Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Das Einbetten von YouTube-Videos auf Websites bewirkt, dass Googles Tracking-Code im Browser der Besucher geladen wird und Werbe- sowie Analyse-Cookies setzt, die das Sehverhalten verfolgen und Werbeprofile erstellen. Dies erfordert gemäß der ePrivacy-Richtlinie eine Einwilligung. YouTube bietet eine datenschutzfreundliche Einbettungsdomäne (youtube-nocookie.com), die das Setzen von Cookies erheblich reduziert. Alternativ verzögert eine Fassaden- oder Thumbnail-Methode das Laden von YouTube, bis Nutzer auf Abspielen klicken, was den Datenschutzeinfluss verringert.
YouTube ist die Videoplattform der Google Ireland Limited (Verantwortlicher für EU Publisher) und Google LLC (Unterauftragsverarbeiter in den USA). Wenn der Publisher ein YouTube Video einbettet, wird der Standard iFrame von youtube.com geladen und ruft sofort JavaScript, Schriftarten und Player Ressourcen von ytimg.com, googlevideo.com und doubleclick.net ab. Der Player tauscht Werbesignale mit der Google Marketing Platform aus, auch wenn auf dem Video keine Werbung gezeigt wird.
Die Standard youtube.com Einbettung setzt sofort beim Laden des iFrames die Cookies VISITOR_INFO1_LIVE (Besucherkennung, 6 Monate), YSC (Sitzungskennung, Sitzung), PREF (Präferenzen, 8 Monate) und IDE auf doubleclick.net (Werbekennung, 13 Monate). Der datenschutzfreundliche Modus youtube-nocookie.com setzt dieselben Cookies erst nach dem Klick auf Wiedergabe. Beide Modi schreiben zusätzlich localStorage Einträge für Wiedergabeposition und Qualitätsstufen.
Vor dem Laden einer YouTube Einbettung ist eine Einwilligung nach Art. 6(1)(a) DSGVO und §25 TTDSG erforderlich, da der iFrame Werbe Cookies auf Drittanbieter Domains (doubleclick.net, google.com) setzt. Der EuGH (Fashion ID, C 40/17, Juli 2019) bestätigt die gemeinsame Verantwortlichkeit der einbettenden Website. Die CNIL hat französische Organisationen für das Laden von YouTube ohne Einwilligung sanktioniert (Carrefour 2020, Université du Mans 2023). Auch youtube-nocookie.com ist nicht ohne Einwilligung möglich: die Auflösung der Domain übermittelt bereits die IP an Google.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Das Laden einer YouTube Einbettung überträgt IP, User Agent, Referer und Cookies an Google LLC in die USA. Google LLC ist seit dem 10. Juli 2023 unter dem EU US Data Privacy Framework zertifiziert und die YouTube Bedingungen enthalten die EU SCC (Modul 3). Die EDSA Bindebewirkungsentscheidung gegen Google Analytics (1/2022) und mehrere Bußgelder von Aufsichtsbehörden bestätigen jedoch, dass der Publisher auch Zusatzmaßnahmen umsetzen, eine TIA dokumentieren und die Nutzer informieren muss.
Ersetzen Sie den Standard iFrame durch einen Klick zum Laden Platzhalter (Vorschaubild plus Play Button), der die YouTube Einbettung erst nach Einwilligung lädt. Verwenden Sie die Domain youtube-nocookie.com statt youtube.com, um Cookies vor dem Klick zu vermeiden. Dokumentieren Sie Google Ireland Limited und Google LLC im Verarbeitungsverzeichnis (Art. 30 DSGVO) und in der Datenschutzerklärung. Führen Sie VISITOR_INFO1_LIVE, YSC, PREF und IDE in der Cookie Richtlinie. Erwägen Sie für sensible Inhalte Self Hosting mit Plyr, Mux Video, Vimeo Pro oder Bunny.net. Erneuern Sie die Einwilligung alle 6 Monate (CNIL Beratung 2020 091).
DSGVO freundliche Alternativen: Vimeo Privacy Friendly Embed (USA mit EU Residenz), Cloudflare Stream, Mux Video (EU und USA), Bunny Stream (Slowenien und globales Edge), PeerTube (Open Source selbst hostbar), Dailymotion (Frankreich) sowie der selbst gehostete Plyr oder Video.js Stack mit HLS Manifesten auf eigenem CDN.
Websites using YouTube Einbettung must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist für das standardmäßige Einbetten von YouTube-Videos mit ordnungsgemäßem Einwilligungsmanagement in der Regel nicht erforderlich. Sie kann für große Medienplattformen relevant werden, die viele Videos einbetten, bei denen Googles Zielgruppen-Tracking ein systematisches Profiling von Besuchern erzeugt.
Sample consent text
Diese Seite bindet YouTube Videos ein, die von Google Ireland Limited (Betreiber) und Google LLC (Unterauftragsverarbeiter in den USA) bereitgestellt werden. Beim Abspielen setzt YouTube Werbe Cookies (VISITOR_INFO1_LIVE, YSC, PREF, IDE) und überträgt Ihre IP Adresse, Ihren User Agent und das angesehene Video an Google in die USA auf Grundlage des EU US Data Privacy Framework und der EU Standardvertragsklauseln. Wir laden jede YouTube Einbettung erst, nachdem Sie die Kategorie Marketing oder Video in unseren Cookie Einstellungen akzeptieren, und nutzen wo möglich den datenschutzfreundlichen Modus youtube-nocookie.com.
Third-party domains contacted
youtube.comwww.youtube-nocookie.comi.ytimg.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| YSC | session | Session | YouTube session identifier loaded on standard YouTube embed — tracks viewing session data |
| VISITOR_INFO1_LIVE | persistent | 6 months | YouTube visitor identifier for tracking viewing history and personalising recommendations |
YouTube Einbettung setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.
Standard-YouTube-Einbettungen erfordern eine Einwilligung, da sie beim Seitenaufruf sofort Werbe-Cookies setzen. Die Verwendung von youtube-nocookie.com reduziert die Einwilligungsanforderungen, eliminiert sie aber möglicherweise nicht vollständig. Die Fassaden-Methode (Thumbnail-Laden) ist die datenschutzfreundlichste und erfordert möglicherweise kein Einwilligungsbanner.
youtube-nocookie.com ist YouTubes datenschutzfreundliche Einbettungsdomäne. Laut Google setzt sie keine Cookies, bis der Nutzer das Video abspielt. Aktivieren Sie sie, indem Sie "youtube.com/embed/" in der src-URL Ihres iframes durch "www.youtube-nocookie.com/embed/" ersetzen. Der eingebaute YouTube-Block von WordPress verwendet dies standardmäßig.
Standard-YouTube-Einbettungen setzen VISITOR_INFO1_LIVE (YouTube-Besucher-ID, 6 Monate), YSC (Session, kein Ablauf) und können Werbe-Cookies setzen, wenn der Nutzer bei Google angemeldet ist. Diese erfordern eine Einwilligung. Der youtube-nocookie.com-Modus vermeidet das Setzen dieser Cookies bis zur Wiedergabe.
Ja. Alle YouTube-Verarbeitungen (Google) erfolgen auf US-Infrastruktur. SCCs sind als Teil von Googles Standardbedingungen erforderlich. Akzeptieren Sie Googles Datenverarbeitungsbedingungen und legen Sie den US-Transfer in Ihrer Datenschutzerklärung offen, wenn Sie YouTube-Videos einbetten.
Verwenden Sie die lite-youtube-embed-Bibliothek (verfügbar auf npm und GitHub), die ein Thumbnail rendert und den eigentlichen YouTube-iframe erst beim Anklicken lädt. Dies ist semantisch, barrierefrei, erheblich schneller und datenschutzfreundlich. Alternativ eine benutzerdefinierte Implementierung mit einem Thumbnail-Bild und onclick-Handler verwenden, der das Bild durch den eigentlichen iframe ersetzt.
Rechtliche Meinungen gehen auseinander. Google sagt, bis zur Wiedergabe werden keine Cookies gesetzt. Einige Datenschutzbehörden betrachten selbst die IP-Adressübertragung beim iframe-Aufruf als personenbezogene Datenübertragung, die eine Einwilligung erfordert. Der sicherste Ansatz: youtube-nocookie.com UND das Fassaden-Muster verwenden, sodass die YouTube-Domain erst eine Anfrage erhält, wenn der Nutzer aktiv auf Abspielen klickt.
Vimeo (US-gehostet, aber mit dnt=1 Datenschutzmodus), Wistia (US-gehostet) und Dailymotion (französisches Unternehmen) sind Alternativen. Für selbst-gehostetes Video bietet PeerTube (Open-Source, EU-hostbar) eine YouTube-kompatible Einbettung ohne Googles Datenpraktiken.
Ja. Legen Sie offen, dass die Website YouTube-Videos einbettet, dass YouTube (Google) Cookies setzt, wenn Videos geladen oder abgespielt werden, dass Daten an Google in den USA übertragen werden, und stellen Sie einen Link zu YouTubes Datenschutzrichtlinie bereit. Wenn youtube-nocookie.com verwendet wird, weisen Sie darauf hin, dass dies die Datenverarbeitung reduziert, sie aber möglicherweise nicht vollständig eliminiert.