Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

YouTube Videos: Einbindung auf Webseiten datenschutzkonform möglich?

6

YouTube Videos können über ein Script in Webseiten eingebettet werden. Dies ist datenschutzrechtlich problematisch, weil bereits beim Laden dieses Scripts zahlreichen Datenerhebungen stattfinden. Auch ohne das Abspielen des eigentlichen Videos ist der Hase also bereits erlegt.

Laut YouTube Nutzungsbedingungen wird der Dienst von YouTube LLC, USA, bereitgestellt. Damit unterliegt er bereits dem Einwilligungserfordernis aufgrund des Datentransfers in ein unsicheres Drittland gemäß Artikel 44 DSGVO (vgl. EuGH-Urteil zum Privacy Shield und den Cloud Act). Ignoriert man das, wird es dennoch nicht besser:

Laut Nutzungsbedingungen von Google muss für eingebundene Dienste wie YouTube für folgende Aktivitäten eine Einwilligung eingeholt werden:

… den Einsatz von Cookies oder anderer Formen der lokalen Speicherung von Informationen, soweit die Einholung einer Einwilligung hierfür gesetzlich vorgeschrieben ist; und die Erhebung, Weitergabe und Nutzung von personenbezogenen Daten zur Personalisierung von Werbeanzeigen.

Quelle: https://www.google.com/about/company/user-consent-policy/

Die Einbindung von YouTube Videos ohne erweiterte Datenschutzeinstellungen wird in diesem Beitrag nicht weiter betrachtet, weil dabei einwilligungspflichtige Cookies zum Einsatz kommen. Die Nutzungsbedingungen des Google Konzerns selbst fordern insbesondere wegen dieser Cookies eine Einwilligung: Auch die ePrivacy Richtlinie fordert eine Einwilligung, und die stellt eine verbindliche Regelung für Deutschland dar, wie der BGH im Jahr 2020 in einem Urteil festgestellt hat. Die deutsche Regelung wird über § 25 TTDSG ab Dezember 2021 konkretisiert.

Bei der Einbindung von Videos mit aktivierten erweiterten Datenschutzeinstellungen (youtube-nocookie.com) passiert Folgendes:

  • Scripte und andere Dateien werden von den Domänen youtube-nocookie.com, ytimg.com und ggpht.com geladen
  • Google Schriften werden von der Domäne gstatic.com geladen
  • Der DoubleClick Tracker wird von der Domäne doubleclick.net geladen
  • YouTube sendet wenige Sekunden nach dem Laden der Seite (oder des Videos?) Daten an Google (Beispiel: Zieladresse: https://www.youtube-nocookie.com/youtubei/v1/log_event?alt=json&key=xxxaSyAO_xxxlqU8Q4STEHLGCilw_Y9_11xxxx, Inhalt: {“context”:{“client”:{“hl”:”de”,”gl”:”DE”,”clientName”:50,”clientVersion”:”20201110″}},”events”:[{“eventTimeMs”:1606215721310,”visualElementHidden”:{“csn”:”T-i8X5q6xxxxx_AP_bSxxxx”,”ve”:{“veType”:11123},”eventType”:12},”context”:{“lastActivityMs”:”262″}},{“eventTimeMs”:1316245761311,”screenCreated”:{“csn”:”MCxxxxE3OTAwNzc1NTMzxxxxODY.”,”pageVe”:{“veType”:12421},”implicitGesture”:{“parentCsn”:”T-ixxxx6CNiWx_AP_bS68yy”,”gesturedVe”:{“veType”:12211}}},”context”:{“lastActivityMs”:”263″}},{“eventTimeMs”:1102345661336,”foregroundHeartbeatScreenAssociated”:{“clientDocumentNonce”:”tV2_xxxx-TExxxxs”,”clientScreenNonce”:”MC4wNxxxxTAwNzc1NTxxxxcyxxx.”},”context”:{“lastActivityMs”:”288″}}],”requestTimeMs”:”1111111111142″,”serializedClientEventId”:{“serializedEventId”:”A-xxxxq6Cxxxx_AP_bSxxxx”,”clientCounter”:”1″}}
  • DoubleClick sendet – anscheinend mit und ohne Nutzeraktion bzw. evtl. schon nach Bewegungen mit dem Mauszeiger – in unbestimmten Abständen Daten an Google

Diese umfangreichen Datenerhebungen sind offensichtlich nicht mit dem berechtigten Interesse zu rechtfertigen. Somit ist die Verarbeitung ohne Einwilligung nicht rechtmäßig. Vgl. hierzu den Art. 6 DSGVO (Rechtsgrundlagen) in Verbindung mit Art. 5 DSGVO (Datenminimierung), Art. 25 DSGVO (Datenschutz durch Technikgestaltung) und Art. 32 DSGVO (Sicherheit der Verarbeitung).

Werden YouTube Videos mit Cookies eingebunden, setzen sie mehrere Drittpartei-Cookies der Domäne youtube.com (mit längerer Lebensdauer) und sind alleine deswegen der Einwilligungspflicht zuzuordnen. Dies geht alleine schon aus Art. 5 Abs. 3 der ePrivacy Richtlinie hervor, die wegen §15 Abs. 3 TMG im Wesentlichen auch für Deutschland gilt, wie der BGH feststellte.

Generell stellt Google in seiner Datenschutzerklärung klar:

„Wir erheben Daten, […] wie zum Beispiel […] YouTube-Videos, die Sie interessant finden.“ und „Wenn Sie in einem Google-Konto angemeldet sind, erheben wir auch Daten, die wir in Ihrem Google-Konto speichern und als personenbezogene Daten erachten.“

Somit liegt immer eine Verarbeitung personenbezogener Daten vor, wenn eine Webseite ein YouTube Video einbindet und der Besucher der Webseite in seinem Google Konto angemeldet ist. Da der Betreiber der Webseite den Besucher nicht zwingen kann, sich vorher von seinem Google Konto abzumelden, ist immer eine Einwilligung einzuholen!

Fazit:

YouTube Videos, selbst ohne Verwendung von Cookies, bedürfen einer Einwilligung vor dem Einbinden über ein YouTube-Script in eine Webseite.

Schlussfolgerung aus DSGVO-Sicht und Google Nutzungsbedingungen

YouTube Video über IFRAME einbinden

Diesen Fall habe ich mir bisher nur kurz angesehen, da mir die Unterschiede zur Script-Einbindung erst kürzlich deutlich wurden. Ich werde hier bald näher darauf eingehen. Soviel für das Erste:

Per IFRAME können YouTube Videos anscheinend etwas datenschutzfreundlicher eingebunden werden als über ein YouTube-Script. Verwendet man als Adresse youtube-nocookie.com, finden beim Laden des IFRAME einige Datentransfers statt, die nur auf die eben genannte Adresse gehen. Hier finden immer noch recht viele Transfers statt, aber nicht zu anderen Adressen. Dennoch gibt es auch hier Tracking Events nach Laden des IFRAMES, ohne dass der Nutzer etwas anklickt. Diese finden sogar immer wieder (periodisch?) statt.

Außerdem findet trotz nocookie-Einstellung der Transfer eines Cookies namens CONSENT mit dem Wert PENDING+107 (o. ä.) statt. In der LocalStorage werden zahlreiche weitere Werte abgespeichert:

LocalStorage, die von YouTube (mit Einstellung “ohne Cookies”) angelegt wird, was ebenfalls Cookies darstellt. Die Werte sind im Screenshot abgeschnitten

Neben der LocalStorage wird auch noch die Session Storage extensiv genutzt, ebenfalls die Indexed DB. Diese Speicherbezeichnungen habe ich der Firefox Entwicklerkonsole entnommen, die über die Taste F12 geöffnet werden kann. Im Karteireiter Web-Speicher sind die genannten Speicher zu sehen.

Die LocalStorage stellt ebenfalls einen Cookie-Speicher dar! In der ePrivacy-Richtlinie wird das Wort Cookie zudem nicht erwähnt. Vielmehr wird dort von Informationen, die im Endgerät des Nutzers gespeichert sind, gesprochen. Also gilt auch für die LocalStorage die ePrivacy-Richtlinie in Deutschland!

Wird das Video dann abgespielt, folgen weitere Datentransfers zur Adresse googlevideo.com.

Alles in allem ist dies immer noch entfernt von datenschutzfreundlich, aber besser als die Einbindung über ein Script.

Alternativen für YouTube Videos

Vimeo Videos sind keine gute Alternative für YouTube Videos, weil sie ebenso Datenschutzprobleme erzeugen. Hier ist eine Auswahl an datenschutzfreundlichen Möglichkeiten, Videos auf der eigenen Webseite einzubinden:

  • Standard HTML, siehe beispielsweise meinen Beitrag zum Google Tag Manager und das dort eingebundene Video. Funktioniert vor allem, wenn das Video nicht zu groß ist. Die modernen Server-Kapazitäten und Netzwerk-Kontingente reichen für einen Selbstbetrieb von kleineren Videos für die meisten Webseiten aus.
  • Vorschaubild mit Link auf Videoplattform.
  • Gar kein Video: Oft ist der Nutzen von Videos fraglich, warum nicht einfach weglassen, vor allem, wenn es Videos Dritter sind?
  • Andere Videoplattform (es lohnt sich, Plattformen wie Peertube anzusehen, die dem Fediverse zugeordnet sind)

Hochgeladene Videos

Sollte unbedingt der Wunsch bestehen, auf YouTube ein Video hochzuladen, egal ob es danach auf einer Webseite eingebunden werden soll oder nicht, besteht grundsätzlich das Recht auf eine Freischaltung des Videos.

Hierzu gibt es einen Beschluss des OLG Dresden vom 29.06.2021, Az. 4 W 396/21. Das Gericht verklagte die Google Ireland Ltd. zu einem Ordnungsgeld von 100.000 Euro wegen verspäteter Freischaltung eines Videos. Das Video enthielt Informationen zu Corona. Zuvor hatte ein Gericht Google aufgefordert, das Video freizuschalten. Dem kam Google nicht nach und meinte, selber genau prüfen zu wollen, ob das Video freizuschalten ist.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/youtube-videos-und-die-dsgvo
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Dieser Beitrag wird in anderen Beiträgen erwähnt

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Was ist Tracking? Definition und Datenschutzregeln