Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Muss eine moderne Webseite für ein starkes Videoerlebnis den Datenschutz opfern? Videos steigern nachweislich die Sichtbarkeit und Verweildauer, doch die Einbindung hat eine rechtliche Kehrseite. Beim Einbetten externer Player fließen häufig personenbezogene Daten wie IP-Adresse und Cookie-Kennungen an Plattformbetreiber – oft schon beim Laden der Seite und noch vor dem Klick auf den Play-Button. Genau hier prallen Nutzererlebnis und Datenschutzrecht aufeinander. In diesem Beitrag schauen wir uns die Ausgangslage genauer an und zeigen typische Stolperstellen bei der Videointegration. Zum Ende werfen wir einen Blick auf mögliche, praxistaugliche Lösungen. Ziel bleibt eine Webseitenerfahrung, die überzeugt und rechtssicher funktioniert.
Video-Hosting ist ein Online-Dienst, bei dem Videodateien auf speziellen Servern oder Plattformen gespeichert und über das Internet zugänglich gemacht werden. Anstatt Videos direkt auf der eigenen Webseite zu hinterlegen, werden sie auf einer Hosting-Plattform hochgeladen und von dort gestreamt. Dadurch wird die Webseite entlastet und Besucherinnen und Besucher können Videos ohne lange Ladezeiten in hoher Qualität ansehen.
Vorteile von Video-Hosting auf der eigenen Webseite:
Sobald Personen erkennbar sind oder ihre Stimme aufgezeichnet wird, liegt die Verarbeitung personenbezogener Daten vor. Diese ist nicht nur datenschutzrechtlich, sondern auch urheberrechtlich relevant. Entscheidend ist das Vorliegen einer rechtlichen Grundlage für die Aufnahme. Nach § 22 KunstUrhG dürfen Bildnisse grundsätzlich nur mit Einwilligung der abgebildeten Person verbreitet werden. § 23 KunstUrhG sieht jedoch Ausnahmen vor, etwa bei Bildnissen aus dem Bereich der Zeitgeschichte, wenn Personen lediglich als Beiwerk neben einer Landschaft oder Örtlichkeit erscheinen, wenn Aufnahmen von Versammlungen oder ähnlichen Ereignissen vorliegen oder wenn es sich um nicht bestellte Werke handelt, deren Veröffentlichung einem höheren Interesse der Kunst dient.
Auch bei Speicherung und Veröffentlichung, insbesondere bei der Weitergabe über Social-Media-Kanäle, ist der datenschutzrechtliche Rahmen zwingend einzuhalten. Besonders heikel sind Aufnahmen von Beschäftigten, da eine Einwilligung im Sinne der DS-GVO wegen der fehlenden Freiwilligkeit in der Regel nicht wirksam erteilt werden kann. Ein gesteigertes Schutzniveau gilt zudem für Kinder, da sie sich der Tragweite und Risiken der Datenverarbeitung häufig nicht in vollem Umfang bewusst sind.
Die Einbindung von YouTube-Videos wirkt technisch simpel: Ein Player wird bereitgestellt, die Inhalte kommen direkt von der Plattform. Doch rechtlich ist die Lage weitaus komplexer. Maßgeblich sind hier das TTDSG und die DSGVO. Während das TTDSG alle Informationen schützt und gegenüber der DSGVO als spezielles Gesetz Vorrang hat, greift die DSGVO, sobald personenbezogene Daten wie IP-Adressen verarbeitet werden.
Hinzu kommt: YouTube ist ein US-Dienst. Jede Übermittlung personenbezogener Daten – selbst einer IP-Adresse – erfolgt damit in ein datenschutzrechtliches Drittland. Nach Einschätzung des EuGH besteht in den USA kein mit der EU vergleichbares Datenschutzniveau, da Geheimdienste weitreichende Zugriffsbefugnisse besitzen und Betroffenen weniger Rechte zustehen. Zwar existiert das EU-U.S. Data Privacy Framework, doch nur zertifizierte Unternehmen profitieren davon. YouTube gehört nicht dazu. Datenschutzexperten erwarten zudem, dass die Regelung erneut vor dem EuGH scheitern könnte. Für europäische Unternehmen bedeutet dies zusätzlichen Prüfaufwand, Standardvertragsklauseln und teure Transfer Impact Assessments.
Problematisch wird es außerdem, sobald beim Laden eines Videos automatisch Daten wie IP-Adresse oder Cookie-Informationen an YouTube übertragen werden. Diese Verarbeitung ist in der Regel nicht „technisch unbedingt erforderlich“ im Sinne des § 25 Abs. 2 TTDSG. Damit scheidet die Ausnahme aus und ohne vorherige Einwilligung der Nutzerinnen und Nutzer bleibt die Einbettung unzulässig.
Spätestens seit der EuGH-Entscheidung in der Rechtssache „Fashion ID“ steht fest: Webseitenbetreiber sind für die Einbindung fremder Dienste mitverantwortlich. Damit liegt die Verantwortung für den datenschutzkonformen Einsatz von YouTube-Inhalten bei den Anbietern selbst. Eine rechtssichere Einbindung gelingt daher nur über eine wirksame Einwilligung – verbunden mit einer echten, gleichwertigen Alternative für die Nutzung der Webseite.
Der Europäische Gerichtshof entschied am 29. Juli 2019 im Fall „Fashion ID“ (C-40/17), dass Betreiber von Webseiten, die Social-Media-Plugins, wie den Facebook-„Gefällt-mir“-Button einbinden, gemeinsam mit dem Plugin-Anbieter für die Verarbeitung personenbezogener Daten verantwortlich sind. Schon beim bloßen Laden der Seite werden Daten wie die IP-Adresse oder Browserinformationen an den Anbieter übermittelt, unabhängig davon, ob der Button genutzt wird. Der EuGH stellte klar, dass Webseitenbetreiber mit der Entscheidung zur Einbindung eigene wirtschaftliche Interessen verfolgen und damit über Zwecke und Mittel der Datenverarbeitung mitentscheiden.
Für die anschließende Weiterverarbeitung der Daten durch den Plugin-Anbieter bleibt jedoch dieser allein verantwortlich. Webseitenbetreiber müssen deshalb mit dem Anbieter eine Vereinbarung nach Art. 26 DSGVO schließen, die Pflichten wie Informationsbereitstellung und Wahrung von Betroffenenrechten regelt. Zudem ist eine vorherige Einwilligung der Nutzer erforderlich. Technische Lösungen wie der Zwei-Klick-Mechanismus oder der Shariff-Button gelten seither als gängige Möglichkeit, um den Anforderungen gerecht zu werden.
NoCookie klingt erst einmal nach Entlastung. In der Praxis bleibt es Marketing. US-Plattformen wie YouTube und Vimeo werben mit NoCookie und DoNotTrack, erfassen jedoch weiterhin Daten und setzen Cookies, die eine ausdrückliche Zustimmung verlangen. Nach der Analyse von Klaus Meffert ist das YouTube-Plugin nicht datenschutzfreundlich, setzt auch ohne Wiedergabe Cookies und wertet Nutzer aus. Selbst die Domain youtube-nocookie.com setzt das CONSENT Cookie, das eine Einwilligung voraussetzt. Das Plugin sendet zudem in kurzen Intervallen Signale an Google, auch ohne abgespieltes Video. Solche Scheinlösungen zeigen ein Grundproblem. Die Optionen passen auf Märkte außerhalb der EU, Datenschutz nach europäischen Maßstäben steht selten im Fokus.
Parallel wachsen die rechtlichen Pflichten. Am 28.06.2025 trat das Barrierefreiheitsstärkungsgesetz in Kraft. Digitale Dienste einschließlich Videoinhalten müssen dann für Menschen mit Einschränkungen vollständig zugänglich sein. Viele einfache Einbindungen verfehlen die WCAG-Standards, es fehlen Untertitel, Bedienhilfen und die Anpassung der Abspielgeschwindigkeit. Das erhöht die technische und organisatorische Komplexität beim Video-Hosting.
Die Bereitstellung von Videos auf einem eigenen Webserver mag für kleine Unternehmen noch praktikabel sein, doch schnell stoßen Performance und Nutzerfreundlichkeit an ihre Grenzen. Moderne Hosting-Lösungen gehen deutlich weiter – und erfüllen rechtliche sowie technische Anforderungen.
Videos beanspruchen enorme Datenmengen. Professionelle Hosting-Dienste setzen auf optimierte Serverstrukturen, die weltweit kurze Ladezeiten sichern. Studien zeigen: Schon wenige Sekunden Verzögerung lassen die Absprungrate massiv ansteigen.
Durch Encoding entstehen unterschiedliche Versionen eines Videos, die sich automatisch an Bandbreite und Endgerät anpassen. So bleibt die Qualität stabil – egal ob auf Smartphone, Tablet oder Desktop.
Viele Anbieter schaffen direkte Schnittstellen zu gängigen Content-Management-Systemen. Videos lassen sich ohne Expertenwissen hochladen und einbinden, technische Hürden entfallen.
Detaillierte Auswertungen zum Nutzerverhalten machen sichtbar, welche Inhalte wirken. So lassen sich Videos gezielt optimieren. Selbstverständlich im Rahmen datenschutzkonformer Lösungen.
Kurzclips zur Unterstützung von Inhalten oder emotionalen Szenen sind beliebt. Doch datenschutzrechtlich vorgeschriebene Zwei-Klick-Lösungen blockieren oft die automatische Wiedergabe.
Ab Juni 2025 verpflichtet das BFSG zur barrierefreien Gestaltung. Videoplayer müssen Untertitel, Audiodeskriptionen und leicht bedienbare Steuerungen bereitstellen.
Kapitelmarken, Playlists oder interaktive Elemente steigern das Engagement und binden Nutzer stärker ein.
Der sogenannte „erweiterte Datenschutzmodus“ von YouTube scheint eine praktikable Lösung zu sein, entpuppt sich jedoch gleichermaßen als trügerisch. Auch in diesem Modus werden Cookies gesetzt und Informationen im Local Storage, Session Storage oder in der Index DB gespeichert. Ob diese Vorgänge technisch zwingend erforderlich sind, bleibt unklar. Damit fehlt die Verlässlichkeit, die für eine rechtssichere Einbettung notwendig wäre. Webseitenbetreiber sollten deshalb auf Alternativen setzen, die tatsächliche Kontrolle über die Datenverarbeitung ermöglichen.
Zu den wichtigsten Lösungsansätzen gehören:
Diese Ansätze erfordern teils mehr Aufwand, schaffen aber echte Möglichkeiten, Videos rechtssicher und nutzerfreundlich in Webseiten zu integrieren – ohne sich auf unsichere Scheinlösungen zu verlassen.
Möchten Sie wissen, ob die Einbettung von YouTube-Videos auf Ihrer Webseite rechtlich riskant ist? Fragen Sie sich, ob der Einsatz des „erweiterten Datenschutzmodus“ wirklich ausreicht? Oder möchten Sie Ihr Unternehmen rechtssicher aufstellen, bevor Bußgelder oder Abmahnungen drohen? Planen Sie neue Marketingmaßnahmen, wie den Einsatz von Gewinnspielen, Umfragen oder Fotoaufnahmen, und möchten Sie sicherstellen, dass diese datenschutzkonform sind?
Unser Team berät Sie kompetent in allen Bereichen des Datenschutzrechts. Dazu zählen die Erstellung maßgeschneiderter Datenschutzerklärungen für Ihre Webseite, App oder Social-Media-Präsenz, die Abwehr von Abmahnungen und behördlichen Bußgeldverfahren sowie die anwaltliche Begleitung Ihrer PR- und Marketingmaßnahmen. Wir prüfen Vertragsbeziehungen, gestalten Auftragsverarbeitungsverträge und Joint Controller Agreements und übernehmen die rechtliche Absicherung von internationalem Datentransfer. Darüber hinaus führen wir Unternehmensprüfungen (Audits) durch, entwickeln Compliance-Richtlinien und klären, ob Ihr Unternehmen einen Datenschutzbeauftragten oder Datenschutzvertreter bestellen muss.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?