YouTube-videos kan införas i webbsidor via ett skript. Detta är en dataskyddsrättslig problematik, eftersom flera datainsamlingar sker redan vid laddningen av detta skript. Även utan att spela upp det faktiska videon är "haren" alltså redan dödad.
YouTube villkor tillhandahålls tjänsten av YouTube LLC, USA. Därmed underkastas den redan kravet på samtycke med anledning av datatransfert till ett osäkert tredje land enligt artikel 44 i GDPR (se EU-domstolens dom om Privacy Shield och Cloud Act). Ignoreras detta, blir det ändå inte bättre ([1]) :
Användarvillkoren för Google måste för inbundna tjänster som _YouTube _ för följande aktiviteter inhämtas en samtycke ([1]) ([2]) :
användning av cookies eller andra former av lokal lagring av information, i den mån det enligt lag krävs att samtycke inhämtas för detta; och insamling, utlämnande och användning av personuppgifter för att anpassa annonser.
Source: https://www.google.com/about/company/user-consent-policy/
Inkorporering av YouTube Videos utan förbättrade integritetsinställningar behandlas inte vidare i detta inlägg, eftersom det då används samtyckeskrävande Cookies. Användarvillkoren för Google-koncernen kräver särskilt på grund av dessa Cookies en samtycke: Även direktiven för e-privacy kräver ett samtycke, och detta utgör en bindande reglering för Tyskland, som den högsta domstolen (BGH) fastställde 2020 i ett domslut. Den tyska regeln konkretiseras över § 25 TTDSG från december 2021. Från maj 2024 gäller TDDDG istället för TTDSG. Det är dock identiskt med det tidigare.
När man lägger in videor med aktiverade utökade integritetsinställningar (youtube-nocookie.com) sker följande:
- Skript och andra filer hämtas från domänerna youtube-nocookie.com, ytimg.com och _ggpht.com
- Google skriftar laddas från domänen gstatic.com
- Den DoubleClick Trackeren laddas ner från domänen _doubleclick.net
- YouTube sendet wenige Sekunden nach dem Laden der Seite (or des Videos?) Daten an Google (Beispiel: Zieladresse: https://www.youtube-nocookie.com/youtubei/v1/log_event?alt=json&key=xxxaSyAO_xxxlqU8Q4STEHLGCilw_Y9_11xxxx, Inhalt: {"context":{"client":{"hl":"de","gl":"DE","clientName":50,"clientVersion":"20201110"}},"events":[{"eventTimeMs":1606215721310,"visualElementHidden":{"csn":"T-i8X5q6xxxxx_AP_bSxxxx","ve":{"veType":11123},"eventType":12},"context":{"lastActivityMs":"262"}},{"eventTimeMs":1316245761311,"screenCreated":{"csn":"MCxxxxE3OTAwNzc1NTMzxxxxODY.","pageVe":{"veType":12421},"implicitGesture":{"parentCsn":"T-ixxxx6CNiWx_AP_bS68yy","gesturedVe":{"veType":12211}}},"context":{"lastActivityMs":"263"}},{"eventTimeMs":1102345661336,"foregroundHeartbeatScreenAssociated":{"clientDocumentNonce":"tV2_xxxx-TExxxxs","clientScreenNonce":"MC4wNxxxxTAwNzc1NTxxxxcyxxx."},"context":{"lastActivityMs":"288"}}],"requestTimeMs":"1111111111142","serializedClientEventId":{"serializedEventId":"A-xxxxq6Cxxxx_AP_bSxxxx","clientCounter":"1"}}
- DDoubleClick skickar – tydligen med och utan användarens handling eller eventuellt redan efter rörelser med muspekaren – i obestämda intervaller data till Google
- Trots nocookie-domenen sätts ett cookie namn CONSENT, och det även då inget video ska spelas upp. Detta cookie är i sig inte nödvändigt och kräver därmed en samtycke.
Dessa omfattande datainsamlingar är uppenbart inte att motivera med ett berättigat intresse. Således är bearbetningen utan samtycke inte laglig. Jämför med Artikel 6 GDPR (rättsliga grunder) i samband med Artikel 5 GDPR (dataminimisering), Artikel 25 GDPR (skydd av personuppgifter genom teknisk utformning) och Artikel 32 GDPR (säkerhet vid datahantering). Även cookies namn CONSENT är inte samtyckesfritt, som § 25 TTDSG avslöjar.
Om YouTube Videos med cookies läggs in, sätter de flera tredjepartscookies från domänen youtube.com (med längre giltighetstid) och är därför enligt samtyckesplikten att hänföra till. Detta framgår redan av punkt 5 § 3 i direktivet om elektronisk kommunikation, som på grund av §15 § 3 TMG i huvudsak även gäller för Tyskland, som BGH har fastställt.
Google klargör i allmänhet detta i sin integritetspolicy:
Vi samlar in data […] som […] YouTube-videor som du tycker är intressanta." och "Om du är inloggad på ett Google-konto samlar vi också in data som vi lagrar på ditt Google-konto och anser vara personuppgifter
Så ligger alltid en behandling av personuppgifter före, när en webbplats innehåller ett YouTube Video och besökaren är inloggad på sitt Google Konto. Eftersom webbplatsens ägare inte kan tvinga besökaren att logga ut från sitt Google Konto innan är alltid en samtycke att inhämtas!
Slutsats:
Youtube-videor, även utan användning av Cookies, kräver en samtycke innan de kan läggas in via ett Youtube-skript i en webbplats.
Slutsats ur ett GDPR-perspektiv och Googles användarvillkor
Bädda in YouTube-video via IFRAME
Jag har hittills bara kortfattat tittat på detta fall, eftersom skillnaderna mot skriptintegration först nyligen blev tydliga för mig. Jag kommer att gå in på detta mer i detalj här snart. Så mycket för nu:
Per IFRAME kan YouTube-videor tydligen ingående i en mer dataskyddsvänlig form än via ett YouTube-skript. När man använder youtube-nocookie.com som adress, sker vid laddningen av IFRAME flera dataöverföringar till den angivna adressen. Här sker fortfarande många överföringar, men inte till andra adresser. Även här förekommer spårningshändelser efter att IFRAMES har laddats, utan att användaren klickat på något. Dessa händelser upprepas också (periodiskt?).
Även om nocookie-inställningen är aktiverad sker överföringen av ett cookie med namnet CONSENT och värdet PENDING+107 (o.s.v.) ändå. I LocalStorage sparas en mängd ytterligare värden:
Utöver LocalStorage används också Session Storage och Indexed DB. Dessa lagringsnamn har jag hämtat från Firefox utvecklar-konsolen, som kan öppnas med tangenten F12. I menyfliken Web-Speicher syns de nämnda lagringarna.
Den LocalStorage utgör också en cookiespeicher! I ePrivacy-direktivet nämns ordet cookie inte heller. Istället talar man där om informationer som lagras på användarens enhet. Så gäller även för LocalStorage ePrivacy-direktivet i Tyskland!
Om videon sedan spelas upp, följer ytterligare dataöverföringar till adressen googlevideo.com.
Allt som allt är detta fortfarande långt ifrån dataskyddsvänligt, men bättre än integration via ett skript.
Alternativ för YouTube-videor
Vimeo-videor är inte en bra ersättning för YouTube-videor, eftersom de också skapar dataskyddsuppgifter. Här är ett urval av dataskyddsanpassade alternativ för att lägga in videor på din egen webbplats:
- Standard HTML, se till exempel min artikel om Google Tag Manager och det där inlagda videoklippet. Fungerar främst när videoklippet inte är för stort. De moderna servrar och nätverkskontingenterna räcker för en egen drift av mindre videor för de flesta webbplatser.
- Förhandsvisning med länk till videoplattform.
- Inga videor: Ibland är nyttan av videor osäker, varför inte helt enkelt borttala dem, särskilt om det är videor från andra?
- Andra videoplattformar (det är värt att titta på plattformar som Peertube som tillhör Fediverse)
Uppladdade videor
Om du absolut vill ladda upp en video till YouTube, oavsett om den ska integreras på en webbplats eller inte, har du rätt att få videon aktiverad.
Det finns ett beslut från Oberlandesgericht Dresden den 29 juni 2021, mål nr 4 W 396/21. Domstolen stämde Google Ireland Ltd för en ordningsbot på 100 000 euro för att de senarelagt frihämtning av ett video. Videon innehöll information om Corona. Innan dess hade ett domstol begärt att Google skulle frihämta videon. Detta följde Google inte upp och menade att de själva skulle pröva om videon borde frihämtas.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
