YouTube und Datenschutz – Was Webseitenbetreiber wissen müssen

Bindet ein Webseitenbetreiber YouTube-Videos über iFrame oder Player ein, verarbeitet er Klickpfade, Webserver-Protokolldaten und Nutzerprofile zum Zweck der Bereitstellung von Videoinhalten auf Basis von Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG). YouTube ist ein Video-Streaming-Dienst von Google, der kostenlosen Zugang zu Videoinhalten ermöglicht und von Webseitenbetreibern häufig zur Einbindung von Produkt-, Schulungs- oder Werbevideos genutzt wird.

A. Zweck und Funktionsweise von YouTube

YouTube ist eine Video-Plattform von Google Ireland Limited. Webseitenbetreiber können Videos über die YouTube-Plattform hochladen oder extern auf ihre Websites einbinden. Besuchern wird so ermöglicht, Videos direkt auf der Website zu schauen, ohne YouTube selbst zu besuchen.

Integrationsfunktion: YouTube-Videos werden typischerweise über ein HTML-<iframe>-Element eingebunden, das auf einen YouTube-Server (youtube.com oder optional youtube-nocookie.com) verweist. Der Player lädt sich beim Seitenaufruf oder beim Öffnen/Abspielen des Videos und stellt den Video-Content dar. Parallel dazu setzt YouTube Cookies und überträgt Nutzerdaten an Google-Server.

Optional können Webseitenbetreiber die youtube-nocookie.com-Domain verwenden, die nach Angaben des Anbieters weniger Cookies setzt, aber nicht völlig cookiefrei ist und dennoch Daten überträgt.

Diese Seite behandelt ausschließlich die Einbindung von YouTube-Videos in Websites (Drittanbieter-Inhalte). Die Nutzung der YouTube-Plattform als eigenständiger Verantwortlicher (Hochladen von Videos, YouTube Studio) ist nicht Gegenstand dieser Darstellung.

B. Pflichtangaben in der Datenschutzerklärung zu YouTube

Die DSGVO verlangt für den Einsatz von YouTube folgende Pflichtangaben: Zwecke der Datenverarbeitung (Art. 13 Abs. 1 lit. c DSGVO), Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO), Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO), Drittlandtransfers (Art. 13 Abs. 1 lit. f DSGVO) sowie Speicherdauer oder deren Kriterien (Art. 13 Abs. 2 lit. a DSGVO).

Es ist nicht erforderlich, YouTube in der Datenschutzerklärung als eigenen Textbaustein zu behandeln. Die weit verbreitete Praxis, für jedes eingesetzte Tool einen gesonderten Abschnitt vorzusehen, erzeugt lange, unübersichtliche und schwer pflegbare Texte – und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein themenorientierter Ansatz, der externe Drittanbieter-Inhalte (Videos, Karten, Social Media) übergreifend erklärt und Google Ireland Limited im Empfänger-Anhang nennt.

C. Anbieter von YouTube: Google Ireland Limited

Anbieter: Google Ireland Limited (Verantwortlicher für EU-Nutzer)

Vollständige Anschrift: Gordon House, Barrow Street, Dublin 4, Irland

Sitzland: Europäischer Wirtschaftsraum (EWR), Irland

Nach Angaben des Anbieters agiert Google Ireland Limited als Verantwortlicher gemäß Art. 4 Abs. 7 DSGVO für die Datenverarbeitung durch YouTube. Die tatsächliche Datenverarbeitung, Video-Speicherung und der Serverbetrieb erfolgen durch Google LLC (Mountain View, Kalifornien, USA) und deren Subprozessoren.

Data Privacy Framework (DPF): Google LLC ist nach Angaben des Anbieters unter dem EU-US Data Privacy Framework zertifiziert. Überprüfung unter: https://www.dataprivacyframework.gov/participant/5780

Datenschutzerklärung des Anbieters: https://policies.google.com/privacy

Auftragsverarbeitungsvertrag (AVV/DPA): Für die Einbindung von YouTube-Videos ist vom Betreiber zu verifizieren, ob ein DPA erforderlich und verfügbar ist.

D. Datenverarbeitung durch YouTube – Ablauf

E. Erhobene Daten beim Einsatz von YouTube

YouTube erfasst beim Laden des Players und bei der Video-Wiedergabe die IP-Adresse des Nutzers, Browser- und Geräte-Informationen, Cookies für Nutzer-Tracking, sowie spezifische Video-Interaktionsdaten. Wenn Nutzer in ihr Google-Konto eingeloggt sind, werden diese Aktivitäten mit dem Konto verknüpft.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit/Zeitzone, User-Agent (Browser, Betriebssystem, Gerätetyp), Referrer-Seite
• Klickpfade: Seite, auf der das Video eingebunden ist, Video-ID, Abspielen/Pause-Interaktionen, Abspielposition
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung, Ausrichtung
• Browserinformationen: Browsername, Browserversion, Sprache
• Grobe Standortdaten: Aus der IP-Adresse ermittelter grober Standort
• Nutzerprofile: Google-Konto-Daten (wenn eingeloggt), Video-Wiedergabeverlauf, Interessens-Kategorien für Werbung
• Interaktionsdaten: Abspielen, Pause, Lautstärke-Anpassung, Vollbild-Modus

F. Nutzungszwecke beim Einsatz von YouTube

Der Webseitenbetreiber nutzt YouTube primär zur Bereitstellung von Video-Content für seine Besucher (Produktdemonstrationen, Schulungsvideos, Werbung). Google LLC nutzt die gesammelten Daten nach Angaben des Anbieters zur Verbesserung der YouTube-Plattform, zur Personalisierung und zur Werbe-Personalisierung.

Die Zwecke lassen sich wie folgt einordnen:

• Funktionsbereitstellung: Bereitstellung von Video-Inhalten, Video-Player-Funktionalität, Video-Streaming
• Sicherheit und Missbrauchsschutz: Erkennung von Bot-Traffic, Jugendschutz
• Allgemeine Produktverbesserung: Optimierung von Video-Empfehlungen, Verbesserung der Streaming-Qualität
• Allgemeines Marketing: Messung von Video-Engagement, Reichweitenanalyse
• Nutzerprofil-Erstellung: Erstellung von Interessens-Profilen auf Basis von Video-Wiedergabeverlauf (durch Google als eigenständigen Verantwortlichen)
• Nutzerindividuelles Marketing: Personalisierte Video-Empfehlungen, personalisierte Werbung (durch Google)

G. Rechtsgrundlagen für YouTube

YouTube ist ein Drittanbieter-Inhalte-Dienst, bei dem externe Video-Server (Google) in die Website eingebunden werden. Kommt typischerweise in Betracht:

Primäre Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG)

Da YouTube beim Laden des Players Cookies setzt und Daten an Google-Server überträgt, kommt als Rechtsgrundlage regelmäßig eine Einwilligung des Nutzers vor dem Laden in Betracht. Die Einwilligung wird typischerweise über ein Cookie-Consent-System eingeholt; eine praktische Umsetzung ist das Zwei-Klick-System (Video-Teaser → Nutzer klickt → Video lädt).

Wichtig: Die Nutzung von youtube-nocookie.com allein stellt nach Angaben verschiedener Datenschutzbehörden keine Lösung dar, die auf eine Einwilligung verzichten lässt, da auch diese Domain Cookies setzt und Daten überträgt.

Die konkrete Rechtsgrundlage ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

H. Besonderheiten und Hinweise zu YouTube

• youtube-nocookie.com: Diese Domain setzt weniger Cookies als youtube.com, ist aber nicht von der Einwilligungspflicht befreit. Auch bei Nutzung von youtube-nocookie.com werden Daten an Google-Server übertragen.
• Zwei-Klick-Lösung: Eine datenschutzfreundliche Implementierung: Zunächst wird ein Video-Teaser (Thumbnail mit Play-Button) angezeigt. Der Nutzer muss aktiv klicken, um das iFrame zu laden. Dies ermöglicht die Einholung einer Einwilligung vor der Datenübertragung.
• Data Privacy Framework (DPF): Google LLC ist nach Angaben des Anbieters DPF-zertifiziert. Ãœberprüfung unter: https://www.dataprivacyframework.gov/participant/5780
• Alternative Video-Plattformen: Für Webseitenbetreiber, die Drittanbieter-Tracking vermeiden möchten, bieten sich selbst gehostete Videos mit HTML5-Video-Element oder datenschutzfreundlichere Plattformen an.
• Auftragsverarbeitung: Vom Betreiber zu verifizieren, ob ein DPA mit Google für die YouTube-Einbindung abzuschließen ist.

I. FAQ zu YouTube

J. Fazit und Empfehlung zu YouTube

YouTube ist die weltweit größte Video-Plattform und wird von vielen Webseitenbetreibern für die Einbindung von Videoinhalten genutzt. Da beim Laden des Players Cookies gesetzt und Daten an Google-Server übertragen werden, kommt als Rechtsgrundlage typischerweise eine Einwilligung in Betracht. Die Daten werden nach Angaben des Anbieters unter DPF-Zertifizierung in die USA übermittelt.

Es ist wenig sinnvoll, für YouTube einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Das erzeugt lange, unübersichtliche und schwer pflegbare Texte und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein themenorientierter Ansatz, der Drittanbieter-Inhalte übergreifend beschreibt und Google Ireland Limited im Empfänger-Anhang aufführt. Genau das ist die Methodik des matterius-Generators.