag zum Google Tag Manager und das dort eingebundene Video. Funktioniert vor allem, wenn das Video nicht zu groß ist. Die modernen Server-Kapazitäten und Netzwerk-Kontingente reichen für einen Selbstbetrieb von kleineren Videos für die meisten Webseiten aus.
- Vorschaubild mit Link auf Videoplattform.
- Gar kein Video: Oft ist der Nutzen von Videos fraglich, warum nicht einfach weglassen, vor allem, wenn es Videos Dritter sind?
- Andere Videoplattform (es lohnt sich, Plattformen wie Peertube anzusehen, die dem Fediverse zugeordnet sind)
Hochgeladene Videos
Sollte unbedingt der Wunsch bestehen, auf YouTube ein Video hochzuladen, egal ob es danach auf einer Webseite eingebunden werden soll oder nicht, besteht grundsätzlich das Recht auf eine Freischaltung des Videos.
Hierzu gibt es einen Beschluss des OLG Dresden vom 29.06.2021, Az. 4 W 396/21. Das Gericht verklagte die Google Ireland Ltd. zu einem Ordnungsgeld von 100.000 Euro wegen verspäteter Freischaltung eines Videos. Das Video enthielt Informationen zu Corona. Zuvor hatte ein Gericht Google aufgefordert, das Video freizuschalten. Dem kam Google nicht nach und meinte, selber genau prüfen zu wollen, ob das Video freizuschalten ist.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die 
Danke. Das ist ein unglaublich hilfreicher Artikel. Können Sie mir vielleicht nur noch einmal erklären: Wenn ich nur mit einem Vorschaubild auf YouTube weiterleite (Sie haben diese Option ja erwähnt), muss ich dann gar nichts weiter in der Datenschutzerklärung beachten?
Vielen Dank
Wenn Sie nur mit einem Vorschaubild per einfacher Verlinkung auf das zugehörige YouTube-Video auf der YouTube-Plattform weiterleiten, müssen Sie nichts Besonderes in Ihrer Datenschutzerklärung beachten.
Sie könnten zur Erhöhung der Rechtssicherheit am Vorschaubild kennzeichnen, dass eine externe Verlinkung vorliegt.
Im Dr. DSGVO Datenschutz-Blog sind beispielsweise alle externen Links mit einem Symbol gekennzeichnet.
Sehr gut geschriebener und fundierter Artikel, danke! Wäre folgendes eventuell eine DSGVO-konforme Lösung?
Ich zeige ein selbst gehostetes Vorschaubild an, mit einem Abspiel-Knopf (vermutlich eigenes Design, um keine Probleme mit youtube trademark zu bekommen) der mit Sternchen versehen ist. Bis dahin binde ich weder iframe, noch script ein. Unter dem Vorschaubild steht dann ein Sternchen mit Text, der darauf hinweist, dass beim Klick auf den Abspiel-Knopf verschiedenste Daten an Google übertragen werden und auch eventuell ein CONSENT cookie gesetzt wird. Erst beim Klick auf den Abspiel-Knopf lade ich dann das Video mittels iframe (falls möglich mit autoplay).
Das kann man machen. Aber problematisch ist die Abfrage der Einwilligung. Ich vermute, Sie wissen ebenso wenig wie ich, welche Daten YouTube/Google wie verarbeitet, an wen weitergibt und welche Daten wie lange von wem gespeichert werden?
Danke für die schnelle Antwort! Bezüglich der Einwilligung haben Sie sicherlich Recht. Eventuell könnte man zusätzlich einen Link zu Google's Privacy Policy setzen? Damit wälzt man das Problem auf den Besucher ab. Auch nicht gerade zuvorkommend aber vermutlich zulässig? Müsste man in diesem Fall eine Einwilligung eigentlich dokumentieren (solange man keinen Cookie setzt und man jedesmal den entsprechenden Hinweis zeigt)? Was ich mir noch vorstellen könnte ist, dass das Sternchen vielleicht auch nicht als ausreichend sichtbarer "Warnhinweis" angesehen wird? Wie auch immer, ich habe mich nun eh für eine Variante ohne YouTube-Video entschieden, bzw bin am überlegen für meine konkreten Zwecke eine kurze WebP-Animation mit Alphablending zu verwenden, das wollte ich sowieso mal ausprobieren 🙂
Danke auf jeden Fall für den tollen Blog, ich bin durch Zufall drauf gestoßen. Sehr informativ, werde die Tage noch ein wenig stöbern.
Einen Link auf externe Datenschutzhinweise wälzt das Problem nicht auf den Besucher ab, sondern macht das Problem für den Verantwortlichen (=Betreiber der Webseite) noch größer. Stichworte: Intransparenz sowie faktische Unkenntnis der Datenverarbeitung durch Google (niemand weiß, was Google so alles treibt).
Einwilligung dokumentieren: Ja, eine erteile Einwilligung sollte dokumentiert werden, da sie im Zweifel nachzuweisen ist.
So ein Script wie hier: [Link von der Redaktion entfernt, da datenschutzrechtlich kein echter Mehrwert] solle aber konform sein oder was meint ihr?
Nein, das Script sorgt nicht für eine rechtssichere Einbindung, sondern "nur" (immerhin) für eine Einwilligungsabfrage. Letztere ist aber wohl nicht rechtskonform, weil wichtige Pflichtinformationen fehlen. Daher die erneute Empfehlung: Vorschaubild + Link auf Videoplattform oder lokales Video oder datenschutzkonformes CDN oder gar kein Video (ja, das ist nicht selten die beste Lösung, vgl. Risiko-Nutzen-Analyse).
Guten Morgen,
einer meiner Kunden setzt einen Pagebuilder ein, der es ermöglicht, den YT-Thumbnail des Videos einzubinden, und erst bei Klick auf den Thumbnail den Player zu laden.
Ich hab' schon ähnliche Einbindungen gesehen, bei denen dann aber "Inhalt laden", o.ä. per Overlay eingeblendet war. Diese Option bietet der Pagebuilder jedoch nativ nicht.
Meines Erachtens reicht der Thumbnail ohne Erläuterung DS-technisch nicht aus. Eine Idee wäre aber es in der Bildunterschrift mit einzufügen, nach dem Motto "Bei Klick auf's Bild werden Ihre Daten an yt übertragen. Deren DSE finden Sie hier".
Wie schätzen Sie das ein?
Sobald YouTube eingebunden wird, hat man ein Problem: Die Datenverarbeitung dort ist sehr intransparent und zudem ausufernd. Nicht nur, dass man eine Einwilligung des Nutzers benötigt. Man muss auch noch alles mögliche erklären, und das am besten richtig. Ich behaupte, das ist nicht möglich.
Der Satz " "Bei Klick auf's Bild werden Ihre Daten an yt übertragen. Deren DSE finden Sie hier". reicht m.E. jedenfalls nicht aus, um von einer informierten Einwilligung des Nutzers auszugehen, wenn er auf das Vorschaubild klickt.
Tolle Erläuterungen, dafür vielen Dank! Mein Problem wird leider nicht angesprochen, aber es ist ja auch exotisch: Ich nutze ein Notizprogramm – Nimbus Notes. Dies bietet die Chance, eigene Videos mit CTA-Button zu hinterlegen. Die Einbindung in einen Blogartikel erfolgt über iframe (HTML). Das sollte OK sein, wenn ich Sie recht verstanden habe.
Eine weitere Möglichkeit bietet sich, indem ich eine kundenspezifische Notizenseite erstelle, in der ich u.a. Videos einbinden und den Kunden direkt ansprechen kann. der Kunde bekommt den link zu "seiner" Seite per eMail. Hier geht es also nicht um eine Einbettung, sondern einfach um eine Anzeige des Videos, das ich selbst auf mein Kundenkonto hochgeladen habe. Diese Website läuft komplett in Nimbus. Ich habe einen Auftragsdatenverarbeitungsvertrag mit dem Anbieter abgeschlossen. Die Daten liegen auf Amazon-Servern.
Wie könnte man diese Varianten rechtssicher gestalten, sofern da irgendetwas problematisch ist?
Ein IFRAME löst das Problem nicht, wenn Daten zu YouTube oder Vimeo geschickt werden. Das ist aber leider der Fall, wenn Sie ein YT Video per IFRAME einbinden (aus technischen Gründen).
AVV ist schon mal gut und besser als das, was man bei YouTube erwarten darf.
Amazon: Auch nicht wesentlich besser als Google (YT). Hier müsste man prüfen, ob der Server in DE oder EU steht und ob Amazon USA weisungsbefugt gegen die Amazon Firma ist, mit der Sie einen Vertrag haben.
Am besten also Video auf dem Server hosten, der in DE steht und der von einem rein deutschen Anbieter betrieben wird (oder einem rein europäischen).
Toller Artikel. Allerdings weiß ich immer noch nicht so genau, welcher Text konkret auf meiner Homepage stehen darf und welche Inhalte abgebildet werden müssen, wenn ich ein Youtube Video DSGVO- konform einbinden möchte.
Freue mich auf ein Feedback.
Das liegt daran, dass niemand außer Google als Anbieter von YouTube weiß, was mit den Daten passiert, die bei YouTube landen.
Deswegen können zahlreiche Google-Plugins nicht rechtssicher eingesetzt werden.
Für Videos empfehle ich Ihnen nach Möglichkeit: https://dr-dsgvo.de/datenschutzfreundliches-video-plugin-ohne-youtube-und-vimeo/
Ansonsten raten Sie den Text und leben Sie mit einer Rechtsunsicherheit. Der Text spielt nur eine untergeordnete Rolle. Wichtiger ist, dass Sie nach einer Einwilligung fragen. Wie das geht, steht hier: https://dr-dsgvo.de/checkliste
Wie Sie sehen, ist es kompliziert, eine Einwilligung rechtssicher abzufragen (sofern man weiß, was abzufragen ist). Daher rate ich dazu, dies möglichst zu vermeiden und datenschutzfreundliche Plugins zu verwenden.
Guten Tag,
schöner Artikel, danke fürs Teilen.
Ich betreue eine Webseite in die mehrere YT-Videos mittels iframe eingebettet sind, die aber erst nach einer Zustimmung geladen werden. Meine Frage: Wenn der User bei einem Video zugestimmt hat, darf ich seine Zustimmung als globalen Wert verstehen und alle anderen Videos auch laden?
Ich will demnächst auch Inhalte von Instagram einbetten. Verhält sich DSGVO in diesem Fall genauso?
Ich würde mich über eine Antwort freuen
Eine Zustimmung für Dienst X kann für diesen Dienst verwendet werden, wenn sie allgemein und nicht nur für einen Vorgang (=1 Video) erteilt wurde. Normalerweise wird eingewilligt, bis widerrufen wird.
Sie müssen also auch einen Widerruf anbieten.
Die Videos könnten allerdings auch lokal eingebunden werden, oder durch Aufruf der Videoplattform.
Lokal, siehe hier: https://dr-dsgvo.de/datenschutzfreundliches-video-plugin-ohne-youtube-und-vimeo/