Für die Bereitstellung von Videos auf Websites greifen viele Websitebetreiber auf externe Plattformen zurück, durch welche die Einbindung meist bequem und schnell durchgeführt werden kann. Eine falsche Einbindung kann jedoch zu Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) führen und Bußgelder nach sich ziehen.
Wie eine (möglichst) datenschutzkonforme Einbettung von Videos möglich ist, beschreibt der Landesbeauftragte für Datenschutz und Informationssicherheit Rheinland-Pfalz (LfDI RLP) in einer aktuellen Anleitung. Im November 2022 veröffentlichte auch der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg (LfDI BaWü) eine entsprechende Handreichung.
Rechtliche Grundlagen der Einbettung von Videos
Bei der Einbindung von Videos von Video-Plattformen wie YouTube oder Vimeo muss beachtet werden, dass hierbei oft personenbezogene Daten (z.B. IP-Adressen) an diese Drittanbieter in Drittländern übermittelt werden. Werden Videos nicht datenschutzkonform eingebunden, beginnt die Übertragung bereits beim Aufruf der Website, ohne, dass das Video überhaupt abgespielt wird, und meist ohne die Kenntnis und Einwilligung der Betroffenen.
Mit der Rechtsprechung zur Einbindung des Gefällt-mir-Buttons von Facebook auf Websites hat der Europäische Gerichtshof (EuGH) allgemeine Grundsätze aufgestellt, nach denen Websitebetreiber für das Erheben und Übermitteln personenbezogener Daten an Drittanbieter unter bestimmten Voraussetzungen gemeinsam mit diesen Drittanbietern verantwortlich im Sinne von Art. 26 DSGVO sind.
Wie auch bei der eben genannten Entscheidung zu Facebook handelt es sich bei der Einbindung von YouTube-Videos um eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zwischen YouTube und Websitebetreibern. Diese liegt vor allem deswegen vor, da die durch die Einbindung von YouTube-Videos erhobenen personenbezogenen Daten in einer Statistik einsehbar sind und auch durch YouTube zu diversen eigenen Zwecken verwendet werden. Somit bestimmen der jeweilige Websitebetreiber und YouTube gemeinsam die Zwecke und Mittel der Verarbeitung. Dem ist bei der technischen Implementierung auf der Website Rechnung zu tragen.
Welche Möglichkeiten für eine Einbindung von YouTube-Videos bestehen und insbesondere, wie datenschutzkonform die jeweiligen Möglichkeiten sind, erklären wir im Folgenden.
Möglichkeiten der Video-Einbindung und datenschutzrechtliche Problempunkte
YouTube bietet von Haus aus eine Funktion an, Videos datenschutzkonform einbinden zu können. Durch diesen sogenannten erweiterten Datenschutzmodus werden diverse Einstellungen vorgenommen, die verhindern, dass Daten automatisch an YouTube übertragen werden. Dieser Modus setzt laut Angaben von YouTube erst Cookies, sobald das Video wiedergegeben wird. Videos, die mittels dieses Modus‘ eingebettet wurden, werden nicht über die Domain youtube.com. sondern von youtube-nocookie.com abgerufen.
Es ist jedoch zu beachten, dass hierbei zwar weniger Nutzerdaten an YouTube gesendet werden, aber dennoch eine Verbindung zu Google-Servern hergestellt wird, bevor das Video wiedergegeben wird. Insbesondere ist der erweiterte Datenschutzmodus nicht vollkommen sicher, da Google über sämtliche angebotenen Tools auch ohne Cookies – mit sogenanntem Browser Fingerprinting – Nutzer tracken kann.
Der Betreiber der Website, der gemeinsam mit dem Betreiber der Videoplattform verantwortlich ist, kann die Einwilligung des Besuchers durch eine sogenannte Zwei-Klick-Lösung einholen. Dadurch wird zunächst nur eine Vorschau der Inhalte angezeigt, ohne dass personenbezogene Daten an den Plattformbetreiber übermittelt werden. Erst wenn der Besucher einwilligt, beginnt die Übertragung.
Betreiben Sie Ihre Website z.B. mit WordPress, gibt es Plugins wie WP YouTube Lyte, die es ermöglichen, die Zwei-Klick-Lösung einfach zu implementieren. Beachten Sie jedoch, dass nicht alle dieser Plugins von Hause aus die Domain youtube-nocookie.com nutzen, sondern die normale, und diese dann manuell geändert werden muss.
Insbesondere ist die Zwei-Klick-Lösung trotz des Einsatzes eines Consent-Banners empfehlenswert, da bei Videos oder anderen vergleichbar eingebundenen Elementen die Codes geladen werden können, bevor der Consent-Banner geladen wird.
Die rechtskonforme Einwilligung muss nach Art. 4 Nr. 11 DSGVO im Vorfeld der Datenverarbeitung ausdrücklich, informiert, freiwillig, aktiv und getrennt von anderen Erklärungen eingeholt werden.
Zudem ist auch auf die Informationspflicht nach Art. 13 DSGVO i.V.m. Art. 12 DSGVO zu achten. Um dem Transparenzgebot nachzukommen, ist in einer transparenten, verständlichen, leicht zugänglichen Form und in einer klaren und einfachen Sprache über die Verarbeitung zu informieren. Schließlich sind aufgrund des Drittlandtransfers die Anforderungen aus Kapitel 5 der DSGVO zu beachten.
Eine spannende Alternative ist die vom Landesbetrieb Daten und Information (LDI) im Auftrag des LfDI RLP entwickelte TYPO3-Zwei-Klick-Erweiterung. Diese Erweiterung steht unter der GNU General Public License 3 und steht somit der Allgemeinheit zur Verfügung. Bei TYPO3 handelt es sich um ein kostenloses webbasiertes Content-Management-System.
Durch diese Erweiterung haben Websitebetreiber die Möglichkeit, innerhalb des Plugins Inhalte, wie YouTube-Videos, einzufügen. Während bei einer regulären Einbindung von YouTube-Videos eine Verbindung zum Server von Google aufgebaut werden muss, um Informationen (z.B. Titel, Beschreibung etc.) anzuzeigen, können diese Informationen innerhalb des Plugins hinterlegt werden. Ebenso ist die Zwei-Klick-Lösung so in das Plugin implementiert, dass eine Einwilligung nach Art. 4 Nr. 11 DSGVO vor jeglichem Datentransfer zu Google eingeholt wird.
Problematisch ist bei der direkten Einbindung auch der Abruf des Vorschaubilds trotz Zwei-Klick-Lösung. Meist wird das Vorschaubild auch ohne Einwilligung des Nutzers geladen, wodurch ein Transfer zu YouTube stattfindet und nicht klar ist, ob weitere Daten mit abfließen. Auch hier bietet das TYPO3-Plugin Abhilfe, indem die Möglichkeit geboten wird, ein Vorschaubild lokal hochzuladen, welches dann angezeigt wird.
Fraglich ist nur, inwiefern man die Vorschaubilder aus YouTube benutzen kann (z.B. durch Screenshots und Upload in das Plugin), da dies ggf. urheberrechtlich geschützt ist. Es sollte also im Falle einer Einbettung fremder Videos die Erlaubnis des Rechteinhabers eingeholt werden oder lediglich auf die Einbettung von Videos gesetzt werden, bei denen sämtliche Rechte vorliegen.
Beachten Sie, dass die Einbindung von Videos über das TYPO3-Plugin einen etwas höheren Aufwand erfordert, da jedes Video einzeln implementiert und jeweils vor Einbindung der Einbettungs-Code manuell modifiziert werden muss. Eine detaillierte Anleitung, wie die Implementierung zu erfolgen hat, finden Sie in der Handreichung des LfDI RLP.
Alternativen zu YouTube
Der LfDI BaWü nennt als Alternative zu YouTube die Videoplattform PeerTube. Bei dieser Plattform handelt es sich um eine nichtkommerzielle, laut LfDI BaWü datenschutzkonforme Alternative. Die Funktionen, die bei anderen Plattformen üblich sind (Kommentieren von Videos, Erstellen von Kanälen und Abonnieren dieser etc.), finden sich auch bei PeerTube. Es gibt jedoch keinen zentralen Anbieter. Bei PeerTube werden viele vereinzelte Server verwendet. Wegen dieser Datenübertragung ist auch bei PeerTube eine Einwilligung nach Art. 4 Nr. 11 DSGVO einzuholen.
Beachten Sie jedoch, dass PeerTube auf dem Peer-to-Peer-Prinzip basiert und somit ein Risiko für Anbieter und Anwender besteht, da dies rechtlich nicht klar geregelt ist. Bei dem Peer-to-Peer-Prinzip werden direkte Verbindungen zwischen den Nutzern hergestellt, da hier kein dedizierter Server vorhanden ist (wie bei YouTube), sondern alle Nutzer einen Teil des Netzwerks darstellen. Die öffentlichen IP-Adressen werden hierbei genutzt, um einen Zugriff auf die Videodaten zu ermöglichen. Somit kann der Anwender juristisch gesehen auch als Anbieter angesehen werden (siehe auch unser Ratgeber zum Datenschutz in der Blockchain). Ebenso könnte dies dem Prinzip der Datenminimierung zuwiderlaufen. Bei anderen Peer-to-Peer-Netzwerken wurden Anwender beim Download urheberrechtlich geschützter Inhalte bereits kostenpflichtig abgemahnt.
Eine weitere Möglichkeit sind Videohosting-Anbieter in der EU (z.B. Videolyser, stream24, video.taxi, etc.). Diese ermöglichen meist ebenso einfach wie YouTube, Videos per Code-Snippet oder etwa WordPress-Plugin auf einer Website einzubinden.
Durch das Hosting in EU-Ländern, besteht vor allem die Problematik des Drittlandtransfers nicht. Ein weiterer Vorteil dieser Anbieter besteht darin, dass nur wenige dieser Anbieter Cookies setzten oder dass sie zumindest cookiearme Versionen anbieten.
Auch bei diesen Anbietern sollte jedoch darauf geachtet werden, welche personenbezogenen Daten erfasst werden und ob eine Anonymisierung der Daten (z.B. IP-Adressen) erfolgen kann. Ist eine Anonymisierung möglich, sollten diese Einstellungen auch bei europäischen Videohosting-Anbietern vorgenommen werden. Zudem ist, wie sonst auch, auf eine ausreichende Information über die Verarbeitung nach Art. 13 DSGVO i.V.m. Art. 12 DSGVO zu achten.
Die datenschutzfreundlichste Variante ist das Hosten auf dem eigenen Server. Videos können auf den eigenen Webserver geladen und auf der Website zur Verfügung gestellt werden. Problematisch dürfte dies jedoch für diejenigen werden, die eine große Anzahl an Videos oder umfangreiche Videos mit entsprechender Dateigröße bereitstellen möchten. Hierfür müssen die eigenen Server über ausreichend Kapazitäten verfügen, damit die Website reibungslos zugänglich bleibt. Zudem verfügen die allerwenigsten Websitebetreiber über entsprechende Skripte, die das Laden des eingebetteten Videos z.B. an die Auflösung des Endgerätes anpasst.
Bei dieser wohl datenschutzfreundlichsten Alternative dürften einige an den Server-Ressourcen scheitern. In einem solchen Fall muss eine andere der oben genannten Möglichkeiten mit Fokus darauf verwendet werden, dass eingebundene Dienstleister vor allem nicht der Problematik der Transfers in Drittländer unterliegen und wenn doch, dass ausreichend Sicherheitsvorkehrungen getroffen wurden. Auch hier sollten Sie als Websitebetreiber beachten, dass auch beim Hosten über den eigenen Server ein Risiko besteht, insbesondere dann, wenn externe Dienstleister für das Hosting zuständig sind.
Nebst dem Hosten auf eigenen Servern besteht auch die Möglichkeit einer reinen Verlinkung zu YouTube. Es kann hierbei beispielsweise ein Vorschaubild auf der Website mit einem Hinweis angezeigt werden, dass eine Weiterleitung zu YouTube stattfindet. Diese Variante ist ebenso wie das Hosting auf eigenen Servern sicher, jedoch verlässt der Nutzer die eigene Website, was viele Websitebetreiber vermeiden wollen.
Fazit
Um die gesetzlichen Anforderungen bei der Einbettung von Videos einzuhalten, ist die richtige technische Implementierung von Bedeutung. Zusammenfassend lässt sich sagen, dass lokale Hosting auf eigenen Servern, soweit möglich, in jedem Fall bevorzugt werden sollte, da dies die datenschutzfreundlichste Variante darstellt, um Videos auf der Website einzubinden. Vor allem auch im Hinblick darauf, dass sich bei den anderen in diesem Artikel genannten Möglichkeiten, aufgrund der Problematik des Drittlandtransfers, die Datenschutzkonformität in Zukunft ändern kann. In jedem Fall müssen zusätzlich die Vorgaben aus § 25 TTDSG beachtet und es muss über die Verarbeitung in Ihrer Datenschutzerklärung hingewiesen werden.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!