YouTube einbetten und DSGVO: Was Sie beachten müssen

YouTube-Embeds sind in deutschen Websites allgegenwärtig — vom Imagefilm auf der Startseite bis zum Anleitungs-Video im Blog. Was die meisten Betreiber unterschätzen: Schon das bloße Laden der Seite überträgt Daten an Google in die USA. Genau hier setzt die DSGVO an.

Ob Ihre Website aktuell YouTube-Skripte ohne Einwilligung lädt, können Sie mit dem kostenlosen DSGVO-Scanner in Sekunden prüfen.

Was beim Standard-Embed technisch passiert

Wenn Sie ein YouTube-Video über den klassischen <iframe>-Code von youtube.com/embed/... einbinden, geschieht beim Aufruf der Seite Folgendes:

• Der Browser baut eine Verbindung zu youtube.com und googlevideo.com auf.
• Es werden Cookies wie YSC, VISITOR_INFO1_LIVE und IDs aus dem Google-Konto-Login gesetzt.
• IP-Adresse, User-Agent, Referer-URL und Geräte-Informationen werden an Google übertragen.
• Bei eingeloggten Nutzern verknüpft Google die Aktivität mit dem persönlichen Profil.

All das passiert bevor der Nutzer auf "Play" klickt. Das ist datenschutzrechtlich entscheidend.

Die rechtliche Grundlage

Für YouTube-Embeds gelten zwei Regelwerke parallel:

• § 25 TDDDG verlangt eine Einwilligung, sobald Informationen auf dem Endgerät gespeichert oder ausgelesen werden — also auch beim Setzen von Cookies oder Local-Storage-Einträgen durch YouTube.
• Art. 6 DSGVO verlangt eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten — die IP-Adresse zählt seit dem EuGH-Urteil C-582/14 (Breyer) dazu.

Eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ist in den meisten Fällen die einzige tragfähige Rechtsgrundlage. Auf "berechtigtes Interesse" können Betreiber sich nicht stützen, weil das Tracking durch Google das Schutzinteresse der Nutzer regelmäßig überwiegt — das stellt auch die Orientierungshilfe der Datenschutzkonferenz für Anbieter digitaler Dienste klar.

Zusätzlich greift die Drittlandübermittlung nach Art. 44 ff. DSGVO. Die Daten gehen an Google LLC in den USA. Seit dem Data Privacy Framework ist diese Übermittlung grundsätzlich abgedeckt, sofern der Empfänger zertifiziert ist — Google ist es. Eine Einwilligung wird damit nicht ersetzt, der Übermittlungspfad ist aber zumindest rechtlich gestützt.

Privacy-Enhanced Mode: Was er wirklich bringt

Statt youtube.com/embed/... können Sie youtube-nocookie.com/embed/... verwenden. Google nennt das den "erweiterten Datenschutzmodus". Tatsächlich:

• Werden weniger Cookies gesetzt — manche erst, wenn der Nutzer das Video tatsächlich abspielt.
• Wird die Aktivität nicht zur personalisierten Werbung in anderen Google-Diensten verwendet.

Was er nicht verhindert:

• IP-Adresse und Geräteinformationen werden weiterhin an Google-Server übertragen, sobald die Seite lädt.
• Schriftarten und JavaScript werden weiterhin von Google-CDNs nachgeladen.
• Spätestens beim Klick auf Play werden Cookies gesetzt.

Mehrere deutsche Aufsichtsbehörden — darunter der Bayerische Landesbeauftragte für den Datenschutz — vertreten dazu die Auffassung, dass auch der erweiterte Datenschutzmodus eine vorherige Einwilligung benötigt, sobald der Player beim Seitenaufruf geladen wird.

Die Zwei-Klick-Lösung

Die rechtlich sicherste Variante ist die sogenannte Zwei-Klick-Lösung. Sie funktioniert so:

1. Statt des YouTube-Players wird zunächst ein Vorschaubild und ein Hinweis angezeigt.
2. Erst wenn der Nutzer aktiv darauf klickt, wird der eigentliche YouTube-Code per JavaScript nachgeladen.
3. Der Nutzer wird im Hinweis klar darüber informiert, dass mit dem Klick Daten an Google übermittelt werden.

Der zentrale Vorteil: Vor dem Klick passiert technisch nichts. Es werden keine Cookies gesetzt, keine IP-Adresse übermittelt, keine Skripte geladen. Damit greift weder § 25 TDDDG noch Art. 6 DSGVO bezüglich Google.

Für gängige Content-Management-Systeme gibt es fertige Implementierungen:

• WordPress: Plugins wie Embed Privacy oder WP YouTube Lyte binden Videos automatisch mit Zwei-Klick-Lösung ein.
• TYPO3: Die Systemextension EXT:dpn_youtube_consent leistet das gleiche.
• Statische Sites: Wenige Zeilen JavaScript reichen aus, um ein Vorschaubild durch den iframe zu ersetzen, sobald geklickt wird.

Cookie-Banner-Integration als Alternative

Wer einen Consent-Management-Banner einsetzt, kann YouTube-Embeds dort als separate Kategorie führen. Solange der Nutzer nicht einwilligt, wird der iframe nicht ausgeliefert. Wichtig dabei:

• Der YouTube-Code darf vor der Einwilligung nicht im HTML stehen — sonst lädt der Browser ihn unabhängig vom Banner.
• Die Einwilligung muss granular möglich sein: separate Zustimmung zu "Externen Medien" oder spezifisch zu YouTube.
• Die Widerrufsmöglichkeit muss dauerhaft sichtbar bleiben.

Welche Anforderungen ein DSGVO-konformer Banner sonst noch erfüllen muss, beschreibt der Leitfaden Cookie-Banner DSGVO-konform.

Was in die Datenschutzerklärung gehört

Wenn YouTube auf der Website eingebunden ist, muss die Datenschutzerklärung folgende Angaben enthalten:

• Name und Anschrift des Anbieters: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland (EU-Vertreter); Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
• Zweck der Verarbeitung (Bereitstellung von Video-Inhalten).
• Verarbeitete Datenarten (IP-Adresse, Geräteinformationen, Browsertyp, Referer, Cookies).
• Rechtsgrundlage (in der Regel Art. 6 Abs. 1 lit. a DSGVO — Einwilligung).
• Hinweis auf Drittlandübermittlung in die USA und die Grundlage (Data Privacy Framework).
• Hinweis auf die Google-Datenschutzerklärung und die Widerrufsmöglichkeit.

Alternativen zu YouTube

Wer die Einwilligungslogik vermeiden möchte, kann auf datenschutzfreundlichere Anbieter wechseln:

• Vimeo Plus oder Pro mit der Option Hide from Vimeo und deaktiviertem Tracking. Vimeo ist zwar ebenfalls in den USA ansässig, setzt aber deutlich weniger Cookies.
• Selbsthosting über den eigenen Webserver oder einen EU-CDN. Aufwendiger, aber datenschutzrechtlich am saubersten.
• PeerTube als föderiertes Open-Source-Alternativ-Netzwerk, das auf europäischen Servern läuft.
• Vorschaubild plus Link zum YouTube-Video auf youtube.com — der Nutzer verlässt die Seite und ist im Klaren darüber, wohin er geht.

Was Sie heute prüfen sollten

1. Lädt Ihre Seite YouTube-Skripte ohne Einwilligung? Test mit den Browser-Entwicklertools (F12 → Network-Tab → Filter "youtube").
2. Steht in der Datenschutzerklärung ein Abschnitt zu YouTube?
3. Ist im Cookie-Banner eine eigene Kategorie für externe Medien vorgesehen?
4. Werden Videos vor der Einwilligung tatsächlich blockiert?

In der Praxis scheitern die meisten Websites am Punkt 1 oder 4 — entweder werden YouTube-Skripte ungefragt geladen, oder ein eingebauter Cookie-Banner blockt sie nicht zuverlässig. Beides erkennt man im Browser ohne Spezialkenntnisse, aber nur wenn man bewusst danach sucht.

Eine vollständige Übersicht aller externen Drittanbieter-Skripte, die Ihre Website lädt, erhalten Sie mit dem kostenlosen DSGVO-Scanner.