Anfang dieses Jahres hat die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) mithilfe digitaler Prüfwerkzeuge systematisch rund 200 Webseiten des Bundes untersucht. Das Ergebnis: Bei der automatisierten Analyse wurden 40 Fälle datenschutzwidriger YouTube-Einbettungen festgestellt.
Der Inhalt im Überblick
Das Problem mit den Video-Einbindungen auf Webseiten
Für viele Webseitenbetreiber ist die Einbindung von Videos – insbesondere vom Video-Giganten YouTube – ein beliebtes Mittel, um Inhalte und Informationen ansprechend zu präsentieren. YouTube bietet hierfür eine Lösung, bei der Webseitenbetreiber sowohl den Medienplayer als auch den Videoinhalt direkt von YouTube beziehen können. Grundsätzlich ist eine datenschutzkonforme Nutzung dieser Inhalte möglich, sofern die rechtlichen Vorgaben des TDDDG und der DSGVO eingehalten werden. Problematisch wird es jedoch, wenn beim Einbetten von YouTube-Videos personenbezogene Daten wie die IP-Adresse bereits beim Laden der Webseite – also noch vor einer aktiven Einwilligung des Nutzers – automatisch an die Server von YouTube übertragen und auf dem Endgerät Informationen wie Cookies gespeichert werden. Diese Datenübertragung erfolgt dann unabhängig davon, ob der Nutzer das Video tatsächlich abspielt.
Nach dem Urteil des EuGH vom 29.07.2019 (C-40/17), über das wir 2019 bereits berichtet haben, sind Webseitenbetreiber für diese Art der Datenverarbeitung gemeinsame Verantwortliche mit dem anderen Diensteanbieter, wobei sich die Verantwortlichkeit des Webseitenbetreibers…
„…auf den Vorgang oder die Vorgänge der Datenverarbeitung beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.“
§ 25 TDDDG erlaubt das Speichern oder Auslesen von Informationen auf dem Endgerät nur mit ausdrücklicher Einwilligung, außer der Zugriff ist technisch unbedingt erforderlich. Die Einbindung von YouTube-Videos gilt jedoch in der Regel als Zusatzdienst und ist für die grundlegende Funktion der Webseite nicht zwingend notwendig. Für die Einbettung von YouTube-Videos ist also eine wirksame Einwilligung der Nutzer erforderlich. Auch wenn 40 festgestellte Fälle bei über 500.000 analysierten Einzelseiten zunächst nach einer geringen Zahl erscheinen mögen, bleibt dies dennoch problematisch: Denn 40 Datenschutzverstöße sind immer noch 40 zu viel – zumal die BfDI die öffentlichen Stellen des Bundes bereits zuletzt im Jahr 2023 ausdrücklich auf dieses Problem hingewiesen hatte.
Empfehlung zur datenschutzkonformen Video-Einbindung auf Webseiten
Um eine Video-Einbettung datenschutzkonform zu gestalten, schlägt die BfDI zwei Alternativen vor:
- Selbsthosting:
Webseitenbetreiber hosten Videos auf eigenen Servern und binden diese dann auf der Webseite ein. So bleibt die vollständige Kontrolle über die Datenverarbeitung und die Nutzerinteraktionen beim Telemedienanbieter und Verantwortlichen selbst. - Zwei-Klick-Lösungen:
Wer auf das Angebot von YouTube nicht verzichten möchte, muss ein Vorschaubild für das eingebettete Video generieren, das Nutzende der Webseite aktiv anklicken müssen, bevor die Verbindung zu YouTube aufgebaut wird. Bei dieser Variante sollte immer eine gleichwertige Alternative ohne Drittanbieter angeboten werden.
Darüber hinaus haben wir in unserem Fachbeitrag „Videos auf der eigenen Webseite richtig einbinden“ das Wichtigste zu diesem Thema für Sie zusammengestellt.
BfDI setzt auf neue, digitale Prüfungsmethodik
Durch die automatisierte Analyse der zu beaufsichtigenden Webseiten konnte die BfDI ein objektives und umfassendes Lagebild gewinnen. Diese neue Prüfungsmethodik ermöglicht es der Behörde, Datenschutzlücken schnell und präzise zu identifizieren. Neben Skalierbarkeit und Objektivität bietet dieser Ansatz die Chance, Betroffene wirksam vor unrechtmäßigen Datenverarbeitungen zu schützen und Verantwortliche gezielt bei der Umsetzung datenschutzkonformer Lösungen zu unterstützen. Im vorliegenden Prüfverfahren wurden von der BfDI nur die Webseiten der öffentlichen Stellen des Bundes analysiert. Spannend bleibt daher, ob die automatisierten Prüfungsmethoden zukünftig auch bei allen Landesdatenschutzbeauftragten standardmäßig eingesetzt und somit auch nicht-öffentliche Stellen ins Visier genommen werden.
