YouTube Videos: Einbindung auf Webseiten datenschutzkonform möglich?

Kategorien: Datenschutz und Tracking

YouTube Videos können über ein Script in Webseiten eingebettet werden. Dies ist datenschutzrechtlich problematisch, weil bereits beim Laden dieses Scripts zahlreichen Datenerhebungen stattfinden. Auch ohne das Abspielen des eigentlichen Videos ist der Hase also bereits erlegt.

Laut YouTube Nutzungsbedingungen wird der Dienst von YouTube LLC, USA, bereitgestellt. Damit unterliegt er bereits dem Einwilligungserfordernis aufgrund des Datentransfers in ein unsicheres Drittland gemäß Artikel 44 DSGVO (vgl. EuGH-Urteil zum Privacy Shield und den Cloud Act). Ignoriert man das, wird es dennoch nicht besser:

Laut Nutzungsbedingungen von Google muss für eingebundene Dienste wie YouTube für folgende Aktivitäten eine Einwilligung eingeholt werden:

… den Einsatz von Cookies oder anderer Formen der lokalen Speicherung von Informationen, soweit die Einholung einer Einwilligung hierfür gesetzlich vorgeschrieben ist; und die Erhebung, Weitergabe und Nutzung von personenbezogenen Daten zur Personalisierung von Werbeanzeigen.

Quelle: https://www.google.com/about/company/user-consent-policy/

Die Einbindung von YouTube Videos ohne erweiterte Datenschutzeinstellungen wird in diesem Beitrag nicht weiter betrachtet, weil dabei einwilligungspflichtige Cookies zum Einsatz kommen. Die Nutzungsbedingungen des Google Konzerns selbst fordern insbesondere wegen dieser Cookies eine Einwilligung: Auch die ePrivacy Richtlinie fordert eine Einwilligung, und die stellt eine verbindliche Regelung für Deutschland dar, wie der BGH im Jahr 2020 in einem Urteil festgestellt hat. Die deutsche Regelung wird über § 25 TTDSG ab Dezember 2021 konkretisiert.

Bei der Einbindung von Videos mit aktivierten erweiterten Datenschutzeinstellungen (youtube-nocookie.com) passiert Folgendes:

• Scripte und andere Dateien werden von den Domänen youtube-nocookie.com, ytimg.com und ggpht.com geladen
• Google Schriften werden von der Domäne gstatic.com geladen
• Der DoubleClick Tracker wird von der Domäne doubleclick.net geladen
• YouTube sendet wenige Sekunden nach dem Laden der Seite (oder des Videos?) Daten an Google (Beispiel: Zieladresse: https://www.youtube-nocookie.com/youtubei/v1/log_event?alt=json&key=xxxaSyAO_xxxlqU8Q4STEHLGCilw_Y9_11xxxx, Inhalt: {“context”:{“client”:{“hl”:”de”,”gl”:”DE”,”clientName”:50,”clientVersion”:”20201110″}},”events”:[{“eventTimeMs”:1606215721310,”visualElementHidden”:{“csn”:”T-i8X5q6xxxxx_AP_bSxxxx”,”ve”:{“veType”:11123},”eventType”:12},”context”:{“lastActivityMs”:”262″}},{“eventTimeMs”:1316245761311,”screenCreated”:{“csn”:”MCxxxxE3OTAwNzc1NTMzxxxxODY.”,”pageVe”:{“veType”:12421},”implicitGesture”:{“parentCsn”:”T-ixxxx6CNiWx_AP_bS68yy”,”gesturedVe”:{“veType”:12211}}},”context”:{“lastActivityMs”:”263″}},{“eventTimeMs”:1102345661336,”foregroundHeartbeatScreenAssociated”:{“clientDocumentNonce”:”tV2_xxxx-TExxxxs”,”clientScreenNonce”:”MC4wNxxxxTAwNzc1NTxxxxcyxxx.”},”context”:{“lastActivityMs”:”288″}}],”requestTimeMs”:”1111111111142″,”serializedClientEventId”:{“serializedEventId”:”A-xxxxq6Cxxxx_AP_bSxxxx”,”clientCounter”:”1″}}
• DoubleClick sendet – anscheinend mit und ohne Nutzeraktion bzw. evtl. schon nach Bewegungen mit dem Mauszeiger – in unbestimmten Abständen Daten an Google

Diese umfangreichen Datenerhebungen sind offensichtlich nicht mit dem berechtigten Interesse zu rechtfertigen. Somit ist die Verarbeitung ohne Einwilligung nicht rechtmäßig. Vgl. hierzu den Art. 6 DSGVO (Rechtsgrundlagen) in Verbindung mit Art. 5 DSGVO (Datenminimierung), Art. 25 DSGVO (Datenschutz durch Technikgestaltung) und Art. 32 DSGVO (Sicherheit der Verarbeitung).

Werden YouTube Videos mit Cookies eingebunden, setzen sie mehrere Drittpartei-Cookies der Domäne youtube.com (mit längerer Lebensdauer) und sind alleine deswegen der Einwilligungspflicht zuzuordnen. Dies geht alleine schon aus Art. 5 Abs. 3 der ePrivacy Richtlinie hervor, die wegen §15 Abs. 3 TMG im Wesentlichen auch für Deutschland gilt, wie der BGH feststellte.

Generell stellt Google in seiner Datenschutzerklärung klar:

„Wir erheben Daten, […] wie zum Beispiel […] YouTube-Videos, die Sie interessant finden.“ und „Wenn Sie in einem Google-Konto angemeldet sind, erheben wir auch Daten, die wir in Ihrem Google-Konto speichern und als personenbezogene Daten erachten.“

Somit liegt immer eine Verarbeitung personenbezogener Daten vor, wenn eine Webseite ein YouTube Video einbindet und der Besucher der Webseite in seinem Google Konto angemeldet ist. Da der Betreiber der Webseite den Besucher nicht zwingen kann, sich vorher von seinem Google Konto abzumelden, ist immer eine Einwilligung einzuholen!

Fazit:

YouTube Video über IFRAME einbinden

Diesen Fall habe ich mir bisher nur kurz angesehen, da mir die Unterschiede zur Script-Einbindung erst kürzlich deutlich wurden. Ich werde hier bald näher darauf eingehen. Soviel für das Erste:

Per IFRAME können YouTube Videos anscheinend etwas datenschutzfreundlicher eingebunden werden als über ein YouTube-Script. Verwendet man als Adresse youtube-nocookie.com, finden beim Laden des IFRAME einige Datentransfers statt, die nur auf die eben genannte Adresse gehen. Hier finden immer noch recht viele Transfers statt, aber nicht zu anderen Adressen. Dennoch gibt es auch hier Tracking Events nach Laden des IFRAMES, ohne dass der Nutzer etwas anklickt. Diese finden sogar immer wieder (periodisch?) statt.

Außerdem findet trotz nocookie-Einstellung der Transfer eines Cookies namens CONSENT mit dem Wert PENDING+107 (o. ä.) statt. In der LocalStorage werden zahlreiche weitere Werte abgespeichert:

Neben der LocalStorage wird auch noch die Session Storage extensiv genutzt, ebenfalls die Indexed DB. Diese Speicherbezeichnungen habe ich der Firefox Entwicklerkonsole entnommen, die über die Taste F12 geöffnet werden kann. Im Karteireiter Web-Speicher sind die genannten Speicher zu sehen.

Die LocalStorage stellt ebenfalls einen Cookie-Speicher dar! In der ePrivacy-Richtlinie wird das Wort Cookie zudem nicht erwähnt. Vielmehr wird dort von Informationen, die im Endgerät des Nutzers gespeichert sind, gesprochen. Also gilt auch für die LocalStorage die ePrivacy-Richtlinie in Deutschland!

Wird das Video dann abgespielt, folgen weitere Datentransfers zur Adresse googlevideo.com.

Alles in allem ist dies immer noch entfernt von datenschutzfreundlich, aber besser als die Einbindung über ein Script.

Alternativen für YouTube Videos

Vimeo Videos sind keine gute Alternative für YouTube Videos, weil sie ebenso Datenschutzprobleme erzeugen. Hier ist eine Auswahl an datenschutzfreundlichen Möglichkeiten, Videos auf der eigenen Webseite einzubinden:

• Standard HTML, siehe beispielsweise meinen Beitrag zum Google Tag Manager und das dort eingebundene Video. Funktioniert vor allem, wenn das Video nicht zu groß ist. Die modernen Server-Kapazitäten und Netzwerk-Kontingente reichen für einen Selbstbetrieb von kleineren Videos für die meisten Webseiten aus.
• Vorschaubild mit Link auf Videoplattform.
• Gar kein Video: Oft ist der Nutzen von Videos fraglich, warum nicht einfach weglassen, vor allem, wenn es Videos Dritter sind?
• Andere Videoplattform (es lohnt sich, Plattformen wie Peertube anzusehen, die dem Fediverse zugeordnet sind)

Hochgeladene Videos

Sollte unbedingt der Wunsch bestehen, auf YouTube ein Video hochzuladen, egal ob es danach auf einer Webseite eingebunden werden soll oder nicht, besteht grundsätzlich das Recht auf eine Freischaltung des Videos.

Hierzu gibt es einen Beschluss des OLG Dresden vom 29.06.2021, Az. 4 W 396/21. Das Gericht verklagte die Google Ireland Ltd. zu einem Ordnungsgeld von 100.000 Euro wegen verspäteter Freischaltung eines Videos. Das Video enthielt Informationen zu Corona. Zuvor hatte ein Gericht Google aufgefordert, das Video freizuschalten. Dem kam Google nicht nach und meinte, selber genau prüfen zu wollen, ob das Video freizuschalten ist.