Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
YouTube nocookie ist Googles datenschutzfreundlicher Einbettungsmodus, der Videos von youtube-nocookie.com ausliefert, ohne beim ersten Seitenaufruf Tracking Cookies zu setzen. Cookies werden erst aktiviert, wenn der Besucher auf Wiedergabe klickt, weshalb dies die bevorzugte DSGVO konforme Alternative zur regulären YouTube Einbettung ist. Der iframe überträgt die IP Adresse des Besuchers dennoch beim Laden an Google, weshalb die meisten deutschen Aufsichtsbehörden eine vorherige Einwilligung empfehlen. Viele Publisher kombinieren youtube-nocookie mit einer Zwei Klick Lösung oder einem Click to Play Wrapper, um vollständige Konformität mit der ePrivacy Richtlinie und dem TTDSG zu erreichen.
YouTube nocookie ist der von Google LLC betriebene datenschutzfreundliche Einbettungsmodus auf der dedizierten Domain youtube-nocookie.com. Wenn ein Publisher die Quelle www.youtube.com im iframe gegen die Variante youtube-nocookie.com tauscht, lädt der Player exakt dieselben Videoinhalte, unterdrückt jedoch die langlebigen Werbe und Personalisierungs Cookies, die der reguläre Embed bereits beim ersten Rendering setzen würde. Der Dienst wird jedem Embed nutzenden Website kostenlos angeboten und ist im offiziellen YouTube Hilfecenter als empfohlene Option zur Reduzierung des Cookie Setzens dokumentiert. Er ist weit verbreitet bei Verlagshäusern, Behördenportalen, Bildungseinrichtungen und Unternehmensseiten, die strenge Erwartungen europäischer Aufsichtsbehörden erfüllen müssen.
Ein regulärer YouTube Embed über www.youtube.com setzt Werbecookies wie VISITOR_INFO1_LIVE, YSC und PREF bereits beim Aufbau des iframes. YouTube nocookie unterdrückt diese Cookies beim ersten Laden, sodass ein Besucher, der eine Seite aufruft und niemals auf Wiedergabe klickt, keinen Tracking Fußabdruck in der YouTube Domain hinterlässt. Vorschaubild, Wiedergabe Overlay und responsive Skalierung verhalten sich identisch, was die Migration für Redaktionen nahezu transparent macht. Der Domainwechsel ist die einzige notwendige Code Änderung und die meisten Content Management Systeme bieten ihn als einfachen Konfigurationsschalter an.
Das Datenschutzversprechen von YouTube nocookie gilt streng nur für den Zeitraum vor der Interaktion. Sobald der Besucher auf Wiedergabe oder ein anderes Steuerelement im Player klickt, setzt Google dieselben Cookies wie der reguläre Embed, insbesondere VISITOR_INFO1_LIVE, YSC, __Secure_YEC, LOGIN_INFO und PREF auf der Domain .youtube.com. Die IP Adresse des Besuchers wird in jedem Fall an Google übertragen, auch vor jedem Klick, weil der Browser die TLS Verbindung aufbauen muss, um das iframe HTML, das Player JavaScript und den Videostream von googlevideo.com zu laden. Das Google Fonts Urteil des Landgerichts München und ähnliche Entscheidungen erinnern Verantwortliche daran, dass bereits die IP Adresse ein personenbezogenes Datum ist, weshalb youtube-nocookie weiterhin als einwilligungspflichtiger Dienst zu behandeln ist.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Die deutsche Zwei Klick Lösung ist das am besten verteidigbare Muster für die Einbettung von YouTube nocookie. Die Seite zeigt zunächst ein statisches Vorschaubild und einen klaren Hinweis darauf, dass das Video von Google bereitgestellt wird. Das eigentliche iframe wird erst nach einer ausdrücklichen Zustimmung des Besuchers erzeugt. Moderne Consent Management Plattformen bieten dedizierte YouTube Blocker, die das iframe durch einen anpassbaren Platzhalter ersetzen, die Wahl in einem granularen Cookie Zweck speichern und die Interaktion im eingebetteten Player nachspielen, sodass Nutzer den Wiedergabe Button nicht zweimal drücken müssen. Die Kombination aus nocookie Domain und verzögerter iframe Erzeugung liefert das Beste aus beiden Welten, einen sauberen Standardzustand ohne Datenfluss und ein flüssiges Erlebnis nach Einwilligung.
Obwohl youtube-nocookie weniger eingriffsintensiv ist als der reguläre Embed, löst er weiterhin einen internationalen Transfer zu Google LLC in den USA aus. Verantwortliche sollten sich auf das EU US Data Privacy Framework stützen, ergänzt durch Standardvertragsklauseln für jede Weiterübermittlung, und eine Transfer Folgenabschätzung im Verzeichnis der Verarbeitungstätigkeiten dokumentieren. Eine vollständige DSFA ist angebracht, wenn Videos auf Gesundheits, Finanz, Religions oder Kinderseiten eingebettet werden, wenn das Volumen der eingebetteten Aufrufe hoch ist oder wenn der Dienst mit Google Analytics und Google Tag Manager kombiniert wird. Die DSFA sollte die nach Interaktion gesetzten Cookies, die Empfänger im Google Ökosystem, die Speicherdauern und technische Schutzmaßnahmen wie Referrer Policy, Sandboxing Attribute und Content Security Policy Direktiven beschreiben.
Die Positionen der europäischen Aufsichtsbehörden gehen auseinander. Die französische CNIL, die deutsche Datenschutzkonferenz und die spanische AEPD vertreten überwiegend die Auffassung, dass jeder Embed mit Google Bezug eine vorherige Einwilligung erfordert, weil die IP Adresse übertragen wird und die Interaktionswahrscheinlichkeit hoch ist. Der italienische Garante und mehrere österreichische Entscheidungen akzeptieren die nocookie Variante als risikoärmere Option, verlangen jedoch weiterhin eine klare Information. Die britische ICO verfolgt nach dem Brexit einen ähnlich pragmatischen Ansatz. Die sichere Standardregel für pan europäische Deployments lautet, die Einwilligung vor der iframe Erzeugung einzuholen, die Rechtsgrundlage in der Datenschutzerklärung zu dokumentieren und einen Fallback Link zur öffentlichen YouTube Seite für ablehnende Besucher anzubieten, damit redaktionelle Inhalte erreichbar bleiben, ohne die Konformität zu gefährden.
Websites using YouTube nocookie must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist empfehlenswert, wenn youtube-nocookie in großem Umfang, auf Seiten für Minderjährige oder neben weiteren Google Diensten genutzt wird. Die wesentlichen Risiken umfassen die IP Übermittlung an Google LLC beim Laden des iframes, die Cookie Aktivierung nach Interaktion und den Datenfluss in die USA unter dem EU US Data Privacy Framework. Mitigationsmaßnahmen sind eine Zwei Klick Lösung, die die iframe Erzeugung bis zur Einwilligung verzögert, der Einsatz einer Consent Management Plattform, die Dokumentation der Transferfolgenabschätzung sowie transparente Informationen über die Rolle von Google.
Sample consent text
Diese Seite enthält Videos, die über YouTube im datenschutzfreundlichen Modus (youtube-nocookie.com) bereitgestellt werden, einem Dienst von Google LLC. Wenn Sie auf Wiedergabe klicken, erhält Google Ihre IP Adresse und setzt Cookies auf Ihrem Endgerät, um das Video auszuliefern, die Performance zu messen und Empfehlungen zu personalisieren. Mit dem Klick auf Akzeptieren willigen Sie in diese Verarbeitung und die Übermittlung Ihrer Daten in die USA unter dem EU US Data Privacy Framework ein.
Third-party domains contacted
youtube-nocookie.comwww.youtube-nocookie.coms.ytimg.comgooglevideo.comi.ytimg.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| VISITOR_INFO1_LIVE | third_party | 6 months | Set on the .youtube.com domain only after the visitor interacts with the player. Estimates the visitor bandwidth on pages with integrated YouTube videos and contributes to ad measurement. Not present before the first click on the youtube-nocookie embed. |
| YSC | third_party | session | Set on the .youtube.com domain after interaction. Used by YouTube to keep statistics on viewed videos for the current session. Acts as a session identifier inside the embedded player and is required for playback continuity. Not present before user interaction. |
| __Secure_YEC | third_party | 1 year | Set on the .youtube.com domain after interaction. Used for experiment grouping and the rollout of new player features. Marked Secure and SameSite to limit transmission to HTTPS contexts. Fires only once the visitor has engaged with the player. |
| LOGIN_INFO | third_party | 2 years | Set on the .youtube.com domain when the visitor is signed in to a Google account and interacts with the player. Carries authenticated session tokens for personalised features such as resume playback and watch history. Persistent identifier used across the Google ecosystem. |
| PREF | third_party | 2 years | Set on the .youtube.com domain when the visitor interacts with the player. Stores user preferences such as preferred playback quality, captions language, and player size. Considered a non strictly necessary cookie under the ePrivacy Directive, so consent is required. |
| GPS | third_party | 30 minutes | Set on the .youtube.com domain after interaction on mobile devices. Registers a unique identifier on mobile to track geographical location based on GPS data. Not present before the first user engagement with the youtube-nocookie embed. |
YouTube nocookie verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.
Beim ersten Seitenaufruf setzt das iframe von youtube-nocookie.com keinerlei Tracking Cookies, was den eigentlichen Zweck des datenschutzfreundlichen Modus ausmacht. Sobald der Besucher auf Wiedergabe klickt oder mit dem Player interagiert, setzt Google dieselben Cookies wie die reguläre YouTube Einbettung auf der Domain .youtube.com, darunter VISITOR_INFO1_LIVE zur Besucheridentifikation, YSC für Session Messungen, __Secure_YEC für Experimente, LOGIN_INFO für angemeldete Nutzer und PREF für Präferenzen. Die Laufzeiten reichen von der Sitzungsdauer bis zu zwei Jahren, der Fußabdruck nach Interaktion ist daher erheblich.
In den meisten europäischen Jurisdiktionen lautet die sichere Antwort ja, auch wenn Google den Modus als datenschutzfreundlich bezeichnet. Das iframe überträgt die IP Adresse des Besuchers an Google in den USA, sobald es lädt, was CNIL, deutsche DSK und AEPD als Verarbeitung personenbezogener Daten einstufen, die eine Einwilligung oder eine andere gültige Rechtsgrundlage erfordert. Cookies werden bei Interaktion gesetzt, was unabhängig Artikel 5(3) der ePrivacy Richtlinie auslöst. Die defensive Standardlösung besteht darin, eine vorherige Opt in Einwilligung einzuholen, bevor das iframe erzeugt wird, typischerweise über eine Zwei Klick Lösung in Kombination mit einer Consent Management Plattform.
Die empfohlene Rechtsgrundlage gemäß DSGVO ist die Einwilligung nach Artikel 6(1)(a), abgestimmt mit Artikel 5(3) der ePrivacy Richtlinie für die nach Interaktion gesetzten Cookies. Manche Verantwortliche stützen sich auf das berechtigte Interesse nach Artikel 6(1)(f) nur für das nocookie iframe, mit der Begründung, dass in dieser Phase kein Identifier abgelegt wird. Diese Argumentation wird durch die IP Übermittlung an Google LLC und die hohe Klickwahrscheinlichkeit geschwächt, weshalb die meisten Rechtsberater den Embed von Anfang an als einwilligungsbasierte Verarbeitung behandeln. Die gewählte Grundlage muss im Verzeichnis der Verarbeitungstätigkeiten dokumentiert und in der Datenschutzerklärung offengelegt werden.
Ja. Der Host youtube-nocookie.com wird von Google LLC betrieben und der Videostream wird von googlevideo.com Servern in den USA und anderen Regionen über das globale Content Delivery Netzwerk von Google ausgeliefert. Der Transfer stützt sich auf den Angemessenheitsbeschluss EU US Data Privacy Framework der Europäischen Kommission von Juli 2023, ergänzt durch Standardvertragsklauseln für jede Weiterübermittlung. Verantwortliche sollten eine Transfer Folgenabschätzung erstellen, die die von Google angewendeten Garantien dokumentiert, darunter Transportverschlüsselung, Zugriffskontrollen und der Rechtsbehelfsmechanismus für EU Betroffene unter dem Framework.
Eine DSFA ist nicht für jede Website mit youtube-nocookie Einbettung automatisch erforderlich, jedoch in mehreren Fällen dringend empfohlen. Dazu gehören Einbettungen auf Seiten für Minderjährige, auf Gesundheits, Finanz oder Religionsinhalten, auf stark frequentierten Seiten oder wenn der Dienst mit anderen Google Produkten wie Analytics, Ads oder Tag Manager kombiniert wird. Die DSFA sollte die nach Interaktion aktivierten Cookies, den internationalen Transfer zu Google LLC, die Kategorien betroffener Personen, die Speicherdauern und Mitigationsmaßnahmen wie die Zwei Klick Lösung, Sandbox Attribute und eine strikte Content Security Policy beschreiben.
Ersetzen Sie die iframe Quelle www.youtube.com durch www.youtube-nocookie.com und blockieren Sie die iframe Erzeugung bis zur ausdrücklichen Einwilligung des Besuchers. Die Zwei Klick Lösung zeigt zunächst ein statisches Vorschaubild und einen Hinweis, der die Rolle von Google und die IP Übertragung erläutert. Der erste Klick lädt das tatsächliche iframe, der zweite Klick startet das Video. Moderne Consent Management Plattformen automatisieren dieses Muster über dedizierte YouTube Blocker, die mit dem Einwilligungsstatus integriert sind, sodass Redaktionen kein eigenes JavaScript schreiben müssen. Setzen Sie referrerpolicy, sandbox und loading Attribute auf das iframe, um die Integration zu härten, und dokumentieren Sie das gewählte Muster in der Datenschutzerklärung.
Mehrere Alternativen kommen je nach Anwendungsfall infrage. PeerTube ist eine selbst gehostete föderierte Videoplattform auf Basis von ActivityPub, die alle Daten auf einer vom Publisher kontrollierten Infrastruktur belässt. Vimeo bietet einen Do Not Track Modus und einen Enterprise Plan, der Drittanbieter Werbetracker deaktiviert. Native HTML5 Videos aus dem eigenen CDN bieten volle Kontrolle über Hosting, Cookies und Transfers, erfordern aber mehr Bandbreite und Transcoding. Für Audioinhalte können selbst gehostete Player oder Dienste wie Spreaker YouTube vollständig ersetzen. Die richtige Wahl hängt von Trafficvolumen, redaktionellem Workflow und benötigter Analyse Tiefe ab.
Ergänzen Sie einen eigenen Abschnitt in der Cookie Richtlinie, der Google LLC als Betreiber benennt, die nach Interaktion gesetzten Cookies mit Laufzeiten und Zwecken auflistet, die IP Übertragung beim Laden des iframes beschreibt und die gewählte Rechtsgrundlage erläutert. Erwähnen Sie den internationalen Transfer in die USA unter dem EU US Data Privacy Framework und verlinken Sie die Datenschutzerklärung von Google. Geben Sie an, wie Nutzer ihre Einwilligung über die Consent Management Plattform widerrufen können, und bieten Sie einen Fallback Link zur öffentlichen YouTube Seite für ablehnende Besucher. Aktualisieren Sie das Verzeichnis der Verarbeitungstätigkeiten und prüfen Sie die Richtlinie bei jeder Änderung des Google Cookie Inventars.