Obwohl seit Jahren bekannt, bleiben datenschutzwidrige YouTube-Einbettungen ein Problem – wie eine aktuelle automatisierte Prüfung der BfDI zeigt.

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat erstmals eine automatisierte Prüfung von Bundeswebseiten durchgeführt – und dabei zahlreiche Verstöße bei der Einbettung von YouTube-Videos aufgedeckt.

Viele Behörden binden Videos noch immer so ein, dass beim Aufruf der Seite automatisch Daten wie IP-Adressen an YouTube übermittelt werden – und das ohne die vorherige Einwilligung der Nutzerinnen und Nutzer. Das ist jedoch ein klarer Verstoß gegen das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Dabei weist die BfDI seit Jahren auf diese Problematik hin, zuletzt 2023 in einem Rundschreiben.

Für die Untersuchung wurden im ersten Quartal 2025 rund 200 Bundeswebseiten mit verschiedenen Tools unter die Lupe genommen. Das Ergebnis: Mehr als 500.000 Einzelseiten wurden gescannt, dabei identifizierte die BfDI 40 Fälle unzulässiger YouTube-Einbindungen. An die betroffenen Stellen gingen entsprechende Beratungsschreiben.
Die BfDI versteht sich als konstruktive Beraterin: Oft fehlt es schlicht an Bewusstsein für die Risiken. Mit der automatisierten Prüfung konnte nun erstmals ein objektives Bild geschaffen werden – weit über Stichproben hinaus. Ziel ist es, die Verantwortlichen für datenschutzkonforme Alternativen zu sensibilisieren.

Doch wie kann Video-Content rechtskonform eingebunden werden? Grundsätzlich empfiehlt die BfDI zwei Wege: Erstens, das Selbsthosting der Videos auf eigenen Servern – der „Goldstandard“, da hier die volle Datenkontrolle besteht. Zweitens, sogenannte Zwei-Klick-Lösungen: Nutzerinnen und Nutzer müssen aktiv zustimmen, bevor eine Verbindung zu YouTube aufgebaut wird. Wichtig dabei: Es sollte immer eine Alternative ohne Drittanbieter verfügbar sein.

Die BfDI will diese digitale Prüfmethodik weiter ausbauen. Ende 2025 wird evaluiert, wie die betroffenen Stellen auf die Hinweise reagieren. Weitere Prüfungen mit anderen Schwerpunkten und eine Ausweitung auf zusätzliche Webseiten sind bereits geplant.

Eines wird mit diesem Vorgehen deutlich: Datenschutz-Compliance ist kein einmaliger Haken auf der To-do-Liste, sondern ein laufender Prozess. Mit modernen Prüfwerkzeugen unterstützt die BfDI Behörden dabei, diesen Prozess kontinuierlich zu verbessern.