Schon am 30.06.2025 informierte die Bundesbeauftragte für Datenschutz und Informationsfreiheit auf ihrer Website in der Meldung Automatisierte Webseitenprüfung der BfDI deckt zahlreiche unzulässige YouTube-Einbettungen auf. Die Meldung behandelt zwei zentrale Aspekte: Zum einen die erstmalig umfangreich eingesetzte automatisierte Prüfung von Websites und zum anderen die festgestellten Datenschutzverstöße bei der Einbettung von YouTube-Videos auf den geprüften Seiten. Geprüft worden waren 200 Websites Bundes und dabei dann insgesamt 500.000 Einzelseiten. Bei 40 Websites wurden datenschutzwidrige YouTube-Einbindungen festgestellt. Die Bundesdatenschutzbeauftragte reagierte darauf mit Beratungsschreiben an die identifizierten Stellen, mit welchem sie diese unterstützen möchte, YouTube Videos datenschutzkonform einzubinden. Dafür sieht man bei der BfDI zwei Möglichkeiten:
- „Selbsthosting als Goldstandard: Videos werden auf eigenen Servern gehostet und auf der Webseite eingebunden. Dies gewährleistet vollständige Kontrolle über Datenverarbeitung und Nutzerinteraktionen.
- Zwei-Klick-Lösungen: Nutzende müssen aktiv auf ein Vorschaubild klicken, bevor die Verbindung zu YouTube aufgebaut wird. Wichtig: Bei dieser Variante sollte immer eine gleichwertige Alternative ohne Drittanbieter angeboten werden.„
Was ist eigentlich das Problem bei der Einbindung von YouTube Videos auf einer Website?
Werden YouTube Videos so in die Seite einer Website eingebettet, dass unmittelbar beim Aufruf der Website abspielen (direkte Einbettung), stellt der Browser des Besuchers eine direkte Verbindung zu den Servern von YouTube (Teil von Alphabet/ Google) her und lädt von dort nicht nur das Video, sondern auch Cookies und andere Trackingtechnologien. Außerdem erhält Google über die an die YouTube Server übermittelte IP Adresse des Endgerätes und weitere Daten die Möglichkeit, den Besucher einer identifizierbaren Person zuzuordnen. Nach Ansicht der BfDI ist dieses unzulässig, da es keine vorherige Einwilligung der Besucher der Website gibt:
„Diese Datenübertragung erfolgt ohne vorherige Einwilligung der Nutzerinnen und Nutzer und verstößt damit gegen das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).„
Bewertung
An vielen Schulen dürfte mittlerweile angekommen sein, dass eine direkte Einbettung von YouTube Videos in die Schulhomepage mit Blick auf Datenschutz problematisch ist. Einige Schulen nutzen deshalb Möglichkeiten einer indirekten Einbettung (Zwei-Klick-Lösung), hosten die Videos auf eigenen Servern oder verzichten gänzlich auf Videos. Was für YouTube gilt, ist auch bei anderen direkt eingebetteten Drittanbieter Inhalten zu beachten, vor allem wenn es um US Anbieter geht, etwa die Einbettung von Google Maps oder Social Media Buttons zu Instagram, X (Twitter), Facebook oder TikTok.
Automatisierte Prüfungen von Internetauftritten sind die Zukunft. Was bei der BfDI mit 200 Websites und 500.000 Einzelseiten begann, wird sich zukünftig auch bei den Aufsichtsbehörden der Bundesländer finden. Schulen müssen so damit rechnen, dass auch ihre Websites dann (regelmäßig) automatisiert auf Einhaltung datenschutzrechtlicher Vorgaben geprüft werden.
Die sächsische Datenschutz- und Transparenzbeauftragte hat eine solche automatisierte Überprüfung bereits in der ersten Jahreshälfte 2024 durchgeführt: https://www.datenschutz.sachsen.de/sdtb-kontrolliert-30-000-websites-und-weist-2-300-verantwortliche-auf-datenschutzverstoesse-hin-7239.html
Danke für den Hinweis.