decareto untersucht Websites vollautomatisch auf Datenschutz-Konformität

Neue Beiträge

Wie man YouTube DSGVO konform einbinden kann

Wie KMUs ihre Websites auf Sicherheitslücken prüfen können

Google Analytics Alternativen: 9 DSGVO-konforme Tools

Datenschutzkonformes Tracking auf Webseiten

Haftungsrisiken im Datenschutz: So navigieren Webagenturen sicher durch die DSGVO

Wie man YouTube DSGVO konform einbinden kann

Erstellt am 12. Juni 2023

Inhaltsverzeichnis

Wenn Sie YouTube-Videos auf der eigenen Website einbinden, werden automatisch personenbezogene Daten des Users an YouTube und dessen Mutterkonzern Google weitergegeben, sobald dieser auf Ihre Website gelangt. In welchem Ausmaß dies geschieht, hängt davon ab, ob die Einbindung im sogenannten „erweiterten Datenschutzmodus“ durchgeführt wurde oder nicht. In keinem der beiden Fälle ist die Einbindung aber DSGVO-konform. Wir erläutern in diesem Beitrag, was es mit dem Datenschutz-Problem mit Youtube auf sich hat, und wie man trotzdem auf Datenschutz-konforme Weise Videos auf einer Website einbinden kann.

Youtube-Videos in Webseiten einbauen

Youtube bietet zum Einbetten von Videos einen leicht zu verwendenden Dialog an. Man muss nur unter dem Video auf der Youtube-Website auf „Share“ klicken, um den sogenannten „Embed-Code“ kopieren zu können.

Wie im Screenshot unten zu sehen ist, gibt es hier eine Checkbox “Enable privacy-enhanced mode” (in der deutschen Version “Erweiterten Datenschutzmodus aktivieren”). Diese ist standardmäßig nicht markiert, im Normalfall ist der erweiterte Datenschutzmodus also nicht aktiv. Ob es Vorteile hat, ihn zu aktivieren, beschreiben wir weiter unten im Artikel.

Nun muss der Embed-Codes in das HTML der Seite eingefügt werden. Wenn die Webseite im Browser geladen wird, so löst der Embed-Code das Laden einer Javascript-Bibliothek aus, die im Browser ausgeführt wird, und zusätzlich zum Anzeigen des Videos eine ganze Reihe weiterer Netzwerk-Aufrufen an Server von Youtube und Google anstößt.

Download: Ihr kompletter Datenschutz Technik-Guide

Wie Sie mit Bordmitteln Datenschutzlücken auf den Websites Ihrer Kunden zuverlässig identifizieren.

Jetzt herunterladen

Welche externen Dienste werden von Youtube nachgeladen?

Diese Aufrufe führen nicht nur zur Domain von Youtube (www.youtube.com), sondern es sind auch immer die Domains doubleclick.net und fonts.gstatic.com darunter, was bedeutet, dass der Youtube-Embed-Code u.A. die externen Dienste Doubleclick und Google Fonts nachlädt. Wenn man das Ladeverhalten des Browsers mit den Chrome Developer Tools beobachtet (eine Anleitung, wie das geht, finden Sie weiter unten) kann man diese Aufrufe und ihre Domains sehen:

Google „DoubleClick” wird zur Analyse des Nutzerverhaltens verwendet und ist ein Teil der 2018 gegründeten Google Marketing Platform (GMP). „DoubleClick” ermöglicht es Google, durch das Erheben von personenbezogenen Daten und dem besagten Nutzerverhalten, personalisierte Werbung für User zu schalten.

Wann und wie genau personenbezogene Daten von DoubleClick verarbeitet werden, ist schwer zu ermitteln, Googles Informationen dazu sind eher intransparent. Allerdings herrscht Konsens darüber, dass Doubleclick Benutzerprofile bildet und Daten in die USA überträgt, was nach Ansicht des Europäischen Gerichtshofs nicht ohne absichernde Maßnahmen erlaubt ist, da das sog. “Privacy Shield” (eine Garantiemaßnahme die sicherstellen sollte, dass Daten von EU-Bürgern auch in den USA sicher verarbeitet werden) im “Schrems II”-Urteil gekippt wurde.

Google Fonts wird von Youtube zur Anzeige von Textelementen in der Benutzeroberfläche verwendet. Zwar ist Google Fonts nicht dafür bekannt, dass damit Benutzerprofile gebildet werden, dennoch ist ein Einsatz (zumindest in Deutschland) problematisch: Das Landgericht München hat den Einsatz ohne Einwilligung untersagt, da Google Fonts Daten in die USA überträgt. In diesem Fall ist es lediglich die IP-Adresse des Benutzer-Rechners oder -Smartphones, die mit jedem Netzwerk-Aufruf übertragen wird. Aber selbst diese Information ist nach Ansicht des Europäischen Gerichtshofes ein personenbezogenes Datum und damit schützenswert.

Welche Cookies setzt YouTube beim Einbetten von Videos?

Beim Laden des Videos werden mehrere Cookies gesetzt, die von den Domains youtube.com und google.com stammen. Der folgende Screenshot wurde für das gleiche Video erstellt und zeigt die gesetzten Cookies:

Laut Googles technischen Hinweisen dienen diese Cookies Zwecken wie personalisierte Anzeige und Cybersicherheit.

Was ist beim Einbinden von Youtube in Bezug auf den Datenschutz zu beachten?

Wenn ein Youtube-Video wie hier beschrieben in eine Seite eingebettet wird, so werden beim Öffnen der Seite problematische Dienste geladen (DoubleClick und Google Fonts), die Daten in die USA übertragen. Dies ist nur mit Einwilligung erlaubt. Zusätzlich werden Cookies gesetzt, die eindeutig nicht für den Betrieb der Website technisch notwendig sind. Auch das ist in den meisten europäischen Ländern nur mit Einwilligung möglich. Diese Art der Einbindung ist also nicht datenschutzkonform!

Einbinden von Videos mit dem Youtube Nocookie Code

Um den erweiterten Datenschutz zu aktivieren, muss im Dialog mit dem Embed-Code einfach das Häkchen bei “Erweiterten Datenschutz-Modus aktivieren” gesetzt werden. Dann wird automatisch der Embed-Code geändert, er enthält dann nicht mehr die Domain www.youtube.com sondern www.youtube-nocookie.com.

Google selbst schreibt zum erweiterten Datenschutzmodus:

Die Wiedergabe eines Videos im erweiterten Datenschutzmodus des eingebetteten Players wird nicht für die Personalisierung des Surfens auf YouTube verwendet – weder im eingebetteten Datenschutzmodus noch bei einer späteren Nutzung von YouTube.

Ob dies auch bedeutet, dass auf eine Profilbildung verzichtet wird, bleibt allerdings im Unklaren.

Wenn ein auf diese Weise eingebettetes Video geöffnet wird, so werden tatsächlich keine Netzwerk-Aufrufe in Richtung www.youtube.com und doubleclick.net mehr abgesetzt.

Wir konnten auch nicht feststellen, dass in diesem Modus noch Cookies gesetzt werden. Das deckt sich aber nicht komplett mit Erfahrungsberichten, die man im Netz finden kann. Es kann zumindest nicht ausgeschlossen werden, dass auch in diesem Modus gelegentlich Cookies gesetzt werden.

Zudem: Youtube schreibt auch in diesem Modus Daten in den sog. “Local Storage” des Browsers, auch Web-Speicher genannt. Dabei handelt es sich zwar nicht um Cookies, aber diese Technologie ist zumindest in Deutschland durch das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) mit Cookies gleichzusetzen und erfordert deshalb eine Einwilligung.

Weiterhin werden beim Abspielen des Videos eine Vielzahl von Netzwerkaufrufen abgesetzt, die möglicherweise Informationen über das Benutzerverhalten enthalten:

Spätestens wenn man in einem anderen Browser-Tab bei Youtube mit einem Google-Account angemeldet ist, ist es mit dem Datenschutz dann auch vorbei. Nun werden beim Abspielen Netzwerkaufrufe an Google übertragen, die Cookies enthalten, und damit vermutlich das Benutzerprofil befüllen:

Und zusätzlich zu dieser eher halbgaren Umsetzung des erweiterten Datenschutzmodus gibt es noch ein zusätzliches Problem: Auch in der Nocookie-Variante verwendet das Video den Dienst Google Fonts. Auch hierfür ist eine Einwilligung notwendig.

Zusammenfassend muss man also feststellen, dass der erweiterte Datenschutzmodus dem Normalbetrieb zwar vorzuziehen ist - aber auch damit erfolgt das Einbinden nicht datenschutzkonform!

Wie kann man YouTube-Videos auf der Website datenschutzkonform einbinden?

Eine datenschutzkonforme Einbindung von Youtube geschieht, indem Sie wie oben beschrieben den Embed-Code des Videos im erweiterten Datenschutzmodus erzeugen, und durch ein zusätzliches Tool dafür sorgen, dass das Video erst nach Einwilligung durch den User geladen wird.

Es gibt eine ganze Reihe von Tools, mit denen eine Einwilligung eingeholt werden kann. Wir stellen Ihnen im Folgenden drei Wordpress-Plugins vor, mit denen das möglich ist.

WP YouTube Lyte

Das Wordpress-Plugin „WP YouTube Lyte” erlaubt es, auf komfortable Art Youtube Videos zu verwalten und einzubinden. Zusätzlich bietet es die Funktion, das Vorschaubild des Videos auf dem lokalen Server zwischenzuspeichern - in diesem Fall wird erst dann eine Verbindung zum Youtube-Server aufgebaut, wenn der User auf das Bild klickt. Auf diese Weise können Sie eine Einwilligung für das Laden einholen.

Vorteil: Da mit „YouTube Lyte” keine externen Daten mehr von YouTube gezogen werden, wird durch das Abspeichern von Vorschaubild die Ladezeit der Website enorm verbessert.

Nachteil: Das Zwischenspeichern von Vorschaubildern auf dem eigenen Server oder auf der eigenen Website könnte unter Umständen zu urheberrechtlichen Problemen führen, da Sie nicht Eigentümer des Bildes sind. Wir empfehlen daher, dieses Plugin oder dieses Feature nur für eigene YouTube-Videos zu nutzen.

Borlabs Cookie

Bei „Borlabs Cookie” handelt es sich ebenfalls um ein Wordpress-Plugin. „Borlabs Cookie” ist jedoch, im Gegensatz zu „WP YouTube Lyte”, ein vollwertiges Consent-Tool und kostenpflichtig. Dieses Plugin von Wordpress gibt Ihnen die Möglichkeit, mittels eines Opt-in-Verfahrens YouTube-Videos und die dazugehörigen Cookies auf Ihrer Website einzubauen. Erst nachdem der Nutzer diesen Cookies zugestimmt hat, dürfen die Cookies auch gesetzt werden.

Bei „Borlabs Cookie” können Sie Ihren Cookie-Banner auf Ihrer Website individuell gestalten und Nutzern die Chance geben, nur vereinzelten Cookies zuzustimmen oder diese auch abzulehnen.

Vorteile: „Borlabs Cookie” ist mit jedem Wordpress-Theme und anderen Plugins von Wordpress kompatibel. Nicht nur YouTube-, sondern auch Vimeo-Videos, Social Media Posts oder Google Maps Anzeigen werden mit diesem Plugin so lange blockiert, bis der User aktiv auf Video/Post/Anzeige laden klickt. Darüber hinaus ist es zu 100% DSGVO-konform.

Nachteil: „Borlabs Cookie” ist nur bei Wordpress-Webseiten einsetzbar.

Real Cookie Banner

Eine weitere geeignete Lösung, YouTube Videos gemäß der DSGVO auf der eigenen Website zu integrieren, ist „Real Cookie Banner”. Dieses Plugin von Wordpress gibt Ihren Besuchern die Möglichkeit, der Weitergabe der personenbezogenen Daten an YouTube, soziale Netzwerke oder Google zuzustimmen oder sie auch zu verhindern.

Nutzer können über den Cookie-Banner selbst bestimmen, welche Inhalte blockiert werden und welche sie sehen möchten. Wenn man auf Ihre Website gelangt, wird Besuchern dank „Real Cookie Banner” ein ausführlicher Cookie-Banner angezeigt, der Cookies und die Gründe der Erhebung von personenbezogenen Daten auflistet.

Entscheiden User sich über den Cookie-Banner gegen das Anzeigen von externen Medien, wird statt des YouTube-Videos ein sogenannter Content Blocker, sprich ein Text, angezeigt. In diesem Content Blocker wird erklärt, dass dieser Nutzer das Anzeigen des Videos abgelehnt hat. Auch wird hier dargelegt, dass User der Datenschutzerklärung zustimmen, sobald sie auf das Video klicken und somit den Inhalt zulassen.

Vorteile: Nutzer können den zugestimmten Cookies jederzeit widersprechen; jede einzelne Einwilligung der Cookies wird in der Wordpress-Datenbank festgehalten; individuelle Designanpassung des Cookie-Banners ist möglich; auch mit Vimeo-Videos, Google Maps und anderen sozialen Netzwerken kompatibel

Nachteil: Genau wie bei „Borlabs Cookie” kann der „Real Cookie Banner” nur bei Wordpress-Webseiten verwendet werden.

YouTube Link

Die datensparsamste Variante ist es, lediglich einen YouTube Link einzufügen, wobei Sie auch keine zusätzlichen Softwares oder Plugins installieren müssen. Das kann sogar auf eine Weise umgesetzt werden, die halbwegs manierlich aussieht, und zwar indem man das Vorschaubild auf den eigenen Server lädt, es als einfaches Bild in die Seite einbindet, und dieses mit Youtube verlinkt.

Vorteil: Einen YouTube Link auf Ihre Webseite zu setzen ist datenschutzkonform, da kein Inhalt von YouTube auf Ihrer Website vorhanden ist, und es ist fast ohne Aufwand möglich. Dies ist auch die einzige Variante, bei der kein Hinweis in der Datenschutzerklärung notwendig ist. Damit ist es auch die einzige komplett datenschutzkonforme Variante, denn wie weiter unten gezeigt wird ist eine komplett rechtskonforme Information in der Datenschutzerklärung schwer möglich.

Nachteil: Wenn Nutzer auf einen Link drücken oder diesen kopieren, verlassen sie bei dieser Methode Ihre Website und Sie wissen nicht, ob sie wieder zurückkommen werden.

Wie kann ich mit einem Website-Check prüfen, ob Youtube DSGVO-konform eingebaut ist?

Es gibt eine einfache und kostenfreie Möglichkeit, die datenschutzkonforme Verwendung von Youtube zuverlässig zu testen: jeder Web-Browser hat eingebaute “Entwickler Tools”, die diese Prüfung ermöglichen. Wir zeigen Ihnen hier in einer Schritt-für-Schritt-Anleitung, wie man die Entwickler-Tools des Chrome Browsers verwendet.

Schließen Sie alle Browser-Fenster und -Tabs, und lassen Sie nur die Seite mit dem eingebauten Youtube-Video geöffnet.
Löschen Sie den kompletten Verlauf des Browsers, d.h. alle Cookies und Website-Daten.
Laden Sie die Seite mit dem Youtube Video neu. Das Einwilligungs-Banner sollte zu sehen sein (wie unten im Screenshot)
Klicken Sie mit der rechten Maustaste in den Inhalt und wählen Sie “Untersuchen” / “Inspect”
Es öffnen sich die Entwickler-Tools. Klicken Sie den Reiter “Netzwerk”. Die Checkbox “Disable Cache” / “Cache deaktivieren” sollte ausgewählt sein. Die Checkbox “Third-party requests” / “Drittanbieterdienste” sollte nicht ausgewählt sein (wie unten im Screenshot). Laden Sie die Seite neu, dann können Sie beobachten, wie die Netzwerkaufrufe einlaufen:

In der Tabelle dürfen nun keine Aufrufe von Domains wie youtube.com, youtube-nocookie.com, doubleclick.com oder google.com auftauchen, andernfalls wäre das Einwilligungsbanner nicht korrekt konfiguriert.
Klicken Sie den Reiter “Application” in den Entwicklertools, es öffnet sich die Ansicht für gespeicherte Daten, wie etwa Cookies. Vergewissern Sie sich, dass es in der linken Navigation unter “Cookies” keinen Abschnitt für die Domain youtube.com oder youtube-nocookie.com gibt.

Wenn alles das gegeben ist, wird das Video tatsächlich erst nach Einwilligung geladen. Wechseln Sie nun zurück in den Reiter “Network” und markieren Sie die Checkbox “Third-party requests” (dann werden nur die interessanten Aufrufe der externen Domains

Vergewissern Sie sich, dass hier nur die Domain youtube-nocookie.com zu sehen ist, und nicht youtube.com. Außerdem dürfen keine Aufrufe zur Domain doubleclick.net zu sehen sein.

Wenn alle diese Prüfungen erfolgreich waren, dann verwenden Sie Youtube im erweiterten Datenschutzmodus und haben die Einwilligung korrekt konfiguriert!

Um diese Prüfung automatisiert durchführen zu lassen können Sie auch eine Software verwenden wie decareto Compliance Monitoring.

Muss das Einbetten von YouTube-Videos in der Datenschutzerklärung erwähnt werden?

Ja, das Einbetten von YouTube-Videos muss in jedem Fall in der Datenschutzerklärung erwähnt werden. Über die Nutzung von YouTube-Videos oder anderen sozialen Netzwerken auf der eigenen Website muss der User informiert werden. Wenn wir davon ausgehen, dass Videos grundsätzlich im erweiterten Datenschutzmodus eingebunden sind (also ohne Profiling durch DoubleClick), dann sollten mindestens folgende Informationen enthalten sein - bitte beachten Sie, dass dies keine Rechtsberatung darstellt:

Der Empfänger, d.h. die Kontaktdaten von Youtube bzw. Google
Der Zweck der Einbindung, also bspw. “Bereitstellung von relevanten Video-Inhalten”
Übersicht über die verarbeiteten Daten. Dies ist nicht unproblematisch, weil schwer zu ermitteln ist, welche Daten Youtube / Google wirklich verarbeitet. Man sollte darauf hinweisen, dass auf jeden Fall die IP-Adresse an Youtube/Google übertragen wird, und eine Verarbeitung von Daten im Local Storage und möglicherweise auch Cookies nicht auszuschließen ist.
Hinweis auf die Rechtsgrundlage für die Verarbeitung: Das Video wird nur nach Einwilligung geladen ((Art. 6 Abs. 1 lit. a DSGVO), und die Einwilligung ist jederzeit widerrufbar.
Information zur Profilbildung. Es sollte darauf hingewiesen werden, dass eine Profilbildung erfolgen kann, wenn der User parallel mit einem Google-Konto angemeldet ist. In diesem Fall werden Aktionen mit dem Profil zusammengeführt.
Hinweis auf Datenverarbeitung im Ausland. Beim Anschauen des Videos werden möglicherweise Daten an die Server von Youtube und Google in den USA übertragen, und das Datenschutzniveau wird dort als nicht ausreichend angesehen.

Streng genommen müssten auch Angaben zur Speicherdauer der Daten gemacht werden, leider gibt es von Google keine klare Aussage dazu.

Fazit

Um das Einbinden von Youtube DSGVO-konform zu gestalten achten Sie bitte auf folgende Punkte:

Sie müssen Sie den erweiterten Datenschutz-Modus aktivieren
Sie müssen zusätzlich die Einwilligung zum Laden einholen.
Kontrollieren Sie mit den Chrome Entwickler-Tools oder eine Tool wie decareto, ob die Einbindung korrekt erfolgt ist
Zudem müssen Sie in der Datenschutzerklärung umfassend über die Datenverarbeitung informieren.

Haben Sie Fragen zum Thema, wie man Videos von YouTube DSGVO konform einbinden kann, oder benötigen Sie Hilfe bei DSGVO spezifischen Fragen? Kontaktieren Sie uns gerne und wir antworten Ihnen so schnell es geht!

Autor: Eckhard Schneider

Zur Übersicht