Die Einbindung von Videos auf einer Website ist datenschutzrechtlich anspruchsvoll, da dabei personenbezogene Daten an Dritte übermittelt werden können. Besonders bei Diensten wie YouTube und Vimeo, die ihre Server in den USA betreiben, müssen DSGVO- und TDDDG-Anforderungen berücksichtigt werden.
Um eine rechtskonforme Einbindung sicherzustellen, sollten folgende Punkte beachtet werden:
✅ Datenübertragung in Drittstaaten absichern:
YouTube (Google LLC) und Vimeo sind nach dem Data Privacy Framework (DPF) zertifiziert, was eine sichere Datenübertragung in die USA ermöglicht. Dennoch sollte zusätzlich ein AVV (Auftragsverarbeitungsvertrag) abgeschlossen werden, wenn Videos geschäftlich genutzt werden.
✅ Bereits das Laden des Vorschaubildes erfordert eine Einwilligung:
Sobald ein eingebettetes Video auf einer Webseite erscheint, wird eine Verbindung zu den Servern von YouTube oder Vimeo aufgebaut, selbst wenn das Video nicht abgespielt wird. Dabei werden personenbezogene Daten (z. B. IP-Adresse) übertragen – eine Einwilligung ist daher bereits vor dem Laden des Vorschaubildes erforderlich.
✅ Datenschutzfreundliche Einstellungen nutzen, aber nicht überschätzen:
• YouTube bietet den erweiterten Datenschutzmodus, der verhindert, dass Tracking-Cookies beim bloßen Laden der Seite gesetzt werden. Beim Abspielen werden jedoch weiterhin personenbezogene Daten an Google übermittelt.
• Vimeo bietet mit „Do Not Track“ (dnt=1) eine Option zur Reduzierung des Trackings, jedoch werden auch hier beim Laden des Videos Verbindungen zu Vimeo-Servern hergestellt und Daten verarbeitet.
✅ Lokale Einbindung als beste Lösung – wenn technisch möglich:
Die datenschutzfreundlichste Variante ist die lokale Bereitstellung von Videos auf dem eigenen Server. Allerdings benötigt diese Methode viel Speicherplatz und kann zu Performance-Problemen führen, da Webserver nicht für Video-Streaming optimiert sind.
✅ Alternative: Platzhalter mit expliziter Einwilligung:
Falls eine lokale Speicherung nicht praktikabel ist, sollte ein statischer Platzhalter mit einer Einwilligungsabfrage verwendet werden. Erst nach Zustimmung des Nutzers wird das Video geladen.
✅ Transparente Information in der Datenschutzerklärung:
Die Datenschutzerklärung sollte die Verarbeitung personenbezogener Daten durch die Videoeinbindung klar erläutern. Sie muss Angaben zu den Datenempfängern, der Rechtsgrundlage, der Drittlandübermittlung und den Widerrufsmöglichkeiten der Einwilligung enthalten.