Videos DSGVO-konform einbinden
Dies ist ein Video Dienst von Google
- Sitz: Mountain View, Kalifornien, Vereinigte Staaten
- Kategorie: Audio/Video
- Rechtsgrundlage: Consent Management Platform (CMP)
Was ist Youtube für ein Service?
Das Bewegtbild ist eine beliebte Abwechslung in der Darstellung von Inhalten auf Websites. Dafür können WebsitebetreiberInnen auf den riesen Video-Bestand verschiedener Video-Plattformen zurückgreifen.
Der bekannteste Anbieter für das Hochladen und Teilen von Videos ist YouTube. Die Tochterfirma von Google bietet einfache Möglichkeiten, die Videos zu verbreiten und auf Websites einzubetten. Doch muss hier aus Sicht des Datenschutzes einiges beachtet werden. YouTube LLC ist ein Dienst aus den USA und unterliegt damit laut DSGVO dem Einwilligungserfordernis aufgrund des Datentransfers in ein Drittland.
Bei der Einbettung von sozialen Medien in die eigene Website ist es üblich, dass diese auf den Endgeräten der WebsitebesucherInnen Cookies setzen, die teilweise über einen sehr langen Zeitraum von über 5 Jahren das digitale Nutzerverhalten analysieren, um zielgerichtetes Marketing mit individuellen Inhalten zu ermöglichen. Auf diese Weise funktioniert auch YouTube bei der Bereitstellung von Framing-Links.
Folge: Bereits beim Aufrufen der Website werden zahlreiche Cookies im System der BesucherInnen gesetzt, ohne dass diese auf das Video geklickt haben. Dabei stellt YouTube eine Verbindung zum Google-Werbenetzwerk „DoubleClick“ her.
Ziel erreicht! 🏁
In unserem Service-Universum findest du umfassende Informationen zu einzelnen Services – übersichtlich und digital!
Expertenwissen und Profi-Tipps gibt’s on top 😉
Hast du "Service" richtig eingebunden?
Mach den Test in unserem kostenlosen Quickscanner!
Rechtliche Grundlage für die Verarbeitung
Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TDDDG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.
Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TDDDG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.
Wann besteht eine Einwilligungspflicht?
Personenbezogene Daten
Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens eine der Rechtsgrundlagen (a, b, c, d, e, oder f) des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:
- Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
- Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)
Cookies
Gem. Art. 25 Abs. 1 TDDDG ist dann eine Einwilligung erforderlich, sobald Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.
Dabei sollte man wissen, dass damit nicht nur die bekannten, auf dem Endgerät der Nutzer platzierten Cookies gemeint sind, sondern auch sogenannte Zählpixel, die es unter anderem ermöglichen, den Useragent oder das Gerät der Nutzer zu verknüpfen oder herzuleiten.
Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.
Die Anforderungen an die Einwilligungsfreiheit
Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:
- Sofern eine Datenweitergabe an Dritte stattfindet:
a) Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Auftragsverarbeiter (AV), sollten Daten von diesem an Dritte weitergegeben werden.
b) Der Auftragsverarbeiter nutzt die gewonnen Daten nicht für eigene Zwecke.
c) Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an. - Kein Einsatz von Cookies oder ähnlichen Techniken, die nicht unbedingt erforderlich sind.
- Verarbeitung von personenbezogenen Daten ausschließlich in Europa oder in Ländern, für die ein Angemessenheitsbeschluss gemäß Artikel 45 DSGVO gilt.
- Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung.
- IP-Anonymisierung („Privacy by Default)
- Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser.
- Durchführung einer Interessensabwägung: Das berechtigte Interesse des Websitebetreibers muss die schützenswerten Interessen des Nutzers überwiegen.
- Nachweis der erfolgten Punkte 1-7 durch den Website-Betreiber
IP-Adresse
Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt. Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.
Server-Standort
Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.
Firmensitz
Bei amerikanischen Unternehmen und deren Töchter ist es zusätzlich wichtig den Fakt zu berücksichtigen, dass Daten die von Töchtern erhoben werden, auch in die USA weitergeleitet und dort verarbeitet werden. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig. Sollten die Unternehmen dem derzeitigen Data Privacy Framework (DPF) zugehörig sein, heißt auch das nicht, dass jeder der vom Unternehmen zugehöriger Service unbedenklich zu nutzen ist. Erst recht nicht ohne die Zustimmung der Nutzer.
YouTube muss Bestandteil deiner Datenschutzerklärung sein!
Jetzt eine Datenschutzerklärung kostenlos über die Testversion unseres Privacy Hubs erstellen!
Welche Möglichkeiten gibt es, um Youtube Videos auf der eigenen Websites einzubinden?
1. Erweiterter Datenschutzmodus
YouTube bietet die Möglichkeit, vor dem Einbetten eines Videos den „erweiterten Datenschutzmodus“ zu aktivieren. Um das Video einzubetten, klickst du einfach auf das Teilen-Symbol und dann auf Einbetten. Dort kannst du den erweiterten Datenschutzmodus durch das Setzen eines Häkchens aktivieren. Der anschließend angezeigte HTML-Code kann einfach kopiert und in die Website eingefügt werden.
Problem: Bei dieser Methode wird trotz der Datenschutzeinstellungen eine Verbindung zu YouTube und Google aufgebaut, alleine um das Thumbnail anzuzeigen. Das heißt, dass hier bereits Cookies gesetzt und Daten ausgetauscht werden könnten. Dies sollte also nicht die Methode der Wahl sein.
2. Einbettung mit Framing für eigene Videos
Mit dem Plugin WP YouTube Lyte wird die Verbindung zum YouTube Server youtube-nocookie.com noch vor Abspielen des Videos blockiert. Die Vorschaubilder dafür können selbst eingefügt und mit einem Datenschutzhinweis versehen werden.
3. Einbettung von Videos Dritter
Um Verstöße gegen das Urheberrecht zu verhindern, empfiehlt sich für das Einbinden von Videos Dritter das Plugin Embed Plus for YouTube. Hier wird statt Vorschaubild nur der Datenschutzhinweis eingefügt und dazu ein Link zur Datenschutzrichtlinie von Google. Die Datenschutzeinstellungen sind unter Security & Privacy vorzunehmen. Im Block „YouTube Wizard“ kann dann einfach die Video-URL eingefügt werden.
Fazit
Eine komplett datenschutzsichere Einbettung von YouTube Videos ist leider nicht möglich.
Das liegt zum einen daran, dass YouTube zu Google gehört und Daten in die USA, einem Drittland außerhalb der EU mit keinem gültigen Datenschutzabkommen, übermittelt werden. Zum anderen liegt das daran, dass selbst mit den datenschutzerweiterten Einstellungen, die YouTube selbst anbietet, noch Daten übertragen werden.
Die Zwei-Klick-Lösung (mithilfe von Plugins) sowie die Einwilligung über ein Cookie Banner kommt einer datenschutzkonformen Einbindung am nächsten. Allerdings bleibt noch die unzureichende Information in der Datenschutzerklärung, die aufgrund mangelnder Transparenz von YouTube nicht zu beheben ist. Insgesamt ist also der Einbettung von YouTube Videos auf der eigenen Website aus datenschutzrechtlichen Gründen abzuraten.
Cookiebox-Empfehlung: Datenschutzkonforme Nutzung von YouTube Videos
- Es gibt die Möglichkeit der Verlinkung. Diese ist am sichersten und am einfachsten, allerdings ist der Inhalt des Videos dann nicht auf der eigenen Seite abrufbar und die WebsitebesucherInnen werden beim Klick auf den Link zu YouTube weitergeleitet, statt auf der Website zu bleiben.
- Eine weitere Möglichkeit ist die der lokalen Einbindung eines Videos. Dazu muss dieses zunächst heruntergeladen werden und dann ins Backend hochgeladen. Allerdings muss hier unbedingt das Urheberrecht beachtet werden. Achtung: Nicht alle YouTube Videos können einfach so lokal eingebunden werden. Ein weiterer Nachteil dieser Methode ist, dass sich durch interne Videos die Ladezeit der Seite verschlechtert, was nicht nur weniger nutzerfreundlich ist, sondern auch negative Auswirkungen auf das Google-Ranking hat.
Apropos Ladezeiten: Das gleiche gilt für Plugins: Je mehr Plugins, desto länger die Ladezeiten von Websites. Daher ist es schlicht und ergreifend am besten, keine Youtube Videos zu verwenden.
Du hast Fragen?
Kontaktiere uns gerne für ein unverbindliches Erstgespräch: