YouTube Videos und Social Media Buttons datenschutzkonform nutzen
Viele Websiten enthalten Videos. Für’s eigene Image, zum Erklären, zum Lernen, und einfach nur so zum Spaß. Ein Bild sagt ja bekanntlich mehr als 1000 Worte – ein Bewegtbild natürlich erst recht.
Oft sind die Filme bei Spezialanbietern gehostet, wie z. B. dem Videoportal Vimeo oder Google’s Youtube. Das läuft stabiler und das Einbinden des Videos in die eigene Website ist kinderleicht.
Datenschutzrechtlich ist beim Einbetten von YouTube Videos allerdings wieder einiges ungeklärt.
Bettet man ein YouTube Video nämlich mit den vorgegebenen Standardeinstellungen ein, kann man danach wunderbar beobachten, was die Website dann anschließend so alles anstellt. Es werden plötzlich ettliche Cookies auf dem Rechner des Websitebesuchers gespeichert, die vorher nicht da waren. Einige davon sind flüchtig – andere haben eine Lebensdauer von mehreren Jahren. Besonders beachtenswert ist es, dass Seiten mit eingebettetem YouTube Video bereits bei bloßem Aufruf (also ohne dass das Video bereits angeklickt wurde) Verbindung mit dem Google-Werbenetzwerk DoubleClick aufbauen. Analysetools belegen das.
Eigene Cookies setzt DoubleClick beim Verbindungsaufbau zwar noch nicht – falls aus einem früheren Seitenbesuch jedoch solche Cookies auf dem Rechner gespeichert sind, fließen Daten an das Werbenetzwerk DoubleClick.
Website-Betreibern wird durch Google also mal wieder ein Ei ins Nest gelegt. Denn eigentlich ist jeder, der eine Website betreibt gem. § 13 Telemediengesetz (TMG) verpflichtet über die Datennutzung auf der Website umfassend und transparent zu informieren. Das betrifft insbesondere auch die Verwendung von Cookies. Doch wer kann denn genau sagen, was passiert, wenn Cookie-Inhalte ausgelesen und übertragen werden? Wohin denn? Zu Youtube oder zu DoubleClick? Und wofür? Findet mit den Daten sogenanntes Webtracking statt – was man aber als Seitenbetreiber aber nicht sicher sagen kann – sind die Besucher darüber zu informieren – zudem wäre eine Einwilligung mit Widerspruchsmöglichkeit erforderlich.
Den schwarzen Peter dann YouTube zuzuschieben ist nicht mehr möglich. Denn niemand ist gezwungen, YouTube-Videos einzubinden – genauso wie niemand gezwungen ist, Social-Media Plugins auf der eigenen Website einzubinden. Vielmehr ist es hier genauso wie beim Einbinden der Social-Buttons: Es ist mittlerweile bekannt, dass bereits mit dem Aufruf der Seite, die Social Media Plugins enthält, umfangreiche personenbezogene Daten an Facebook & Co. übertragen werden, die diesen Social Media Plattformen umfangreiche Datenverarbeitung ermöglichen.
YouTube Videos datenschutzfreundlicher einbinden: „ www.youtube-nocookie.com“
YouTube selbst bietet zur Einbindung von Videos einen sogenannten „erweiterten Datenschutzmodus“ an. Dazu kopiert man nicht einfach nur den automatisch generierten Einbettungscode, sondern setzt zusätzlich ein Häkchen. Der Videolink ändert sich damit von youtube.com zu youtube-nocookie.com. Damit werden vor dem Anklicken und Abspielen des Videos keine Cookies gesetzt.
Dieses Verfahren ist etwas rechtssicherer – aber auch noch keine optimale Lösung. Neben Daten die im lokalen Speicher des Webbrowsers weiter zu finden sind, werden zwar keine Cookies gesetzt – dennoch nimmt der Browser des Besuchers u.a. Kontakt zum Werbenetzwerk auf.
Über diesen Umstand sollte auf jeden Fall in der Datenschutzerklärung hingewiesen werden: Nämlich, dass YouTube zwar im erweiterten Datenschutzmodus eingebunden ist und dabei vor dem Anklicken des Films keine Cookies gesetzt werden, es aber trotzdem zu einer Verbindungsaufnahme zum Werbenetzwerk DoubleClick kommt. Ob das für Bußgeldfreiheit ausreichend ist, kann ich nicht sagen. Das Risiko ist zumindest minimiert.
OptIn-Lösung für mehr Datenschutz
Ähnlich wie schon bei dem Umgang mit Google-Maps beschrieben, sollten Website-Betreiber auf eine Opt-In-Lösung setzen. Dabei wird anstelle des anklickbaren Videos zunächst ein Vorschaubild angezeigt. Die eigentlichen Videoinhalte werden erst dann nachgeladen, wenn der Nutzer a) über die unvermeidbare Datenübertragung zu Youtube (Drittland!) informiert wurde und b) hierfür seine Einwilligung erteilt hat.
Zur Realiserung einer solchen 2-Klick-Lösung gibt es im Internet viele Tipps und Tools. Es kommt hier auch immer darauf an, mit welcher Technik die eigene Website umgesetzt ist. Bei meinen Recherchen habe ich für WordPress-Seiten ein All-In-One-Tool gefunden, dass eine ganze Reihe von Diensten datenschutzkonform einbinden kann: https://dsgvo-for-wp.com/.
Selbstverständlich gibt es weitere Plugins, wie z. B. Borlabs Cookie oder YouTube Embed Plus.
Ein Tool für die Umsetzung in Typo3 Seiten finden Sie hier: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/TYPO3_Videoeinbettung_mit_2-Klick-Video-Loesung.pdf
Diese Lösung setzt z. B. auch das Landesamt für Datenschutz und Informationssicherheit in Rheinland-Pfalz ein.
Natürlich kann man eine solche 2-Klick Lösungen mit etwas JavaScript bzw. Jquery auch selbst schreiben 😊. Hier mal ein Quellcode-Beispiel: https://www.1xinternet.de/de/blog/videos-datenschutzkonform-einbetten – weiter unten wird zu einer Seite verlinkt, wo man sich die Umsetzung dieser 2-Klick-Lösung live anschauen kann: https://senec.com/de/senec-360-grad.
Beschreibt man das Geschehen dann noch aussagekräftig in der eigenen Datenschutzerklärung, steht der Einbindung von YouTube Videos nichts mehr im Wege.
Vimeo-Videos datenschutzkonform in Website einbinden
Vimeo ist neben YouTube eine weitere Videoplattform, die sich großer Beliebtheit erfreut. Auch bei Vimeo handelt es sich um einen amerikanischen Konzern. Und ähnlich wie bei Youtube wird durch das bloße Einbinden des Videos die IP-Adresse des Nutzers an Vimeo übertragen. Auch Vimeo speichert Cookies auf dem Rechner des Nutzers – dabei handelt es sich in erster Linie um Servicecookies, z. B. werden die Einstellungen für die Lautstärke gespeichert sowie der Abspielstand. Alles schon hilfreiche Funktionen, aber nicht essentiell. Darum sollten diese Cookies möglichst unterbunden werden. Das geht bei Vimeo-Videos ganz leicht, und zwar durch eine einfache „Do not Track“-Einstellung im Einbettungscode.
Der normale Einbettungscode für ein Vimeo-Video sieht so aus:
<iframe src=“https://player.vimeo.com/video/**Nummer des Videos**?“ width=“760″ height=“428″ frameborder=“0″ webkitallowfullscreen mozallowfullscreen allowfullscreen></iframe>
Der Do-Not-Track Befehl wird als Kürzel (dnt=1) einfach hinter dem Fragezeichen eingefügt. Das sieht dann so aus:
<iframe src=“https://player.vimeo.com/video/Nummer des Videos?**dnt=1**“ width=“760″ height=“428″ frameborder=“0″ webkitallowfullscreen mozallowfullscreen allowfullscreen></iframe>
Hinzu kommen sollten zusätzlich – so wie bei YouTube Videos auch – eine Opt-Out Lösung und ein aussagekräftiger Text in der Datenschutzerklärung.
Social Media Buttons: Genaue Analyse des Nutzerverhaltens
Sicher haben Sie das auch schon mal gesehen: Auf einer Website kann man einen Beitrag sofort in seinem Facebook-Profil teilen, auf seine Pinterest Bildergalerie pinnen oder auch im eigenen Instagram-Profil posten. Ziel ist es, durch solche Tools die eigene Reichweite zu erhöhen und letztlich mehr Menschen zu erreichen. Blöd ist dabei wirklich nur, dass allein durch das Einbinden der offiziellen Teilen-Buttons bereits personenbezogene Daten Ihrer Nutzer an die jeweilige Social Media Plattform übertragen werden (ohne das so ein Button bereits geklickt wurde). Die Facebook-Buttons setzen dem Ganzen noch die Krone auf: Egal ob ein Websitebesucher ein Facebookkonto hat oder nicht, wird ein Cookie gesetzt, der das genau Surfverhalten der Person für Facebook analysierbar macht. Da stellen sich der Datenschützerin gelinde gesagt, die Nackenhaare auf.
Darum haben in den letzten Jahren viele Websitebetreiber schweren Herzens entschieden, eine sogenannte „Stand-Alone“ Website zu betreiben und sämtliche Social Media Elemente von ihren Seiten verbannt.
Damit wird zwar dem Datenschutz Genüge getan. Auf der anderen Seite beraubt man sich auf die Art von vorn herein einer Vielzahl potentieller Besucher, die vielleicht in den sozialen Netzwerken aufmerksam geworden wären, und einmal vorbeigeschaut hätten. Entgangener Gewinn ist ja bekanntlich nicht meßbar… Und so war das vom Gesetzgeber sicher nicht gewollt, dass Unternehmen wieder zu einer Arbeitsweise wie vor 20 Jahren gezwungen werden.
Für die Einbindung von Social Media Plugins gibt es natürlich auch Lösungsvorschläge. Eine davon ist das sog. 2-Klick-Verfahren. Dabei ruft der Nutzer erst durch einen Klick die eigentlichen Teilen Knöpfe auf. Dabei wird eine Einwilligung geholt und erst danach werden Daten übertragen. Die 2-Klick Lösung ist zwar besser als nichts – allerdings sind u.a. 2 Klicks erforderlich, was für viele auch wieder eine Hemmschwelle darstellt.
Social Media Buttons datenschutzkonform mit Shariff einbinden
Eine andere Lösung hat der Heise-Verlag entwickelt. Hierbei handelt es sich um das Tool Shariff. Hier werden Social Media Buttons über einfache Links eingebunden. Über ein Script wird dann ermittelt, ob die Seite bereits an ein Soziales Netzwerk übermittelt wurde – die Anfrage geht dabei vom Webserver aus (nicht vom Browser des Nutzers). Das bedeutet, dass zunächst nur mal die IP-Adresse des Webservers an Facebook & Co. übertragen wird. Solange der Nutzer nicht auf den Button drückt, um Inhalte zu teilen, bleibt er für die Social Media Plattformen unsichtbar.
Der Datenschutzbeauftragte des Landes Schleswig Holstein, Thilo Weichert, begrüßt die neue Lösung als „datenschutzfreundlichere Technologie“. Er ist der Meinung, dass diese Art von Sharing-Buttons für Webseitenbetreiber obligatorisch sein sollte, um zu verhindern, dass soziale Netzwerke das „Internetverhalten ohne aktiven Beitrag des Users mitverfolgen und speichern“.
Sharif steht zum kostenlosen Download bei GitHub für unterschiedliche Websiteplattformen zur Verfügung. Zum Einbinden des Plugins wenden Sie sich bitte an Ihren Webmaster oder befragen die Suchmaschine Ihres Vertrauens.
Datenschutzerklärung nicht vergessen
Bevor Sie nun also alle möglichen Elemente – von Google Maps, – Fonts, über Vimeo Videos, Social Sharing Buttons usw. reaktivieren, sollten Sie bedenken, dass jedes Element Erwähnung in Ihrer Datenschutzerklärung finden muss.
Wie immer ist zu beschreiben, welche Daten an wen und warum übertragen werden. Wenden Sie sich hier entweder an Ihre Webagentur oder sprechen Sie uns an.
Brauchen Sie Unterstützung oder überlegen Sie einen externen Datenschutzbeauftragten bestellen? Dann nehmen Sie doch einfach Kontakt auf. Datenschutz kann auch Spaß machen!
