Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
YouTube ist Googles Videoplattform, die von Millionen von Websites zur Einbettung von Videoinhalten genutzt wird. Standard-YouTube-Einbettungen laden Tracking-Cookies von google.com und youtube.com vor jeder Nutzerinteraktion, was nach der DSGVO und der ePrivacy-Richtlinie eine vorherige Einwilligung erfordert. Die datenschutzfreundliche Einbettung (youtube-nocookie.com) reduziert den Cookie-Fußabdruck und kann Einbettungen ohne vorherige Einwilligung ermöglichen, überträgt aber weiterhin Daten an Google in den USA. Eine Consent-Management-Plattform sollte alle Standard-YouTube-Einbettungen sperren, oder die Cookie-freie Einbettungsvariante sollte mit entsprechender Offenlegung verwendet werden.
YouTube, ein Unternehmen von Google LLC, ist die weltweit größte Videoplattform. Millionen von Websites betten YouTube-Videos über die YouTube IFrame API oder einen einfachen iframe-Tag ein. Wenn ein Besucher eine Seite mit einer Standard-YouTube-Einbettung aufruft, lädt der YouTube-Player sofort, setzt Cookies und sendet Anfragen an Google-Server, noch bevor der Nutzer auf etwas geklickt hat. Diese automatische Datenerfassung ist die zentrale Compliance-Herausforderung für europäische Websites im Rahmen der DSGVO und der ePrivacy-Richtlinie.
Standard-YouTube-Einbettungen setzen mehrere persistente Cookies: VISITOR_INFO1_LIVE (Besucheridentifikation, 6 Monate), YSC (Sitzungsverfolgung), PREF (Nutzereinstellungen, 2 Jahre) und CONSENT (Google-Einwilligungsstatus, 2 Jahre). Wenn Werbung in eingebetteten Videos aktiviert ist, werden auch DoubleClick-Cookies gesetzt. Neben Cookies erfasst YouTube die IP-Adresse, Geräteinformationen, Video-Interaktionsereignisse (Abspielen, Pause, Vorspulen, angesehene Dauer) und Referrer-Daten. Alle diese Daten werden an die Google-Infrastruktur in den USA übertragen.
Gemäß der ePrivacy-Richtlinie (in nationalen Cookie-Gesetzen umgesetzt) ist für das Setzen oder Auslesen von Cookies auf dem Gerät eines Nutzers eine vorherige informierte Einwilligung erforderlich, sofern diese Cookies nicht unbedingt notwendig sind. YouTube-Tracking-Cookies sind für den Betrieb der Website nicht notwendig, daher ist eine Einwilligung vor dem Laden einer Standard-YouTube-Einbettung erforderlich. Die deutsche Datenschutzkonferenz (DSK) hat Leitlinien veröffentlicht, die bestätigen, dass YouTube-Einbettungen ohne vorherige Einwilligung gegen geltendes Recht verstoßen.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Google bietet einen datenschutzfreundlichen Modus über youtube-nocookie.com an. Bei der Einbettung über diese Domain setzt YouTube erst dann Tracking-Cookies, wenn der Nutzer auf Abspielen klickt. Dies reduziert den Cookie-Fußabdruck und die Datenerfassung beim Laden der Seite erheblich. Viele Datenschutzbehörden und Rechtskommentatoren akzeptieren die nocookie-Einbettung als mit dem berechtigten Interesse vereinbar, sofern der Website-Betreiber die Datenübertragung offenlegt und einen Widerspruchsmechanismus bereitstellt. Allerdings kontaktiert youtube-nocookie.com beim Laden der Seite weiterhin Google-Server und überträgt die IP-Adresse des Besuchers in die USA.
Alle YouTube-Datenverarbeitungen erfolgen auf Google-Infrastruktur in den USA. Google stützt sich auf Standardvertragsklauseln (SCC) als rechtlichen Mechanismus für internationale Datenübertragungen gemäß Kapitel V der DSGVO. Google veröffentlicht einen DSGVO-konformen Auftragsverarbeitungsvertrag (AVV). Website-Betreiber sollten den AVV von Google akzeptieren und die SCC-Nutzung in ihrem Verzeichnis der Verarbeitungstätigkeiten (VVT) dokumentieren.
Für eine datenschutzkonforme YouTube-Einbettung: (1) Alle Einbettungen auf youtube-nocookie.com umstellen und berechtigtes Interesse im VVT dokumentieren, oder eine CMP nutzen, um Einbettungen bis zur Einwilligung zu sperren. (2) Bei Nutzung einer CMP YouTube unter der entsprechenden Cookie-Kategorie konfigurieren. (3) Den AVV von Google akzeptieren und in der Datenschutzerklärung darauf verweisen. (4) YouTube-Einbettungen, die gesetzten Cookies und die US-Datenübertragung in der Cookie-Richtlinie offenlegen. (5) Google Consent Mode v2 implementieren, wenn YouTube zusammen mit Google Ads genutzt wird. (6) Für Websites mit hohem EU-Traffic eine DSFA in Betracht ziehen.
Websites using YouTube must obtain user consent under GDPR regulations.
DPIA considerations
Eine Datenschutz-Folgenabschätzung (DSFA) wird für Websites empfohlen, die YouTube in großem Umfang einbetten und dabei Zuschauerdaten systematisch erfassen und mit anderen Nutzerdaten kombinieren. Große Medienanbieter und Plattformen mit erheblichem EU-Traffic sollten die Datenschutzrisiken der Google-Datenerfassung über Einbettungen dokumentieren.
Sample consent text
Diese Website bettet Videos von YouTube ein. Bei der Wiedergabe eines Videos kann YouTube Cookies setzen und Daten zu Ihrem Zuschauerverhalten sammeln, auch bei der datenschutzfreundlichen Einbettung. Daten werden an Google in den USA übertragen. Sie können YouTube-Einbettungen in Ihren Cookie-Einstellungen blockieren.
Third-party domains contacted
www.youtube.comyoutube-nocookie.coms.ytimg.comgooglevideo.comdoubleclick.netCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| VISITOR_INFO1_LIVE | persistent | 6 months | YouTube visitor identification and ad personalisation |
| YSC | session | Session | YouTube session identifier to track video views within a session |
| PREF | persistent | 2 years | Stores YouTube user preferences such as playback quality and volume |
| CONSENT | persistent | 2 years | Stores Google consent state across Google services |
| IDE | persistent | 13 months | Google DoubleClick advertising cookie for ad targeting and conversion measurement on videos with ads |
YouTube verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.
Eine Standard-YouTube-Einbettung setzt mehrere Cookies vor jeder Nutzerinteraktion: VISITOR_INFO1_LIVE (persistent, 6 Monate, Besucheridentifikation und Anzeigen-Targeting), YSC (Session, verfolgt Videoaufrufe), PREF (persistent, 2 Jahre, Nutzereinstellungen) und CONSENT (persistent, 2 Jahre, speichert den Google-Einwilligungsstatus). Wenn Videos Werbung enthalten, werden auch DoubleClick-Cookies wie IDE (persistent, 13 Monate) gesetzt. Die Verwendung der Einbettungsdomäne youtube-nocookie.com verhindert das Setzen von Cookies, bis der Nutzer auf Abspielen klickt.
Ja, für Standard-YouTube-Einbettungen. Gemäß der ePrivacy-Richtlinie und den nationalen Cookie-Gesetzen ist für das Setzen nicht notwendiger Cookies eine vorherige Einwilligung erforderlich. Standard-YouTube-Einbettungen lösen Tracking-Cookies beim Laden der Seite aus, bevor der Nutzer eine Aktion ausführt, was ohne Einwilligung nicht zulässig ist. Es gibt zwei konforme Optionen: (1) Eine CMP verwenden, um die Einbettung vollständig zu sperren, bis der Nutzer Cookies akzeptiert, oder (2) auf die youtube-nocookie.com-Einbettung wechseln, die weitgehend als mit dem berechtigten Interesse vereinbar akzeptiert wird, wenn sie ordnungsgemäß offengelegt wird.
Weitgehend ja, für die meisten EU-Jurisdiktionen. Die youtube-nocookie.com-Einbettung setzt keine Cookies, bis der Nutzer auf Abspielen klickt, was die vorherige Cookie-Einwilligungspflicht entfallen lässt. Sie kontaktiert beim Laden der Seite jedoch weiterhin Google-Server und überträgt die IP-Adresse des Besuchers an Google in den USA. Aus diesem Grund müssen Sie dennoch: YouTube-Einbettungen und die US-Datenübertragung in Ihrer Datenschutzerklärung offenlegen, Ihre Interessenabwägung dokumentieren und einen Widerspruchsmechanismus bereitstellen. Einige strengere Interpretationen (insbesondere in Deutschland) erfordern möglicherweise auch für die nocookie-Einbettung eine Einwilligung.
YouTube erfasst: (1) IP-Adresse und ungefähren Standort; (2) Geräte- und Browserinformationen (User-Agent, Bildschirmauflösung, Sprache); (3) Video-Interaktionsereignisse wie Abspielen, Pause, Vor-/Zurückspulen, Lautstärkeänderungen und Wiedergabedauer; (4) Referrer-URL, die anzeigt, auf welcher Seite sich die Einbettung befindet; (5) Google-Kontodaten, wenn der Zuschauer bei Google angemeldet ist; (6) Werbe-IDs für Anzeigen-Targeting, wenn Werbung aktiviert ist. Alle diese Daten werden mit YouTube-Zuschauerprofilen verknüpft und für personalisierte Werbung im Google-Werbenetzwerk genutzt.
Ja. YouTube wird von Google LLC, einem US-Unternehmen, betrieben, und die gesamte Datenverarbeitung erfolgt auf Google-Infrastruktur in den USA. Google überträgt personenbezogene Daten aus der EU gemäß den Standardvertragsklauseln (SCC, Ausgabe 2021) als rechtlichem Mechanismus nach DSGVO-Kapitel V in die USA. Google führt außerdem eine Datentransfer-Folgenabschätzung (TIA). Website-Betreiber, die YouTube einbetten, sollten: (1) den Auftragsverarbeitungsvertrag (AVV) von Google akzeptieren, (2) AVV und SCC in ihrer Datenschutzerklärung und ihrem Verarbeitungsverzeichnis referenzieren, (3) eine eigene TIA dokumentieren.
Eine formelle DSFA ist nicht automatisch für alle YouTube-Einbettungen erforderlich, wird aber in folgenden Szenarien empfohlen: (1) Ihre Website hat ein großes EU-Publikum und bettet YouTube extensiv ein; (2) Sie kombinieren YouTube-Zuschauerdaten mit anderen Nutzerdaten Ihrer Plattform; (3) Sie nutzen YouTube-Einbettungen zusammen mit personalisierter Werbung. Eine DSFA dokumentiert die Risiken der Übertragung von Zuschauerverhaltensdaten an Google in den USA und die ergriffenen Maßnahmen zur Risikominderung. Auch wenn eine vollständige DSFA nicht erforderlich ist, sollte bei Nutzung der nocookie-Einbettung eine Interessenabwägung durchgeführt werden.
Die konformsten Implementierungen sind: (1) Cookie-freie Einbettung: Ersetzen Sie youtube.com durch youtube-nocookie.com in allen Einbettungs-URLs, legen Sie dies in Ihrer Datenschutzerklärung offen und dokumentieren Sie eine Interessenabwägung. (2) Einwilligungsbasierte Einbettung: Nutzen Sie Ihre CMP, um das Laden des iframes zu blockieren, bis der Nutzer die entsprechende Cookie-Kategorie akzeptiert. Zeigen Sie ein Platzhalterbild mit einem Einwilligungshinweis an. (3) Fassadentechnik: Zeigen Sie ein statisches Vorschaubild mit einem Wiedergabe-Button. Laden Sie den eigentlichen YouTube-iframe erst, wenn der Nutzer auf den Wiedergabe-Button klickt, und lösen Sie dabei eine Einwilligungsaufforderung aus. Akzeptieren Sie stets den AVV von Google.
Ihre Datenschutzerklärung sollte enthalten: (1) eine Beschreibung der YouTube-Einbettungen und ihres Zwecks; (2) die von YouTube gesetzten Cookies und ihre Laufzeit; (3) die an Google in den USA übertragenen Daten und die SCC-Rechtsgrundlage; (4) einen Link zur Google-Datenschutzerklärung und den YouTube-Nutzungsbedingungen; (5) Ihren Ansprechpartner für Datenanfragen. Ihr Cookie-Banner sollte VISITOR_INFO1_LIVE, YSC, PREF und CONSENT unter der entsprechenden Kategorie mit genauen Laufzeiten auflisten. Bei Nutzung von youtube-nocookie.com dokumentieren Sie dies als datenschutzfördernde Maßnahme und erläutern Sie, dass dennoch eine IP-Übertragung an Google stattfindet.