Was macht YouTube?
YouTube ist eine Online-Video-Plattform, auf der Nutzer Videos hochladen und anschauen können. Sie können Videos bewerten, in Playlisten speichern und kommentieren. Unternehmen können auf YouTube im Rahmen ihres Content Marketings Inhalte veröffentlichen. Zudem können sie YouTube-Videos auf ihrer Webseite einbetten. Das Portal hat über eine Milliarde User. Wie können Unternehmen YouTube datenschutzkonform verwenden?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Darum ist YouTube datenschutzrechtlich bedenklich
Wollen sich Nutzer bei YouTube registrieren, müssen sie ihren Namen und ihre E-Mail-Adresse angeben sowie ein Passwort für den Login festlegen. Nutzen User den Single Sign On über Facebook oder Google, erhält YouTube zudem weitere Daten der User. Abhängig vom jeweiligen Netzwerk und den dort vorgenommenen Privatsphäre-Einstellungen können das zum Beispiel Fotos, Interessen und Freunde des Nutzers sein.
Werden User nach Registrierung bei YouTube aktiv, zeichnet die Plattform alle vorgenommenen Aktionen auf. Damit speichert YouTube beispielsweise Daten zu angeklickten Videos, erstellten Playlisten sowie abgegebenen Bewertungen und Kommentaren. Darüber hinaus erhebt die Plattform Angaben zum verwendeten Endgerät, zur IP-Adresse und zum Browser des Users.
YouTube nutzt die Daten, um Usern ein personalisiertes Erlebnis bieten zu können. Dazu verwendet es die Daten zum Beispiel, um Nutzern relevante und interessante Inhalte anzuzeigen. Dazu zählt auch das Einspielen personalisierter Werbeclips und Anzeigen.
Unternehmen, die YouTube-Clips auf ihrer Webseite einbinden, erheben automatisch personenbezogene Daten wie die IP-Adresse von Nutzern und geben diese an den Anbieter in den USA weiter. Dafür müssen sie Pflichten aus dem Telemediengesetz (TMG), der Datenschutz-Grundverordnung (DSGVO) und dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) erfüllen.
YouTube datenschutzkonform verwenden
Unternehmen müssen für YouTube diese datenschutzrechtlichen Vorgaben beachten:
Link zu Datenschutzhinweis und Impressum auf YouTube-Profil einfügen
Unternehmen, die Videos bei YouTube veröffentlichen, benötigen einen Link zu entsprechenden Datenschutzhinweisen sowie zu ihrem Impressum. Sie sollten den Link direkt in ihrem YouTube-Profil zur Verfügung stellen.
Datenerhebung verhindern oder Einwilligung für Datenerhebung einholen
Binden Seitenbetreiber YouTube-Content auf ihrer Webseite ein, erfasst das Video-Portal automatisch Daten zu den Webseitenbesuchern. Das ist möglich, da YouTube durch das Einbetten der URL automatisch einen Cookie im Browser der Nutzer setzt. Dieser speichert personenbezogene Daten wie die IP-Adresse und das Verhalten auf der Seite und gibt diese an YouTube weiter.
Webseitenbetreiber sollten daher auf Plugins setzen, die verhindern, dass YouTube Daten von Usern sammelt, noch bevor diese ein Video auf einer Webseite anklicken. Plugins lassen Nutzer zunächst zustimmen, dass YouTube bei Abspielen eines Videos ihre personenbezogenen Daten erfasst. Dies geschieht über einen Hinweis, dem sie aktiv per Klick zustimmen müssen.
Alternativ können Unternehmen die Einwilligung der User in die automatische Datenerhebung einholen, indem sie einen entsprechenden Passus in ihrem Cookie Banner ergänzen. Ein Cookie Consent Tool kann dabei zuverlässig die Datenpräferenzen zu YouTube von Nutzern abfragen.
Datenschutzerklärung aktualisieren
Seitenbetreiber müssen in ihrer Datenschutzerklärung angeben, dass sie YouTube-Videos auf ihrer Seite eingebunden haben. Dabei sollten sie Usern erklären,
- welche Daten sie dabei sammeln,
- wie sie die Daten verarbeiten,
- warum sie die Daten an YouTube weitergeben
- und was YouTube mit den Daten macht.
Standardvertragsklauseln abschließen
Unternehmen müssen mit YouTube Standardvertragsklauseln abschließen. Diese bilden derzeit die Rechtsgrundlage für einen Datentransfer in die USA. Sie sollten darauf achten, dass sie dabei die aktuellen Standardvertragsklauseln abschließen. Denn: Die EU-Kommission hat kürzlich neue Klauseln herausgegeben. Zusätzlich müssen Unternehmen eine Risikoabschätzung durchführen. Dabei müssen sie prüfen,
- welche Art von Daten sie an YouTube weitergeben,
- welche Rechtsvorschriften in den USA gelten und
- ob sie weitere Maßnahmen zum Schutz der Userdaten ergreifen können.
Rechtsprechung zu YouTube
Auf Webseiten eingebettete YouTube-Videos erheben wie der Facebook Like-Button personenbezogene Daten und geben diese an den Anbieter in den USA weiter. Für YouTube ist daher auch die Rechtsprechung zum Like-Button relevant:
Landgericht Düsseldorf zum Facebook Like-Button
Der Facebook Like-Button verstößt gegen deutsche Datenschutzbestimmungen. Er leitet Nutzerdaten ohne Einwilligung der User an das soziale Netzwerk weiter. Zu diesem Schluss kam das Landgericht (LG) Düsseldorf im März 2016 (Az. 12 O 151/15).
Oberlandesgericht Düsseldorf / Europäischer Gerichtshof zum Facebook Like-Button
Das Oberlandesgericht (OLG) Düsseldorf hat die Frage nach der Zulässigkeit des Facebook Like-Buttons dem Europäischen Gerichtshof (EuGH) vorgelegt (Beschluss vom 19.01.2017, Az. I-20 U 40/16). Der EuGH entschied: Unternehmen müssen eine Einwilligung der Nutzer einholen, bevor sie ihre Daten an Facebook weitergeben. Unternehmen sind für die Datenweitergabe genauso verantwortlich wie Facebook (Urteil vom 29.07.2019, C-40/17).