Viele Websites werden durch die Einbindung von Videos noch interessanter. Gängige Videoportale wie YouTube machen es Websitebetreibern daher besonders einfach und bieten Möglichkeiten, Videos mit wenigen Zeilen und ohne großen Aufwand in den eigenen Internetauftritt einzubetten. Vielen ist dabei jedoch nicht bewusst, dass sie auf diese Weise einer Reihe von Trackingtools die Tür öffnen.
Datenschutzrechtliche Problemstellung am Beispiel von YouTube
Am Beispiel von YouTube zeichnet sich etwa folgendes Bild: Werden YouTube-Videos mit der Standardeinstellung in die eigene Webseiten eingebettet, führt bereits deren Aufruf dazu, dass verschiedene Cookies gesetzt werden. Dies erfolgt unabhängig davon, ob der Websitebesucher das eingebettete Video anklickt oder nicht. Zumindest bei einem dieser Cookies handelt es sich um ein mehrere Jahre gültiges Cookie, welches auch zum Webtracking benutzt werden könnte. Ein solches Cookie darf jedoch nicht ohne weiteres genutzt werden, sondern erfordert nach § 15 Abs. 3 TMG u.a. eine Information des Websitebesuchers sowie eine Möglichkeit zum Widerspruch. Google selbst schreibt in seiner neuen „Richtlinie zur Einwilligung der Nutzer in der EU“ sogar vor, dass bestimmte Cookies ab dem 1. Oktober 2015 nur bei Einblendung erweiterter Cookie-Hinweise genutzt werden dürfen. Spätestens an dieser Stelle wird klar: Diese Anforderungen kann bzw. will eigentlich kein Websitebetreiber einhalten, der lediglich an der Einbettung von Videos interessiert ist.
Erster Lösungsansatz (Augen zu und durch)
Auch YouTube scheint dieses Problem erkannt zu haben und die Möglichkeit zu bieten, YouTube-Videos so einzubetten, dass Cookies nicht zur Profilbildung genutzt werden. Die entsprechende Einbettungsfunktion müssen Websitebetreiber jedoch erst einmal finden, da sie nicht voreingestellt ist. Hierzu ist es notwendig, YouTube zu öffnen und unter dem Video, welches eingebettet werden soll, auf „Teilen“, „Einbetten“, „Mehr anzeigen“ und schließlich auf „Erweiterten Datenschutzmodus aktivieren“ zu klicken.
Mit einem Klick auf das entsprechende Kästchen ändert sich die HTML-Zeile, die YouTube zur Einbettung des Videos vorschlägt. Bindet man diesen Code in seine Seiten ein, ist der erweiterte Datenschutzmodus für das eingebettete Video aktiviert.
YouTube selbst, erklärt den erweiterten Datenschutzmodus wie folgt: „Wenn du diese Option aktivierst, werden von YouTube keine Informationen über die Besucher auf deiner Website gespeichert, es sei denn, sie sehen sich das Video an“. YouTube kann wohl so verstanden werden, dass zumindest vor dem Klick auf das Video kein Tracking stattfindet.
Ist das Problem damit gelöst? In der Praxis werden viele Websitebetreiber diese Frage wahrscheinlich bejahen und ein gewisses Restrisiko in Kauf nehmen. Allerdings sollte hier sowohl der eingebettete Dienst als auch die mit der Einbettung einhergehende Datenverarbeitung in der Datenschutzerklärung aufgenommen werden. Eine wirkliche Kontrolle, was die Einbettung auslöst, hat der Websitebetreiber dadurch genau genommen aber immer noch nicht.
Zweiter Lösungsansatz (Zwei-Klick-Lösung für eingebettete Inhalte)
Sofern die mit der Einbettung einhergehende Datenverarbeitung nicht belastbar festgestellt werden kann – was häufig der Fall sein dürfte – ist die Einbettung datenschutzrechtlich als kritisch zu bewerten. Denn ein Websitebetreiber, der auf Seiten, die in seinem Verantwortungsbereich liegen, durch die Einbettung eine Datenerarbeitung in Gang setzt, die er nicht überblicken kann, ist nicht in der Lage:
- dem Besucher seiner Website die für die Datenschutzerklärung erforderlichen Informationen zur Verfügung zu stellen;
- auszuschließen, dass bereits der Aufruf seiner Website unzulässige Datenverarbeitungen – etwa unzulässige Profilbildungen – auslöst.
Es ist daher empfehlenswert, für diese Fälle eine Lösung zu entwickeln, die den für Social-Plugins entwickelten Lösungen entspricht. In Betracht kommen hier also ganz ähnliche Mechanismen wie die vom heise-Verlag bzw. von der c’t entwickelten Zwei-Klick- und Shariff-Lösungen.
Dass eine solche Umsetzung auch für eingebettete YouTube-Videos in der Praxis durchaus funktioniert und wie dies konkret aussehen kann, zeigt ein konkretes Projekt des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz unter http://www.youngdata.de/google/facts/. Hier hat sich die Aufsichtsbehörde selbst mit dem Problem beschäftigt und eine praxisnahe Lösung entwickelt. Leider steht das im Auftrag der Aufsichtsbehörde entwickelte Tool nur für Typo3 zur Verfügung, wie man auch im 24. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz unter Ziffer III.1.3 nachlesen kann. Die Lösung an sich zeigt aber einen Weg auf, den in Zukunft auch andere Websitebetreiber beschreiten könnten.
[Dieser Artikel wurde am 24.11.2015 überarbeitet. Die Änderungen betrafen zum einen sprachliche Anpassungen. Zum anderen ging der Ursprungsartikel davon aus, dass bei Seitenaufruf auch Cookies des Werbenetzwerks DoubleClick gesetzt werden. Tatsächlich wird zwar eine Verbindung zum DoubleClick-Netzwerk hergestellt. Die eigentlichen Cookies werden aber von YouTube gesetzt.]
28. April 2016 @ 23:31
Jetzt auch für WordPress:
https://wordpress.org/plugins/video-embed-privacy/
(keine Änderung an der Seite notwendig, wird automatisch vorgeschaltet)
Datenschutzrisiken beim Einbetten von Youtube-Videos | Freier Ingenieur Hasler
2. Oktober 2015 @ 9:05
[…] Venzke-Caprarese beschreibt die Risiken und den daraus erwachsenden Pflichten von Webseitenbetreibern, wenn diese […]