Відео на YouTube: Чи можна інтегрувати відео на веб-сайти відповідно до правил захисту даних?

Відео YouTube можна розмістити на Скрипті, який потім буде інтегрований у вебсторінку. Це створює проблеми щодо захисту даних, оскільки вже під час завантаження цього скріпта відбувається збір багатьох даних. І навіть без відтворення самого відео, "завоювання" вже відбулося.

Лист Правила використання YouTube послуги надається компанією YouTube LLC, США. Таким чином він вже підпадає під вимогу згоди щодо передачі даних в нерозумне третє державу згідно з статтею 44 GDPR (див. рішення ЄСПЛ щодо Privacy Shield та Cloud Act). Ігноруючи це, ситуація не стане краще:

Забезпечення умов використання Google , для інтегрованих послуг, таких як _YouTube__, необхідно отримати згоду користувача на такі дії ([1]) ([2]) :

використання файлів cookie або інших форм локального зберігання інформації, якщо отримання згоди на це вимагається законом; а також збір, розкриття та використання персональних даних для персоналізації реклами.

Джерело: https://www.google.com/about/company/user-consent-policy/

Включення відео YouTube без розширених налаштувань захисту даних не розглядається далі в цьому статті, оскільки при цьому використовуються обов'язкові до згоди файли cookie. Умови використання компанії Google вимагають особливо через ці файли cookie згоду: Також законодавство про приватність вимагає згоди, і воно є обов'язковим для Німеччини, як встановлено Верховним судом Німеччини у 2020 році в рішенні суду. Німецьке законодавство конкретизується шляхом зміни § 25 TTDSG з грудня 2021 року. З травня 2024 року діє TDDDG замість TTDSG. Однак воно ідентично до попереднього.

При включенні відео із активованим розширеним налаштуванням захисту даних (youtube-nocookie.com) відбувається таке:

• Скрипти та інші файли завантажуються з доменів youtube-nocookie.com, ytimg.com і _ggpht.com
• Google Шрифти завантажуються з домену gstatic.com
• Довідковий DoubleClick Tracker завантажується з домену _doubleclick.net
• YouTube sendet wenige Sekunden nach dem Laden der Seite (or des Videos?) Daten an Google (Beispiel: Zieladresse: https://www.youtube-nocookie.com/youtubei/v1/log_event?alt=json&key=xxxaSyAO_xxxlqU8Q4STEHLGCilw_Y9_11xxxx, Inhalt: {"context":{"client":{"hl":"de","gl":"DE","clientName":50,"clientVersion":"20201110"}},"events":[{"eventTimeMs":1606215721310,"visualElementHidden":{"csn":"T-i8X5q6xxxxx_AP_bSxxxx","ve":{"veType":11123},"eventType":12},"context":{"lastActivityMs":"262"}},{"eventTimeMs":1316245761311,"screenCreated":{"csn":"MCxxxxE3OTAwNzc1NTMzxxxxODY.","pageVe":{"veType":12421},"implicitGesture":{"parentCsn":"T-ixxxx6CNiWx_AP_bS68yy","gesturedVe":{"veType":12211}}},"context":{"lastActivityMs":"263"}},{"eventTimeMs":1102345661336,"foregroundHeartbeatScreenAssociated":{"clientDocumentNonce":"tV2_xxxx-TExxxxs","clientScreenNonce":"MC4wNxxxxTAwNzc1NTxxxxcyxxx."},"context":{"lastActivityMs":"288"}}],"requestTimeMs":"1111111111142","serializedClientEventId":{"serializedEventId":"A-xxxxq6Cxxxx_AP_bSxxxx","clientCounter":"1"}}
• DoubleClick відсилає – здається, як з визначенням дії користувача, так і без неї, а також після рухів миші – дані до Google у невизначених інтервалах часу
• Хоча домена nocookie, встановлюється cookie назви CONSENT, навіть якщо жодного відео не повинно грати. Цей cookie самостійно необхідний і потребує згоди.

Ці масштабні збори даних явно не мають підстав для обґрунтованого інтересу. Отже, обробка даних без згоди не є законною. Див. також Стаття 6 GDPR (правові підстави) у поєднанні із Статтею 5 GDPR (мінімалізація даних), Статті 25 GDPR (захист даних шляхом технічної реалізації) та Статті 32 GDPR (безпека обробки даних). Також cookie з назвою CONSENT не є згодою, як повідомляє § 25 TTDSG.

Якщо у відео YouTube використовуються Cookies, вони встановлюють декілька третіх сторінок Cookies домену youtube.com (з більшою тривалістю дії) і тому підлягають обов'язковій згоді. Це вже з огляду на ст. 5, п. 3 директиви про захист особистих даних, яка згідно із §15 Abs. 3 TMG у своїй сутності також застосовується до Німеччини, як встановив BGH.

Google зазвичай чітко вказує на це у своїй політиці конфіденційності:

Ми збираємо дані […], такі як […] відео на YouTube, які ви вважаєте цікавими." і "Якщо ви ввійшли в обліковий запис Google, ми також збираємо дані, які ми зберігаємо у вашому обліковому записі Google і вважаємо персональними даними

Сумісно з цим завжди відбувається обробка персональних даних, коли вебсторінка включає відео YouTube і відвідувач сторінки залогінений у своє Google Кonto. Поки власник сторінки не змусить відвідувача вийти зі свого Google Конто раніше, завжди необхідно отримувати згоду!

Висновок:

Вставити відео з YouTube через IFRAME

Поки що я лише коротко розглянув цей випадок, оскільки відмінності від інтеграції скриптів стали мені зрозумілими лише нещодавно. Незабаром я розповім про це більш детально тут. Наразі це все:

Для ІФРЕМА YouTube відео можна встановити досить конфіденціально, ніж за допомогою скрипту YouTube. Використовуючи адресу youtube-nocookie.com, при завантаженні ІФРЕМА відбувається кілька передач даних, які відбуваються лише на вказану адресу. Тут все ще відбувається багато передач даних, але ні до якої іншої адреси. Тим не менш, навіть тут відбуваються події відстеження після завантаження ІФРЕМА без того, щоб користувач щось клацнув. Вони навіть знову відбуваються (з періодичністю?).

Також відбувається передача файлу cookie імені CONSENT із значенням PENDING+107 (або подібним). У LocalStorage зберігаються численні інші значення:

Покрім LocalStorage, широко використовуються також Session Storage, а також Indexed DB. Ці назви зберігання я взяв із Firefox Developer Console, яку можна відкрити натиснувши клавішу F12. У каталозі Web-Speicher можна побачити згадані зберігання.

LocalStorage_ теж є зберігачем cookie! У директиві ePrivacy не згадується слово Cookie. Там говориться про інформацію, яка зберігається на кінцевому пристрої користувача. Отже, для LocalStorage також застосовується директива ePrivacy в Німеччині!

Якщо відео тоді буде відігране, будуть виконані додаткові передачі даних до адреси googlevideo.com.

Загалом, це все ще далеко від захисту даних, але краще, ніж інтеграція через скрипт.

Альтернативи для відео на YouTube

Відео Vimeo не є доброю альтернативою для відео YouTube , оскільки вони теж створюють проблеми з захистом даних. Нижче наведено вибірка можливостей, які не порушують захист даних, щоб розмістити відео на власній вебсторінці:

• Стандартний HTML, дивіться, наприклад, мій Beitrag до Google Tag Manager та відео, яке там інтегроване. Працює головним чином тоді, коли відео не дуже велике. Сучасні серверні можливості та мережеві обмеження досить добре підходять для самодіяльного управління невеликими відео для більшості вебсайтів.
• Прев'ю з посиланням на відеоплатформу.
• Гар кінотекст відсутній: Часто користь від відео сумнівна, чому не просто видаляти їх, особливо коли це відео третіх осіб?
• Інші відеоплатформи (сумісся, платформами як Peertube дивитися, які належать до Fediverse)

Завантажені відео

Якщо ви категорично бажаєте завантажити відео на YouTube, незалежно від того, чи буде воно інтегроване на веб-сайт, чи ні, ви маєте право активувати це відео.

Є рішення суду ОЛГ Дрездена від 29 червня 2021 року, Az. 4 W 396/21. Суд вимагав від Google Ireland Ltd. виплатити штраф у розмірі 100 тисяч євро за пізнє випущення відеоролика. Відеоролик містив інформацію про коронавірус. До цього суду вже попереджали Google звільнити відеоролик. Але Google відмовився виконувати це і сказав, що самостійно перевірить, чи потрібно звільнити відеоролик.