Automatisierte Webseitenprüfung: BfDI entdeckt unzulässige YouTube-Einbettungen

Der Bundesdatenschutzbeauftragte (BfDI) hat erstmals eine automatisierte Prüfung von Webseiten des Bundes durchgeführt – mit überraschenden Ergebnissen. Die Untersuchung deckte viele Fälle auf, in denen YouTube-Videos eingebunden waren, ohne dass eine gültige Einwilligung vorlag. Damit verstießen diese Webseiten gegen Datenschutzvorschriften. In diesem Beitrag erklären wir, was genau geschah, warum solche Einbettungen problematisch sind und wie Webseitenbetreiber reagieren sollten.

Was hat die BfDI geprüft?

Im ersten Quartal 2025 nutzte die BfDI Prüfwerkzeuge, um Webseiten des Bundes systematisch zu analysieren. Insgesamt wurden über 500.000 Einzelseiten automatisiert untersucht. Ziel war es, das Bewusstsein zu stärken und zu überprüfen, wie viele Seiten datenschutzwidrige Videoeinbettungen nutzen.

Dabei wurden 40 Verstöße erkannt, bei denen YouTube-Videos direkt eingebunden waren, ohne dass vorher eine Einwilligung der Nutzerinnen und Nutzer eingeholt wurde. An diese Stellen wurden jeweils Beratungsschreiben versandt.

Mit dieser Prüfung zeigte die BfDI, dass sie digitale Aufsicht nicht nur per Stichprobe oder Beschwerden betreiben will, sondern proaktiv, objektiv und systematisch vorgehen will.

Warum sind direkte YouTube-Einbettungen oft ein Datenschutzproblem?

Eine YouTube-Einbettung bedeutet: Wenn jemand eine Seite mit eingebettetem Video aufruft, verbindet sich sein Browser automatisch mit den YouTube-Servern. Dabei werden Daten übermittelt – insbesondere die IP-Adresse des Besuchers. Diese Verbindung wird hergestellt, bevor die Person auf „Abspielen" klickt.

Weil diese Datenübertragung ohne vorherige Einwilligung erfolgt, verstößt sie gegen das geltende Telekommunikations- und Datenschutzrecht (etwa im TDDDG). Das heißt: Nutzerinnen und Nutzer müssen zuerst zustimmen, bevor solche externen Dienste eingebunden werden und Daten über sie erhoben werden.

Die BfDI hat außerdem klargestellt: Diese Position ist nicht neu – sie wurde in früheren Rundschreiben den Behörden bereits kommuniziert.

Beispielzahlen aus der Prüfung
  • Über 500.000 Einzelseiten analysiert
  • 40 festgestellte Verstöße bezüglich unzulässiger YouTube-Einbettung
  • 40 Beratungsschreiben verschickt an zuständige Stellen

Diese Zahlen zeigen: Selbst öffentliche Stellen, also Bundesbehörden, setzen Videoeinbettungen ein, ohne datenschutzkonforme Mechanismen zu nutzen.

Wie können Webseitenbetreiber datenschutzkonform vorgehen?

Die BfDI rät zu zwei praktikablen Alternativen, um Videos unter rechtlich sauberen Bedingungen einzubinden:

1. Selbsthosting (Goldstandard)

Statt Videos auf YouTube zu hosten, legt man sie auf einem eigenen Server ab. Dann hat man die volle Kontrolle über die Datenverarbeitung: Es findet keine Verbindung zu externen Servern statt, keine Daten müssen an YouTube übermittelt werden. Besucher der Webseite sehen und hören das Video direkt von der eigenen Seite.

2. Zwei-Klick-Lösung

Bei dieser Variante wird zunächst nur ein Vorschaubild gezeigt. Erst wenn die Nutzerin oder der Nutzer aktiv klickt, wird eine Verbindung zu YouTube hergestellt. Wichtig dabei: Man sollte zusätzlich eine Alternative anbieten, die ohne Drittanbieter funktioniert oder bei der keine Datenübertragung erfolgt.

Beide Methoden verhindern, dass Daten automatisch über YouTube-Verbindungen übertragen werden, bevor eine Einwilligung erfolgt.

Einfluss dieser digitalen Aufsicht

Die Nutzung automatisierter Prüfverfahren durch eine Datenschutzbehörde bringt mehrere Vorteile mit sich:

  • Objektivität: Statt Stichproben oder Meldungen wird ein umfassender Blick auf viele Seiten möglich.
  • Skalierbarkeit: Große Mengen an Webseiten lassen sich analysieren – früher wäre das sehr aufwendig gewesen.
  • Prävention: Behörden werden schon frühzeitig über Verstöße informiert, bevor Beschwerden eingehen oder Schadensfälle entstehen.
  • Verstärkung der Beratung: Die BfDI will nicht nur Sanktionieren, sondern aktiv beratend helfen, datenschutzfreundliche Lösungen umzusetzen.

Gegen Ende 2025 will die BfDI prüfen, wie viele der betroffenen Stellen auf die Beratung reagiert haben – und weitere Prüfungen in anderen Themenbereichen starten.

Warum dieses Vorgehen wichtig ist
  • Viele Webseitenbetreiber denken: „Das wird schon zulässig sein", oder sie sind sich unsicher, wie Datenschutz konkret angewendet werden muss. Solche automatisierten Prüfungen machen klar: Auch Behörden und öffentliche Stellen müssen Regeln einhalten.
  • Datenschutzkonformität ist kein einmaliger Akt. Technik, Gesetze und Empfehlungen ändern sich. Wer sich nicht anpassen will, riskiert Bußgelder, Kritik oder Imageverlust.
  • Mit diesem digitalen Ansatz erhöht sich der Druck, bestehende Webseiten zu prüfen und gegebenenfalls anzupassen.

Die erste automatisierte Webseitenprüfung der BfDI war ein Erfolg – sie deckte konkrete Datenschutzverstöße bei YouTube-Einbettungen auf und löste ein Bewusstsein für datenfreundliche Alternativen aus. Für Webseitenbetreiber heißt das: Man muss genauer hinschauen, welche Inhalte man wie einbindet.

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz 


×
Bleiben Sie informiert!

Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.

Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!

 
Verstärkter Schutz vor heimlichen Bildaufnahmen – ...
Urteil aus Mainz: Wenn Datenschutz zum Geschäftsmo...

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.