Wie bindet man YouTube-Videos DSGVO-konform ein? Erfahren Sie über den „erweiterten Datenschutzmodus“ und warum er nicht immer ausreicht.
Das Bewegtbild ist eine beliebte Abwechslung in der Darstellung von Inhalten auf Websites. Dafür können WebsitebetreiberInnen auf den riesen Video-Bestand verschiedener Video-Plattformen zurückgreifen. Der bekannteste Anbieter für das Hochladen und Teilen von Videos ist YouTube.
Die Tochterfirma von Google bietet einfache Möglichkeiten, die Videos zu verbreiten und auf Websites einzubetten. Doch muss hier aus Sicht des Datenschutzes einiges beachtet werden. YouTube LLC ist ein Video-Dienst aus den USA und unterliegt damit laut DSGVO dem Einwilligungserfordernis aufgrund des Datentransfers in ein Drittland. Im Consent-Management-Tool ist er als funktionaler Cookie einzuordnen.
Bei der Einbettung von sozialen Medien in die eigene Website ist es üblich, dass diese auf den Endgeräten der WebsitebesucherInnen Cookies setzen, die teilweise über einen sehr langen Zeitraum von über 5 Jahren das digitale Nutzerverhalten analysieren, um zielgerichtetes Marketing mit individuellen Inhalten zu ermöglichen.
Auf diese Weise funktioniert auch YouTube bei der Bereitstellung von Framing-Links. Das hat zur Folge, dass bereits beim Aufrufen der Website zahlreiche Cookies im System der BesucherInnen gesetzt werden, ohne dass diese auf das Video geklickt haben. Dabei stellt YouTube eine Verbindung zum Google-Werbenetzwerk „DoubleClick“ her.
Datenschutzschulungen für verschiedene Abteilungen effizient umsetzen mit den E-Learnings von Cortina Consult.
YouTube bietet die Möglichkeit, vor dem Einbetten eines Videos den „erweiterten Datenschutzmodus“ zu aktivieren. Um das Video einzubetten, klicken Sie einfach auf das Teilen-Symbol und dann auf Einbetten. Dort können Sie den erweiterten Datenschutzmodus durch das Setzen eines Häkchens aktivieren. Der anschließend angezeigte HTML-Code kann einfach kopiert und in die Website eingefügt werden.
Problem: Bei dieser Methode wird trotz der Datenschutzeinstellungen eine Verbindung zu YouTube und Google aufgebaut, alleine um das Thumbnail anzuzeigen. Das heißt, dass hier bereits Cookies gesetzt und Daten ausgetauscht werden könnten. Dies sollte also nicht die Methode der Wahl sein.
Mit dem Plugin WP YouTube Lyte wird die Verbindung zum YouTube Server youtube-nocookie.com noch vor Abspielen des Videos blockiert. Die Vorschaubilder dafür können selbst eingefügt und mit einem Datenschutzhinweis versehen werden.
Um Verstöße gegen das Urheberrecht zu verhindern, empfiehlt sich für das Einbinden von Videos Dritter das Plugin Embed Plus for YouTube. Hier wird statt Vorschaubild nur der Datenschutzhinweis eingefügt und dazu ein Link zur Datenschutzrichtlinie von Google. Die Datenschutzeinstellungen sind unter Security & Privacy vorzunehmen. Im Block „YouTube Wizard“ kann dann einfach die Video-URL eingefügt werden.
Um den Anforderungen der Datenschutzgrundverordnung gerecht zu werden, müssen WebsitebesucherInnen über die Verarbeitung ihrer Daten durch YouTube informiert werden.
Doch hier fängt das Problem schon an. YouTube gibt keine klaren Aussagen über den tatsächlichen Umfang und Zweck der Datenerhebung. Damit können WebsitebetreiberInnen ihrer Informationspflicht in der Datenschutzerklärung nicht vollständig gerecht werden.
Bei einem YouTube Video kann zudem nicht mit berechtigtem Interesse argumentiert werden. Wer dennoch YouTube-Videos auf seiner Website einbinden möchte, der muss sich für den Einsatz von Cookies die vorherige, ausdrückliche und informierte Einwilligung der NutzerInnen holen.
Da bereits beim Aufrufen der Website eine Verbindung zu YouTube aufgebaut wird, sollte unbedingt die Zwei-Klick-Lösung verwendet werden (wie in den Methoden 2 und 3). Dabei ist wichtig, dass vor Erteilung der Einwilligung tatsächlich keine Daten übertragen werden. Außerdem ist den NutzerInnen jederzeit die Möglichkeit des Widerrufs beispielsweise durch die Opt-Out-Funktion im Cookie Banner einzuräumen.
Ob für den Regelbetrieb rund um Datenschutz, das Onboarding neuer Mitarbeiter oder die Dokumentation aller getroffenen Maßnahmen – Das Cortina DSMS ist Ihre persönliche Bibliothek für Compliance.
Das liegt zum einen daran, dass YouTube zu Google gehört und Daten in die USA, einem Drittland außerhalb der EU mit keinem gültigen Datenschutzabkommen, übermittelt werden. Zum anderen liegt das daran, dass selbst mit den datenschutzerweiterten Einstellungen, die YouTube selbst anbietet, noch Daten übertragen werden. Die Zwei-Klick-Lösung (mithilfe von Plugins) sowie die Einwilligung über ein Cookie Banner kommt einer datenschutzkonformen Einbindung am nächsten. Allerdings bleibt noch die unzureichende Information in der Datenschutzerklärung, die aufgrund mangelnder Transparenz von YouTube nicht zu beheben ist. Insgesamt ist also der Einbettung von YouTube Videos auf der eigenen Website aus datenschutzrechtlichen Gründen abzuraten.
Apropos Ladezeiten: Das gleiche gilt für Plugins: je mehr Plugins, desto länger die Ladezeiten von Websites. Daher ist es schlicht und ergreifend am besten, keine Youtube Videos zu verwenden.
Ähnlich wie bei YouTube verhält es sich bei der YouTube Alternative Vimeo, die ebenfalls ihren Sitz in den USA hat. Diese ist also aus Datenschutzsicht auch nicht zu empfehlen.
Müheloses Website-Compliance Management für Ihr Unternehmen.
Wir helfen Unternehmen dabei, die gesetzlichen Anforderungen für Websites, Apps und Social Media umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Mit unserer DSGVO-Software, spezialisierten E-Learnings oder in der Beratung zu Consent Management sorgen wir dafür, dass die gesetzlichen Vorschriften eingehalten und rechtliche Risiken minimiert werden.
Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zur Web-Compliance und Best-Practices zur Umsetzung.
* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
