YouTube Videos – so wirst Du nicht abgemahnt
von Rechtsanwalt Dr. Ronald Kandelhard
Videos sind ein hervorragendes Mittel, um Deine Website interaktiver und spannender zu präsentieren. Aus technischen Gründen, aber auch, weil es einfach ist, bietet es sich an, YouTube Videos als Frame auf Deiner Website einzubinden. Leider ist das ohne besondere Vorkehrungen nicht rechtssicher möglich. Erfahre hier schnell, wie Du Videos von YouTube auf Deiner Website veröffentlichst und erhalte am Ende zusätzlich Muster für Deine Datenschutzerklärung.
Hier geht es zunächst einmal nur um eigene Videos, die Du erstellt hast. Aber auch die Verwendung fremder Videos ist grundsätzlich zulässig, da der EuGH das sogenannte Framing erlaubt hat (nähere Informationen zu der Verwendung von Videos von Dritten findest Du etwa hier und in unserem Mitgliederbereich).
1. Unzulässige Übermittlung der IP-Adresse an YouTube
Bettest Du ein Video von YouTube ungeschützt auf Deiner Website ein, führt das dazu, dass das Video Portal von dem Besuch dieses Nutzers auf Deiner Website erfährt, wenn dieser bei Aufruf Deiner Website YouTube (oder wohl auch einen Google Account) geöffnet hat. YouTube setzt bereits bei Aufruf der Seite einen Cookie, der die IP-Adressse Deines Nutzers speichert. Die IP-Adresse gehört jedoch zu den geschützten personenbezogenen Daten. Daher ist es nach dem BDSG verboten, dass Du Ihre Übermittlung an Dritte ermöglichst, sofern der Nutzer nicht vorher zugestimmt hat.
Das ähnliche Problem mit dem Facebook Like Button, der ebenfalls bereits bei Aufruf der Website Facebook unterrichtet, ist vom OLG Düsseldorf (Beschl. vom 19.01.2017, Az.: I-20 U 40/16) inzwischen dem EuGH vorgelegt worden. Es steht zu erwarten, dass der Europa eine derartige Übermittlung der IP-Adresse untersagt. YouTube darf daher nur mit erweiterten Vorkehrungen auf Deiner Website eingebunden werden.
2. Lösung
Bettest Du Videos auf Deiner Website ein, musst Du daher dafür sorgen, dass YouTube keinen Cookie setzt, der das Surfverhalten Deines Nutzers erfasst. Dafür gibt es im wesentlichen zwei Lösungen.
a) Einbettung mit erweiterter Datenschutzeinstellung
Die erste Lösung lässt sich relativ einfach mit YouTube selbst verwirklichen. Denn YouTube bietet eine Einbettung auch ohne Cookies an. Die Einstellung für den sogenannten „erweiterten Datenschutzmodus“ist zwar nicht sofort zu finden, aber letztlich einfach zu verwenden. Man findet den Modus, wenn man die YouTube-Seite aufruft, auf der sich das Video befindet. Dann muss man nacheinander „Teilen“, „Einbetten“ und „Mehr anzeigen“ aufrufen, so dass schließlich die Option „Erweiterten Datenschutzmodus aktivieren“ erscheint. Dieser ist zu aktivieren. Der Link im Einbettungscode lautet dann „www.youtube-nocookie.com“.
b) Zwei Klick Lösung
Ähnlich wie bei der Einbettung anderer Social Media Inhalte kann man auch eine Zwei Klick Lösung einsetzen, bei der der Cookie erst nach dem zweiten Klick und nicht sofort bei Aufruf der Seite gesetzt wird. Ein mögliches Wordpress-Plugin zur Anonymisierung von eingebundenen Videos findest Du hier. Auch mit dem Borlabs Cookie Plugin kannst Du eine DSGVO konforme Einbindung von YouTube Videos erstellen. Unter Joomla kannst Du YouTube Videos sicher mit dem Plugin Aimy Video Embedder PRO einbinden.
3. Andere Video Anbieter
Verwendest Du andere Video-Anbieter wie etwa Vimeo, musst Du ebenfalls prüfen und gegebenenfalls ausschließen, dass die IP-Adresse Deines Nutzers an den dritten Video Anbieter gesendet wird. Das oben bereits vorgestellte Borlabs Plugin kann dies für WordPress ebenso sicherstellen wie das Aimy Video Embedder PRO Plugin für Joomla. Ansonsten kannst Du auch bei Vimeo Videos mit Datenschutz-konformen Einstellungen hosten.
4. Rechtssichere Video-Anbieter
Lange nach der ersten Veröffentlichung dieses Beitrages gibt es inzwischen aber tatsächlich einen Videanbieter (der sich mit nur einer kleinen Vorkehrung (die insbesondere für easyRechtssicher Kunden nur ein Haken bedeutet), der nach der DSGVO rechtssicher verwendet werden kann: Videolyser. Ein neues deutsches Startup, dass in Sachen Datenschutz vorbildlich ist. Die Videos werden nicht nur verschlüsselt gespeichert, sondern sogar auch jeweils verschlüsselt übertragen. Zudem wird auch noch die IP Adresse anonymisiert, so dass Aufrufe nicht zu einer Übertragung von personenbezogenen Daten führen. Damit ist nicht einmal ein Auftragsverarbeitungsvertrag erforderlich, wohl aber vorsichtshalber eine Erwähnung des Dienstes in der Datenschutzerklärung. Diesen findest Du bereits als Option in dem Datenschutz-Generator von easyRechtssicher.
5. Datenschutzerklärung
Hast Du auf diese Weise Deine YouTube Videos eingebettet, musst Du diese Vorkehrungen auch noch richtig in Deiner Datenschutzerklärung beschreiben. Leider werden diese Anforderungen von manchen Datenschutz-Generatoren nicht beachtet und dann rechtlich wahrscheinlich nicht zulässige Formulierungen ausgegeben, in denen es sinngemäß heißt, das der Nutzer sich besser vor Besuch der Website bei YouTube ausloggen solle.
6. Vergiss nicht: Social Media Account absichern!
Mit den Schritten 1 bis 4 warst Du bis vor kurzem fertig. Durch ein neues Urteil des EuGH ist das jetzt jedoch anders (näher dazu hier). Danach musst Du nicht nur für Deine Website, sondern auch für Deinen Social Media Account ein Impressum und eine Datenschutzerklärung anzeigen.
Das gilt auch für Deinen Account auf YouTube, Vimeo oder einer anderen Video-Plattform. Ohne Impressum und Datenschutzerklärung kannst Du auch da abgemahnt werden. Beachte dabei auch, es reicht nicht, hier einfach auf die Datenschutzerklärung Deiner Homepage zu verweisen. Diese stellt die Datenverarbeitung auf Deiner Website dar. Die Datenschutzerklärung für YouTube oder Vimeo muss aber die Datenverarbeitung auf der Video-Plattform darstellen. In gängigen Generatoren ist das oft nicht enthalten.
Mit unserem Komplett Schutz
kannst Du Dir das Impressum und die Datenschutzerklärung mit unserem Social Media Generator einfach und schnell erstellen und so nicht nur Deine Website, sondern auch Deinen Account bei YouTube und Vimeo absichern.
7. Ergebnis:
Mit einem passenden Plugin und einigen wenigen Einstellungen kannst Du Videos einfach auf Deiner Website einbinden, ohne gegen die DSGVO zu verstoßen. Anschließend brauchst Du aber auch passende Texte für Deine Datenschutzerklärung und ein Impressum und eine Datenschutzerklärung für YouTube und Vimeo.
Wie Du auf Social Media ein Impressum und eine Datenschutzerklärung einbinden kannst, habe ich am Beispiel Instagram hier aufgezeigt. So kannst Du auch für YouTube und Vimeo vorgehen.
Wie Du Social Media Accounts DSGVO konform betreiben kannst, um nicht abgemahnt zu werden oder ein Bußgeld zu erhalten, erfährst Du hier.
Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und
Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von
Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7
automatisierte Lösungen für rechtliche Probleme von Unternehmen.
Hi Ronald,
Danke für den Tipp!
D.h. aber, dass ich youtube Videos dann im iframe einbinde, oder?
Bei WordPress geht das ja auch ohne iframe nur mit dem youtu.be Link. Das funktioniert aber dann nicht mehr leider…
Oder doch? Wäre für einen Tipp echt dankbar 🙂
VG
Heike
Sieh mal in unserem neuen Gastbeitrag nach https://easyrechtssicher.de/youtube-videos-dsgvo-konform-einbinden/ da wirst Du vielleicht fündig.
Pingback: YouTube-Videos DSGVO konform einbinden - easyRechtssicher
Vielen Dank für den Artikel und die Tipps.
Ich stelle mir grade die Frage, ob sich die Einbettung mit erweitertem Datenschutz oder eines der Plugins negativ auf das Google-Ranking auswirkt. Gibt es da bereits Erfahrungen?
viele Grüße, Iris
Gute Frage, sollte eigentlich nicht, aber die Wege von Google sind unergründlich 😉
Sehr hilfreicher Artikel. Wusste ich noch gar nicht. Danke dafür :)!
Hallo Ronald,
danke für deine Empfehlung zu Videolyser. Dazu eine Detail-Nachfrage bezüglich des nicht nötigen Auftragsverarbeitungsvertrags:
Du schreibst zunächst, dass bereits DIE ÜBERMITTLUNG personenbezogener Daten zustimmungspflichtig ist.
Weiter unten schreibst du zu Videolyzer: „Zudem wird auch noch die IP Adresse anonymisiert, so dass Aufrufe nicht zu einer Übertragung von personenbezogenen Daten führen.“
Das kann ja nicht ganz stimmen. Aus technischen Gründen muss natürlich auch bei Videolyser die IP-Adresse an deren Server übertragen werden. Sie muss auch in soweit verarbeitet werden, als dass das Video dann an die anfragende IP-Adresse ausgeliefert wird.
Nur die SPEICHERUNG erfolgt anschließend offenbar anonymisiert.
Sprich: Keine Speicherung, aber Übertragung.
Ist dennoch kein Auftragsverarbeitungsvertrag nötig?
Danke der Nachfrage, die ist auf jeden Fall berechtigt.
Ein AVV ist immer erforderlich, wenn ein Dritter für den eigentlichen Verarbeiter personenbezogene Daten erhebt, speichert oder verarbeitet hat.
Die 2. und 3. Alternative liegen sicher nicht vor, die Frage ist also, ob es eine Erhebung von Daten ist, wenn jemand bereits vor der Speicherung der Daten die IP Adresse anonymisiert. Ich meine nein, weil dann bereits automatisch letztlich die Kenntnisnahme verhindert wird, insofern werden die Daten übertragen (deshalb muss es in der Datenschutzerklärung angegeben werden), aber nicht erhoben.
Die strengste mögliche Auffassung könnte auch das anders sehen, aber ich meine nicht zurecht. So gibt es etwa durchaus Fälle, grade bei IT Dienstleistungen, wo Dritte nicht als eigentlichen Auftrag, sondern eher nur reflexhaft einen möglichen Zugriff auf die Daten haben. Auch, wenn hier in der Diskussion einiges im Fluss ist, sprechen m.E. nach gute Gründe dafür, hier nicht von einer Auftragsverarbeitung auszugehen. Schon, weil es auch möglich sein muss, sich im Sinne des Datenschutzes grade gegen den Empfang von Daten zu wehren. Weiter würden auch die ganzen Pflichten aus deinem AVV unmittelbar ins Leere laufen, wenn gar keine Daten gespeichert sind.
Also, wer 100% will, schließt trotzdem einen AVV, aber ich meine, es sprechen viele gute Gründe dafür, dass das in einem Fall wie diesen nicht erforderlich ist.