Podigee und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber den Podigee-Podcast-Player ein, verarbeitet er regelmäßig Webserver-Protokolldaten und – je nach Konfiguration – Hörstatistik-Daten zum Zweck der Bereitstellung von Podcast-Episoden, meist auf Basis einer Drittanbieter-Inhalte-Einwilligung oder eines berechtigten Interesses an Funktionsbereitstellung. Diese Seite zum Podigee-Datenschutz erläutert den Datenfluss bei der Player-Einbindung, den AVV und die Pflichtangaben für die Datenschutzerklärung.

A. Zweck und Funktionsweise von Podigee

Podigee ist ein Podcast-Hosting- und Distributionsdienst der Podigee GmbH mit Sitz in Berlin. Webseitenbetreiber, die einen Podcast produzieren, hosten ihre Episoden bei Podigee und können den dort gehosteten Podcast-Player über ein iFrame- oder Embed-Snippet auf ihrer eigenen Webseite einbinden. Beim Aufruf der Seite lädt der Browser des Webseitenbesuchers den Player und – beim Abspielen – die Audiodatei direkt von den Podigee-Servern.

Der vorliegende Beitrag fokussiert sich auf diese Integrations-Funktion (Einbindung des Podigee-Players in eine Webseite). Podigee bietet darüber hinaus weitere Dienste, etwa Podcast-Distribution an Verzeichnisse (Apple Podcasts, Spotify), Hörstatistik-Auswertungen, dynamische Werbung und ein Gäste-Management; diese Funktionen liegen außerhalb der typischen Player-Einbindung und werden hier nicht im Detail behandelt.

Beim Aufruf der Player-Seite und beim Abspielen einer Episode entsteht eine direkte Verbindung zwischen dem Endgerät des Besuchers und den Podigee-Servern. Podigee erfasst dabei nach eigenen Angaben Webserver-Protokolldaten und Hörstatistik-Daten gemäß dem IAB-Standard für Podcast-Messung.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Podigee

Die DSGVO verpflichtet Webseitenbetreiber, transparent über die Datenverarbeitung zu informieren. Neben allgemeinen Angaben zum Verantwortlichen, zu den Betroffenenrechten und zur Aufsichtsbehörde sind beim Einsatz konkreter Tools wie Podigee insbesondere folgende Pflichtangaben zu machen:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei Verarbeitung auf Grundlage einer Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO) zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zur Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• sowie – soweit Daten nicht direkt beim Betroffenen erhoben werden – die Kategorien der verarbeiteten Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben werden in den nachfolgenden Abschnitten für Podigee aufgeschlüsselt.

In der Praxis ist es nicht zwingend, jedes einzelne Tool – auch nicht Podigee – mit einem eigenen Textbaustein in der Datenschutzerklärung zu führen. Die weit verbreitete „Textbaustein-pro-Tool"-Praxis hat sich als schlechte Manier etabliert: lange, schablonenhafte Texte, die sich inhaltlich wiederholen und die Datenschutzerklärung schwer pflegbar machen. Sachgerechter ist ein themenorientierter Ansatz, der Verarbeitungen wie Drittanbieter-Inhalte und Audio-Embeds übergreifend beschreibt und konkrete Dienstleister in einer Empfängerliste im Anhang nennt. Der matterius-Generator setzt diese Methodik um.

C. Anbieter von Podigee

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Angaben von Podigee die

Podigee GmbH Schlesische Straße 20 10997 Berlin, Deutschland

Podigee ist ein deutscher Anbieter mit Sitz in Berlin und unterliegt unmittelbar der DSGVO und dem deutschen Datenschutzrecht. Eine Drittlandübermittlung im Sinne von Art. 44 ff. DSGVO findet für die Kernverarbeitung nach den Anbieterangaben regelmäßig nicht statt; die Verarbeitung erfolgt im Wesentlichen auf Servern in der EU. Subprozessoren sollten der Subprozessoren-Liste von Podigee entnommen werden.

Die Datenschutzhinweise von Podigee sind unter https://www.podigee.com/de/about/privacy/ abrufbar; ergänzende Informationen zu Hörstatistik und IAB-Messung finden sich in der Podigee-Hilfedokumentation unter https://www.podigee.com/de/help/.

D. Datenverarbeitung beim Einsatz von Podigee – Ablauf in Schritten

1. Erhebung: Beim Aufruf einer Seite mit eingebundenem Podigee-Player baut der Browser des Besuchers eine direkte Verbindung zu den Podigee-Servern auf. Podigee erhält die IP-Adresse, den User-Agent, den Referrer und technische Metadaten der Anfrage. Beim Abspielen einer Episode wird zusätzlich der Abruf der Audiodatei protokolliert.
2. Speicherung: Podigee speichert Webserver-Protokolldaten und – soweit konfiguriert – Hörstatistik-Daten gemäß dem IAB-Standard für Podcast-Measurement. Die Verarbeitung erfolgt nach Anbieterangaben auf Servern innerhalb der EU.
3. Nutzung: Podigee nutzt die Daten zur Auslieferung von Player-Code, Cover-Bildern und Audiodateien, zur Sicherstellung des Betriebs, zum Schutz vor Missbrauch und zur Erstellung der Hörstatistik. Der Webseitenbetreiber erhält über das Podigee-Backend aggregierte Auswertungen (z.B. Hörerzahlen, Endgeräte, Regionen).
4. Weitergabe: Podigee setzt nach eigenen Angaben technische Subprozessoren ein (z.B. Hosting-Infrastruktur, CDN). Eine Weitergabe für eigene Marketingzwecke an unabhängige Dritte erfolgt nach den Podigee-Angaben für den Player-Dienst regelmäßig nicht.
5. Löschung: Speicherfristen ergeben sich aus den Podigee-Datenschutzhinweisen. Webseitenbetreiber können den Player aus der Webseite entfernen oder den Account schließen; aggregierte, nicht personenbezogene Statistiken können von Podigee weiter verarbeitet werden.

E. Erhobene Daten beim Podigee-Einsatz

Beim Aufruf einer Webseite mit eingebundenem Podigee-Player werden insbesondere folgende Daten an Podigee-Server übermittelt: IP-Adresse, Datum und Uhrzeit der Anfrage, URL des angefragten Players bzw. der Audiodatei, Referrer-URL, User-Agent (Browsername, Browserversion, Betriebssystem, Gerätetyp) sowie ergänzende technische Metadaten. Beim Abspielen werden zusätzlich Wiedergabeereignisse erfasst (z.B. Start, Pause, Skip, abgespielte Sekunden), die sich für aggregierte Hörstatistiken nutzen lassen.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der Drittanbieter-Webserver bei jeder Anfrage erhält, insbesondere IP-Adresse, Datum, Uhrzeit, URL des angefragten Inhalts, Referrer, Informationen zu Browser, Betriebssystem und Gerät sowie ergänzende technische Metadaten.
• Endgeräte-Daten: Angaben zum Endgerät des Nutzers, z.B. Gerätetyp und Betriebssystem.
• Browserinformationen: Informationen über den verwendeten Browser, z.B. Browsername und Browserversion.
• Grobe Standortdaten: Anhand der IP-Adresse ermittelbarer grober Standort des Nutzers auf Stadt- oder Gemeindeebene.
• Interaktionsdaten: Informationen darüber, wie der Nutzer den Player bedient, z.B. Klicks auf Play/Pause/Skip oder Scroll-/Touch-Bewegungen jeweils mit Datum und Uhrzeit.
• Conversion-Ereignisse: Bestimmte vom Webseitenbetreiber für die Erfolgsanalyse als relevant festgelegte Interaktionen, z.B. Ansehen bzw. Hören einer Episode oder Erreichen bestimmter Hör-Zeitpunkte.
• Technische Telemetriedaten: Bestimmte technische Daten zum Ablauf, z.B. Ladezeiten, Datenvolumen und Statuscodes.

F. Nutzungszwecke beim Podigee-Einsatz

Der Webseitenbetreiber nutzt Podigee in erster Linie, um seinen Podcast unter eigener Domain bzw. eingebettet auf der eigenen Webseite zugänglich zu machen, Episoden zuverlässig auszuliefern und Hörerzahlen sowie Reichweite zu messen.

Die Nutzungszwecke lassen sich in folgende standardisierte Klassen einordnen:

• Funktionsbereitstellung: Erbringung der Player- und Audio-Auslieferungsfunktion auf der Webseite, einschließlich Fehlererkennung und Fehlervermeidung sowie Darstellung interaktiver Inhalte.
• Sicherheit und Missbrauchsschutz: Sicherstellung der Datensicherheit beim Player-Embed, Erkennen und Beenden von Angriffen sowie Bot- und Missbrauchsabwehr.
• Allgemeine Produktverbesserung: Nicht nutzerindividuelle Anpassung des Podcast-Angebots, z.B. Optimierung von Episodenlängen oder Themen auf Basis aggregierter Hörstatistik.
• Allgemeines Marketing: Allgemeine Reichweitenanalyse, z.B. Bewertung der Reichweite des Podcasts insgesamt.

G. Rechtsgrundlagen für den Einsatz von Podigee

Podigee fällt nach der einschlägigen Tool-Kategorie in den Bereich Drittanbieter-Inhalte (Audio-Player-Embed über Drittserver) und – je nach Konfiguration – ergänzend in den Bereich Tracking (Statistik) für die Hörstatistik.

Als Rechtsgrundlagen kommen in Betracht:

• Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG: Bei Online-Einbindung des Players werden bei Aufruf und Abspielen Webserver-Protokolldaten an Drittserver übermittelt. Eine Drittanbieter-Inhalte-Einwilligung über das Consent-Banner wird regelmäßig als sachgerechte Grundlage angesehen, insbesondere wenn beim Abspielen Cookies gesetzt werden oder Hörstatistik-Daten erhoben werden, die personenbezogen sind.
• Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO: Bei sparsamer Konfiguration (z.B. „Click-to-Play", keine Cookies, anonymisierte Hörstatistik gemäß IAB-Standard) kann sich die Verarbeitung in engen Grenzen auf berechtigte Interessen an Funktionsbereitstellung, Effizienz und Sicherheit stützen. Bei der reichweitenbezogenen Analyse („Geschäftssteuerung", „Verbesserung") ist die Rechtsgrundlage im Einzelfall zu prüfen.

Die Rechtsgrundlage ist fallabhängig und vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zu Podigee

• Sitz in Deutschland: Podigee ist ein deutscher Anbieter und unterliegt unmittelbar der DSGVO sowie dem deutschen Datenschutzrecht. Eine Drittlandübermittlung im Sinne von Art. 44 ff. DSGVO ist für die Kernverarbeitung nach Anbieterangaben regelmäßig nicht zu erwarten; konkrete Subprozessoren ergeben sich aus der Subprozessoren-Liste.
• AVV/DPA: Podigee stellt für seine Hosting- und Player-Dienste regelmäßig einen Auftragsverarbeitungsvertrag (AVV) bereit. Dieser sollte vor Produktiveinsatz abgeschlossen werden, soweit die Verarbeitung als Auftragsverarbeitung einzuordnen ist; die genaue Rolle ist im Einzelfall zu prüfen.
• Hörstatistik nach IAB-Standard: Podigee bietet eine Hörstatistik gemäß dem IAB-Standard für Podcast-Measurement. Diese ist auf aggregierte Reichweitenmessung ausgelegt; je nach Konfiguration können dennoch personenbezogene Daten anfallen.
• Cookies: Der Podigee-Player setzt nach Anbieterangaben in der Standardkonfiguration regelmäßig keine umfangreichen Tracking-Cookies; im Einzelfall ist dies zu prüfen.
• Click-to-Play als Alternative: Soweit der Player erst nach aktiver Nutzeraktion geladen wird, lässt sich die Datenübermittlung an Podigee auf den Moment der bewussten Player-Aktivierung beschränken.
• Subprozessoren: Podigee nutzt für Hosting und Auslieferung Subprozessoren; eine aktuelle Liste sollte der Webseitenbetreiber dem AVV oder der Podigee-Dokumentation entnehmen.
• Einstellungen für den Webseitenbetreiber: Player-Einbindung über das Consent-Banner steuern; Click-to-Play prüfen; bei Bedarf Hörstatistik-Konfiguration im Podigee-Backend anpassen.

Diese Darstellung beruht auf den öffentlich zugänglichen Angaben von Podigee und allgemein zugänglichen Quellen; sie ersetzt keine Einzelfallprüfung.

I. FAQ zum Podigee-Datenschutz

J. Fazit zum Podigee-Datenschutz und nächster Schritt

Podigee bietet als deutscher Anbieter eine etablierte Lösung für Podcast-Hosting und Player-Einbindung. Aus Datenschutzsicht sind insbesondere der Datenfluss beim Player-Embed (IP-Adresse, Webserver-Protokolldaten), die Konfiguration der Hörstatistik und der Abschluss eines AVV relevant. Ein deutlicher Vorteil gegenüber US-Anbietern ist die Verortung der Verarbeitung innerhalb der EU; Drittlandtransfers sind jedenfalls für die Kernverarbeitung nach Anbieterangaben regelmäßig nicht zu erwarten. Webseitenbetreiber sollten den Player einwilligungsbasiert oder über Click-to-Play einbinden und in der Datenschutzerklärung Zwecke, Datenarten, Empfänger und Rechtsgrundlage transparent darstellen.

Für die Datenschutzerklärung selbst gilt: Es ist meist wenig sinnvoll, Podigee mit einem eigenen Textbaustein zu führen. Das macht die Datenschutzerklärung lang, unübersichtlich und schwer pflegbar und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein themenorientierter Ansatz, der Drittanbieter-Inhalte und Audio-Embeds übergreifend beschreibt und konkrete Dienstleister wie Podigee nur im Anhang "Empfänger" auflistet. Genau diese Methodik verfolgt der matterius-Generator.

K. Kurator