Filmy z YouTube: Czy filmy mogą być zintegrowane ze stronami internetowymi zgodnie z przepisami o ochronie danych?

Wideo z YouTube można umieścić na Skrypcie w stronach internetowych. Jest to problematyczne pod kątem ochrony danych, ponieważ już przy załadowaniu tego skryptu następuje gromadzenie wielu danych. Tak więc bezpośrednie odtwarzanie samego filmu nie jest potrzebne, aby "zabijać" zajączka.

Tekst źródłowy: Laut YouTube Warunki korzystania z serwisu dostarcza usługę YouTube LLC, USA. Zatem podlega już wymogowi zgody na przesyłanie danych do niebezpiecznego państwa trzeciego zgodnie z art. 44 RODO (porównaj wyrok Trybunału Sprawiedliwości Unii Europejskiej dotyczący Privacy Shield oraz Cloud Act). Zignorowanie tego nie zmieni nic:

Warunki korzystania z Google muszą być zaakceptowane dla usług wplecionych, takich jak YouTube , aby uzyskać zgodę na następujące działania ([1]) ([2]) :

korzystania z plików cookie lub innych form lokalnego przechowywania informacji, o ile uzyskanie na to zgody jest wymagane przez prawo; oraz gromadzenia, ujawniania i wykorzystywania danych osobowych w celu personalizacji reklam.

Źródło: https://www.google.com/about/company/user-consent-policy/

Włączenie filmów YouTube bez zaawansowanych ustawień prywatności nie będzie dalej rozważane w tym artykule, ponieważ w takim przypadku są stosowane pliki cookies wymagające zgody. Warunki korzystania z usług Google samego wymieniają szczególnie z powodu tych plików cookies wymaganą zgodę: Także Dyrektywa ePrivacy wymaga zgody, a jest to obowiązująca regulacja w Niemczech, jak orzekł BGH w 2020 roku w wyroku. Regulacja niemiecka zostanie skonsolidowana w grudniu 2021 r. przez § 25 TTDSG , a od maja 2024 r. obowiązuje TDDDG zamiast TTDSG. Jest jednak identyczny z tym ostatnim. ([1])

Podczas włączania wideo z aktywowanymi ustawieniami prywatności rozszerzonymi (youtube-nocookie.com) następuje:

• Skrypty i inne pliki są ładowane z domen youtube-nocookie.com, ytimg.com i _ggpht.com
• Napisy Google są ładowane z domeny gstatic.com
• Pobiera się z domeny doubleclick.net DoubleClick Tracker
• YouTube sendet wenige Sekunden nach dem Laden der Seite (or des Videos?) Daten an Google (Beispiel: Zieladresse: https://www.youtube-nocookie.com/youtubei/v1/log_event?alt=json&key=xxxaSyAO_xxxlqU8Q4STEHLGCilw_Y9_11xxxx, Inhalt: {"context":{"client":{"hl":"de","gl":"DE","clientName":50,"clientVersion":"20201110"}},"events":[{"eventTimeMs":1606215721310,"visualElementHidden":{"csn":"T-i8X5q6xxxxx_AP_bSxxxx","ve":{"veType":11123},"eventType":12},"context":{"lastActivityMs":"262"}},{"eventTimeMs":1316245761311,"screenCreated":{"csn":"MCxxxxE3OTAwNzc1NTMzxxxxODY.","pageVe":{"veType":12421},"implicitGesture":{"parentCsn":"T-ixxxx6CNiWx_AP_bS68yy","gesturedVe":{"veType":12211}}},"context":{"lastActivityMs":"263"}},{"eventTimeMs":1102345661336,"foregroundHeartbeatScreenAssociated":{"clientDocumentNonce":"tV2_xxxx-TExxxxs","clientScreenNonce":"MC4wNxxxxTAwNzc1NTxxxxcyxxx."},"context":{"lastActivityMs":"288"}}],"requestTimeMs":"1111111111142","serializedClientEventId":{"serializedEventId":"A-xxxxq6Cxxxx_AP_bSxxxx","clientCounter":"1"}}
• DoubleClick wysyła – być może zarówno z jak i bez interakcji użytkownika, a także już po poruszaniu kursora myszką – dane do Google w nieokreślonych odstępach czasu
• Chociaż domena nocookie, ustawiane jest cookie o nazwie CONSENT, a nawet wtedy, gdy nie ma zamiaru odtworzenia żadnego filmu. To cookie nie jest wymagane i wymaga zatem zgody.

Te powszechnie przeprowadzane gromadzenie danych nie jest oczywistym uzasadnieniem do realizacji uprawnionego interesu. Zatem ich przetwarzanie bez zgody nie jest zgodne z prawem. Porównaj to z Art. 6 RODO (podstawy prawa) wraz z Art. 5 RODO (minimalizacja danych), Art. 25 RODO (ochrona danych przy pomocy technologii) oraz Art. 32 RODO (bezpieczeństwo przetwarzania). Także plik cookie o nazwie CONSENT nie jest wolny od zgody, jak wynika z § 25 TTDSG.

Jeśli na stronie są YouTube Videos z plikami cookies, wstawiają one kilka plików cookies trzeciej strony z domeny youtube.com (z dłuższą żywotnością) i dlatego podlegają obowiązkowi zgody. To wynika już tylko z art. 5 ust. 3 dyrektywy ePrivacy, która w zasadzie obowiązuje również w Niemczech, jak orzekł BGH.

Google ogólnie jasno określa to w swojej polityce prywatności:

Gromadzimy dane, takie jak interesujące użytkownika filmy z serwisu YouTube" oraz "Jeśli użytkownik jest zalogowany na konto Google, gromadzimy również dane, które przechowujemy na koncie Google użytkownika i uznajemy za dane osobowe"

Tak więc zawsze jest zawarte przetwarzanie danych osobowych, gdy strona internetowa włącza film YouTube i odwiedzający strony jest zalogowany do swojego konta Google. Ponieważ administrator strony nie może zmusić odwiedzającego, aby się przedtem wylogował z konta Google, zawsze należy uzyskać zgodę!

Wnioski:

Osadzanie wideo YouTube za pomocą IFRAME

Do tej pory tylko pobieżnie przyjrzałem się temu przypadkowi, ponieważ różnice w stosunku do integracji skryptów dopiero niedawno stały się dla mnie jasne. Wkrótce omówię to bardziej szczegółowo. Na razie to tyle:

Poprzez IFRAME można wgrać filmy z YouTube w sposób bardziej dostosowany do ochrony danych niż za pomocą skryptu YouTube. Jeśli używa się adresu youtube-nocookie.com, podczas ładowania IFRAME-u następują transmisje danych, które dotyczą tylko tego adresu. Wciąż jest wiele transferów, ale nie są one kierowane do innych adresów. Jednakże również w tym przypadku występują wydarzenia związane z monitoringiem po załadowaniu IFRAME-u, bez żeby użytkownik kliknął coś. Te wydarzenia powtarzają się nawet regularnie (czasem?).

Także przy ustawieniu nocookie następuje transfer pliku cookie o nazwie CONSENT z wartością PENDING+107 (itp.). W LocalStorage są przechowywane liczne dodatkowe wartości:

Obok LocalStorage jest również szeroko wykorzystywana Session Storage, a także Indexed DB. Te oznaczenia magazynu wzięłam z konsoli deweloperskiej Firefox, która otwiera się za pomocą przycisku F12. W menu Web-Speicher widoczne są wymienione poniżej magazyny.

Pamięć lokalna również jest magazynem plików cookie! W ePrivacy-Richtlinii nie jest wspominane słowo "plik cookie". Zamiast tego mowa jest o informacjach przechowywanych w urządzeniu użytkownika, dlatego w Niemczech również obowiązuje dla pamięci lokalnej ePrivacy-Richtlinia!

Jeśli wtedy zostanie odtworzone video, następują kolejne transfer danych do adresu googlevideo.com.

Podsumowując, jest to nadal dalekie od przyjaznego dla ochrony danych, ale lepsze niż integracja za pomocą skryptu.

Alternatywy dla filmów z YouTube

Wideo na Vimeo nie są dobrym alternatywą dla wideo na YouTube, ponieważ również powodują problemy z ochroną danych osobowych. Oto kilka opcji, które umożliwią włączenie wideo bezpiecznie i zgodnie z prawem:

• Standardowy HTML, zobacz np. mój artykuł o Google Tag Managerze i tam umieszczony film. Działa przede wszystkim, jeśli film nie jest za duży. Nowoczesne zdolności serwerów i kontyngent sieciowy wystarczają do samodzielnego zarządzania mniejszymi filmami dla większości stron internetowych.
• Przeglądowy obrazek z linkiem na platformę wideo.
• Nie ma wideo: Czasem korzyści z wideo są kwestią wątpliwości dlaczego nie usunąć, zwłaszcza gdy chodzi o filmy innych osób?
• Inna platforma wideo (jest na co warto patrzeć, platformy takie jak Peertube, które związane są z Fediverse)

Przesłane filmy wideo

Jeśli koniecznie chcesz przesłać film na YouTube, niezależnie od tego, czy ma on zostać zintegrowany ze stroną internetową, czy nie, masz prawo do aktywacji filmu.

Do tego małżonek jest postanowieniem Sądu Apelacyjnego w Dreźnie z dnia 29.06.2021, nr sprawy 4 W 396/21. Sąd skierował do sądzie Google Ireland Ltd. karę grzywny w wysokości 100.000 Euro za opóźnienie wypuszczenia na wolność jednego filmu. Film zawierał informacje o koronawirusie. Wcześniej sąd poprosił Googla, aby ten film został wypuszczony na wolność. Google nie zrobił tego i powiedział, że sam będzie sprawdzać, czy film może być wypuszczony.