Moet er altijd toestemming worden gevraagd bij het inbouwen van YouTube-video's?

Ja, vanwege de gegevensverzameling en -overdracht naar derdenlanden, met name door het gebruikte script, is toestemming vereist. Dit is wettelijk verplicht en is gebaseerd op de ePrivacy Richtlijn en de AVG.

Wat zijn de gevolgen van het inzetten van YouTube-video's met een script?

De integratie via een script leidt tot uitgebreide dataverzameling en dataoverdracht, zelfs zonder het video af te spelen. Dit omvat het verzamelen van informatie over gebruikersgedrag en het gebruik van cookies, wat een toestemming vereist.

Hoe worden gegevens van YouTube-video's op websites opgeslagen?

YouTube gebruikt LocalStorage, Session Storage en IndexedDB om data op te slaan. Deze opslagtechnologieën zijn in feite cookies en vallen onder de voorwaarden van de ePrivacy Richtlijn.

Welke juridische aspecten moeten er worden meegenomen bij het integreren van YouTube-video's?

De integratie van YouTube-video's is problematisch vanwege privacyredenen. Daarnaast kunnen cookies zoals CONSENT met de waarde PENDING+107 worden verzonden, wat in strijd is met de ePrivacy-richtlijn. De rechtbank heeft Google aangezien voor het te laat vrijgeven van video's.

YouTube-video's: Kunnen video's in websites worden geïntegreerd in overeenstemming met de voorschriften voor gegevensbescherming?

YouTube-video's kunnen via een script in websites geïntegreerd worden. Dit is juridisch problematisch, omdat al bij het laden van dit script vele gegevens verzameld worden. Ook zonder afspelen van het echte video's is de haas dus al doodgeschoten.

Tekstbron YouTube Gebruiksvoorwaarden wordt de dienst van YouTube LLC, USA, aangeboden. Hierdoor valt hij al onder het vereiste toestemming op grond van de overdracht van gegevens naar een onveilig derde land volgens Artikel 44 AVG (zie ook EuG-rechtsoordeel over Privacy Shield en de Cloud Act). Als men dit ignoreert, wordt het niet beter:

Gebruiksvoorwaarden van Google moeten voor ingebouwde diensten zoals YouTube voor de volgende activiteiten toestemming vragen ([1]) :

het gebruik van cookies of andere vormen van lokale opslag van informatie, voor zover het verkrijgen van toestemming hiervoor wettelijk verplicht is; en het verzamelen, openbaar maken en gebruiken van persoonsgegevens voor het personaliseren van advertenties.
Bron: https://www.google.com/about/company/user-consent-policy/

De integratie van YouTube Videos zonder geavanceerde instellingen voor gegevensbescherming wordt in dit artikel niet verder behandeld, omdat hierbij cookies worden gebruikt die een toestemming vereisen. De gebruiksvoorwaarden van het Google-concern eisen vooral vanwege deze cookies een toestemming: Ook de richtlijn voor gegevensbescherming (ePrivacy) eist een toestemming, en dat is een bindende regelgeving voor Duitsland, zoals de Hoge Raad in 2020 in een vonnis heeft vastgesteld. De Duitse regeling wordt vanaf § 25 TTDSG concreter gemaakt vanaf december 2021. Sinds mei 2024 geldt het TDDDG in plaats van de TTDSG. Het is echter woordelijk gelijk.

Bij de invoeging van video's met geactiveerde uitgebreide privacy-instellingen (youtube-nocookie.com) gebeurt het volgende:

Scripten en andere bestanden worden van de domeinen youtube-nocookie.com, ytimg.com en ggpht.com geladen
Google lettertypen worden van de domein gstatic.com geladen ([1])
De DoubleClick Tracker wordt van de domein doubleclick.net geladen
YouTube sendet wenige Sekunden nach dem Laden der Seite (or des Videos?) Daten an Google (Beispiel: Zieladresse: https://www.youtube-nocookie.com/youtubei/v1/log_event?alt=json&key=xxxaSyAO_xxxlqU8Q4STEHLGCilw_Y9_11xxxx, Inhalt: {"context":{"client":{"hl":"de","gl":"DE","clientName":50,"clientVersion":"20201110"}},"events":[{"eventTimeMs":1606215721310,"visualElementHidden":{"csn":"T-i8X5q6xxxxx_AP_bSxxxx","ve":{"veType":11123},"eventType":12},"context":{"lastActivityMs":"262"}},{"eventTimeMs":1316245761311,"screenCreated":{"csn":"MCxxxxE3OTAwNzc1NTMzxxxxODY.","pageVe":{"veType":12421},"implicitGesture":{"parentCsn":"T-ixxxx6CNiWx_AP_bS68yy","gesturedVe":{"veType":12211}}},"context":{"lastActivityMs":"263"}},{"eventTimeMs":1102345661336,"foregroundHeartbeatScreenAssociated":{"clientDocumentNonce":"tV2_xxxx-TExxxxs","clientScreenNonce":"MC4wNxxxxTAwNzc1NTxxxxcyxxx."},"context":{"lastActivityMs":"288"}}],"requestTimeMs":"1111111111142","serializedClientEventId":{"serializedEventId":"A-xxxxq6Cxxxx_AP_bSxxxx","clientCounter":"1"}}
DoubleClick stuurt – kennelijk met en zonder actie van de gebruiker of mogelijk al na bewegingen met de muisaanwijzer – in onbepaalde tussenpozen gegevens naar Google
Ondanks de nocookie-domein wordt een cookie genaamd CONSENT gezet, en dat ook al als geen video afgespeeld moet worden zal worden. Dit cookie is op zichzelf niet noodzakelijk en heeft dus toestemming nodig.

Deze omvangrijke gegevensverzamelingen zijn duidelijk niet te rechtvaardigen met een gerechtvaardigd belang. Daarmee is de verwerking zonder toestemming niet wettig. Zie hiervoor Artikel 6 GDPR (Rechtsgronden) in combinatie met Artikel 5 GDPR (gegevensminimisering), Artikel 25 GDPR (gegevensbescherming door technische ontwerp) en Artikel 32 GDPR (veiligheid van de verwerking). Ook het cookie genaamd CONSENT is niet toestemmingsvrij, zoals § 25 TTDSG onthult.

Wanneer YouTube Videos met Cookies worden ingeladen, worden meerdere cookies van derden van de domein youtube.com (met een langere levensduur) geplaatst en zijn deze alleen daarom aan de toestemmingplicht te wijten. Dit blijkt al uit Artikel 5, lid 3 van de Richtlijn ePrivacy, die in wezen ook voor Duitsland geldt, zoals de Hoge Raad heeft vastgesteld.

Google maakt dit over het algemeen duidelijk in zijn privacybeleid:

We verzamelen gegevens, zoals YouTube-video's die u interessant vindt." en "Als u bent aangemeld bij een Google-account, verzamelen we ook gegevens die we opslaan in uw Google-account en die we beschouwen als persoonsgegevens

Er is altijd sprake van een verwerking van persoonsgegevens wanneer een website een YouTube Video invoegt en de bezoeker van de website is ingelogd bij zijn Google account. Aangezien de eigenaar van de website de bezoeker niet kan dwingen om zich vooraf af te melden bij zijn Google account, is er altijd toestemming nodig!

Conclusie:

Youtube Video's, zelfs zonder gebruik van cookies, hebben een toestemming nodig voordat ze worden geïntegreerd via een YouTube-script in een website.
Conclusie vanuit GDPR-perspectief en Google-gebruiksvoorwaarden

YouTube-video insluiten via IFRAME

Ik heb dit geval tot nu toe slechts kort bekeken, omdat de verschillen met scriptintegratie me pas onlangs duidelijk zijn geworden. Ik zal hier binnenkort dieper op ingaan. Tot zover voor nu:

Per IFRAME kunnen YouTube Videos blijkbaar wat gebruikersvriendelijker geïntegreerd worden dan via een YouTube-script. Wanneer men als adres youtube-nocookie.com gebruikt, vinden bij het laden van het IFRAME enkele gegevensoverdrachten plaats die alleen naar dat adres gaan. Hier vinden nog steeds heel veel overdrachten plaats, maar niet naar andere adressen. Toch zijn er ook hier tracking-events na het laden van het IFRAME zonder dat de gebruiker iets aanklikt. Deze vinden zelfs regelmatig (periodiek?) plaats.

Bovendien vindt er ondanks de nocookie-instelling een overdracht van een cookie genaamd CONSENT met de waarde PENDING+107 (of soortgelijk) plaats. In LocalStorage worden talrijke andere waarden opgeslagen:

LocalStorage, die wordt aangemaakt door YouTube (met de instelling "zonder cookies"), die ook cookies vertegenwoordigt. De waarden zijn afgesneden in de schermafbeelding

Naast de LocalStorage wordt ook nog de Session Storage uitgebreid gebruikt, eveneens de Indexed DB. Deze opslagnamen heb ik afgelezen van de Firefox ontwikkelersconsole, die via toets F12 geopend kan worden. In het mapje Web-Speicher zijn de genoemde opslagplaatsen te zien.

De LocalStorage is ook een cookie-opslagplaats! In de ePrivacy-verordening wordt het woord cookie trouwens niet genoemd. Daar wordt in plaats daarvan gesproken over informatie die op het eindapparaat van de gebruiker is opgeslagen. Dus geldt ook voor de LocalStorage de ePrivacy-verordening in Duitsland!

Als het video dan wordt afgespeeld, volgen er nog meer gegevensoverdrachten naar de adres googlevideo.com.

Al met al is dit nog steeds verre van gegevensbeschermingsvriendelijk, maar beter dan integratie via een script.

Alternatieven voor YouTube-video's

Vimeo-videos zijn geen goede alternatief voor YouTube-videos, omdat ze eveneens privacyproblemen veroorzaken. Hier is een selectie aan privacyvriendelijke mogelijkheden om videos op de eigen website in te binden:

Standaard HTML, zie je bijvoorbeeld mijn bijdrage aan Google Tag Manager en het daar ingebouwde video. Werkt vooral goed als het video niet te groot is. De moderne serverscapaciteiten en netwerkquota reiken voor een zelfbedrijf van kleinere videos uit voor de meeste websites.
Voorbeeldafbeelding met link naar videoplatform.
Geen video: Vaak is de voordelen van videos twijfelachtig, waarom niet gewoon weglaten, vooral als het om videos van anderen gaat?
En andere videoplatformen (het is de moeite waard om platforms als Peertube te bekijken, die tot het Fediverse behoren)

Geüploade video's

Als je absoluut een video wilt uploaden naar YouTube, ongeacht of deze geïntegreerd moet worden in een website of niet, heb je het recht om de video te activeren.

Erkennen doen we een besluit van het OLG Dresden van 29 juni 2021, zaaknummer 4 W 396/21. Het hof eiste Google Ireland Ltd. aan bij een boete van € 100.000 omdat ze te laat een video vrijgaven. De video bevatte informatie over corona. Eerder had een rechter Google opgeroepen om de video vrij te geven. Daarop weigerde Google en beweerde dat ze zelf precies zouden controleren of de video vrijgegeven moest worden.