Strukturaflow Begriffe-Hub
Datenschutz einsteiger

YouTube-Embed

Die datenschutzkonforme Einbettung von YouTube-Videos auf Unternehmenswebsites erfordert besondere Maßnahmen, da bereits beim Seitenaufruf personenbezogene Daten wie IP-Adressen an Google-Server übertragen werden können und Cookies gesetzt werden.

Ausführliche Erklärung

Die Einbindung von YouTube-Videos auf der Unternehmenswebsite ist technisch einfach, aber datenschutzrechtlich heikel. Wenn ein Video per Standard-Iframe eingebettet wird, stellt der Browser bereits beim Laden der Seite eine Verbindung zu YouTube-Servern in den USA her – noch bevor der Besucher das Video abspielt. Dabei werden personenbezogene Daten wie die IP-Adresse übertragen und Cookies gesetzt, die YouTube beziehungsweise Google zur Analyse des Nutzerverhaltens und für personalisierte Werbung verwenden können. Diese Datenverarbeitung ist ohne Einwilligung der Websitebesucher nicht mit der DSGVO vereinbar – seit dem Schrems-II-Urteil des EuGH (2020) gelten zudem verschärfte Anforderungen an Drittlandtransfers in die USA.

YouTube bietet einen sogenannten erweiterten Datenschutzmodus an, bei dem Videos über die Domain youtube-nocookie.com geladen werden. Diese Variante reduziert die Datenweitergabe und setzt erst beim tatsächlichen Abspielen des Videos Cookies. Allerdings ist auch diese Lösung allein nicht vollständig DSGVO-konform, da trotzdem noch Verbindungen zu Google-Servern aufgebaut werden und ein CONSENT-Cookie gesetzt wird. Websitebetreiber müssen daher zusätzlich ein Consent-Management-Tool einsetzen, das die Videos erst nach aktiver Einwilligung des Nutzers lädt. Alternativ können Zwei-Klick-Lösungen verwendet werden, bei denen zunächst nur ein Vorschaubild angezeigt wird und erst nach Klick die Verbindung zu YouTube aufgebaut wird.

Für KMU ist das Thema relevant, da Verstöße gegen die Datenschutzvorschriften zu Abmahnungen und Bußgeldern führen können. Sowohl die österreichische Datenschutzbehörde als auch deutsche Aufsichtsbehörden haben Websites mit unkonformer YouTube-Einbindung in der Vergangenheit beanstandet. Unternehmen müssen zudem in ihrer Datenschutzerklärung transparent über die Einbindung von YouTube und die damit verbundene Datenverarbeitung informieren. Die Herausforderung: YouTube und Google geben nicht im Detail bekannt, welche Daten zu welchen Zwecken verarbeitet werden, was die vollständige Erfüllung der Informationspflichten nach Artikel 13 DSGVO erschwert.

Eine datenschutzfreundliche Alternative ist das selbständige Hosting von Videos auf dem eigenen Server oder die Nutzung europäischer Video-Hosting-Dienste wie Vimeo (mit aktiviertem Datenschutzmodus) oder selbstgehostetem PeerTube. Diese Lösungen erfordern zwar mehr technischen Aufwand, vermeiden aber die problematische Datenübertragung an Drittanbieter und bieten Besuchern ein besseres Nutzererlebnis ohne Cookie-Banner vor jedem Video.

Praxisbeispiel

Eine Steuerberatungskanzlei mit 12 Mitarbeitenden möchte auf ihrer Website Erklärvideos zur Steuererklärung einbinden. Statt die YouTube-Videos direkt einzubetten, aktiviert sie zunächst den erweiterten Datenschutzmodus und integriert die Videos in ihr bestehendes Cookie-Consent-Tool. Die Videos werden nun erst geladen, nachdem Besucher im Cookie-Banner der Kategorie "Externe Medien" zugestimmt haben. In der Datenschutzerklärung ergänzt die Kanzlei einen Abschnitt zu YouTube mit Hinweisen auf die Datenübertragung an Google Ireland Limited und die USA.

Code-Beispiel

<!-- Standard-Einbettung (NICHT DSGVO-konform) -->
<iframe src="https://www.youtube.com/embed/VIDEO_ID"></iframe>

<!-- Erweiteter Datenschutzmodus (youtube-nocookie) -->
<iframe src="https://www.youtube-nocookie.com/embed/VIDEO_ID"
        width="560" height="315" 
        frameborder="0" 
        allowfullscreen>
</iframe>

<!-- Hinweis: Auch youtube-nocookie benötigt 
     zusätzlich ein Consent-Management-Tool! -->

Quellen

Vertiefende Artikel im KI-Hub

Zuletzt aktualisiert: 8. Mai 2026