Datenschutzkonforme Einbettung von YouTube-Videos?
Eine der klassischen Datenschutzfallen ist die Einbettung von YouTube-Videos auf der Unternehmenswebsite.
Auch wenn in diesem Zusammenhang landläufig teilweise angenommen wird, die Datensammlung durch YouTube/Google (ja, YouTube gehört Google) berühre den Betreiber der einbettenden Website nicht, wird man dadurch faktisch zum verlängerten Arm und Beitragstäter einer umfassenden Datenübermittlung an einen US-Datensammler.
In dem Moment, in dem auf einer Website ein Video-Player geladen wird, findet – meist noch bevor man überhaupt auf Play geklickt hat – eine Übermittlung personenbezogener Daten an YouTube statt.
Technisch passiert in diesem Moment Folgendes: die eigene Website, die das jeweilige Video einbettet, enthält für den Browser jedes Besuchers die Anweisung bereit, sich vom Server, der unter www.youtube.com oder www.youtube-nocookie.com erreichbar ist, die Informationen zu laden, die der Browser wiederum benötigt, um dem Besucher letztendlich einen Player anzuzeigen. Ganz zufällig erhält der Browser des Besuchers gleichzeitig eine weitere Aufforderung, doch gleich noch ein paar Daten mitzuübermitteln.
Wer nun glaubt, wenn er nichts eintippt, gibt es ja auch nichts zu übermitteln, sollte vielleicht einmal einen Blick unter die Oberfläche des Browsers werfen (das kann mit den in jedem Browser verfügbaren „Entwicklertools“ nämlich jeder machen).
Tatsächlich übermittelt der eigene Browser beim Laden eines YouTube-Players nämlich insbesondere folgende Daten (die tatsächlich übermittelten Informationen des Website-Besuchers wurden durch Erklärungen in Großbuchstaben ersetzt):
{“videoId”:”ID DES BETRACHTETEN VIDEOS”,
“context”:{
“client”:{
“hl”:”EINGESTELLTE BROWSERSPRACHE”,
“gl”:”LAND”,
“remoteHost”:”IP-ADRESSE”,
“deviceMake”:”HERSTELLER DES VERWENDETEN ENDGERÄTS”,
“deviceModel”:”MODELL DES VERWENDETEN ENDGERÄTS”,
“visitorData”:”BESUCHER-ID”,
“userAgent”:”VOM BESUCHER VERWENDETER BROWSER SAMT VERSION UND VERWENDETEM BETRIEBSSYSTEM”,
“clientName”:”VERWENDETE PLAYER-VARIANTE”,
“clientVersion”:”VERSION DES VERWENDETEN PLAYERS”,
“osName”:”VERWENDETES BETRIEBSSYSTEM”,
“osVersion”:”VERSION DES VERWENDETEN BETRIEBSSYSTEMS”,
“originalUrl”:”AUFGERUFENE YOUTUBE-URL UND EINBETTENDE SEITE”,
“platform”:”TYPE DES ENDGERÄTS”,
“clientFormFactor”:”GRÖSSE DES VERWENDETEN ENDGERÄTS”,
“browserName”:”NAME DES BROWSERS UND VERSION”,
“screenWidthPoints”:BREITE DES ZUM ABSPIELZEITPUNKT ANGEZEIGTEN BILDES,
“screenHeightPoints”:HÖHE DES ZUM ABSPIELZEITPUNKT ANGEZEIGTEN BILDES,
“screenPixelDensity”:PIXELDICHTE DES VERWENDETEN BILDSCHIRMS,
“utcOffsetMinutes”:ZEITVERSCHIEBUNG GEGENÜBER UTC,
“userInterfaceTheme”:”GESTALTUNG DER BENUTZEROBERFLÄCHE”,
“connectionType”:”ART DER INTERNETVERBINDUNG”,
“timeZone”:”ZEITZONE”,
“playerType”:”ART DES PLAYERS”,
“tvAppInfo”:{
“livingRoomAppMode”:”TV PLAYER MODUS”},
“clientScreenNonce”:”ID DES ABSPIELVORGANGS”,
“adSignalsInfo”:{ BENUTZERPARAMETER FÜR WERBEEINSPIELUNG
“params”:[{“key”:”dt”,”value”:”ZIFFERNFOLGE”},{“key”:”flash”,”value”:”0″},{“key”:”frm”,”value”:”2″},{“key”:”u_tz”,”value”:”120″},{“key”:”u_his”,”value”:”2″},{“key”:”u_java”,”value”:”false”},{“key”:”u_h”,”value”:”800″},{“key”:”u_w”,”value”:”1280″},{“key”:”u_ah”,”value”:”800″},{“key”:”u_aw”,”value”:”1280″},{“key”:”u_cd”,”value”:”24″},{“key”:”u_nplug”,”value”:”3″},{“key”:”u_nmime”,”value”:”4″},{“key”:”bc”,”value”:”31″},{“key”:”bih”,”value”:”- ZIFFERNFOLGE “},{“key”:”biw”,”value”:”- ZIFFERNFOLGE “},{“key”:”brdim”,”value”:”0,0,0,0,1280,0,1280,800,676,721″},{“key”:”vis”,”value”:”1″},{“key”:”wgl”,”value”:”true”},{“key”:”ca_type”,”value”:”image”}]},
“thirdParty”:{“embedUrl”:”ADRESSE DER EINBETTENDEN WEBSITE”}},
“playbackContext”:{“contentPlaybackContext”:{“html5Preference”:”HTML5_PREF_WANTS”,
“lactMilliseconds”:”LATENZ DER VERBINDUNG ZUM SERVER”,
“referer”:”AN YOUTUBE VERWEISENDE STELLE”,
“autoCaptionsDefaultOn”:AUTOMATISCHE UNTERTITELEINSTELLUNG,
“playerWidthPixels”:BREITE DES PLAYERS IN PIXEL,
“playerHeightPixels”:HÖHE DES PLAYERS IN PIXEL}},
“cpn”:”EINDEUTIGE ID DES ABSPIELVORGANGS”,
“captionParams”:{UNTERTITELEINSTELLUNG}}
Grundsätzlich reicht schon der zwangsläufig technisch notwendig stattfindende Vorgang der Bekanntgabe der IP-Adresse durch den Kontakt mit YouTube-Servern, um ein eindeutig identifizierendes personenbezogenes Datum an einen US-Empfänger zu übermitteln. Darüber hinaus verschafft sich YouTube mithilfe des Betreibers einer einbettenden Website allerdings einen Vorrat an weiteren personenbezogenen Daten, der mehr an NSA-Methoden erinnert als an vermeintlich „harmlose“ IT-Dienstleister.
Schon ein Bruchteil der so übermittelten Daten ermöglicht YouTube/Google das sogenannten „Fingerprinting“, also die eindeutige Identifikation eines einzelnen Benutzers über einzelne Merkmale, die im Rahmen seiner Interaktion mit einem Server abgegriffen werden können.
Diese Methode erlaubt YouTube/Google die Benutzeridentifikation ohne Einsatz der in deren Universum mittlerweile mehr oder weniger obsoleten Cookies.
Diese Übermittlung personenbezogener Daten an einen US-Empfänger ist nun aus Sicht von YouTube/Google gar nicht so problematisch. YouTube betrachtet sich selbst als Auftragsverarbeiter des jeweils Einbettenden, der personenbezogene Daten somit nur über explizite Weisung des Einbettenden verarbeitet. Durch die Einbettung in die Fänge von YouTube gelangende Daten werden somit im expliziten Auftrag des Einbettenden verarbeitet.
Der schwarze Peter verbleibt somit hauptsächlich bei demjenigen, der YouTube-Videos in seine Website einbettet. Derjenige ist für im Zusammenhang mit der Bereitstellung der Website stattfindende Datenübermittlungsvorgänge verantwortlich. Anlässlich der Nutzung der Website tolerierte oder sogar aktiv bewirkte illegale Übermittlungsvorgänge führen zur direkten Haftung des Websitebetreibers.
