Webseiten werden durch die Einbindung von Videos interessanter und lebendiger. Ein Unternehmen kann potenziellen Kunden durch die Präsentation in Bild und Ton einen besseren Eindruck von Produkten oder Dienstleistungen verschaffen; mögliche Bewerber erhalten erste Einblicke in das Unternehmen. Dass der Inhalt des Videos rechtssicher sein muss, ist vielen Unternehmen inzwischen bewusst. Hohe Schadensersatzsummen für frühere Mitarbeiter, die nach ihrem Ausscheiden nicht mehr auf der Homepage des früheren Arbeitgebers zu sehen sein wollten, oder die Kosten für urheberrechtliche Abmahnungen haben dafür sensibilisiert. Weniger Aufmerksamkeit schenken viele Verantwortliche hingegen der Datenschutzkon¬formität bei der Einbindung der Videos.

Zwei mögliche Arten der Einbindung

Webseitenbetreiber können Videos entweder selbst hosten – also intern einbinden – oder bei einem Dienstleister einstellen und extern einbinden. Die erste Variante erleichtert die Erfüllung der datenschutzrechtlichen Anforderungen. Denn sie vermeidet Datenflüsse an Dritte. Dennoch ist zu beachten, dass die Anforderungen von Datenschutz-Grundverordnung (DSGVO) und Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) gelten:

Die Datenschutzerklärung muss eventuelle zusätzliche Verarbeitungen personenbezogener Daten, die durch den Aufruf des Videos entstehen, abbilden. Häufig ist es zudem technisch erforderlich oder zumindest gewollt, Cookies zu setzen oder Daten im lokalen Speicher des Nutzers zu platzieren, beispielsweise um das Abspielen des Videos an einer bestimmten Stelle später fortsetzen zu können. Solche Speichervorgänge dürfen grundsätzlich erst ausgelöst werden, wenn der Nutzer das Video aktiv abruft, also beispielsweise auf den „Abspielen"-Button drückt.

Herausforderungen der externen Einbindung

Ungleich komplexer ist die Situation bei der weit häufigeren externen Einbindung von Video-Dateien. Denn damit der Nutzer das Video laden und abspielen kann, ist es erforderlich, personenbezogene Daten wie die IP-Adresse des Nutzers an den Drittanbieter zu übertragen. Da die Alternative der internen Einbindung existiert, ist die einschlägige datenschutzrechtliche Rechtsgrundlage in den meisten Fällen die Einwilligung des Nutzers. Viele Videoplattformen haben ihren Sitz zudem in den Vereinigten Staaten, sodass die personenbezogenen Daten der Webseiten-Nutzer in ein Drittland übermittelt werden. Bis die Europäische Kommission im nächsten Jahr einen neuen Angemessenheitsbeschluss für die USA durchgebracht hat, ergeben sich daraus zusätzliche Risiken.

Da der Webseitenbetreiber durch die Einbindung des Videos diesen Datenfluss erst auslöst und häufig ein eigenes Konto beim externen Anbieter betreibt, auf dem das Video liegt, sind der Webseitenbetreiber und der Drittanbieter meist gemeinsam für diese Datenflüsse verantwortlich. Sind die Datenübermittlungen nicht datenschutzkonform, ist der Webseitenbetreiber damit auch potenzieller Adressat von Bußgeldern und Schadensersatzforderungen. Die Lage verkompliziert sich noch dadurch, dass die externen Anbieter die Nutzerdaten häufig für eigene Zwecke – beispielsweise das Anlegen von Nutzerprofilen – verwenden und Informationen als Cookies oder im lokalen Speicher des Browsers ablegen und auslesen, um den Nutzer wiedererkennen zu können. Dafür ist es häufig nicht einmal erforderlich, dass der Nutzer das Video abspielt. Der bloße Aufruf der Webseite, die das Video eingebunden hat, reicht aus.

Einwilligung der Nutzer durch „Zwei-Klick-Lösung"

Die sicherste Lösung, um den Anforderungen von DSGVO und TTDSG zu genügen, ist die „Zwei-Klick-Lösung". Die Webseite zeigt dem Nutzer zunächst nur ein Vorschaubild, das intern eingebunden ist und daher keine Datenübermittlungen an den Drittanbieter auslöst. Erst wenn der Nutzer aktiv das Video aktiviert, lädt die Webseite die Inhalte von der fremden Seite. Das ermöglicht, eine Einwilligung des Nutzers einzuholen, bevor die Daten der Nutzer übertragen werden. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz stellt dafür eine ausführliche technische Dokumentation zur Verfügung.

Ähnlich wie im Falle der bekannten Cookie-Banner reicht es nicht aus, einfach einen „Video aktivieren"-Button vorzuhalten. Soll die eingeholte Einwilligung eine Rechtsgrundlage für die Übermittlung an den Drittanbieter und gegebenenfalls sogar einen Drittlandtransfer sein, muss der Nutzer vor dem Klicken über die Verarbeitungsvorgänge aufgeklärt werden. Neben einem kurzen Vorschautext ist daher eine Verlinkung der Datenschutzerklärung sinnvoll, die entsprechende Informationen zur Einbindung des externen Dienstes enthalten muss. Zudem müssen Cookies der Videoplattform in das sogenannte „Cookie-Banner", den Consent-Manager, eingebunden werden, damit Nutzer ihre Einwilligung jederzeit widerrufen können.

YouTube-Videos DSGVO-konform einbetten

Neben der Ergänzung der Datenschutzerklärung können Webseitenbetreiber die Einbindung von YouTube-Videos datenschutzfreundlicher gestalten. Die Plattform bietet einen sogenannten „erweiterten Datenschutzmodus" an. Nach eigenen Angaben nutzt YouTube die Daten des Nutzers in einem solchen Fall nicht für Profilbildung und Personalisierung. Wie Sie diesen Modus aktivieren, erklärt Google in einem Tutorial.

Mit diesen Maßnahmen können Verantwortliche die datenschutzrechtlichen Risiken der Einbindung externer Videos minimieren und ihre Webseite datenschutzfreundlicher einrichten, ohne auf die Vorteile von Videoplattformen wie YouTube verzichten zu müssten.