Datenschutz bei der Nutzung von YouTube-Videos kurz erklärt

Min. Lesezeit
Autor:

Hinweis: Der Player funktioniert nur, wenn du die Cookies akzeptierst.

YouTube-Videos auf der eigenen Website einbinden, das klingt einfach. Rechtlich ist es das nicht. Wer Videos von YouTube einbettet, überträgt in vielen Fällen Nutzerdaten an Google, oft ohne dass der Besucher es merkt. Die DSGVO (und das TDDDG) machen diesen Vorgang zur Pflichtdisziplin: Wer YouTube einsetzt, muss das in seiner Datenschutzerklärung korrekt und vollständig abbilden, sonst drohen Abmahnungen, Bußgelder und Reputationsschäden.

Dieser WissensSnack erklärt Schritt für Schritt, was zu tun ist und wie der Händlerbund dich dabei absichert.

 

Kurz erklärt: Warum YouTube in der Datenschutzerklärung Pflicht ist

Wer ein YouTube-Video auf seiner Website einbindet, stellt damit in vielen Fällen eine Verbindung zu den Servern von Google her. Sobald der YouTube-Player über einen iframe beim Seitenaufruf geladen wird, werden Daten wie IP-Adresse, Browser-Informationen, Gerätedaten und (falls der Nutzer bei Google eingeloggt ist) sogar seine Nutzerkennung übertragen.

Damit handelt es sich um eine Verarbeitung personenbezogener Daten, die einer Rechtsgrundlage bedarf und gegenüber den Betroffenen transparent gemacht werden muss. Die Datenschutzerklärung ist das zentrale Instrument dieser Transparenzpflicht.

 

Für wen gilt das? Typische Use Cases

YouTube-Einbindungen sind in der Praxis weit verbreitet, oft ohne dass Websitebetreiber sich der Konsequenzen bewusst sind. Typische Szenarien:

  1. Online-Händler, die Produktvideos oder Anleitungsfilme auf ihren Shopseiten einbetten
  2. Dienstleister mit Image- oder Erklärvideos auf der Startseite
  3. Blogs und Redaktionen, die YouTube-Clips zur Illustrierung einbinden
  4. Unternehmen, die auf YouTube-Tutorials oder -Webinare verweisen

Entscheidend ist vor allem, ob beim Laden der Seite oder spätestens beim Aktivieren des Players eine Datenverbindung zu YouTube/Google hergestellt wird.

 
 

Diese Einbindungsarten unterscheiden sich und verändern die Pflichten

Nicht alle YouTube-Einbindungen sind rechtlich gleich zu behandeln. Je nach Methode variieren die Pflichten und Risiken erheblich.

Standard-Embed

Beim klassischen Einbetten über den <iframe>-Code, den YouTube bereitstellt, wird die Verbindung zu Google-Servern sofort beim Seitenaufruf hergestellt. Dabei werden typischerweise Cookies gesetzt und IP-Adressen sowie Gerätedaten übertragen. Ohne vorgeschaltetes Consent-Tool ist dieser Weg nach aktueller DSGVO-Auslegung unzulässig.

YouTube Shorts, Playlists, Live-Streams

Auch eingebettete YouTube Shorts, Playlists und Live-Streams unterliegen denselben DSGVO-Anforderungen wie reguläre Videos. Autoplay, API-Nutzung, Playlist-Parameter oder erweiterte Player-Funktionen können sogar zusätzliche Datenverarbeitung/Tracking-Risiken auslösen. Die Datenschutzerklärung sollte diese Formate explizit adressieren, wenn sie eingesetzt werden.

Zwei-Klick-Lösung

Bei der Zwei-Klick-Lösung wird das Video zunächst als statisches Vorschaubild (Thumbnail) angezeigt. Das eigentliche YouTube-Video mit dem iframe wird erst geladen, nachdem der Nutzer aktiv zugestimmt hat, entweder per Klick auf einen Aktivierungsbutton oder über ein Consent-Banner. Diese Methode gilt datenschutzrechtlich als risikoarm, weil die Datenübertragung an Google erst nach einer bewussten Nutzerentscheidung erfolgt.

Thumbnail oder Link

Wer ganz auf die Einbettung verzichtet und stattdessen nur ein statisches Bild mit einem Link zu YouTube zeigt, vermeidet die datenschutzrechtliche Problematik beim Seitenaufruf. Diese Variante ist technisch unkompliziert. Aber Achtung: Einfach einen Screenshot von einem fremden Video zu machen, ist für sich genommen problematisch, denn es können Urheberrechte verletzt werden. Besser: eigenes Vorschaubild, lizenziertes Bild, YouTube-Thumbnail nur bei geklärter Nutzungsberechtigung verwenden. 

youtube-nocookie.com

YouTube bietet für eingebettete Videos einen sogenannten erweiterten Datenschutzmodus an. Dabei soll der Einbettungscode von youtube.com auf youtube-nocookie.com umgestellt sein. Nach Angaben von Google soll YouTube in diesem Modus keine Cookies zur Erfassung des Wiedergabeverhaltens setzen, solange der Nutzer das Video nicht abspielt.

Ganz ohne Datenschutzrelevanz ist diese Variante aber nicht. Auch beim erweiterten Datenschutzmodus wird beim Laden des Players trotzdem eine Verbindung zu Google-Servern hergestellt, etwa zur Auslieferung des Videoplayers und technischer Inhalte. Spätestens mit dem Abspielen des Videos können weitere Datenverarbeitungen durch YouTube/Google ausgelöst werden.

Der erweiterte Datenschutzmodus kann das Risiko also reduzieren, ersetzt aber keine vollständige Datenschutzprüfung. Insbesondere entbindet er nicht davon, die YouTube-Einbindung in der Datenschutzerklärung zu erläutern und je nach technischer Umsetzung eine Einwilligung einzuholen, bevor der Player geladen wird.

 

 
 

Consent & Cookies: Wann braucht man eine Einwilligung?

Beim Einbinden von YouTube-Videos sind zwei Ebenen zu unterscheiden: die DSGVO und das TDDDG. Die DSGVO regelt die Verarbeitung personenbezogener Daten, etwa IP-Adresse, Geräteinformationen oder Nutzungsverhalten. Das TDDDG ist zusätzlich relevant, wenn durch den YouTube-Player Informationen auf dem Endgerät des Nutzers gespeichert oder ausgelesen werden, etwa Cookies oder vergleichbare Technologien.

Für solche Zugriffe auf das Endgerät ist nach § 25 TDDDG grundsätzlich eine vorherige Einwilligung erforderlich, sofern sie nicht technisch unbedingt erforderlich sind. YouTube-Embeds dienen in der Regel nicht dem zwingend notwendigen Betrieb der Website, sondern der komfortablen Darstellung externer Videoinhalte. Deshalb sollte der Player erst geladen werden, nachdem der Nutzer aktiv eingewilligt hat.

Ein Consent Management Tool kann dabei helfen, Einwilligungen wirksam einzuholen, zu dokumentieren und einen Widerruf zu ermöglichen.

Wichtig: Keine Einwilligung durch AGB oder Nutzungsbedingungen

Ein bloßer Hinweis in der Datenschutzerklärung reicht dafür nicht aus. Auch AGB-Klauseln, versteckte Hinweise oder voreingestellte Checkboxen ersetzen keine wirksame Einwilligung. Eine Einwilligung muss freiwillig, informiert, spezifisch und eindeutig erfolgen.

 

Checkliste: Was muss konkret in die Datenschutzerklärung?

Ein DSGVO-konformer YouTube-Abschnitt in der Datenschutzerklärung soll u. a. folgende Informationen enthalten:

  1. Name und Kontaktdaten des Verantwortlichen
  2. Name des Drittanbieters: Google Ireland Limited/Google LLC (je nach Kontext)
  3. Zweck der Einbindung (z. B. Darstellung von Produktvideos, Tutorials)
  4. Art der verarbeiteten Daten (IP-Adresse, Gerätedaten, Nutzungsverhalten, ggf. Nutzerkennung)
  5. Rechtsgrundlage der Verarbeitung 
  6. Speicherdauer bzw. Kriterien der Speicherdauer
  7. Information über Drittlandtransfer in die USA
  8. Hinweis auf Möglichkeit der Einwilligung und deren Widerruf
  9. Hinweis auf Betroffenenrechte (Auskunft, Löschung, Widerspruch etc.)

Fehlt der YouTube-Abschnitt oder ist er unvollständig, riskierst du:

  1. Abmahnungen durch Mitbewerber oder Abmahnvereine
  2. Beschwerden bei Datenschutzbehörden und daraus folgende Bußgeldverfahren
  3. Vertrauensverlust bei Kunden, die professionellen Datenschutz erwarten
 
 
 

FAQ zur YouTube-Datenschutzerklärung

Muss ich YouTube in meiner Datenschutzerklärung nennen, wenn ich Videos einbinde?

Ja. Jede Einbindung von YouTube-Videos, ob als iframe, Playlist oder Short, stellt eine Datenverarbeitung dar, über die zu informieren ist. Einzige Ausnahme: Man verlinkt lediglich auf eine YouTube-Seite, ohne ein Element direkt einzubetten.

Reicht der erweiterte Datenschutzmodus (youtube-nocookie.com) aus?

Jedenfalls nicht allein. Der erweiterte Datenschutzmodus reduziert zwar das Setzen von Tracking-Cookies durch YouTube, führt aber keine vollständige DSGVO- und TDDDG-Compliance herbei. Die Datenübertragung (mindestens der IP-Adresse und Gerätedaten) an Google-Server findet weiterhin automatisch statt, sobald der Iframe beim Seitenaufruf geladen wird, also noch bevor der Nutzer das Video überhaupt anklickt. Da auch hier ein Drittlandtransfer stattfindet, ist das Laden ohne vorherige Einwilligung des Nutzers unzulässig. Der Modus befreit dich also weder von der Einwilligungspflicht noch von der Pflicht, YouTube in der Datenschutzerklärung aufzuführen.

Was ist eine Zwei-Klick-Lösung und warum ist sie sinnvoll?

Bei der Zwei-Klick-Lösung wird das YouTube-Video zunächst nicht geladen, stattdessen erscheint ein statisches Vorschaubild mit einem Hinweistext. Erst wenn der Nutzer aktiv auf Video ansehen klickt und damit zustimmt, wird der iframe aktiviert und die Verbindung zu YouTube hergestellt. Diese Lösung gilt als datenschutzrechtlich risikoärmer, weil die Einwilligung vor der Datenübertragung eingeholt wird. Das unmittelbare Laden von YouTube-iframes ohne Einwilligung ist hoch riskant. 

Was ist, wenn ich YouTube nur verlinke statt einzubetten?

Ein einfacher Textlink oder ein verlinktes Bild, das auf eine YouTube-Seite führt, löst beim Seitenaufruf keine Datenübertragung an Google aus. Datenschutzrechtlich ist das unkritisch, weil noch keine Übertragung an Google erfolgt. Hinweis: Nach dem Klick auf den Link verlässt der Nutzer jedoch die eigene Seite.

Wie oft sollte ich die Datenschutzerklärung aktualisieren?

Die Datenschutzerklärung muss immer dann aktualisiert werden, wenn sich die Datenverarbeitungspraxis, die genutzten Dienste oder die rechtlichen Grundlagen ändern. Websitebetreiber sind verpflichtet, Änderungen zu verfolgen und ihre Datenschutzerklärung entsprechend anzupassen. 
Teilen auf:

Das könnte dich auch interessieren

  1. Englische Datenschutzerklärung für internationale Websites
  2. Datenschutzerklärung für TikTok
  3. Google Analytics & DSGVO — Webanalyse vs. Datenschutz
  4. Datenschutz & Newsletter nach DSGVO
  5. Externer Datenschutz­beauftragter für Unternehmen

Noch Fragen?

Mit deinem eigenen E-Commerce-Business stehst du vor vielen Herausforderungen, aber wir helfen dir gern!

Mit einem Experten sprechen

Ähnliche Beiträge