YouTube-videoer: Kan videoer integreres på hjemmesider i overensstemmelse med databeskyttelsesreglerne?

YouTube videoer kan indsættes på websider via et skript. Dette er en dataskyddsforskningsmæssig problem, fordi der allerede ved at laste dette skrift mange datainsamlinger finder sted. Selv uden at spille det egentlige video er haren således allerede slået.

Laut YouTube Nutzungsbedingungen bliver tjenesten fra YouTube LLC, USA, tilgængelig. Derved underligger den allerede krav om samtykke på grund af overførslen af data til et usikkert tredjeland efter Artikel 44 GDPR (se EuGH-Urteil om Privacy Shield og den Cloud Act). Ignorerer man dette, bliver det dog ikke bedre:

Laut Nutzungsbedingungen af Google skal der for tilkoblede tjenester som YouTube høres en samtykke til følgende aktiviteter:

brugen af cookies eller andre former for lokal lagring af oplysninger, i det omfang indhentning af samtykke til dette er påkrævet ved lov; og indsamling, videregivelse og brug af personoplysninger til personalisering af reklamer.

Kilde: https://www.google.com/about/company/user-consent-policy/

Inddragelse af YouTube videoer uden udvidet privatlivspolitik bliver i denne artikel ikke videre undersøgt, fordi der her anvendes samtykningspligtige cookies. Brugsbetingelserne for Google-koncernen kræver især på grund af disse cookies en samtykke: Selv ePrivacy-direktivet kræver en samtykke, og det er en bindende reglementering for Tyskland, som BGH i 2020 fastslog i et domfældende. Den tyske reglementering bliver over § 25 TTDSG konkretiseret fra december 2021. Siden maj 2024 gælder TDDDG i stedet for TTDSG. Det er dog ordret samme.

Til indførelse af videoer med aktiveret udvidet privatlivsinstilling (youtube-nocookie.com) sker følgende:

• Skripter og andre filer bliver lastet fra domænerne youtube-nocookie.com, ytimg.com og _ggpht.com
• Google skriftformer bliver lastet fra domænet gstatic.com
• Der DoubleClick Tracker bliver lastet fra domænet _doubleclick.net
• YouTube sendet wenige Sekunden nach dem Laden der Seite (or des Videos?) Daten an Google (Beispiel: Zieladresse: https://www.youtube-nocookie.com/youtubei/v1/log_event?alt=json&key=xxxaSyAO_xxxlqU8Q4STEHLGCilw_Y9_11xxxx, Inhalt: {"context":{"client":{"hl":"de","gl":"DE","clientName":50,"clientVersion":"20201110"}},"events":[{"eventTimeMs":1606215721310,"visualElementHidden":{"csn":"T-i8X5q6xxxxx_AP_bSxxxx","ve":{"veType":11123},"eventType":12},"context":{"lastActivityMs":"262"}},{"eventTimeMs":1316245761311,"screenCreated":{"csn":"MCxxxxE3OTAwNzc1NTMzxxxxODY.","pageVe":{"veType":12421},"implicitGesture":{"parentCsn":"T-ixxxx6CNiWx_AP_bS68yy","gesturedVe":{"veType":12211}}},"context":{"lastActivityMs":"263"}},{"eventTimeMs":1102345661336,"foregroundHeartbeatScreenAssociated":{"clientDocumentNonce":"tV2_xxxx-TExxxxs","clientScreenNonce":"MC4wNxxxxTAwNzc1NTxxxxcyxxx."},"context":{"lastActivityMs":"288"}}],"requestTimeMs":"1111111111142","serializedClientEventId":{"serializedEventId":"A-xxxxq6Cxxxx_AP_bSxxxx","clientCounter":"1"}}
• DoubleClick sender – tydeligvis med og uden brugeraktion samt muligvis allerede efter bevægelser med muspekere – i ubestemte afstande data til Google
• Trotz af nocookie-domænet bliver et cookie med navn CONSENT sat, og det sker også, når der ikke skal spilles nogen video. Dette cookie er i sig selv ikke nødvendigt og kræver således en samtykke.

Disse omfattende dataindsamlinger er tydeligvis ikke til at rette med det berettigede interesse. Således er behandlingen uden samtykke ikke lovlige. Se her til Art. 6 GDPR (retlige grundlag) i forbindelse med Art. 5 GDPR (dataminimale), Art. 25 GDPR (dataskydd ved teknisk design) og Art. 32 GDPR (sikkerhed af behandling). Og også kiksnavnet CONSENT er ikke samtykkefrit, som § 25 TTDSG afslører.

Når YouTube videoer med Cookies indsættes, sætter de flere tredjeparts-Cookies fra domænet youtube.com (med længere levetid) og er derfor alene til at være underlagt samtykkelsespligt. Dette følger allerede blot af Art. 5 Abs. 3 i ePrivacy-rettighederne, som på grund af §15 Abs. 3 TMG i hovedsagen også gælder for Tyskland, som BGH har fastsat.

Google gør det generelt klart i sin privatlivspolitik:

Vi indsamler data […] såsom […] YouTube-videoer, som du finder interessante." og "Hvis du er logget ind på en Google-konto, indsamler vi også data, som vi gemmer på din Google-konto og anser for at være personlige data

Således ligger altid en behandling af personlige oplysninger for, når en hjemmeside indlader et YouTube Video og besøgende på hjemmesiden er logget ind i sit Google Konto. Da hjemmesides ejeren ikke kan tvinge besøgende til at logge ud fra deres Google Konto først, er altid en samtykkekrav!

Konklusion:

Indlejring af YouTube-video via IFRAME

Jeg har kun set kort på denne sag indtil videre, da forskellene i forhold til scriptintegration først for nylig er gået op for mig. Jeg vil snart komme nærmere ind på det her. Så meget for nu:

For IFRAME kan YouTube videoer tydeligvis indsættes på en måde, der er mere datatilgivendevenlig end ved hjælp af et YouTube-script. Hvis man bruger adresse youtube-nocookie.com, finder der flere dataoverførsler sted under indlæsningen af IFRAME, som kun går til den nævnte adresse. Her finder der stadig mange overførsler sted, men ikke til andre adresser. Dog forekommer også her tracking-aktiviteter efter indlæsningen af IFRAMES uden at brugeren har klikket på noget. Disse finder endda igen (periodisk?) sted.

Desuden finder man trods nocookie-indstillingen overførslen af et cookie med navn CONSENT med værdien PENDING+107 (o.l.) til stedet. I LocalStorage bliver mange flere værdier gemt:

Bortset fra LocalStorage bliver også Session Storage og Indexed DB. meget brugt. Disse opslagssteder har jeg hentet fra Firefox' udviklerkonsole, som åbnes ved at trykke på tasten F12. I menuen Web-Speicher kan de nævnte opslagssystemer ses.

Den LocalStorage er også en cookie-lagerplads! I den ePrivacy-Richtlinie nævnes ordet cookie heller ikke. Derimod taler man der om informationer, der er gemt på brugerens enhed. Så gælder også for LocalStorage ePrivacy-Richtlinien i Tyskland!

Hvis videoklippen så bliver afspillet, følger der yderligere dataoverførsler til adresse googlevideo.com.

Alt i alt er det stadig langt fra databeskyttelsesvenligt, men bedre end integration via et script.

Alternativer til YouTube-videoer

Vimeo videoer er ikke en god alternative til YouTube videoer, fordi de også skaber samme slags privatlivsproblemer. Her er en udvalg af privatlivsfrie muligheder, hvor man kan indsætte videoer på sin egen hjemmeside:

• Standard HTML, se for eksempel min artikel til Google Tag Manager og det der indeholdende video. Funktionerer især godt, hvis videoen ikke er for stor. De moderne serverkapaciteter og netværkskontingenter rækker til selvstændig drift af mindre videoer på de fleste websteder.
• Forsidebillede med link til videoplatform.
• Ingen video: Ofte er fordelene ved videoer usikre, hvorfor ikke blot fjerne dem, især hvis det drejer sig om videoer fra andre?
• Andre videoplattformer (det værd at se på plattform som Peertube, der er tilknyttet Fediverse)

Uploadede videoer

Hvis du absolut vil uploade en video til YouTube, uanset om den skal integreres på en hjemmeside eller ej, har du ret til at få videoen aktiveret.

Der OLG Dresden har ved afgørelse af 29.06.2021, sagsnr. 4 W 396/21, dømt Google Ireland Ltd. til en bøde på 100.000 Euro for at have åbnet et videoindhold for sent. Videoindholdet indeholdt oplysninger om Corona. Før dette havde et andet domstol krævet af Google at åbne videoindholdet. Det gjorde Google ikke, og mente selv nødvendigt at prøve om videoindholdet skulle åbnes.