Datenschutzkonforme Einbettung von YouTube-Videos – Optionen, Risiken, Praxis

Die Meldung des BfDI vom 4. Juli 2025 hat Wellen geschlagen: Rund 200 Webseiten wurden mittels teilautomatisierten Webseitenchecks geprüft. Dabei stand die datenschutzkonforme Einbettung von Drittinhalte wie YouTube-Videos besonders im Fokus. Besonders brisant ist, dass der Großteil der geprüften Seiten bereits unmittelbar beim Aufruf der Webseite personenbezogene Datenübertragungen an Google zeigte – ohne vorherige Einwilligung der Nutzenden.

Für Unternehmen kann dies ernsthafte Konsequenzen nach sich ziehen: Bußgelder, Abmahnungen oder sogar Untersagungsverfügungen drohen. Da die Prüfung zukünftig größtenteils automatisiert stattfinden wird, sehen wir Handlungsbedarf.

Warum gehandelt werden muss

Wir beschäftigten uns bereits in einem vorangegangenen Blogartikel mit den datenschutzrechtlichen Aspekten, die Webseitenbetreiber beachten müssen. Es ist nur eine Frage der Zeit, dass derartige automatisierte Webseitenprüfungen zum Standard werden – insbesondere wenn man die rasanten Entwicklungen um Künstliche Intelligenz bedenkt. Höchstwahrscheinlich wird diese Möglichkeit weiter ausgebaut werden, weil sie skalierbar, effizient und objektiv ist. Frühzeitig umstellen lohnt sich daher.

So werden nicht nur rechtliche Risiken eliminiert, sondern signalisiert den immer aufmerksameren Nutzenden das eigene Datenschutzbewusstsein. Ein inzwischen nicht mehr zu unterschätzender Faktor, der das Vertrauen der Nutzenden in Ihr Unternehmen stärken und den Ruf Ihres Unternehmens steigern kann.

Wann die Einbettung von YouTube-Videos problematisch ist

Wird ein Drittinhalt, beispielsweise ein YouTube-Video, direkt in eine Webseite eingebunden (z.B. per Standard-Embed oder per Erweitertem Datenschutzmodus; siehe unten), verbindet sich der Browser der Seitenbesucher mit den Servern des Dienstes (z.B. YouTube). Dabei fließen IP-Adresse, Geräteinformationen und ggf. Cookies unmittelbar an YouTube – oft ohne dass zuvor ein Video angeklickt wird. Eine vorher erforderliche informierte und freiwillige Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO liegt in solchen Fällen regelmäßig nicht vor. Die Datenübermittlung ist daher rechtswidrig. Betreiber:innen von Webseiten sind laut EuGH jedoch (mit-)verantwortlich, wenn Drittinhalte Daten übertragen.

DOs and DONTs bei der Einbindung von Youtube-Videos:

Die Grundregel: Bevor Inhalte geladen werden, muss die entsprechende Einwilligung eingeholt werden (§ 25 TDDDG).

Problematisch und zu vermeiden sind daher:

Standard-Embed (iFrame): Inhalte werden sofort ohne Einwilligung geladen.
Embed im Erweiterten Datenschutzmodus von Youtube (privacy-enhanced mode): Zwar reduziertes Tracking bzw. Personalisierung, Inhalte werden hier jedoch ebenfalls sofort ohne Einwilligung geladen.

Wir empfehlen in den meisten Fällen eine Zwei-Klick-Lösung bei der Einbettung von Youtube-Videos, weil sie praktikabel und leicht zu implementieren ist. Hier muss man aktiv auf ein Vorschaubild klicken, bevor eine Verbindung zu YouTube aufgebaut wird und das Video starten kann. Dieses Vorschaubild soll eine klare und umfassende Einwilligung über die Datenübertragung sowie eine Verlinkung auf die Datenschutzerklärung der Webseite enthalten.

Alternativ stellt das Selbsthosting bzw. das Hosting auf einer anderen EU-Plattform die Kür dar und wird vom BFDI als „Goldstandard“ empfohlen. Hierbei werden Videos auf eigenen Servern gehostet und auf der Webseite eingebunden. Das ermöglicht die vollständige Kontrolle über Datenverarbeitung und Nutzerinteraktionen. Die Implementierung ist allerdings technisch etwas anspruchsvoller.

Weitere Infos des BfDI zu den verschiedenen technischen Möglichkeiten finden Sie hier.

Fazit

Besonders die rasend schnelle Weiterentwicklung von KI und dadurch mögliche Automatisierung von Überprüfungsprozessen rückt Unternehmen und deren Webseiten immer weiter in den Fokus von Aufsichtsbehörden. Dabei werden nicht nur gesetzte Cookies sondern auch Datenübermittlungen in Drittländer geprüft. Besonders Youtube-Videos sind oft nicht datenschutzkonform auf Webseiten eingebunden und öffnen so Tür und Tor für Bußgelder oder Abmahnungen.

Ohne vorgelagertes Opt-In ist das Laden eines Players wie Youtube beim Seitenaufruf in der Regel unzulässig. Eine Einwilligung muss freiwillig, informiert und widerrufbar sein. Jede Variante, die vor Interaktion oder Opt-In Verbindungen oder Speicherungen auslöst, ist nach der BfDI problematisch.

Sollten Sie Fragen zu datenschutzkonformer Gestaltung von Webseiten, Datenübermittlung in Drittländer oder der datenschutzkonformen Einbettung von Youtube-Videos auf Ihrer Webseite haben, wenden Sie sich gerne an uns. Wir sind bundesweit tätig und unterstützen Sie gerne: info@sidit.de oder 0931-780 877-0.

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

Hiermit willige ich ein, dass mich die SiDIT GmbH per E-Mail kontaktieren darf, um mir auf meine persönlichen Interessen zugeschnittene Angebote im Zusammenhang mit ihren Waren/Dienstleitungen zu unterbreiten und mich über Neuigkeiten ihres Unternehmens und Waren/Dienstleistungen zu informieren. Erläuterungen zu Informationen auf Basis persönlicher Interessen erhalten Sie hier. Mir ist bewusst, dass ich diese Einwilligung jederzeit mit Wirkung für die Zukunft, per E-Mail an info@sidit.de widerrufen kann. Wir setzen Sie davon in Kenntnis, dass durch den Widerruf der Einwilligung die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, nicht berührt wird. Weitere Informationen finden Sie in unserer Datenschutzerklärung.