
YouTube Videos können über ein Script in Webseiten eingebettet werden. Dies ist datenschutzrechtlich problematisch, weil bereits beim Laden dieses Scripts zahlreichen Datenerhebungen stattfinden. Auch ohne das Abspielen des eigentlichen Videos ist der Hase also bereits erlegt.
Laut YouTube Nutzungsbedingungen wird der Dienst von YouTube LLC, USA, bereitgestellt. Damit unterliegt er bereits dem Einwilligungserfordernis aufgrund des Datentransfers in ein unsicheres Drittland. Ignoriert man das, wird es dennoch nicht besser:
Laut Nutzungsbedingungen von Google muss für eingebundene Dienste wie YouTube für folgende Aktivitäten eine Einwilligung eingeholt werden:
…den Einsatz von Cookies oder anderer Formen der lokalen Speicherung von Informationen, soweit die Einholung einer Einwilligung hierfür gesetzlich vorgeschrieben ist; und die Erhebung, Weitergabe und Nutzung von personenbezogenen Daten zur Personalisierung von Werbeanzeigen.
Quelle: https://www.google.com/about/company/user-consent-policy/
Die Einbindung von YouTube Videos ohne erweiterte Datenschutzeinstellungen wird hier aus offensichtlichen Gründen nicht weiter betrachtet.
Bei der Einbindung von Videos mit aktivierten erweiterten Datenschutzeinstellungen (youtube-nocookie.com) passiert folgendes:
- Scripte und andere Dateien werden von den Domänen youtube-nocookie.com, ytimg.com und ggpht.com geladen
- Google Schriften werden von der Domäne gstatic.com geladen
- Der DoubleClick Tracker wird von der Domäne doubleclick.net geladen
- YouTube sendet wenige Sekunden nach dem Laden der Seite (oder des Videos?) Daten an Google (Beispiel: Zieladresse: https://www.youtube-nocookie.com/youtubei/v1/log_event?alt=json&key=xxxaSyAO_xxxlqU8Q4STEHLGCilw_Y9_11xxxx, Inhalt: {„context“:{„client“:{„hl“:“de“,“gl“:“DE“,“clientName“:50,“clientVersion“:“20201110″}},“events“:[{„eventTimeMs“:1606215721310,“visualElementHidden“:{„csn“:“T-i8X5q6xxxxx_AP_bSxxxx“,“ve“:{„veType“:11123},“eventType“:12},“context“:{„lastActivityMs“:“262″}},{„eventTimeMs“:1316245761311,“screenCreated“:{„csn“:“MCxxxxE3OTAwNzc1NTMzxxxxODY.“,“pageVe“:{„veType“:12421},“implicitGesture“:{„parentCsn“:“T-ixxxx6CNiWx_AP_bS68yy“,“gesturedVe“:{„veType“:12211}}},“context“:{„lastActivityMs“:“263″}},{„eventTimeMs“:1102345661336,“foregroundHeartbeatScreenAssociated“:{„clientDocumentNonce“:“tV2_xxxx-TExxxxs“,“clientScreenNonce“:“MC4wNxxxxTAwNzc1NTxxxxcyxxx.“},“context“:{„lastActivityMs“:“288″}}],“requestTimeMs“:“1111111111142″,“serializedClientEventId“:{„serializedEventId“:“A-xxxxq6Cxxxx_AP_bSxxxx“,“clientCounter“:“1″}}
- DoubleClick sendet – anscheinend mit und ohne Nutzeraktion bzw. evtl. schon nach Bewegungen mit dem Mauszeiger – in unbestimmten Abständen Daten an Google
Diese umfangreichen Datenerhebungen sind offensichtlich nicht mit dem berechtigten Interesse zu rechtfertigen. Somit ist die Verarbeitung ohne Einwilligung nicht rechtmäßig. Vgl. hierzu den Artikel 6 DSGVO.
Werden YouTube Videos mit Cookies eingebunden, setzen sie mehrere Drittpartei-Cookies der Domäne youtube.com (mit längerer Lebensdauer) und sind alleine deswegen der Einwilligungspflicht zuzuordnen. Dies geht alleine schon aus Art. 5 (3) der ePrivacy Richtlinie hervor, die im Wesentlichen auch für Deutschland gilt, wie der BGH festgestellt hat.
Fazit:
YouTube Videos, selbst ohne Verwendung von Cookies, bedürfen immer einer Einwilligung vor dem Einbinden in eine Webseite.
Schlussfolgerung aus DSGVO-Sicht und Google Nutzungsbedingungen
Alternativen für YouTube Videos
Nein, Vimeo Videos sind keine gute Alternative für YouTube Videos. Hier ist eine Auswahl an datenschutzfreundlichen Möglichkeiten, Videos auf der eigenen Webseite einzubinden:
- Standard HTML, siehe beispielsweise meinen Beitrag zum Google Tag Manager und das dort eingebundene Video
- Vorschaubild mit Link auf Videoplattform
- Gar kein Video: Oft ist der Nutzen von Videos fraglich, warum nicht einfach weglassen, vor allem, wenn es Videos Dritter sind?