Sichere Video-Einbindung für Unternehmen

Vereine, öffentliche Institutionen und Unternehmen setzen vermehrt auf Videos für ihre Informations- und Kommunikationsangebote. Dadurch werden Webseiten für Besucher interessanter und ansprechender. Doch es gibt einiges zu beachten, wenn die Einbindung von Videos DSGVO-konform erfolgen soll.

Das direkte Einbinden von Videos aus kommerziellen Videoplattformen wie YouTube oder Vimeo ist zwar durch einfaches Kopieren des Codes schnell und einfach möglich, zieht jedoch aus Sicht der Datenschutzgrundverordnung (DSGVO) für die verantwortlichen Webseiten-Betreiber einige Pflichten nach sich und erhöht das Haftungsrisiko.

Warum kann das direkte Einbinden von Videos aus Sicht der DSGVO ein Problem darstellen?

Wenn Videos direkt eingebunden werden, findet bereits beim Laden des Players eine Datenübermittlung statt, was oft gleichzeitig mit dem Aufruf der Seite geschieht. Bei Interaktion mit dem Player erfolgen weitere Datenübermittlungen, einschließlich personenbezogener Daten der Webseitenbesucher wie IP-Adressen, die an die Plattformbetreiber und gegebenenfalls Drittanbieter übermittelt werden.

Der Betreiber der Website ist rechtlich für diese Datenübermittlungen verantwortlich und benötigt daher - wie bei jeder anderen Form der Datenverarbeitung - eine Rechtsgrundlage dafür sowie eine Information über die Einbindung der Videos in den Datenschutzhinweisen. Bei kommerziellen Videoplattform-Betreibern aus nicht-EU-Ländern ist außerdem zu beachten, dass nicht nur eine Rechtsgrundlage für die Übermittlung der Daten an sich, sondern auch für die Übermittlung der Daten in Drittländer, also alle Länder, die nicht zum Europäischen Wirtschaftsraum (EWR) gehören, erforderlich ist.

Die Einwilligung für Videos

Zur rechtsgültigen Einwilligung zur Datenübermittlung in Drittländer haben sich zwei Wege etabliert: die Einholung einer transparenten Einwilligung über den Cookie-Consent-Banner sowie die Einholung der Einwilligung direkt beim Aufruf des Videos mit einem Vorschautext.

Eine Zustimmung für die Übermittlung von Daten in Drittstaaten mittels eines Cookie-Banners ist jedoch oft weder transparent noch legal. Dadurch wird bereits beim Aufbau der Webseite der eingebettete Player geladen und somit die Datenübermittlung in Drittstaaten für den Nutzer unsichtbar und unbeeinflussbar gestartet. Unabhängig davon führen beide Lösungen oft zu einer hohen Absprungrate, was den Zweck der Einbindung eines Videos nicht fördert.

Die DSGVO behindert nicht, sondern führt zu neuen Lösungswegen, die keine Einwilligung zur Drittlandübermittlung erfordern, rechtskonform sind und die Privatsphäre der Websitebesucher schützen. Eine solche Einbettung im Sinne der DSGVO ist einfach möglich. Es gibt zwei Optionen:

• Die Verwendung einer datenschutzkonformen Lösung, die den Player sofort lädt und den Inhalt abspielt. Hierzu ist lediglich eine Auftragsdatenvereinbarung mit einem europäischen Video-SaaS-Anbieter nötig, welche die Datensicherheit gewährleistet.
• Die Installation eines Scripts für das Content-Management-System der eigenen Website, auch wenn dies der umständlichere Weg ist. Es zeigt dem Nutzer zunächst, was mit den Nutzerdaten passiert, wenn das Video geladen wird. Dieses Script sollte vor jedes Video geschaltet werden. Dabei sollte darauf geachtet werden, dass im Hintergrund weder der Video-Player noch eine Form von Analytics geladen werden, es sei denn, der Nutzer hat eingewilligt.

Welche Vorteile bietet der Service eines europäischen Video-SaaS-Anbieters im Vergleich zu einer kommerziellen Nicht-EU-Video-Plattform?

Die Nutzung von YouTube, Vimeo usw. ist als Marketing-Tool durchaus sinnvoll und legitim. Mit der Nutzung einer professionellen EU-Videoplattform zur Verwaltung und Ausspielung von Videos auf der eigenen Website lassen sich jedoch diverse Probleme umgehen:

• DSGVO: die aufwendige Einholung einer transparenten, datenschutzkonformen Einwilligung
• Monetarisierung: unkontrollierte Schaltung von Fremdwerbung durch YouTube und dessen Mutterunternehmen Google
• Autonomieverlust: Nutzungsrechte-Bedingungen räumen YouTube Kontrolle über Inhalte & Ausspielung ein
• Markenintegrität: Post-Videoempfehlungen von YouTube können einen negativen Einfluss auf die Markenidentität haben
• Nutzerabfluss: Verlinkungen zu YouTube-Videos lenken Nutzer von der eigenen Website ab.

Wie sorgt 3Q für datenschutzkonformes Videomanagement?

Die wesentliche Voraussetzung besteht in der rein europäischen Infrastruktur. 3Q operiert mit einem "Privacy-First"-Ansatz und verzichtet vollständig auf Drittländer-Dienstleister im gesamten Ökosystem. Europäische Rechenzentren bilden die operative Basis und werden durch das eigene Content Delivery Network (CDN) ohne Einbeziehung von Non-EU Subdienstleistern betrieben.

Kunden von 3Q profitieren von einer modernen Software-as-a-Service-Lösung, bei der Software und Infrastruktur nahtlos integriert sind.