Worum geht's?
Das Einbetten externer Videos von Plattformen wie YouTube oder Vimeo macht eine Website neben Bildern, Texten und anderem Content erst richtig ansprechend. Doch auch, wenn die technische Einbindung einfach ist: Aus datenschutzrechtlicher Sicht ist Video-Embedding nicht ungefährlich. Denn sobald ein Nutzer die Website mit dem eingebetteten Video aufruft, werden zahlreiche, einwilligungspflichtige Cookies in dessen Browser gesetzt und persönliche Daten an die Plattformen übertragen – und zwar ohne, dass der Nutzer das Video überhaupt angeklickt hat. Warum das ein Problem ist und wie Sie Bilder und Videos rechtssicher auf Ihrer Website einbetten, lesen Sie in diesem Artikel.
1. Videos auf eigener Website einbinden: Was muss ich beachten?
Möchten Sie Video Content von Plattformen wie YouTube oder Vimeo auf Ihrer Website einbinden, geht das technisch zwar sehr einfach – aus datenschutzrechtlicher Sicht sollten Sie allerdings Vorsicht walten lassen.
Wieso ist das Einbetten von YouTube-Videos datenschutzrechtlich bedenklich?
Das immense Sammeln von Daten findet nicht nur statt, wenn Sie sich selbst auf YouTube oder Vimeo Videos ansehen, sondern auch dann, wenn Sie diese Videos auf Ihrer eigenen Website einbinden. Sobald ein Nutzer die Seite mit dem eingebetteten Video aufruft, stellt diese automatisch eine Verbindung zum YouTube- bzw. Vimeo-Server her und überträgt persönliche Daten wie die IP-Adresse durch das Setzen von Cookies. Die gesammelten Daten können anschließend für Werbezwecke genutzt werden, um Nutzern personalisierte Werbeanzeigen auszuspielen.
Allerdings ist das nicht einfach so erlaubt: Sobald Sie selbst oder über einen externen Dienst wie YouTube, Google oder Vimeo personenbezogene Daten Ihrer Nutzer erheben wollen, brauchen Sie deren ausdrückliche Einwilligung in die Datenverarbeitung. Ohne die ist das Setzen von Cookies nicht zulässig.
Da die Server von Videoplattformen wie Vimeo und Google nicht in der EU sitzen, sondern die Daten in die USA übertragen, ist die Datenerhebung datenschutzrechtlich noch einmal mehr bedenklich: Denn seit Wegfall des Privacy Shields gilt die USA aus Sicht des Europäischen Gerichtshofs (EuGH) als unsicheres Drittland aufgrund eines mangelhaften Datenschutzniveaus.
Das heißt: Möchten Sie im Rahmen Ihres Social Media Marketings Videos von US-Plattformen auf Ihrer Website einbetten, geht das nicht einfach so. Beachten Sie die Vorgaben des Datenschutzes nicht, verstoßen Sie gegen die Datenschutzgrundverordnung (DSGVO) – und das kann saftige DSGVO-Bußgelder und DSGVO-Abmahnungen nach sich ziehen.
Ab wann werden beim Video-Embedding Cookies gesetzt?
Sobald Sie ein Video von YouTube oder Vimeo auf Ihrer Website einbetten und jemand Ihre Seite aufruft, werden durch die Verbindungen zu den Servern der Plattformen Cookies im Browser dieses Nutzers gesetzt. Die Art von Cookies fällt unter Tracking Cookies, welche Informationen über den Nutzer an die Plattform senden. Zusätzlich wird bei eingebetteten YouTube-Videos eine Verbindung zu Googles Werbenetzwerk „Double Click“ hergestellt.
Das alles passiert, bevor der Nutzer das eingebettete Video auf der Website überhaupt angeklickt oder gesehen hat. Allein das Aufrufen der Website, die den eingebetteten Content enthält, reicht dafür aus. Und das kann weitreichende Folgen haben: Denn löscht der Nutzer die Cookies später nicht wieder, werden die Daten über einen mitunter langen Zeitraum von mehreren Jahren übertragen.
2. Das Problem mit der Datenschutzerklärung beim Embedding
Jetzt könnte man davon ausgehen, dass es ausreichend ist, sich die Einwilligung seiner Websitebesucher für das Einbetten der Videos einzuholen und die Nutzung von YouTube oder Vimeo in die eigene Datenschutzerklärung aufzunehmen.
Zunächst einmal: Ja, die Einwilligung Ihrer Nutzer brauchen Sie in jedem Fall. Ohne die ist das Einbetten von externen Videos nicht zulässig, da durch das Embedding persönliche Nutzerdaten erhoben und an die Plattformen übermittelt werden. Die Einwilligung können Sie sich über ein Cookie Consent Tool einholen (dazu später mehr).
Allein die Zustimmung für die Datenerhebung reicht aber nicht aus: Sie sind auch verpflichtet, Ihre Nutzer in einer DSGVO-konformen Datenschutzerklärung darüber aufklären, dass Ihre Website durch das Video Embedding Tracking Cookies von YouTube setzt und eine Verbindung zum Werbenetzwerk DoubleClick herstellt.
Um Ihrer Informationspflicht gegenüber Ihren Nutzern ordnungsgemäß nachzukommen, müssten Sie wissen, was YouTube mit den erhobenen Daten macht und diesen Verwendungszweck in Ihre Datenschutzerklärung aufnehmen. Genau darüber lässt YouTube aber seine Nutzer im Unklaren – und Sie können als Webseitenbetreiber Ihre Besucher nicht vollständig über die Datenerhebungen aufklären. Die Datenschutzerklärung ist somit unvollständig und die Gefahr einer Abmahnung erhöht.
3. Wie kann ich Videos DSGVO-konform auf meiner Website einbetten?
Um Videos von YouTube oder Vimeo datensparsamer auf Ihrer Website einzupflegen, gibt es verschiedene Möglichkeiten. Wir zeigen Ihnen vier Tipps, mit denen Sie Videos datenschutzfreundlich einbetten können.
Cookie Consent Banner Plugins
Möchten Sie Videos von Vimeo oder YouTube auf Ihrer Website einbinden, holen Sie sich dafür am besten immer die Einwilligung Ihrer Nutzer mit einem Cookie Consent Tool ein. Dadurch hat Ihr Nutzer die Wahl und kann entscheiden, welche Cookies er beim Besuchen der Website akzeptieren möchte und welche nicht.
Einige Cookies – die sogenannten essenziellen Cookies – sind für den technischen Betrieb Ihrer Internetseite notwendig. Für diese benötigen Sie keine extra Zustimmung. Verwenden Sie aber Tools und Dienste von Drittanbietern wie YouTube, Vimeo, Hotjar oder Google Analytics, geht es nicht ohne Einwilligung – denn zwingend erforderlich für Aufbau und Funktion Ihrer Website sind diese nicht.
Beim Embedding von externen Videos bieten sich verschiedene Consent Tools an, wie z. B. Borlabs Cookie Consent. Das Tool funktioniert nicht nur für YouTube- und Vimeo-Videos, sondern auch für alle anderen Inhalte, die per iFrame geladen werden können (z. B. Google Maps).
Eine Übersicht über weitere Consent Tools finden Sie in unserem Artikel „Die 6 (wahrscheinlich) besten Cookie Consent Tools“.
Erweiterter Datenschutzmodus auf YouTube
Eine weitere Möglichkeit, das Setzen von Cookies beim Video Embedding einzudämmen, kommt von YouTube selbst und nennt sich „Erweiterter Datenschutzmodus“. Mit diesem können Sie Ihre Videos so einbetten, dass zumindest beim Aufrufen der Website (fast) keine Cookies durch YouTube gespeichert werden, sondern erst dann, wenn Ihr Webseitenbesucher das Video anklickt und abspielt.
Der erweiterte Datenschutzmodus von YouTube funktioniert über das YouTube-Cookie „No-Cookie“. Aktivieren Sie dazu den „erweiterten Datenschutzmodus“, indem Sie auf Video teilen 🡪 Einbetten 🡪 Optionen zum Einbetten gehen und ein Häkchen im entsprechenden Kästchen setzen (siehe Screenshots).
Ist die No-Cookie-Funktion aktiviert, wird aus youtube.com youtube-nocookie.com: Beim Aufrufen der Seite wird keine Verbindung zu den YouTube-Servern aufgebaut. Erst, wenn Ihr Nutzer auf das Video klickt und es abspielt, werden seine Daten an YouTube übertragen.
ACHTUNG
Auch wenn weniger Cookies durch den aktivierten Datenschutzmodus an die Plattform übertragen werden – ganz ohne Cookies kommt diese Möglichkeit nicht aus. Zudem werden die Daten Ihrer Nutzer ungeachtet dessen weiterhin an das Tech-Unternehmen übertragen – dann nämlich, wenn sie das eingebettete Video auf Ihrer Webseite anklicken.
Sie können sich zwar die ausdrückliche Einwilligung Ihrer Nutzer einholen, sobald diese auf „Video abspielen“ klicken. Allerdings stellt der YouTube-eigene Datenschutzmodus keine Möglichkeit bereit, eine einmal erteilte Einwilligung wieder zu widerrufen und bereits gesetzte YouTube-Cookies wieder zu entfernen. Auch wissen weder Nutzer noch Webseitenbetreiber, wie die Datenspeicherung nach Anklicken des Videos konkret aussieht.
Diese Möglichkeit ist also datenschutzfreundlicher, aber immer noch nicht datenschutzkonform. Um Videos DSGVO-konform auf Ihrer Website einzubetten, ist es unerlässlich, dass Sie zusätzlich zum erweiterten Datenschutzmodus ein Cookie Consent Tool auf der Seite einbinden, das Ihren Nutzern die Möglichkeit gibt, ihre Einwilligung in die Datenerhebungen und -übertragung zu widerrufen.
Unseren eRecht24 Premium-Mitgliedern bieten wir verschiedene Cookie Consent Tools an, mit denen Sie auch Ihre Website DSGVO-konform machen. Basiert Ihre Seite auf WordPress, empfehlen wir Ihnen Borlabs Cookie mit einem Rabatt für Premiumnutzer. Das Consent Tool Usercentrics steht eRecht24 Premium-Mitgliedern sogar kostenlos zur Verfügung.
Do Not Track Parameter auf Vimeo
Während der erweiterte Datenschutzmodus eine YouTube-eigene Datensparmöglichkeit bietet, lässt sich das Speichern von Cookies beim Einbetten von Videos auch auf Vimeo einschränken. Zwar überträgt Vimeo nicht dermaßen viele Nutzerdaten wie YouTube an Drittanbieter und Werbetreibende – allerdings werden auch hier Cookies gesetzt, um beispielsweise die Lautstärke-Einstellungen oder den Abspielstand eines Videos zu speichern.
Essenziell sind die Cookies nicht, weshalb Sie sich auch hier zusätzlich immer mit einem DSGVO-konformen Cookie Consent Tool absichern sollten. Um das Setzen von Cookies zu unterbinden bzw. einzuschränken, können Sie mit Do Not Track Parameter angeben, dass bestimmte Tracking-Optionen bei der Einbettung des Videos deaktiviert werden sollen.
Dazu betten Sie eine sogenannte dnt-Bezeichnung („Do-Not-Track“) in den Einbettungscode des Videos ein:
Zwei-Klick-Lösung
Ähnlich wie bei Social Media Plugins lässt sich auch bei YouTube-Videos die sogenannte 2-Klick-Lösung einbinden, um datenschutzrechtlich auf der sicheren Seite zu sein. Die Idee hinter der 2-Klick-Lösung ist, dass Ihre Webseitenbesucher erst das eingebettete YouTube-Video anklicken müssen, damit eine Verbindung zu den Servern der Plattform aufgebaut wird.
Statt des Videos wird ein Vorschaubild mit einem Hinweis angezeigt, der Ihre Nutzer darüber informiert, dass durch das Abspielen des Videos eine Verbindung zu YouTube hergestellt wird und das Unternehmen erfährt, welche Seiten der individuelle Nutzer besucht.
Erst, wenn Ihr Nutzer diesen Hinweis bestätigt, wird das Video im „erweiterten Datenschutzmodus“ eingebettet und abgespielt. Die betreffenden Cookies werden also erst nach dem zweiten Klick und nicht sofort beim Aufrufen der Website gesetzt. Wichtig hierbei ist, dass Sie im Idealfall die Rechte an den Videos haben, da sonst das angezeigte Vorschaubild beim Embedding Urheberrechte verletzen könnte.
Wie Sie die Zwei-Klick-Lösung für eingebettete Videos auf Ihrer Seite einbauen, erklärt die Anleitung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz.
Link zu YouTube oder Vimeo setzen
Die vierte Möglichkeit, YouTube- oder Vimeo-Videos DSGVO-konform auf der eigenen Website einzubetten, ist auch die einfachste: Hinterlegen Sie den Link zur Plattform auf Ihrer Website hinter einem Vorschaubild des betreffenden Videos.
Datenschutzrechtlich sind Sie mit dieser Variante auf der sichersten Seite – denn mit externem Link und Screenshot werden ohne Frage keine YouTube-Cookies durch Ihre Website gesetzt. Sie benötigen weder die Einwilligung Ihrer Nutzer, noch müssen Sie lang und breit in Ihrer Datenschutzerklärung über die Datenerhebung informieren.
Allerdings hat die Variante aus Marketingsicht auch einen entscheidenden Nachteil: Ihre Besucher müssen Ihre Seite verlassen, wenn sie sich das Video ansehen wollen. Einmal von Ihrer Seite weg, gibt es keine Garantie, dass sie wieder zurückkommen. Auch führt ein einzelner externer Link nicht unbedingt dazu, dass Webseitenbesucher diesen anklicken.
4. Werden auch Cookies gesetzt, wenn ich Bilder in meine Webseite einbinde?
Wenn Sie auf Ihrer Website Stockfotos von Plattformen wie Shutterstock, iStock oder Adobe Stock einbinden möchten, müssen Sie sich um Cookies und Nutzereinwilligung keine Sorgen machen – denn beim Einbinden von Bildern werden keine Cookies gesetzt. Die Einbindung von fremdgehosteten Bildern auf Ihrer Website ist somit datenschutzkonform.
Was Sie aber beachten müssen, sind fremde Urheberrechte – denn sich einfach so aus dem Netz ein Foto herunterzuladen und auf Ihrer Website zu veröffentlichen, geht nur, wenn Sie daran die Rechte haben. Da sich Urheberrechte (also die Rechte des Fotografen oder Grafikers am Bild) nicht übertragen lassen, können Sie lediglich die Nutzungsrechte an dem Bild erwerben. Diese erhalten Sie über eine Lizenzierung, die der Urheber an die Zahlung einer Lizenzgebühr knüpfen kann, aber nicht muss.
Auch kann er die Bedingungen für die Lizenz bestimmen und beispielsweise eine kommerzielle Nutzung untersagen. Der Urheber hat zudem immer ein Recht darauf, als Urheber für das Werk genannt zu werden – und zwar auch bei kostenlosen Bilddatenbanken.
PRAXIS-TIPP
In welchem Fall das Recht auf Urhebernennung nicht greift, welche Arten von Nutzungsrechten es gibt und welche Bilder Sie bedenkenlos für Ihre Website nutzen können, lesen Sie in unserem ausführlichen Artikel „Bildrechte: So nutzen Sie Bilder rechtssicher auf Webseiten und Blogs“.
Sie möchten noch tiefer ins Thema Bildrechte einsteigen? Dann lesen Sie in unseren Artikeln „Was darf ich auf meiner Website, im Onlineshop und bei eBay & Co veröffentlichen?“ und „Das Copyright der Gulaschsuppe: Bildrechte bei Facebook, Instagram & Co.“ weiter.
5. Was muss in meiner Datenschutzerklärung stehen, wenn ich Videos von externen Webseiten einbette?
Möchten Sie YouTube-Videos auf Ihrer Website einbinden, müssen Sie Ihre Nutzer darüber in Ihrer Datenschutzerklärung aufklären. Sie brauchen also eine Datenschutzerklärung für YouTube bzw. eine Datenschutzerklärung für Vimeo. Informieren Sie Ihre Nutzer in der Erklärung darüber,
- welche Daten Sie erheben,
- wie Sie die Daten verarbeiten,
- warum Sie die Daten an die Plattform weitergeben
- und was die Plattform mit den Daten macht.
Auch wenn insbesondere der letzte Punkt aufgrund des intransparenten Vorgehens von YouTube nicht endgültig geklärt ist – keine Datenschutzerklärung ist auch keine Lösung.
Eine Datenschutzerklärung für Ihre Website können Sie mit unserem Premium Datenschutz Generator bereits mit wenigen Klicks erstellen. Wählen Sie aus über 60 Punkten genau die aus, die Sie für Ihre Website brauchen – ob Nutzung von Vimeo, YouTube, Google Analytics oder eTracker.
Nutzen Sie in jedem Fall die Möglichkeiten zur Datensparsamkeit (YouTube „No-Cookie“, Vimeo „Do-Not-Track), binden Sie ein DSGVO-konformes Cookie Consent Tool auf Ihrer Website ein und holen Sie die Einwilligung Ihrer Nutzer ein.
Da sich die Server von YouTube und Vimeo in den USA befinden und so eine Datenübertragung in ein unsicheres Drittland stattfindet, müssen Sie mit den Plattformen zudem sogenannte Standardvertragsklauseln abschließen.
Letztendlich sollte Ihnen bewusst sein, dass das Einbetten von Videos von Plattformen wie YouTube datenschutzrechtlich auch mit diesen Schritten leider nicht komplett sicher ist. Aufgrund der mangelnden Transparenz von YouTube bleibt die Unsicherheit der unzureichenden Nutzerinformation in der Datenschutzerklärung.
Datenschutzrechtlich auf der sichersten Seite sind Sie nur dann, wenn Sie auf die Einbettung von YouTube-Videos (oder Vimeo-Videos) auf Ihrer Website gänzlich verzichten und auf Plattformen wie PeerTube umsteigen. Alternativ können Sie einen Link auf Ihrer Seite zum gewünschten Video einpflegen – dann aber müssen Ihre Besucher die Seite verlassen, um auf den Content zuzugreifen.
Unsere Datenschutzbeau ftragten sagen, dass bei der Einbindung von extern gehosteten Bildern immer ein Consent eingeholt werden muss. So sollen wir bei Verwendung einer Social Wall, wo die Bilder auf den Servern von Facebook, LinkedIn, Twitter, YouTube liegen, die Texte aber beim Anbieter der Social Wall, für jedes einzelne Social-Media-Netzwerk - am besten getrennt - die Zustimmung einholen, was technisch unmöglich ist. Wir sehen uns dadurch gezwungen, auf die Verwendung ganz zu verzichten. Wie sehen Sie das?