Viele Vereine, Unternehmen und öffentliche Stellen setzen für Informations- und Kommunikationsangebote verstärkt auf Videos.
Datenschutzrechtlich gilt es dabei jedoch einiges zu beachten.
Oftmals werden Videos auf großen Plattformen hochgeladen und in eine unternehmens- oder behördeneigene Webseite oder eine Vereinswebseite eingebunden. Diese direkte Einbindung von Videos von solchen Plattformen in eine Webseite ist oftmals bequem und schnell erledigt. Datenschutzrechtlich ist sie jedoch leider nicht problemlos möglich, denn bei der direkten Einbindung von Inhalten von kommerziellen Video-Plattformen werden in der Regel personenbezogene Daten der Webseitenbesucher_innen wie IP-Adresse oder Cookies an die Plattformbetreibenden und an Drittanbieter (z. B. Partnerunternehmen des kommerziellen Plattformanbieters) übermittelt. Bei der unmittelbaren Einbindung beginnt die Datenübermittlung an die Plattformbetreibenden/Drittanbieter häufig mit Aufruf einer Webseite, spätestens aber mit Klick auf das eingebundene Video, also ohne dass Betroffene die Videoplattform direkt besuchen.
Aufgrund der allgemeinen Grundsätze, die der Europäische Gerichtshofs in seiner Rechtsprechung zur Einbindung des „Gefällt mir“-Buttons von Facebook auf Webseiten (Rs. C-40/17 „Fashion ID“) aufstellt, sind Webseiten-Betreibende für das Erheben personenbezogener Daten und deren Weiterleitung durch Übermittlung an Drittanbieter in der Regel mit diesen gemeinsam verantwortlich im Sinne von Art. 26 der EU-Datenschutz-Grundverordnung (DS-GVO). Webseiten-Betreibende müssen daher sicherstellen, dass die Besucher_innen ihrer Webseite bereits vor der Erhebung über die Datenverarbeitung hinreichend informiert sind und dass die folgenden Datenverarbeitungen rechtmäßig sind.
Es ist aber nicht immer notwendig, Inhalte bzw. Medien wie Videos aus externen Quellen einzubinden bzw. nachzuladen – und das kann die datenschutzrechtlichen Problematiken wesentlich vereinfachen. Wie dies gelingen kann, zeigt das vorliegende Kurzpapier.
I. Datenschutz beim Hochladen oder Einbinden von Videos auf Webseiten
A. Umgang mit eigenen Videos
- Die wichtigste datenschutzfreundliche Alternative lautet: Videos selbst hosten. Anstatt ein Video aus einer externen Quelle einzubinden, kann dies auch direkt über die eigene Webpräsenz erfolgen, indem das Video von dem eigenen Webserver bereitgestellt wird. Natürlich müssen dafür genug Speicherplatz und Bandbreite zur Verfügung stehen[1] – andererseits ist damit sichergestellt, dass keine problematische Übermittlung personenbezogener Daten an Drittanbieter stattfindet.
Mit HTML5 wurde das <video>-Tag eingeführt und das Einbinden von Videos in Webseiten ohne zusätzliche Plugins ermöglicht. Videos können mit
<video src=“Beispiel.mp4″ controls></video>
in den HTML-Code von Webseiten eingebunden werden. Damit entfällt die aufwendige und regelmäßige Prüfung von Plugins und Drittanbietern auf Datenschutzkonformität. Sollten die Funktionen des Video-Tags nicht ausreichend sein, können diese über verschiedene Javascript-Bibliotheken erweitert werden. Diese sollten auch über den eigenen Webserver eingebunden werden. Die meisten Content-Management-Systeme (Software zur Verwaltung von Webseiten) bieten entsprechende Möglichkeiten, ohne dass der HTML-Code von Hand angepasst werden muss.
Sofern auf der eigenen Webpräsenz die entsprechenden Ressourcen nicht bereitgestellt werden können, bietet es sich an, einen Dienstleister einzubinden, der insbesondere nicht der Transferproblematik in Drittstaaten ohne angemessenes Datenschutzniveau unterliegt (Orientierungshilfe Schrems II). Mit dem Dienstleister ist regelmäßig eine Auftragsverarbeitung (Art. 28 DS-GVO) oder eine gemeinsame Verantwortlichkeit zu vereinbaren.
- Die Videoplattform PeerTube ist eine nichtkommerzielle, datenschutzkonforme Alternative zu den gängigen Plattformen. Auf PeerTube können Videos hochgeladen, angesehen und kommentiert werden. Ähnlich wie bei anderen Videoplattformen werden auch Kanäle unterstützt, die Nutzer_innen abonnieren können. Anders als bei kommerziellen Plattformen gibt es dabei keinen zentralen Anbietenden, sondern viele einzelne PeerTube-Server, sogenannte Instanzen. Um PeerTube aktiv nutzen zu können, ist es nötig, zunächst ein Konto auf einer PeerTube-Instanz anzulegen. Allerdings sollten Verantwortliche vor der Nutzung von Videoplattformen stets prüfen, ob sie die Interaktion mit Nutzer_innen über einen eigenen Kanal wirklich benötigen. Kommt es Verantwortlichen hauptsächlich darauf an, die Videos auf der eigenen Homepage zu veröffentlichen, sollte aufgrund des Prinzips der Datenminimierung auf die oben genannte Selbsthosting-Lösung (vgl. 1.) zurückgegriffen werden.
- Bei gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO mit dem Betreiber der Videoplattform ist in der Regel eine Einwilligung der Webseiten-Besuchenden erforderlich. Dies ist sorgfältig zu prüfen und ist regelmäßig der Fall, wenn Webseiten-Betreibende bei der eingebundenen Videoplattform einen eigenen Kanal betreiben und personenbezogene Daten der Besucher_innen beispielsweise in einer Statistik dort einsehbar sind oder für Werbezwecke genutzt werden (können). Denn die Datenverarbeitung zum Zwecke der Erstellung solcher Statistiken oder für Werbezwecke durch den Plattformbetreibenden ermöglichen es den Verantwortlichen, im Ergebnis selbst Kenntnis über bestimmte Merkmale der Besucher_innen zu erlangen, sodass gemeinsame Zwecke verfolgt werden.[2] Die hohen Voraussetzungen des Art. 26 DS-GVO müssen dann erfüllt werden. Mithilfe einer sogenannten Zwei-Klick-Lösung ist es dem Webseiten-Betreiber grundsätzlich möglich, als mit dem Videoplattform-Betreiber gemeinsam verantwortliche Stelle eine Einwilligung der Besucher_innen einzuholen. Dabei wird zunächst eine Vorschau der externen Inhalte angezeigt – ohne dabei die IP-Adresse, Browser-Informationen oder andere persönliche Informationen an Dritte zu übermitteln. Erst wenn Besucher_innen aktiv auf die Vorschau klicken, um zum BeBeispiel ein Video zu sehen, werden ihre Daten übermittelt.
Dabei ist sicherzustellen, dass alle Anforderungen an eine Einwilligung in die konkrete Datenverarbeitung nach Art. 4 Nummer 11 DS-GVO erfüllt sind (vgl. Seite 9 ff. der OH Telemedien 2021). Diese muss im Vorfeld ausdrücklich, informiert, freiwillig, aktiv und separat von anderen Erklärungen eingeholt werden. Im Zusammenhang damit stehen auch ausreichende Informationen in transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache, um dem Transparenzgebot aus Art. 12 und 13 DS-GVO gerecht zu werden. So ist zu bedenken, dass es nicht ausreichend ist, Betroffene in die Darstellung externer Medien aktiv einwilligen zu lassen; vielmehr müssen sie vorher über die damit einhergehenden Verarbeitungen ihrer personenbezogenen Daten informiert werden. Eine „Blackbox-Argumentation“, man könne keine Aussagen zu Verarbeitungen der Plattformbetreibenden treffen, hilft nicht weiter. Ein pauschaler Hinweis auf etwaige und nicht näher bestimmte Verarbeitungen der Plattformbetreibenden ist keineswegs datenschutzkonform. Bei Übermittlungen personenbezogener Daten in Drittländer sind zudem die Anforderungen aus Kapitel 5 der DS-GVO zu beachten (Orientierungshilfe Schrems II).
Im Ergebnis ist festzustellen, dass durch eine Zwei-Klick-Lösung eine zweckgebundene Einwilligung überhaupt erst ermöglicht wird, die Prüfung auf Datenschutzkonformität der Verarbeitung damit aber keinesfalls abgeschlossen ist. Insbesondere sind eine ausreichende Umsetzung der Transparenzanforderungen aus Kapitel 3 der DS-GVO und das Vorliegen einer gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO bzw. einer Auftragsverarbeitung nach Art. 28 DS-GVO zu prüfen. Die Einhaltung der Anforderungen bei Übermittlungen personenbezogener Daten in Drittländer aus Kapitel 5 DS-GVO ist ebenfalls zu gewährleisten.
Öffentliche Stellen sollten Folgendes beachten: Sie können in der Regel nicht rechtmäßig auf einwilligungsbasierten Videoplattformen präsent sein. Dies insbesondere dann nicht, wenn eine gemeinsame Verantwortlichkeit mit den Videoplattformbetreibenden besteht (s. obige Ausführungen zur Zwei-Klick-Lösung). Öffentliche Stellen müssen bei der Nutzung von einwilligungsbasierten Videoplattformen in jedem Fall zumindest Alternativen anbieten, die es Bürger_innen ermöglichen, die Videos auch auf datenschutzkonforme Weise ohne Einwilligungserfordernis anzusehen. Die Bereitstellung einer einwilligungsfreien, datenschutzkonformen Alternative legitimiert aber nicht die Nutzung von Videoplattformen, welche die DS-GVO nicht einhalten – sie ermöglicht lediglich eine Einwilligung im Einklang mit der DS-GVO. Weitere Informationen zur Nutzung von Social Media durch öffentliche Stellen erhalten Sie in unserer Orientierungshilfe „Wesentliche Anforderungen an die behördliche Nutzung ‚Sozialer Netzwerke“.
B. Einbindung fremder Videos
- Die wichtigste datenschutzfreundliche Alternative lautet auch hier: Videos selbst hosten.
- Bei der Einbindung fremder Videos auf ihrer Webseite von externen Seiten sollten Webseiten-Betreiber wegen des Grundsatzes der Datenminimierung prüfen, ob dies ohne Datenübermittlung an die Videoplattform möglich ist. Ist das Video zum Beispiel auf datenschutzkonformen Plattformen wie PeerTube verfügbar, so sollte die Einbettung von dort stattfinden.
- Binden Webseiten-Betreiber fremde Videos von kommerziellen Videoplattformen oder Webseiten Dritter ein, ohne dass eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO vorliegt, ist auf die Zwei-Klick-Lösung in folgender Variante zurückzugreifen: Es sollte zunächst eine Vorschau mit einem Hinweis auf die nun folgenden externen Inhalte angezeigt werden. Dieser Hinweis sollte den Besucher_innen verständlich machen, dass beim Abspielen des eingebetteten Videos beispielsweise der Plattformbetreiber die Information, wer welche Webseite gerade aufgerufen hat, erhält und eine Verknüpfung mit bereits vorhandenen Daten möglich ist.
Erst wenn Besucher_innen aktiv auf die Vorschau klicken, um zum Beispiel ein Video zu sehen, dürfen der Videoplattform-Betreiber bzw. Dritte die IP-Adresse, Browser-Informationen oder andere persönliche Informationen erhalten.
Darüber hinaus ist bei der Veröffentlichung fremder Videos auf der eigenen Webseite stets im Einzelfall zu prüfen, ob dies urheberrechtlich erlaubt ist.
Weitere Informationen zur Einbindung fremder Inhalte auf eigenen Webseiten erhalten Sie auch in den Tracking-FAQ des LfDI in Abschnitt A.2.
II. Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)
Zusätzlich sind immer auch die Vorgaben aus § 25 TTDSG zu prüfen. Weitere Informationen hierzu erhalten Sie in unserer FAQ zu Cookies und Tracking.
III. Datenschutz bei den Videos selbst
Sofern auf den Videos nicht nur Gebäude oder Naturaufnahmen, sondern auch Personen zu sehen und hören sind, ist auch eine datenschutzrechtliche Prüfung in Bezug auf diese Inhalte vorzunehmen.
Dazu gehört insbesondere die Auswahl der richtigen Rechtsgrundlage für die Datenverarbeitung (also für die Aufnahme, Speicherung und Veröffentlichung).
Bei Videos mit Beschäftigten sollten Verantwortliche dazu die Hinweise zu Fotos und Imagefilmen im Ratgeber Beschäftigtendatenschutz des LfDI beachten (ab S. 41 sowie in der Tabelle auf S. 60).
Vereine können sich an den FAQ zur Veröffentlichung von Fotos speziell für Vereine orientieren.
[1] Dies kann nötigenfalls durch die Wahl einer niedrigeren Auflösung beeinflusst werden.
[2] OVG Schleswig, Urt. v. 25.11.2021, Az. 4 LB 20/13, S. 55.