gekennzeichnet. 
YouTube Videos können über ein Script in Webseiten eingebettet werden. Dies ist datenschutzrechtlich problematisch, weil bereits beim Laden dieses Scripts zahlreichen Datenerhebungen stattfinden. Auch ohne das Abspielen des eigentlichen Videos ist der Hase also bereits erlegt.
Laut YouTube Nutzungsbedingungen wird der Dienst von YouTube LLC, USA, bereitgestellt. Damit unterliegt er bereits dem Einwilligungserfordernis aufgrund des Datentransfers in ein unsicheres Drittland gemäß Artikel 44 DSGVO (vgl. EuGH-Urteil zum Privacy Shield und den Cloud Act). Ignoriert man das, wird es dennoch nicht besser:
Laut Nutzungsbedingungen von Google muss für eingebundene Dienste wie YouTube für folgende Aktivitäten eine Einwilligung eingeholt werden:
… den Einsatz von Cookies oder anderer Formen der lokalen Speicherung von Informationen, soweit die Einholung einer Einwilligung hierfür gesetzlich vorgeschrieben ist; und die Erhebung, Weitergabe und Nutzung von personenbezogenen Daten zur Personalisierung von Werbeanzeigen.
Quelle: https://www.google.com/about/company/user-consent-policy/
Die Einbindung von YouTube Videos ohne erweiterte Datenschutzeinstellungen wird in diesem Beitrag nicht weiter betrachtet, weil dabei einwilligungspflichtige Cookies zum Einsatz kommen. Die Nutzungsbedingungen des Google Konzerns selbst fordern insbesondere wegen dieser Cookies eine Einwilligung: Auch die ePrivacy Richtlinie fordert eine Einwilligung, und die stellt eine verbindliche Regelung für Deutschland dar, wie der BGH im Jahr 2020 in einem Urteil festgestellt hat. Die deutsche Regelung wird über § 25 TTDSG ab Dezember 2021 konkretisiert.
Bei der Einbindung von Videos mit aktivierten erweiterten Datenschutzeinstellungen (youtube-nocookie.com) passiert Folgendes:
- Scripte und andere Dateien werden von den Domänen youtube-nocookie.com, ytimg.com und ggpht.com geladen
- Google Schriften werden von der Domäne gstatic.com geladen
- Der DoubleClick Tracker wird von der Domäne doubleclick.net geladen
- YouTube sendet wenige Sekunden nach dem Laden der Seite (oder des Videos?) Daten an Google (Beispiel: Zieladresse: https://www.youtube-nocookie.com/youtubei/v1/log_event?alt=json&key=xxxaSyAO_xxxlqU8Q4STEHLGCilw_Y9_11xxxx, Inhalt: {"context":{"client":{"hl":"de","gl":"DE","clientName":50,"clientVersion":"20201110"}},"events":[{"eventTimeMs":1606215721310,"visualElementHidden":{"csn":"T-i8X5q6xxxxx_AP_bSxxxx","ve":{"veType":11123},"eventType":12},"context":{"lastActivityMs":"262"}},{"eventTimeMs":1316245761311,"screenCreated":{"csn":"MCxxxxE3OTAwNzc1NTMzxxxxODY.","pageVe":{"veType":12421},"implicitGesture":{"parentCsn":"T-ixxxx6CNiWx_AP_bS68yy","gesturedVe":{"veType":12211}}},"context":{"lastActivityMs":"263"}},{"eventTimeMs":1102345661336,"foregroundHeartbeatScreenAssociated":{"clientDocumentNonce":"tV2_xxxx-TExxxxs","clientScreenNonce":"MC4wNxxxxTAwNzc1NTxxxxcyxxx."},"context":{"lastActivityMs":"288"}}],"requestTimeMs":"1111111111142","serializedClientEventId":{"serializedEventId":"A-xxxxq6Cxxxx_AP_bSxxxx","clientCounter":"1"}}
- DoubleClick sendet – anscheinend mit und ohne Nutzeraktion bzw. evtl. schon nach Bewegungen mit dem Mauszeiger – in unbestimmten Abständen Daten an Google
- Trotz der nocookie-Domäne wird ein Cookie namens CONSENT gesetzt, und zwar auch dann, wenn gar kein Video abgespielt werden soll. Dieses Cookie ist an sich nicht erforderlich und bedarf somit einer Einwilligung.
Diese umfangreichen Datenerhebungen sind offensichtlich nicht mit dem berechtigten Interesse zu rechtfertigen. Somit ist die Verarbeitung ohne Einwilligung nicht rechtmäßig. Vgl. hierzu den Art. 6 DSGVO (Rechtsgrundlagen) in Verbindung mit Art. 5 DSGVO (Datenminimierung), Art. 25 DSGVO (Datenschutz durch Technikgestaltung) und Art. 32 DSGVO (Sicherheit der Verarbeitung). Auch das Cookie namens CONSENT ist nicht einwilligungsfrei, wie § 25 TTDSG verrät.
Werden YouTube Videos mit Cookies eingebunden, setzen sie mehrere Drittpartei-Cookies der Domäne youtube.com (mit längerer Lebensdauer) und sind alleine deswegen der Einwilligungspflicht zuzuordnen. Dies geht alleine schon aus Art. 5 Abs. 3 der ePrivacy Richtlinie hervor, die wegen §15 Abs. 3 TMG im Wesentlichen auch für Deutschland gilt, wie der BGH feststellte.
Generell stellt Google in seiner Datenschutzerklärung klar:
„Wir erheben Daten, […] wie zum Beispiel […] YouTube-Videos, die Sie interessant finden.“ und „Wenn Sie in einem Google-Konto angemeldet sind, erheben wir auch Daten, die wir in Ihrem Google-Konto speichern und als personenbezogene Daten erachten.“
Somit liegt immer eine Verarbeitung personenbezogener Daten vor, wenn eine Webseite ein YouTube Video einbindet und der Besucher der Webseite in seinem Google Konto angemeldet ist. Da der Betreiber der Webseite den Besucher nicht zwingen kann, sich vorher von seinem Google Konto abzumelden, ist immer eine Einwilligung einzuholen!
Fazit:
YouTube Videos, selbst ohne Verwendung von Cookies, bedürfen einer Einwilligung vor dem Einbinden über ein YouTube-Script in eine Webseite.
Schlussfolgerung aus DSGVO-Sicht und Google Nutzungsbedingungen
YouTube Video über IFRAME einbinden
Diesen Fall habe ich mir bisher nur kurz angesehen, da mir die Unterschiede zur Script-Einbindung erst kürzlich deutlich wurden. Ich werde hier bald näher darauf eingehen. Soviel für das Erste:
Per IFRAME können YouTube Videos anscheinend etwas datenschutzfreundlicher eingebunden werden als über ein YouTube-Script. Verwendet man als Adresse youtube-nocookie.com, finden beim Laden des IFRAME einige Datentransfers statt, die nur auf die eben genannte Adresse gehen. Hier finden immer noch recht viele Transfers statt, aber nicht zu anderen Adressen. Dennoch gibt es auch hier Tracking Events nach Laden des IFRAMES, ohne dass der Nutzer etwas anklickt. Diese finden sogar immer wieder (periodisch?) statt.
Außerdem findet trotz nocookie-Einstellung der Transfer eines Cookies namens CONSENT mit dem Wert PENDING+107 (o. ä.) statt. In der LocalStorage werden zahlreiche weitere Werte abgespeichert:
Neben der LocalStorage wird auch noch die Session Storage extensiv genutzt, ebenfalls die Indexed DB. Diese Speicherbezeichnungen habe ich der Firefox Entwicklerkonsole entnommen, die über die Taste F12 geöffnet werden kann. Im Karteireiter Web-Speicher sind die genannten Speicher zu sehen.
Die LocalStorage stellt ebenfalls einen Cookie-Speicher dar! In der ePrivacy-Richtlinie wird das Wort Cookie zudem nicht erwähnt. Vielmehr wird dort von Informationen, die im Endgerät des Nutzers gespeichert sind, gesprochen. Also gilt auch für die LocalStorage die ePrivacy-Richtlinie in Deutschland!
Wird das Video dann abgespielt, folgen weitere Datentransfers zur Adresse googlevideo.com.
Alles in allem ist dies immer noch entfernt von datenschutzfreundlich, aber besser als die Einbindung über ein Script.
Alternativen für YouTube Videos
Vimeo Videos sind keine gute Alternative für YouTube Videos, weil sie ebenso Datenschutzprobleme erzeugen. Hier ist eine Auswahl an datenschutzfreundlichen Möglichkeiten, Videos auf der eigenen Webseite einzubinden:
- Standard HTML, siehe beispielsweise meinen Beitrag zum Google Tag Manager und das dort eingebundene Video. Funktioniert vor allem, wenn das Video nicht zu groß ist. Die modernen Server-Kapazitäten und Netzwerk-Kontingente reichen für einen Selbstbetrieb von kleineren Videos für die meisten Webseiten aus.
- Vorschaubild mit Link auf Videoplattform.
- Gar kein Video: Oft ist der Nutzen von Videos fraglich, warum nicht einfach weglassen, vor allem, wenn es Videos Dritter sind?
- Andere Videoplattform (es lohnt sich, Plattformen wie Peertube anzusehen, die dem Fediverse zugeordnet sind)
Hochgeladene Videos
Sollte unbedingt der Wunsch bestehen, auf YouTube ein Video hochzuladen, egal ob es danach auf einer Webseite eingebunden werden soll oder nicht, besteht grundsätzlich das Recht auf eine Freischaltung des Videos.
Hierzu gibt es einen Beschluss des OLG Dresden vom 29.06.2021, Az. 4 W 396/21. Das Gericht verklagte die Google Ireland Ltd. zu einem Ordnungsgeld von 100.000 Euro wegen verspäteter Freischaltung eines Videos. Das Video enthielt Informationen zu Corona. Zuvor hatte ein Gericht Google aufgefordert, das Video freizuschalten. Dem kam Google nicht nach und meinte, selber genau prüfen zu wollen, ob das Video freizuschalten ist.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre 
Danke. Das ist ein unglaublich hilfreicher Artikel. Können Sie mir vielleicht nur noch einmal erklären: Wenn ich nur mit einem Vorschaubild auf YouTube weiterleite (Sie haben diese Option ja erwähnt), muss ich dann gar nichts weiter in der Datenschutzerklärung beachten?
Vielen Dank
Wenn Sie nur mit einem Vorschaubild per einfacher Verlinkung auf das zugehörige YouTube-Video auf der YouTube-Plattform weiterleiten, müssen Sie nichts Besonderes in Ihrer Datenschutzerklärung beachten.
Sie könnten zur Erhöhung der Rechtssicherheit am Vorschaubild kennzeichnen, dass eine externe Verlinkung vorliegt.
Im Dr. DSGVO Datenschutz-Blog sind beispielsweise alle externen Links mit einem Symbol gekennzeichnet.
Sehr gut geschriebener und fundierter Artikel, danke! Wäre folgendes eventuell eine DSGVO-konforme Lösung?
Ich zeige ein selbst gehostetes Vorschaubild an, mit einem Abspiel-Knopf (vermutlich eigenes Design, um keine Probleme mit youtube trademark zu bekommen) der mit Sternchen versehen ist. Bis dahin binde ich weder iframe, noch script ein. Unter dem Vorschaubild steht dann ein Sternchen mit Text, der darauf hinweist, dass beim Klick auf den Abspiel-Knopf verschiedenste Daten an Google übertragen werden und auch eventuell ein CONSENT cookie gesetzt wird. Erst beim Klick auf den Abspiel-Knopf lade ich dann das Video mittels iframe (falls möglich mit autoplay).
Das kann man machen. Aber problematisch ist die Abfrage der Einwilligung. Ich vermute, Sie wissen ebenso wenig wie ich, welche Daten YouTube/Google wie verarbeitet, an wen weitergibt und welche Daten wie lange von wem gespeichert werden?
Danke für die schnelle Antwort! Bezüglich der Einwilligung haben Sie sicherlich Recht. Eventuell könnte man zusätzlich einen Link zu Google's Privacy Policy setzen? Damit wälzt man das Problem auf den Besucher ab. Auch nicht gerade zuvorkommend aber vermutlich zulässig? Müsste man in diesem Fall eine Einwilligung eigentlich dokumentieren (solange man keinen Cookie setzt und man jedesmal den entsprechenden Hinweis zeigt)? Was ich mir noch vorstellen könnte ist, dass das Sternchen vielleicht auch nicht als ausreichend sichtbarer "Warnhinweis" angesehen wird? Wie auch immer, ich habe mich nun eh für eine Variante ohne YouTube-Video entschieden, bzw bin am überlegen für meine konkreten Zwecke eine kurze WebP-Animation mit Alphablending zu verwenden, das wollte ich sowieso mal ausprobieren 🙂
Danke auf jeden Fall für den tollen Blog, ich bin durch Zufall drauf gestoßen. Sehr informativ, werde die Tage noch ein wenig stöbern.
Einen Link auf externe Datenschutzhinweise wälzt das Problem nicht auf den Besucher ab, sondern macht das Problem für den Verantwortlichen (=Betreiber der Webseite) noch größer. Stichworte: Intransparenz sowie faktische Unkenntnis der Datenverarbeitung durch Google (niemand weiß, was Google so alles treibt).
Einwilligung dokumentieren: Ja, eine erteile Einwilligung sollte dokumentiert werden, da sie im Zweifel nachzuweisen ist.
So ein Script wie hier: [Link von der Redaktion entfernt, da datenschutzrechtlich kein echter Mehrwert] solle aber konform sein oder was meint ihr?
Nein, das Script sorgt nicht für eine rechtssichere Einbindung, sondern "nur" (immerhin) für eine Einwilligungsabfrage. Letztere ist aber wohl nicht rechtskonform, weil wichtige Pflichtinformationen fehlen. Daher die erneute Empfehlung: Vorschaubild + Link auf Videoplattform oder lokales Video oder datenschutzkonformes CDN oder gar kein Video (ja, das ist nicht selten die beste Lösung, vgl. Risiko-Nutzen-Analyse).