YouTube („Nocookies“) DSGVO-konform einbauen: Der umfassende Leitfaden inkl. Checkliste

Die ganz kurze Zusammenfassung schon mal an dieser Stelle:

• Ja, YouTube ist DSGVO-konform. Solang ihr bestimmte Regeln beachtet (siehe unten) und die explizite Zustimmung eurer Besucher einholt. Dies geschieht entweder im Cookie-Banner oder über eine 2-Klick-Lösung.
• Nein, die YouTube-NoCookie-Variante könnt ihr nicht einfach so einbauen. Auch diese benötigt eine explizite Zustimmung im Cookie-Banner oder über eine 2-Klick-Lösung.
• Wenn ihr wollt, dass eure aufwendig produzierten Videos – auf der eigenen Webseite – gesehen werden, dann ist YouTube keine Option. Nutzt ein Video Hosting Dienst aus Deutschland, der auf Cookies verzichtet.

Aber lasst uns ins Thema einsteigen:

Warum YouTube eine Herausforderung für die DSGVO ist

YouTube ist super praktisch. Theoretisch muss man nur das Video hochladen, den Code kopieren, auf der Webseite einbinden und fertig. Theoretisch.

Die DSGVO macht das für euch leider etwas komplizierter. Das liegt unter anderem an:

• Tracking personenbezogener Daten: YouTube erhebt Daten über das Nutzerverhalten, sobald ein Video auf deiner Webseite eingebettet wird – selbst dann, wenn das Video nicht abgespielt wird. YouTube nutzt, als Tochter von Google / Alphabet, die Daten unter anderem um Werbeprofile der Besucher*innen zu erstellen.
  Beispiel: ihr habt als Anbieter von Produkt XY das Video dazu auf eurer Webseite, wird diese aufgerufen, weiß YouTube / Google nun, dass eure Besucher*innen daran Interesse haben und nutzt diese Information für zielgerichtete Werbung. Auch von der Konkurrenz.
• Datenübertragung in die USA: YouTube speichert und verarbeitet Daten auf Servern in der ganzen Welt, auch in den USA. Auch mit der Zertifizierung nach dem EU-U.S. Data Privacy Framework bleiben rechtliche Risiken bestehen. Es gibt keine Garantie dafür, dass Daten nur innerhalb der EU gehostet werden.
• Cookie-Einsatz ohne Einwilligung: Standardmäßig setzt YouTube Cookies, die ohne die Zustimmung der Nutzer*innen gegen die DSGVO verstoßen. Auch der „nocookies“-Modus behebt dieses Problem nicht vollständig. (Details unten)
• Es ist kein „essenzieller Dienst“ und zustimmungspflichtig: YouTube gilt laut Datenschutz-Expert*innen nicht als essenzieller Dienst, da die Nutzung von Videos für den Betrieb einer Webseite in den meisten Fällen rein optional ist.

Das sagen die Expert*innen:

„Ohne zusätzliche Datenschutzmaßnahmen, mit denen Sie die Einwilligung Ihrer Nutzer in die Datenerhebung durch YouTube einholen, ist das Einbetten von YouTube-Videos nicht mit der DSGVO vereinbar.“ (Quelle e-Recht)

Kurzer Disclaimer: Ob und welches Risiko du durch die Integration von YouTube hast, muss immer dein Datenschutzbeauftragter beurteilen. Wir können hier nur eine unverbindliche Empfehlung aussprechen.

Anmerkung: ist natürlich alles nur ein Problem, wenn ihr Videos auf eurer Webseite einbauen wollt. Wenn eure Kund*innen euren YouTube-Channel und die Videos direkt aufrufen, ist YouTube in der Verantwortung, dort die DSGVO einzuhalten. Ihr braucht auf eurem Channel aber dennoch Dinge wie ein Impressum und so ...

Rechtliche Anforderungen, die du umsetzen musst

Wer YouTube-Videos auf der eigenen Webseite einbindet, muss sicherstellen, dass alle gesetzlichen Vorgaben eingehalten werden. Hier sind die wichtigsten Anforderungen:

• Einwilligung einholen: Die DSGVO verlangt eine klare Zustimmung der Nutzer*innen, bevor Tracking oder Datenübertragung stattfinden darf. Ein Cookie-Banner ist daher unverzichtbar.
• Datenschutzerklärung anpassen: Webseitenbetreiber*innen müssen klar angeben, welche Daten durch die Nutzung von YouTube erhoben und wie sie verarbeitet werden. Das müsst ihr also auch für diesen Fall machen. Eine Textvorlage dazu findet ihr zum Beispiel hier.
• Zwei-Klick-Lösung einsetzen: Videos dürfen erst nach expliziter Zustimmung geladen werden. Dies minimiert rechtliche Risiken und sorgt für mehr Transparenz. Wie zuvor erwähnt, auch bei der „NoCookie“-Version im erweiterten Datenschutzmodus, dazu später mehr.

Das heißt, du darfst ein Video in jedem Fall erst zeigen, wenn die explizite Zustimmung erfolgt ist. Ein Klick auf „Play“ ist keine Zustimmung.

Das Video einfach so einbauen funktioniert nicht, ihr müsst euch leider mit all diesen Regeln beschäftigen.

Das ist bei YouTube so, das ist aber auch beim Thema Vimeo & DSGVO so. Auch dort gibt es eine Option mit mehr Datenschutz, die am Ende wenig hilft. Es gibt Alternativen, auch dazu später mehr. Lass uns erst einmal den erweiterten Datenschutzmodus anschauen:

Was ist YouTube-Nocookie / der erweiterte Datenschutzmodus

Da YouTube das Problem erkannt hat, bietet es selbst einen „erweiterten Datenschutzmodus“ an, wenn man Videos in eine Webseite integrieren möchte.

Das geht so:

Klickt auf Teilen, dann auf Einbetten und wenn ihr dann etwas nach unten scrollt, findet ihr die Option für mehr Datenschutz.

Wenn ihr diesen Modus aktiviert, seht ihr, dass die Videos ab sofort von YouTube-NoCookie.com geladen werden.

Auf den ersten Blick bietet der nocookies-Modus von YouTube eine einfache Möglichkeit, Videos datenschutzfreundlicher einzubetten. Die Vorteile sind:

• Keine Cookies in der Vorschau: Videos können ohne initiales Tracking eingebunden werden, solange sie nicht abgespielt werden.
• Einfach umzusetzen: Der Modus erfordert lediglich die Anpassung des Embed-Codes, bzw. ein Klick für euch. Beachtet allerdings, dass YouTube die Auswahl nicht speichert. Ihr müsst es bei jedem Video einzeln anpassen.
• Wenig Aufwand für euch: Es sind keine komplexen technischen Lösungen notwendig.

Allerdings reichen diese Vorteile nicht aus, um die DSGVO-Anforderungen vollständig zu erfüllen:

Die DSGVO-Probleme mit der YouTube-Nocookies-Lösung

Das ist die Antwort darauf von Datenschutz.org:

„Durch die Nutzung von YouTube Nocookie wird allerdings nur die Weitergabe von personenbezogenen Daten an Dritte (wie z. B. Werbedienste) unterbunden. Cookies von YouTube sammeln einige Daten der Nutzer weiterhin und geben diese an bestimmte Google-Server weiter. Und das schon bevor das eingebettete Video abgespielt wird. Deshalb ist die alleinige Nutzung von YouTube Nocookie auf der Webseite nicht ganz DSGVO-konform ist.“ (Quelle: Datenschutz.org)

Lasst uns das Problem mal etwas genauer anschauen. In der Regel hat es zwei Gründe, warum ihr die Version nutzen wollt:

• Euch ist Datenschutz ein Anliegen und ihr wollt es für eure Webseitenbesucher besser machen. Sagen wir es mal so: dann ist Google / YouTube am Ende die vollkommen falsche Wahl für euch. Ihr habt euch „BigTech“ und Datenmaschine entschieden, die nicht größer sein könnte. Damit sammelt ihr keine Karmapunkte.
• Ihr wollt eure Videos nicht hinter einem Consent-Banner verstecken, weil euch wichtig ist, dass die Videos gesehen werden.

Letzteres trifft auf die meisten zu. Genau das erreicht man mit YouTube-NoCookies aber leider nicht. Es werden zwar weniger Cookies von YouTube gesetzt, aber am Ende eben nicht keine. Ihr habt das gleiche Risiko wie zuvor. Was passiert, ist Folgendes:

• Das YouTube-Video wird in der Vorschau auf die Webseite geladen, hier werden keine Cookies gesetzt. Das geht auch ohne Zustimmung der Besucher*innen. Yes!
• Sobald jemand das Video ansehen will und auf Play klickt, werden allerdings wieder personenbezogene Daten an YouTube übertragen. Shit! Genau dafür benötigt ihr die Einwilligung.

Ihr hab nichts gewonnen.

Fazit: ja, das alles ist DSGVO-konform. Nein, es ist keine gute Version, um Videos auf eure Unternehmenswebseite zu bekommen.

Checkliste: Möglichkeiten zur datenschutzfreundlichen Einbindung von YouTube-Videos

Ihr seht: Es ist kompliziert. Deshalb an dieser Stelle noch einmal der Überblick.

Also die wichtigsten Optionen, die dir helfen, rechtliche Risiken zu minimieren. Absolute Grundlagen sind diese beiden Punkte:

• Datenschutzerklärung anpassen: Egal, was ihr tut, führt YouTube in eurer Datenschutzerklärung auf.
• Einwilligung einholen und keine YouTube-Videos ohne diese abspielen. Wirklich gar keine. Ein Cookie-Banner ist unverzichtbar.

Dann bleiben euch in der Praxis noch folgende Optionen:

A. Parameter „NoCookie“ verwenden

• Mit der „NoCookie“-Option wird YouTube so eingebettet, dass in der Vorschau keine Cookies gesetzt werden. Das ist so ganz generell immer keine schlechte Idee.
• Aber wie erwähnt ... Vorsicht: Sobald das Video abgespielt wird, setzt YouTube Tracking-Cookies, was weiterhin eine explizite Einwilligung erforderlich macht.
• Auch mit der Zustimmung ist dies keine schlechte Idee, da ihr deutlich weniger Daten an YouTube weiter gebt. Würden wir also auf jeden Fall empfehlen.

B. Zwei-Klick-Lösung implementieren

• Hier werden Videos erst nach ausdrücklicher Zustimmung der Nutzer*innen geladen. Stattdessen sieht man ein Vorschaubild mit einem Hinweis wie „Video anzeigen“ oder „Einwilligung erforderlich“.
• Technische Umsetzung: Zahlreiche Plug-ins für WordPress oder andere CMS wie „Complianz“ oder „Borlabs Cookie“ unterstützen diese Methode. Sie blockieren YouTube-Videos standardmäßig und laden sie erst nach Zustimmung.
• Wichtig: Die Videos dürfen wirklich erst nach der Zustimmung geladen werden. Bei der Standardintegration werden oft bereits Daten übertragen, bevor das Video abgespielt wird.

C. Verlinkung statt Einbettung

• Anstatt YouTube-Videos direkt auf der Webseite einzubetten, kannst du sie als externe Links bereitstellen. Dadurch werden keinerlei Daten an YouTube übertragen, solange Nutzer*innen den Link nicht aktiv anklicken.
• Nachteil: Diese Methode ist weniger benutzerfreundlich.

So richtig geil ist das alles nicht: Gibt es Alternativen?

Videos, die nur einem Teil der Nutzer*innen angezeigt werden oder erst nach ein paar Klicks starten, kosten euch viele Views. Schade, weil die Videos in der Regel aufwendig und teuer produziert wurden.

Um ehrlich zu sein: Du wirst bei allen großen Anbietern – primär aus den USA – auf die gleichen Probleme stoßen. Vimeo DSGVO-konform einbauen ist der gleiche "Spaß". Bei Wistia auch. Überall musst du die Videos hinter Consent-Bannern verstecken. Das ist alles kein Selbstläufer, wenn es um Datenschutz hier in Deutschland und der EU geht.

Drei Alternativen:

Selbst-Hosting

Diese Lösung bietet maximale Kontrolle über deine Daten. Wir haben hier die besten Video-Formate fürs Web aufgelistet. Performant und skalierend ist diese Lösung allerdings nicht. Gerade das adaptive Streaming, welches bei zunehmender mobiler Nutzung von Webseiten immer wichtiger wird, fehlt hier in der Regel. Außerdem musst du dich hier auch um Themen wie die Barrierefreiheit deines Players kümmern.

Eigenes Video-CDN

Du kannst deine eigenen, speziellen Video-Server aufsetzen. Das ist dann die Premium-Lösung für große Webseiten. Kostet aber einiges im Set-up und im Betrieb.

Ignite Video

Wir sind ehrlich, wir hatten früher auch Dienste wie YouTube auf unseren Websites. Uns haben diese ganzen Probleme immer genervt. Kann man nicht einfach einen Code nehmen und das ganze Copy & Paste auf eine Webseite machen?

30-60% der Besucher*innen keine Videos ausspielen? No way.

Deshalb haben wir Ignite Video entwickelt:

• Privacy First.
• Alles wird iin Deutschland gehostet.
• Kein Nutzertracking.
• Keine Cookies.
• Keine Consent-Pflicht.
• Keine Overlays.
• Autoplay ist kein Problem.
• Barrierefreier Player.
• Keine Werbung.
• Keine komischen Empfehlungen nach deinem Video.

Ihr könnt bei uns einfach eure Videos hochladen und wie gewohnt auf eurer Webseite einbauen. Du musst uns nur in den Datenschutzbedingungen ergänzen. That’s it - ansonsten ist es CopyPaste. Wirklich.

Genauso wie ihr es euch auch bei YouTube vorstellt, nur hat ohne diesen DSGVO sh*t.

Fazit: Wenn du willst, dass die Besucher*innen deine Videos sehen, ist YouTube keine Option

Der nocookies-Modus von YouTube ist ein Schritt in die richtige Richtung, reicht jedoch nicht aus, um die DSGVO-Vorgaben vollständig zu erfüllen. Webseitenbetreiber*innen müssen auf umfassende Einwilligungslösungen setzen und Alternativen prüfen, um rechtliche Risiken zu minimieren.

Aber, dann hat mein YouTube-Video weniger Views?

Ja, das ist so. Aber was ist dir wichtiger? Willst du den View-Count bei YouTube erhöhen oder willst du, dass deine Videos gesehen werden? Vermutlich letzteres.

• Es heißt nicht, dass du keine Videos mehr bei YouTube hochlädst. Diese Option nimmt dir keiner, auch nicht die DSGVO.
• Es heißt nur: sobald ein Video auf eine Webseite soll, ist YouTube eine der schlechtesten Optionen. Zwei-Klick-Lösungen sind Horror für die User-Expierence.