YouTube-Videos: Datenschutzkonform einbetten möglich?

Content mit eingebetteten YouTube-Clips steht bei den Nutzern hoch im Kurs. Und bei den Redakteuren auch. Ein YouTube-Vieo einzubetten ist kinderleicht und wer im Text ein eingebettetes Video entdeckt, nimmt das Schmökerangebot gerne an. Doch spätestens mit dem Auftauchen der Datenschutzgrundverordnung ( DSGVO ) taucht die Frage nach der rechtmäßig korrekten Einbindung auf.

YouTube und seine Cookies

Der IFRAME ist der böse Bube, der uns Webseitenbetreibern das rechtskonforme Leben so unsäglich schwer macht. Warum? Nun, im IFRAME wird die URL des YouTube-Clips aufgerufen und damit stellen wir eine Verbindung zum YouTube-Server her. Der wiederum befleissigt sich sogleich seiner schlimmsten Unart und schiebt dem Nutzer erstmal ein Cookie rüber. Und schon nimmt das rechtlich sehr bedenkliche Unheil seinen Lauf.

Es geht um das Teilen des Videos durch Einbetten. Unterhalb des Videos kann man in YouTube das “Teilen” anklicken. Die Option “Einbetten” eröffnet uns das Einbetten fast jeden Videos in eine Webseite / HTML-Seite.

Urteil des Europäischen Gerichtshofs (EuGH) / (EuGH-Beschluss vom 21. Oktober 2014 – C-348/13)

Die Frage nach der Rechtmäßigkeit des Einbettens ist nun im Jahr 2018 nicht gerade neu. Vor fast vier Jahren hat der EuGH sich damit beschäftigt und entschieden: Der EuGH – Beschluss vom 21. Oktober 2014 – C-348/13 dokumentiert die Rechtmäßigkeit des Einbettens von z.B. YouTube-Clips in Webseiten. Man spricht dort sehr grundsätzlich von der Framing-Technik, die eigentlich auch noch ganz andere Inhalte zulassen würde.

Ghostery.com und Konsorten: Privacy braucht starke Werkzeuge

Wie andere Werbenetzwerkbetreiber auch versucht Google über seine Server von DoubleClick ein Cookie im Browser des Besuchers zu platzieren, wann immer sich dazu die Möglichkeit bietet. Das eingebettete YouTube-Video ist eine solche Chance und die nutzt Google natürlich.

Privacy-Tools helfen uns, uns gegen solcherlei technisierte Neugier zu schützen.

  • Ghostery.com von Evidon
  • Collusion von disconnect.me
  • DoNoTrackMe von Abine.com
  • PrivacyBadger von Electronic Frontier Foundation EFF.ORG

Dies sind nur einige der Privacy-Werkzeuge, deren Dienste man sich zueigen machen kann, um die digitalen Lauschattacken neugieriger Zeitgenossen und fragwürdiger, selbsternannter Unternehmer aufzudecken.

Tracking ohne Grund: Wenn die Neugier Google vorwitzig werden lässt

Wird ein YouTube-Clip abgespielt, dann könnte man noch ein gewisses berechtigtes Interesse am Tracking unterstellen. Doch Googles Datengriff erfolgt, auch wenn wir das YouTube-Video gar nicht abspielen. Und das ist schlimm. Frühere Besuche in Googles Daten-Schlaraffenland “DoubleClick” können bereits dazu geführt haben, dass ein Cookie gesetzt wurde. Jetzt, beim neuerlichen Besuch kann ausgelesen werden, wo der Noch-Nicht-Betrachter sich zuvor aufgehalten hat, eventuell auch, was er dort getan hat. Wir als Webseitenbetreiber bekommen das nicht mit, erahnen sicher auch nicht, welche Datenfülle sich da ohne unser Zutun bei DoubleClick & Co. ansammelt.

§ 13 des Telemediengesetzes (TMG)

Die Rechtsfalle für uns Webseitenbetreiber beginnt mit § 13 des Telemediengesetzes (TMG). Dort (im Absatz 3 des §15) findet sich unsere Verpflichtung zur Information unserer Webseitenbesucher über gesetzte Cookies und eine mögliche Datenverarbeitung, die sich daraus ergibt. Doch wie soll man informieren, wenn unklar ist, was genau geschieht?

Warum betrifft dies den Webseitenbetreiber? YouTube ist doch schuld!

Ja, das ist natürlich die einfachste Lösung. YouTube bekommt den Schwarzen Peter und wir sind fein raus. Jetzt ist es aber leider so, dass YouTube zwar die unerwünschten und fraglichen Handlungen ausführt. Letztlich sind es aber wir, die Seitenbetreiber, die gerade durch die Einbettung der YouTube-Clips eben dies ermöglichen und die Datenverarbeitung auslösen.

Schnelle Lösung: Der erweiterte Datenschutzmodus von YouTube

Das hört sich an wie der schwarze Schimmel. Der erweiterte Datenschutzmodus von YouTube ist jedoch kein Oxymoron wie besagtes Fabelwesen, sondern eine echte Option. Offenbar hat man sich bei Google frühzeitig gewappnet, das Prachtstück jedoch gut versteckt, auf dass der Nutzer es nicht finden möge – letztlich möchte Google ja weiterhin Daten sammeln.

Infografik: Wie kann ich beim YouTube-Clip den erweiterten Datenschutzmodus aktivieren? Klicken Sie in diesen drei Schritten auf die Links unterhalb des YouTube-Clips, den Sie einbetten möchten.
Infografik: Wie kann ich beim YouTube-Clip den erweiterten Datenschutzmodus aktivieren? Klicken Sie in diesen drei Schritten auf die Links unterhalb des YouTube-Clips, den Sie einbetten möchten.

Wie kann ich beim YouTube-Clip den erweiterten Datenschutzmodus aktivieren?

Die Infografik oben zeigt es. Unterhalb des YouTube-Clips können Sie beim Einbetten des Clips die Option des erweiterten Datenschutzmodus aktivieren. Natürlich müssen Sie einmal auf “Mehr anzeigen” klicken, denn die Option ist natürlich ein wenig versteckt. Ein Schelm, der Schlechtes dabei denkt!

Glaubt man YouTube, dann werden keine Informationen über den Besucher gespeichert, solange er das Video nicht abspielt.

Was genau passiert bei Aktivierung des erweiterten Datenschutzmodus?

Betrachtet man sich den Einbettungscode des YouTube-Videos, sieht man schnell, wie technisch simpel YouTube das Thema gelöst hat.

Einbettungscode ohne Aktivierung des erweiterten Datenschutzmodus

<iframe width=”560″ height=”315″ src=”https://www.youtube-nocookie.com/embed/cL29Vjk0bNU” frameborder=”0″ allow=”autoplay; encrypted-media” allowfullscreen></iframe>

Einbettungscode mit Aktivierung des erweiterten Datenschutzmodus

<iframe width=”560″ height=”315″ src=”https://www.youtube-nocookie.com/embed/cL29Vjk0bNU” frameborder=”0″ allow=”autoplay; encrypted-media” allowfullscreen></iframe>

Man erkennt natürlich schnell, dass der Unterschied ausschließlich in dem Domainnamen der URL des IFRAME besteht. Ohne Aktivierung geift der IFRAME auf “www.youtube.com” zu und bei Aktivierung wird daraus “www.youtube-nocookie.com”.

Was ist die Device-ID?

Die Device-ID im Local Storage des Browsers hat uns das mobile Zeitalter beschert. Die Client- oder Device-specific IDs ermöglichen das sogenannte Cookieless Tracking. Das beinhaltet Apple’s UDID und seine Ersatz-ID für Advertiser (IDFA), Google’s Android ID, die MAC address, etc. Benutzer können diese nicht ändern oder sich von dieser Art des Trackings abmelden. Das wirft natürlich rechtliche Fragen auf.

Der erweiterte Datenschutzmodus der Einbettung verhindert nicht, dass die Device-ID im Browser hinterlegt wird. Und der erweiterte Datenschutzmodus der Einbettung verhindert nicht, dass der Browser mit dem Server des Netzwerks DoubleClick von Google aufnimmt.

Ob eine Übertragung der Device-ID stattfindet oder nicht, weiß man nicht. Das ändert jedoch nichts an der Pflicht, den Nutzer in der Datenschutzerklärung darauf hinzuweisen, dass eine Verbindung zum Netzwerk DoubleClick von Google aufgebaut wird. Auch dass das Abspielen des Videos weitere Datenverarbeitungsvorgänge bei Google auslöst und dass man darauf keinen Einfluss hat, ist hinweiswürdig.


Bildnachweis: Titelbild shutterstock – LilKar, Infografik schwarzer.de