YouTube Videos können über ein Script in Webseiten eingebettet werden. Dies ist datenschutzrechtlich problematisch, weil bereits beim Laden dieses Scripts zahlreichen Datenerhebungen stattfinden. Auch ohne das Abspielen des eigentlichen Videos ist der Hase also bereits erlegt.
Laut YouTube Nutzungsbedingungen wird der Dienst von YouTube LLC, USA, bereitgestellt. Damit unterliegt er bereits dem Einwilligungserfordernis aufgrund des Datentransfers in ein unsicheres Drittland gemäß Artikel 44 DSGVO (vgl. EuGH-Urteil zum Privacy Shield und den Cloud Act). Ignoriert man das, wird es dennoch nicht besser:
Laut Nutzungsbedingungen von Google muss für eingebundene Dienste wie YouTube für folgende Aktivitäten eine Einwilligung eingeholt werden:
…den Einsatz von Cookies oder anderer Formen der lokalen Speicherung von Informationen, soweit die Einholung einer Einwilligung hierfür gesetzlich vorgeschrieben ist; und die Erhebung, Weitergabe und Nutzung von personenbezogenen Daten zur Personalisierung von Werbeanzeigen.
Quelle: https://www.google.com/about/company/user-consent-policy/
Die Einbindung von YouTube Videos ohne erweiterte Datenschutzeinstellungen wird hier aus offensichtlichen Gründen nicht weiter betrachtet. Nur kurz soviel: Die Nutzungsbedingungen von Google (wer auch immer das genau sein mag) fordern eine Einwilligung, weil dabei Cookies verwendet werden. Auch die ePrivacy Richtlinie fordert eine Einwilligung, und die stellt eine verbindliche Regelung für Deutschland dar, wie der BGH im Jahr 2020 in einem Urteil festgestellt hat.
Bei der Einbindung von Videos mit aktivierten erweiterten Datenschutzeinstellungen (youtube-nocookie.com) passiert folgendes:
- Scripte und andere Dateien werden von den Domänen youtube-nocookie.com, ytimg.com und ggpht.com geladen
- Google Schriften werden von der Domäne gstatic.com geladen
- Der DoubleClick Tracker wird von der Domäne doubleclick.net geladen
- YouTube sendet wenige Sekunden nach dem Laden der Seite (oder des Videos?) Daten an Google (Beispiel: Zieladresse: https://www.youtube-nocookie.com/youtubei/v1/log_event?alt=json&key=xxxaSyAO_xxxlqU8Q4STEHLGCilw_Y9_11xxxx, Inhalt: {“context”:{“client”:{“hl”:”de”,”gl”:”DE”,”clientName”:50,”clientVersion”:”20201110″}},”events”:[{“eventTimeMs”:1606215721310,”visualElementHidden”:{“csn”:”T-i8X5q6xxxxx_AP_bSxxxx”,”ve”:{“veType”:11123},”eventType”:12},”context”:{“lastActivityMs”:”262″}},{“eventTimeMs”:1316245761311,”screenCreated”:{“csn”:”MCxxxxE3OTAwNzc1NTMzxxxxODY.”,”pageVe”:{“veType”:12421},”implicitGesture”:{“parentCsn”:”T-ixxxx6CNiWx_AP_bS68yy”,”gesturedVe”:{“veType”:12211}}},”context”:{“lastActivityMs”:”263″}},{“eventTimeMs”:1102345661336,”foregroundHeartbeatScreenAssociated”:{“clientDocumentNonce”:”tV2_xxxx-TExxxxs”,”clientScreenNonce”:”MC4wNxxxxTAwNzc1NTxxxxcyxxx.”},”context”:{“lastActivityMs”:”288″}}],”requestTimeMs”:”1111111111142″,”serializedClientEventId”:{“serializedEventId”:”A-xxxxq6Cxxxx_AP_bSxxxx”,”clientCounter”:”1″}}
- DoubleClick sendet – anscheinend mit und ohne Nutzeraktion bzw. evtl. schon nach Bewegungen mit dem Mauszeiger – in unbestimmten Abständen Daten an Google
Diese umfangreichen Datenerhebungen sind offensichtlich nicht mit dem berechtigten Interesse zu rechtfertigen. Somit ist die Verarbeitung ohne Einwilligung nicht rechtmäßig. Vgl. hierzu den Artikel 6 DSGVO (Rechtsgrundlagen) in Verbindung mit Artikel 5 DSGVO (Datenminimierung).
Werden YouTube Videos mit Cookies eingebunden, setzen sie mehrere Drittpartei-Cookies der Domäne youtube.com (mit längerer Lebensdauer) und sind alleine deswegen der Einwilligungspflicht zuzuordnen. Dies geht alleine schon aus Art. 5 Abs. 3 der ePrivacy Richtlinie hervor, die wegen §15 Abs. 3 TMG im Wesentlichen auch für Deutschland gilt, wie der BGH feststellte.
Fazit:
YouTube Videos, selbst ohne Verwendung von Cookies, bedürfen immer einer Einwilligung vor dem Einbinden in eine Webseite.
Schlussfolgerung aus DSGVO-Sicht und Google Nutzungsbedingungen
Alternativen für YouTube Videos
Nein, Vimeo Videos sind keine gute Alternative für YouTube Videos, weil sie ebenso Datenschutzprobleme erzeugen. Hier ist eine Auswahl an datenschutzfreundlichen Möglichkeiten, Videos auf der eigenen Webseite einzubinden:
- Standard HTML, siehe beispielsweise meinen Beitrag zum Google Tag Manager und das dort eingebundene Video. Funktioniert immer, wenn das Video nicht zu groß ist. Die modernen Server-Kapzitäten und Netzwerk-Kontingente reichen für einen Selbstbetrieb von kleineren Videos für die meisten Webseiten aus
- Vorschaubild mit Link auf Videoplattform
- Gar kein Video: Oft ist der Nutzen von Videos fraglich, warum nicht einfach weglassen, vor allem, wenn es Videos Dritter sind?