Gastbeitrag von Robert Kampczyk (www.saleshunger.com)
YouTube ist sensationell und auch die Möglichkeit kostenfrei Videos zu speichern und auf der eigenen Website einzubinden macht den Dienst wertvoll.
Doch mit dem Start der EU-Datenschutzgrundverordnung stellt uns das Sharing/ Embedding vor einige Herausforderungen.
1. Kein Auftragsverarbeitungsvertrag
YouTube (Google) stellt aktuell keinen Auftragsdatenverarbeitungsvertrag zur Verfügung und somit ist die Einbettung von YouTube-Videos datenschutzrechtlich nicht optimal. Zu unsicher ist die Sachlage, was wo gespeichert und verarbeitet wird. Es ist nicht nachzuweisen und somit ein Risiko. Auch die Tatsache, dass GoogleFonts, DoubleClick, Gstatics etc. mitgeladen werden, hinterlassen einen faden Beigeschmack.
2. Video sicher einbetten
Dennoch musst du nicht auf YouTube-Videos auf deinem Webprojekt verzichten. Durch folgende Aktionen ist es relativ sicher.
- Nutze bei der Einbettung immer die „NoCookie“-Option.
- Erweitere in deinem CookieConsent den Erklärungstext um „YouTube-Videos werden erst nach akzeptieren und neuladen der Seite angezeigt.“
- Erweitere deine Datenschutzerklärung um den Passus „Übrige Einbindung von Diensten und Inhalten Dritter“
- Wenn du ein YouTube-Video mit dem Code (der dir von YouTube bereitgestellt wird) einbindest, dann ändere das Attribut „src“ zu „data-src“. So verhinderst du, dass die Seite geladen wirst.
<iframe src=“https://www.youtube-nocookie.com/embed/kZTP5_SMqD8?rel=0&showinfo=0“ width=“560″ height=“315″ frameborder=“0″ allowfullscreen=“allowfullscreen“></iframe>
<iframe data-src=“https://www.youtube-nocookie.com/embed/kZTP5_SMqD8?rel=0&showinfo=0“ width=“560″ height=“315″ frameborder=“0″ allowfullscreen=“allowfullscreen“></iframe>
- Jetzt musst du nur noch folgenden JavaScript-Cod einfügen. Dieser lädt das YouTube-Video, wenn der CookieConsent akzeptiert wurde.
Im Footer (vorausgesetzt du nutzt Jquery. Sonst muss die Ansprache des Tags angepasst werden).
<script>
if(hasAcceptedCookieConsent()){
var ytelement = ‚.content iframe‘;
var yturl = jQuery(ytelement).data(„src“);
jQuery(ytelement).attr(’src‘,yturl);
}
function hasAcceptedCookieConsent(){
var hasCookie;
var ca = document.cookie.split(‚;‘);
hasCookie = false;
for (var i=0; i<ca.length; i++) {
single = ca[i].split(‚=‘);
cookie_name = single[0].trim();
if(cookie_name===‚cookieconsent_dismissed‘){
hasCookie = true;
}
}
return hasCookie;
}
</script>
3. Zwei Klick Lösung
Im Grunde ist es eine Zwei-Klick Lösung. Das könnte sogar im Weitblick auf die EU-Privacy Richtline ab 2019 gut gelöst sein.
Näher zu den rechtlichen Hintergründen sehe hier. Umfassende Informationen zu der rechtssicheren Nutzung von Social Media Accounts findest Du hier. Unseren Datenschutz-Generator mit Komplett-Schutz kannst Du Dir hier anschauen.
Über Robert
Passionierter Ultratrailrunner, Bergliebender, Podcaster und Webworker mit Ausdauer. (Auch bei trockenen Themen) 36, am Bodensee lebend und meist in den Bergen verbringend.
Danke Robert für die technische Umsetzung. DSGVO ist vor allem eine Frage der Kommunikation zwischen Technik und Recht.
Hi Robert, vielen Dank für den Artikel – hast du vielleicht ein Beispiel, wo ein Youtubevideo auf diese Weise eingebunden ist?
Werde mal Robert Bescheid sagen und fragen.
Hallo Anne
Habe es bei mir auf VitaminBerge.de so umgesetzt.
LG
Robert
Hallo Robert,
dankeschön – habe gerne reingeschaut (schöne Seite :-)) Für mich sehen die YT-Videos dort jedoch „ganz normal“ aus und verhalten sich auch so wie immer.
Oder meintest du ein ganz bestimmtes Beispiel?
Viele Grüße, Anne
Hi, habe mich riesig über den Artikel gefreut und gleich auf zwei WordPress-Installationen ausprobiert. Wenn ich den you-tube-link auf data-src=““ setze, sehe ich in der Front immer nur ein leeres Feld und im Quellcode sehe ich den iframe und darunter einen Block, der mit #document beginnt und einen leeren html-Körper enthält. Das Javascript ist in den Footer eingebunden. JQuery scheint das Problem zu sein. In einem Fall sind zumindest JQuery-Elemente installiert, im anderen Fall scheint es ganz zu fehlen. Leider weiß ich nicht wie ich die „Ansprache des Tags“ ändere.
Leider fehlen mir dazu die technischen Kenntnisse. Vielleicht mal in WordPress Gruppen nach fragen.
Hui das kann vieles sein.
Wenn du Chrome nutzt, schau mal mit „F12“ im Developer welche Fehlermeldung angezeigt wird.
Vermutlich fehlt Jquery.
Du könntest die Ansprache auch ohne Jquery machen.
P.S. Wenn es mehrere Videos auf einer Seite hat, dann am besten in eine Schleife packen.
Vielen Dank,
gibt es auch eine 2-Klick-Lösung für google Maps?
Hallo Christoph,
vielleicht, bestimmt? Ich weiß es aber nicht, hatte mit einem Entwickler des Youtube 2 Klick Plugins Kontakt, der sagte, er wäre dabei, so ein Plugin zu erstellen… Wenn Du eins findest, gerne mitteilen! Viele Grüße Ronald
Welcher Passus im DSGVO erzwingt denn diese umständliche und natürlich komplett realitätsferne Zwei-Click Lösung? Das wurde nicht erläutert. Nebulöses ‚könnte Risiko sein‘, ‚relativ sicher‘ usw. ist schon im Bereich Geschwafel anzusiedeln. Unter rechtssicher verstehe ich ja nun etwas ganz anderes… Im Artikel steht, dass nicht nachweisbar ist, was wo gespeichert wird. Welches Risiko besteht dann eigentlich, wenn ‚keiner etwas konkret nachweisen‘ kann? Wenn überhaupt steht hier Youtube in der Pflicht nachzuweisen DSGVO-konforme Angebote zu haben, doch nicht Webseitenbetreiber, die Youtube-Videos einbinden. Wie auch immer, sollte dem so sein, wie hier beschrieben, dann müsste auch jeder Werbeblock, der ja meist auch per iframe eingespielt wird mit so einem CookieConsent ausgestattet werden. Viel Spaß beim Coden und womöglich dem Bildschirm voller Cookie Consent Aufforderungen bei den Nutzern…
Mag sein, dass YouTube datenschutzkonforme Lösungen bieten sollte. Aber noch ist es nicht soweit. Grade bei Google hat sich da die letzten Monate viel getan, aber noch sind YouTube Videos nicht ohne weiteres datenschutzkonform einzubinden. Dennoch gibt es auch das berechtigte Interesse des Nutzers, dass YouTube nicht sofort mitbekommt, auf welcher Homepage er grade surft, wenn er noch nicht einmal das Video ansehen wollte.
Das einfachste wäre, es würden nicht alle Tools immer erfassen, wer grade was macht, dann könnte man sie auch ohne die ganzen Cookie Consent Banner nutzen. Mal sehen, ob die DSGVO hier was bewirkt. Auf den ersten Blick gibt es jedenfalls schon ein deutlich stärkeres Bewusstsein und viel mehr Tools, die Datenschutz berücksichtigen.
Youtube Videos einzubinden, von denen der Einbindende ausgeht seine Besucher wollen es nicht sehen, macht keinen Sinn. Das Gegenteil ist in 99,99% der Fälle doch Tatsache. Wer nicht verfolgt werden will, kann das durch Deaktivierung von Cookies in seinem/seinen Browser/n sehr einfach tun. Das zu tun ist dem Nutzer zumutbar, gerade wenn er ein berechtigtes Interesse hat. Wobei ja Google die erforderlichen Maßnahmen zur Einhaltung der DSGVO vorgenommen hat und seitens der EU diesbezüglich offiziell zertifiziert ist! Youtube gehört ja bekanntlich zu Google bzw Alphabet.
Ausserdem ergibt sich bei deiner Einbindungs-Lösung für werbefinanzierte Webseiten (wie deine ja keine ist) ein möglicherweise sehr schwerwiegende Problem: Mit dem künstlich erzeugten erneutem Laden der Seite könnte das, wenn man Werbung zb auf TKP Basis einblendet, möglicherweise vom Werbeauslieferer als fraudulent action bewertet werden.
Datenschutz ist sicher wichtig. Kleinere bis mittlere Webseitenbetreiber haben aber keinen unmittelbaren und auch keinen mittelbaren Einfluss auf Aktivitäten und Vorgehensweisen der Dienstleister und Werbenetzwerke. Diese müssen konkret gesetzlich reguliert werden. Zu lösendes Problem wäre hier wohl meiner Meinung nach vor allem, dass nichtverodnungskonforme Lösungen von Dienstleistern angeboten werden, was vom Verordner strafbewährt unterbunden werden sollte.
Dieses Vorgehen bezeichne ich als vorauseilendes Gehorsam: freiwillige Vorwegnahme vermuteten erwünschten Verhaltens im Rahmen gruppendynamischer Prozesse.
Sehr deutsches Verhalten. Kenne kein Land, dass sich soviel Stress wegen Cookies macht.
Für Joomla gibt es ein Plugin, das Abhilfe schafft. JMG YouTube DSGVO ergänzt vorhandene YouTube Erweiterungen um eine Opt-in Funktion. Das Plugin gewährleistet, dass erst nach dem Drücken des „Aktivieren Buttons“ das Video geladen wird und die Daten an YouTube übermittelt werden.
Danke, solche Hinweise sind immer willkommen und helfen den Lesern sicher weiter.
Vielen Dank für diese Informationen. Mir stellt sich nach wie vor die Frage, wie bei einem nachträglichen Widerruf des Besuchers zur Verwendung von Drittanbieter-Cookies (in diesem Fall von YouTube) gehandelt werden muss. Da ja nicht die eigene Seite, sondern eben der Drittanbieter diese Cookies setzt, ist es meines Wissens nicht ohne weiteres möglich, sie wieder zu löschen. Es ist wohl sinnvoll, die Drittanbieter-Ressourcen beim Widerruf per JavaScript wieder zu entfernen, aber die Cookies verbleiben trotzdem auf unbestimmte Zeit auf dem Gerät des Besuchers.
(Übrigens wird auch bei der Verwendung der „erweiterten Datenschutzeinstellung“ eine Verbindung zu Google-Servern hergestellt, um das Vorschaubild zu laden, und auch hier werden in der Regel Drittanbieter-Cookies gesetzt.)
Ja, Du musst für die Löschung auch nicht sorgen, sondern nur für die Sperrung…