DSGVO-konforme Einbettung von Youtube-Videos

Lesedauer: 

ungefähr 5:42 Minuten

Die Einbettung von Youtube-Videos ist seit der endgültigen Einführung der Datenschutzgrundverordnung (DSGVO) am 25.05.2018 etwas aufwändiger geworden. Das liegt daran, dass Verbindungen zu Servern in den USA erforderlich sind, um diese Videos abspielen und aus Youtube-Sicht Cookies auch von Drittseiten gesetzt bekommen zu können.

Cookies haben zwar primär nichts mit der DSGVO zu tun. Vor dem Setzen eines Cookies muss aber eine Verbindung zu einem Server aufgebaut werden. Schon sind wir wieder im Thema.

Übertragungen von persönlichen Daten auf Server außerhalb der EU sind nach DSGVO nur nach vorheriger Zustimmung durch den Nutzer gestattet. An Youtube- und Google-Server wird hier zwar nur die IP-Adresse des Nutzers übermittelt. Unter bestimmten Umständen gilt die IP-Adresse aber als persönliches Datum, nämlich dann, wenn der Erhebende die Möglichkeit hat, dieses Datum mit anderen persönlichen Daten zu kombinieren (was ich Google ohne Zweifel zutraue), siehe auch http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&pa... .

Erweiterter Datenschutzmodus

Bereits als Reaktion auf die Umsetzung der EU-Cookie-Richtlinie hatte Youtube den Erweiterten Datenschutzmodus (Enhanced Privacy Mode) eingeführt. Hier werden Cookies erst gesetzt, wenn der Nutzer das Video startet.

Der Enhanced Privacy Mode ist etwas versteckt und lässt sich nutzen, indem man zum Einbetten zuerst auf den Teilen-Link unter einem Video klickt, dann Einbetten wählt und schließlich rechts bei Optionen zum Einbetten ganz runter scrollt und das Häkchen bei Erweiterten Datenschutzmodus aktivieren setzt. Die Adresse des iFrames ändert sich zu youtube-nocookie.com/embed. Einbettungscode kopieren und einbauen, fertig. Im Falle von Content Management Systemen wie Drupal, Typo3 oder Wordpress wäre dies Aufgabe eines Moduls oder PlugIns.

Leider werden selbst beim Aufruf einer Seite mit einem in diesem Modus eingebundenen Video Daten von den Domains ytimg.com (Player mit Standbild), fonts.gstatic.com, bzw. google.com (Zeichensätze) und uU. yt3.ggpht.com (Profilbild Youtube-Channel) vorab geladen, die Nutzer-IP wird also zu bis zu drei mutmaßlich in den USA stehenden Servern geschickt.

Nun haben findige Anwälte sich den Kniff ausgedacht, sich auf einen bestimmten Passus in der DSGVO zu berufen, um allerlei Liebgewonnenes durchzudrücken und weiter nutzbar zu halten. Irgendwo im Netz gibt es einen Datenschutzerklärungs-Generator, der Zeilen wie die folgende ausspuckt:

Die Nutzung von YouTube erfolgt im Interesse einer ansprechenden Darstellung unserer Online-Angebote. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.

Googeln Sie mal danach, es gibt hunderte Seiten, die diese zwei Sätze verwenden. Halt. DuckDuckGo-en Sie vielleicht lieber, privacy und so.

Nun gibt es tatsächlich in Art. 6 Abs. 1 lit. f DSGVO die Nutzung von Daten aus berechtigtem Interesse, das scheinbar höher gewichtet wird als der Datenschutz, zumindest bis zu einem ersten Urteil. Den Anwälten geht es um Funktionalitäten wie Web-Fonts (Kann man auch lokal speichern!), Google Maps (Wieso? Es gibt doch auch OpenStreetMap?), aber auch um Youtube- oder Vimeo-Videos, und das berechtigte Interesse sei die ansprechende Darstellung des Online-Angebotes, was ich persönlich für kein gewichtiges Interesse halte. Darstellung, Optik, das ist erstmal Firlefanz, was zählt ist der Inhalt. Es gibt zB. Online-Shops, die Produkte auch in Youtube-Videos präsentieren. Hier ist aber meist auch noch eine klassische Beschreibung in Wort und Bild vorhanden. Das Video als Beiwerk kann also nicht überlebenswichtig sein.

Anders verhält es sich aus meiner Sicht, wenn sich Inhalte ausschließlich durch ein Video vermitteln lassen, beispielsweise Konzertmitschnitte, und dieses Video nicht aus dokumentarischen, sondern vorrangig aus Gründen zB. der Promotion genutzt wird.

Es gibt aber noch eine gravierende Einschränkung, die diese Anwälte offenbar außer Acht lassen (Warum?): das berechtigte Interesse ist auf jeden Fall nachrangig, wenn es sich bei den Nutzerdaten um Daten von Kindern handelt. Die Website muss also für Gesetzeskonformität den User nach Alter unterscheiden und das (Youtube-) Angebot im Zweifelsfall entsprechend sperren. Vielleicht sollte man das Gesetz mal lesen.

Was steht in der Grundverordnung?

Schauen wir kurz bei https://dsgvo-gesetz.de/art-6-dsgvo/ nach.

Art. 6 DSGVO Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung (Anm.: der Daten) ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

(…)

f) Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

(…)

Kinder werden explizit als zu schützende Personengruppe erwähnt, da gibt es wenig Spielraum. Höchstens in der Definition des Kindseins nach UN-Kinderrechtskonvention oder dem etwas eingeschränkteren deutschen Jugendschutzgesetz.

Was tun?

Eine Reihe meiner Kunden sind Künstler, Musiker vor allem, einige haben Videomitschnitte von Konzerten oder Musikvideos auf ihren Sites. Ich habe nun jeweils folgenden Passus in die Datenschutzerklärungen reingeschrieben:

Die Nutzung von Youtube ist zur Vermittlung unserer Kunst für (potentielle) Veranstalter und andere Interessierte von großer Bedeutung. Dies stellt unter der Maßgabe, dass sich unser Angebot nicht an Kinder (nach §1 Abs. 1 Nr. 1 JuSchG) richtet, ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.

Wenn sich der Passus, wie er von Kanzleien oder Generatoren verbreitet wird, als haltbar herausstellt, sollte man mit Obigem durchkommen.*

Disclaimer: Ich bin kein Jurist. Ich empfehle vorstehende Zeilen, aber ich kann keine Garantie für deren Bestand in einer rechtlichen Auseinandersetzung geben.
Wenn Sie sich durch Einfügen dieses Passus in Ihre Datenschutzerklärung sicherer fühlen, schenken Sie meiner Website gerne einen kleinen Link und nicht nur immer diesen großen Recht-Generator-Sites.
 

Am Besten ist jedoch ohne Zweifel die Implementierung einer 2-Klick-Lösung in das entsprechende Video-Modul. Also ein Vorschaltscreen mit Hinweis, der weggeklickt werden muss, bevor erstmals Daten von Youtube und Google übertragen werden. Das Vorschaltbild kann das Standbild des Videos aus lokaler Speicherung (lokal! kurze Wege! Bio!) als Grundlage haben. Glücklicherweise gibt es auf Github bereits jemanden (nämlich Arndt von Lucadou), der sich der Materie gewidmet hat: https://github.com/a-v-l/dsgvo-video-embed . Das könnte für Ihre Umsetzung als Basis reichen.

Von Seiten der Datenschutzbehörden gibt es übrigens erstmal Entwarnung, die sind mit ganz anderen Dingen beschäftigt: https://www.heise.de/newsticker/meldung/DSGVO-Worauf-sich-die-Datenschut...

Allerdings ist die Abmahnmaschinerie bereits wie befürchtet angelaufen. https://www.heise.de/newsticker/meldung/DSGVO-Die-Abmahn-Maschinerie-ist...

* Offtopic und vielleicht einen eigenen Blogeintrag wert: Art. 6 Abs. 1 lit. f DSGVO ermöglicht im Prinzip auch den Weiterbetrieb der automatisierten Blockade von Spam- und Fishingbots und -skripten wie durch die http:BL-Funktion von projecthoneypot.org zum Schutz der Website. Ich bin da zur Zeit noch zurückhaltend, werde Sie aber sicherlich im Laufe der nächsten Wochen hier informieren.

 

Add new comment/ Neuen Kommentar schreiben

Weiteres
[Boah!
Haben Sie
einen großen
Bildschirm]