von Phil Salewski

Datenschutzrechtlich problematisch: Einbettung von Youtube-Videos im Webshop

News vom 15.02.2016, 13:55 Uhr | Keine Kommentare

Anleitung zur Erstellung eines Youtube-Impressums Hinweis: Interessante weiterführende Informationen zum Thema hat die IT-Recht Kanzlei in ihrem Beitrag "Anleitung zur Erstellung eines Youtube-Impressums" veröffentlicht.

Vermehrt bemühen sich Online-Händler um eine mediale Anreicherung ihrer Präsenzen. Hoch im Kurs stehen hier Youtube-Videos, die im Wege der Framing-Technologie durch einfaches Kopieren und Einfügen des Video-Links in die eigene Website eingebettet werden können. Während urheberrechtliche Vorbehalte gegen dieses Verfahren durch die Rechtsprechung weitgehend ausgeräumt wurden, sind es nun aber datenschutzrechtliche Aspekte, die die Rechtssicherheit des Framings in Zweifel ziehen. Youtube selbst gestaltet Art und Umfang von Datenerhebungen nämlich so intransparent, dass Händlern eine ordnungsgemäße Datenschutzerklärung meist verwehrt bleibt. Weitere Informationen, eine Abhilfemöglichkeit und ein hilfreiches Muster präsentiert die IT-Recht Kanzlei im folgenden Beitrag.

I. Die Framing-Technologie und das Urheberrecht

Die Plattform Youtube verfolgt die Zielsetzung, durch simple, wenig komplexe Möglichkeiten des Teilens eine möglichst großflächige Verbreitung von eingestellten Videos sicherzustellen.

1.) Die Einbettung via Framing

Bewehrt hat sich hierbei vor allem das Verfahren des sogenannten Framings, bei welchem das bloße Einfügen eines von Youtube bereitgestellten HTML-Links in den Code einer Website einen Wiedergaberahmen (Englisch: frame) auf der Drittpräsenz erzeugt und so ein Abspielen der eigentlich auf Youtube-Servern gespeicherten Videos ermöglicht.

Hierfür stellt die Plattform unter jedem Video eine Schaltfläche mit der Bezeichnung „Teilen“ bereit, die nach dem Anklicken der sich nun öffnenden Option „Einbetten“ den spezifischen Framing-Link anzeigt und sodann dessen Kopieren erlaubt.

1

Wird der kopierte Link im Folgenden an gewünschter Stelle auf der Zielwebsite hinterlegt, sorgt eine besondere Technik (genannt „iFrame) für die Erstellung des Wiedergabefensters.

2.) Urheberrechtliche Einwände ausgeräumt

Lange Zeit war umstritten, ob Nutzer, die sich dieser Einbettungsoption für die Darstellung von Videos auf ihren eigenen Präsenzen bedienen, die Rechte der Urheber verletzen.

Diskutiert wurden vor allem unzulässige Nutzungshandlungen in Form der öffentlichen Zugänglichmachung gem. §19a UrhG und der öffentlichen Wiedergabe nach §15 Abs. 2 Satz 1 UrhG.

Diese Wiedergaberechte stehen grundsätzlich ausschließlich dem Urheber zu und sollen nicht nur den Schutz seiner besonderen Beziehung zum Werk, sondern auch die Möglichkeit einer angemessenen Verwertung desselben sicherstellen.

Allerdings erklärte der Europäische Gerichtshof das Framing in einer Grundsatzentscheidung (Beschluss vom 21.10.2014, Az. C-348/13) auf Basis der durch Art. 3 Abs. 1 der Richtlinie 2001/29/EG dem Urheber zugewiesenen Wiedergaberechte unter bestimmten Voraussetzungen für urheberrechtlich unbedenklich. Die einschlägigen Argumentationsstränge übertrug sodann jüngst der BGH mit Urteil vom 09.07.2015
(Az. I ZR 46/12) unter Heranziehung der maßgeblichen Umsetzungsbestimmungen des §19a und §15 Abs. 2 Satz 1 UrhG auf das deutsche Recht.

Demnach scheide ein Verstoß gegen das Recht der öffentlichen Zugänglichmachung nach §19a UrhG schon deshalb aus, weil im Wege des Framings bloß eine Verknüpfung zu einem Werk hergestellt werde, das auf einer anderen Internetseite (hier: Youtube) bereits öffentlich zugänglich gemacht wurde. Eine eigene Verletzungshandlung des „Framers“ scheitere insofern daran, dass allein der Inhaber der bereitstellenden Website darüber entscheide, ob und wie lange das jeweilige Video der Öffentlichkeit zugänglich bleibt.

Intensiver wurde jedoch eine Verletzung des öffentlichen Wiedergaberechts nach §15 Abs. 2 Satz 1 UrhG diskutiert. Im Einklang mit der bindenden Rechtsprechung des EuGH lehnte der BGH eine solche zumindest dann ab, wenn

  • sich die Wiedergabe im Wege des Framings nicht nach einem spezifischen technischen Verfahren richtet, das sich von demjenigen der ursprünglichen Wiedergabe unterscheidet, und

  • der geframte Inhalt nicht für ein neues Publikum bereitgestellt wird, an das der Urheber insofern nicht gedacht hatte

Die Nutzung eines alternativen Verfahrens liegt nach Ansicht des BGH bei der bloßen Einbettung von Fremdinhalten via HTML-Code nie vor, weil die dadurch geschaffene Wiedergabemöglichkeit den gleichen technischen Prinzipien folgt, die auch auf der Ausgangswebsite eine Wiedergabe ermöglichen.

Hingegen müsse das Ansprechen eines neuen Publikums zumindest immer dann ausscheiden, wenn der Inhalt im Zeitpunkt des Framings mit Zustimmung der Rechteinhaber im Internet bereits frei zugänglich war. In diesem Fall stellten nämlich auch alle Nutzer der Drittseite potenzielle Adressaten der ursprünglichen Wiedergabe dar und seien insofern vom Rechteinhaber konkludent in den Kreis der Wahrnehmungsberechtigten einbezogen worden. Dass den Nutzern eines eingebetteten Inhalts die tatsächlichen rechtlichen Verhältnisse und die ursprüngliche Umgebung des Werkes verborgen blieben, sei dahingegen mit Blick auf die vom Willen des Rechteinhabers getragene breitflächige Erstveröffentlichung unbeachtlich.

Zusammenfassend stellt die Nutzung von HTML-Codes für die Einbettung von Youtube-Videos auf eigenen Präsenzen nach aktueller Rechtsprechung immer dann keine Urheberrechtsverletzung dar, wenn das Video mit Zustimmung der Rechteinhaber auf Youtube originär zugänglich gemacht wurde und dort keinen Nutzungsbeschränkungen (etwa Altersgrenzen o.ä.) unterliegt.

II. Datenerhebungen und der Datenschutz

Längst ist bekannt, dass vor allem die Global Player der sozialen Medien in beträchtlichen Umfängen Nutzerdaten erheben und auswerten, um so nicht nur Rückschlüsse auf das individuelle digitale Verhalten zuzulassen, sondern vor allem zielgerichtetes Marketing zu ermöglichen und so jeden Nutzer mit individuellen Werbeinhalten zu targetieren.

Dabei beschränken sich die Datenverarbeitungsvorgänge nicht auf den Bereich der einschlägigen Plattformen selbst, sondern können im Wege der der Einbettung von Inhalten oder der Inkorporation von Media-Plugins durch Betreiber von Drittseiten fremdgestartet und auf weitaus größere Dimensionen extendiert werden.

1.) Intransparente Datensammlung durch Youtube

Nach dieser Methode verfährt auch Youtube bei der Bereitstellung von Framing-Links. Auswertungen des Technik- und Internetmagazins „c’t“ zeigen, dass das bloße Einbetten eines Youtube-Videos in der Fremdpräsenz einen Vorgang initiiert, bei dem in Folge eines Aufrufens der Website zahlreiche „Cookies“ im System des jeweiligen Besuchers hinterlegt werden. Gleichzeitig stellt das Aufrufen einer Website mit eingebettetem Youtube-Inhalt eine Verbindung zum google-eigenen Werbenetzwerk „DoubleClick“ her.

Über die Zweckbestimmung der Cookies sowie die Einrichtung der „DoubleClick“-Verbindung bei jeglicher Einleitung von Nutzungsvorgängen kann nur spekuliert werden. Nicht auszuschließen – da in der Social Media-Branche üblich – ist allerdings, dass hierdurch komplexe Nutzungsvorgänge und digitale Fußabdrücke analysiert und zur Auswertung aus Marketingzwecken an Youtube als Tochtergesellschaft des Internetriesen „Google“ übermittelt werden.

Bemerkenswert ist hierbei, dass die Datenerhebungen sich völlig unabhängig davon vollziehen, ob das eingebettete Video überhaupt angeklickt wird. Allein das Aufrufen einer Website mit Framing-Inhalten löst den Prozess aus.

Nicht nur für Nutzer, in deren Systemen manche Youtube-Cookies für einen Zeitraum von über 5 Jahren gespeichert werden, können diese Datensammlungsmechanismen beträchtliche Folgen haben.

Weil der Umfang der Datenerhebung, der Zweck der Datenverwendung sowie das konkrete Verfahren unter Berücksichtigung des Zusammenspiels aus Cookies und „DoubleClick“-Verbindung weitgehend im Dunkel liegen und von Youtube scheinbar bewusst verborgen gehalten werden, ergeben sich erhebliche Probleme bei der für Händler obligatorischen Unterrichtung mittels ordnungsgemäßer Datenschutzerklärung.

2.) Unvermeidbar unvollständige Datenschutzerklärungen

So sind Online-Händler nach §13 TMG als tatbestandliche Diensteanbieter im Sinne von §2 Nr. 1 TMG stets verpflichtet, den Nutzer spätestens zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten zu informieren.

Diese Pflicht, welcher durch die Hinterlegung einer ordnungsgemäßen und vollständigen Datenschutzerklärung an geeigneter Stelle auf der Website genügt werden kann, erschöpft sich allerdings nicht in einer Unterrichtung über eigene, selbstgesteuerte Datenerhebungen etwa in Form der Speicherung von Kundeninformationen. Vielmehr ist auch vollumfänglich auf den Einsatz von Datenerhebungsmechanismen durch Drittanbieter, zum Beispiel durch Social Media Plugins, und insbesondere auf deren Verwendung von Cookies hinzuweisen.

Spätestens hier erweist sich die von Youtube praktizierte Intransparenz als verheerend. Bettet der Händler ein Youtube-Video auf seiner Website ein, müsste er grundsätzlich nicht nur über sämtliche Youtube-Cookies und die DoubleClick-Verbindung informieren, sondern auch deren Zweckbestimmung zutreffend erfassen. Zum einen aber ergeben sich schon Schwierigkeiten bei der Bestimmung des Umfangs der tatsächlichen Datenerhebung und –verarbeitung, welche nur durch den Einsatz von speziellen Tracking-Tools zuverlässige Ergebnisse liefert. Zum anderen bleiben ihm zumindest der genaue Nutzen und die Zielrichtung der von Youtube eingespeisten Dateien verborgen und lassen allenfalls Spekulationen zu.

Erschwerend hinzu kommt der Umstand, dass der Händler dann, wenn Youtube seine Cookies – was zwar zu unterstellen, aber derzeit nicht nachzuweisen ist – auch für ein sogenanntes Web-Tracking verwendet und die Daten mithin für Marktforschungs- und Marketingzwecke auswertet, nach Maßgabe des §15 Abs. 3 TMG darüber aufklären und gleichsam ein Widerrufsrecht des Nutzers in seine Datenschutzerklärung aufnehmen müsste.

Solange aber weder der genaue Umfang der noch die Zielsetzung bei Datenerhebungen im Wege des Framings verlässlich festgestellt werden können, gestaltet sich die Datenschutzerklärung des videoeinbettenden Händlers als zwangsweise unvollständig und geht mit einem beträchtlichen Abmahnrisiko einher.

Weil die Datenverarbeitungsprozesse insofern erst durch ein Händler-Verhalten, nämlich die Einbettung des Videocodes auf seiner Website, in Gang gesetzt werden, kann er sich nicht der Verantwortung entziehen und eine solche der Plattform Youtube zuschieben. Vielmehr haftet er ab dem Zeitpunkt der Einbettung eigenständig für unsachgemäße oder unvollständige Nutzerinformationen gerade in Bezug auf Datenerhebungen durch Dritte.

III. Teilweise Abhilfe durch „erweiterten Datenschutzmodus“

Beachtenswert und dennoch kaum bekannt ist allerdings, dass sich die geschaffene missliche Lage durch eine von Youtube selbst bereitgestellte Funktion zumindest in Teilen auflösen lässt.

1.) Auswirkungen und Implementierung der Funktion

Eine umfangreiche Datenerhebung durch die Implementierung von Cookies ab dem Zeitpunkt des Website-Aufrufs erfolgt nämlich nur bei einer Einbettung im vom Youtube vorgegebenen Standardmodus. Darüber hinaus können aber auch Framing-Codes erzeugt werden, die im sogenannten „erweiterten Datenschutzmodus“ – zumindest Angaben von Youtube zufolge – die Cookie-Aktvität und die dadurch initiierte Datenerhebung erst an eine Nutzung der Wiedergabefunktion des Videos selbst knüpfen. Die Datensammlung durch eine bloße Nutzung der Website mit geframten Inhalten wäre demnach unterbunden und könnte die durch Youtube geschaffene Rechtsunsicherheit vor dem Hintergrund einer ordnungsgemäßen Datenschutzerklärung zumindest reduzieren.

Selbstverständlich hilft dies nicht darüber hinweg, dass der Händler sich ob der Unterrichtung gemäß §13 TMG in Bezug auf die Videowiedergabe mit den gleichen, oben geschilderten Ungewissheiten konfrontiert sähe. Auch nimmt der Nutzer selbst im erweiterten Datenschutzmodus bei jedwedem Seitenbesuch automatisch Kontakt mit dem „DoubleClick“-Netzwerk auf. Immerhin aber bliebe der Datenerhebungs- und Verarbeitungsprozess in Bezug auf die Cookies bei regulären Website-Aufrufen bestimm- und kontrollierbar.

Um den Einbettungslink auf Basis des erweiterten Datenschutzmodus zu erzeugen, ist zunächst unterhalb des gewünschten Videos auf Youtube zunächst ein Klick auf „Teilen“ und sodann auf „Einbetten“ erforderlich.

2

Anstatt nun aber den angezeigten Link zu kopieren, ist unterhalb des Codes das Feld mit der Bezeichnung „Mehr anzeigen“ auszuwählen.

3

4

Im Folgenden wird ein Fenster mit weiteren Optionen ausgerollt, von denen am unteren Rand die mit dem Titel „Erweiterten Datenschutzmodus aktivieren“ durch Häkchensetzung auszuwählen ist.

Sodann wandelt sich die im ursprünglichen HTML-Code angezeigte Website www.youtube.com in die URL www.youtube-nocookie.com.

Die Übernahme dieses Links stellt sicher, dass Cookies erst bei Wiedergabe des eingebetteten Videos durch den Nutzer gesetzt werden.

2.) Beispiel für Datenschutzerklärung

Auch wenn die Nutzung der erweiterten Datenschutzfunktion keine vollständige Abhilfe dafür schafft, dass der Händler in seiner Datenschutzerklärung bei der Einbettung von Youtube-Videos vollständig auf den Umfang und den Zweck der Datenerhebung durch Youtube hinweisen müsste, so begrenzt sie doch zumindest das Maß der Informationspflichten nach §13 TMG.

Zwar kann der Händler dennoch nur vage Informationen über die von Youtube betriebene Datensammlung bereitstellen. Immerhin dies empfiehlt sich jedoch, da ein vollständiger Verzicht noch Gefahr läuft, mit Abmahnungen bedacht zu werden.

Gerne stellt die IT-Recht Kanzlei ihren Mandanten, die sich der Framing-Methode im Datenschutzmodus bedienen, eine Muster-Erklärung für die Datenschutzerklärung zur Verfügung.

Sie haben Interesse an diesem Muster? Gerne, buchen Sie einfach eines der Schutzpakete der IT-Recht Kanzlei (bereits ab mtl. 9,90 € erhältlich).

Tipp: In unserem innovativen Mandantenportal, für welches Sie nach der Buchung Ihres Pakets einen individuellen Zugang erhalten, stehen Ihnen aktuell über 50 Muster & Handlungsanleitungen rund um den eCommerce zur Verfügung.

IV. Fazit

Die Einbettung von Videos auf Drittseiten im Wege des „Framing“ ermächtigt Youtube, dort im großen Stil Nutzerdaten zu erheben und auszuwerten. Bei Verwendung der Standard-HTML-Codes werden im jeweiligen Nutzersystem bereits bei Aufruf der Website, die das eingebettete Video beinhaltet, diverse Cookies gesetzt sowie eine Verbindung zum Google-Werbenetzwerk aufgenommen.

Weil Youtube die Datenverarbeitungsprozesse hinsichtlich Umfang und Zielsetzung hierbei allerdings weitgehend verschleiert, ergeben sich für Online-Händler nicht unerhebliche Probleme bei der rechtskonformen Umsetzung ihrer Informationspflichten nach §13ff TMG.

Immerhin die von Youtube selbst bereitgestellte Funktion der Einbettung im sogenannten „erweiterten Datenschutzmodus“ reduziert den Aufklärungsumfang und kann im Zusammenhang mit der oben angeführten Muster-Erklärung für mehr Rechtssicherheit sorgen.

Dennoch bleibt es bei der Feststellung, dass sich Diensteanbieter bei der Einbettung von Youtube-Videos via Framing derzeit noch in einer datenschutzrechtlichen Grauzone bewegen.

Angaben des Technik- und Internetmagazins „c’t“ zufolge existiert bereits ein spezielles Plug-In (genannt „Typo3“), welches zunächst ein Standbild des eingebetteten Videos produziert und der Wiedergabe einen Hinweis auf mögliche Datenverarbeitungsvorgänge sowie ein gesondertes Freischaltungserfordernis voranstellt. Dieses Plug-In ist zurzeit allerdings noch nicht frei erhältlich und birgt gleichsam wiederum urheberrechtlichen Zündstoff. Für unbedenklich erklärte die Rechtsprechung nämlich nur das Framing, nicht aber die Übernahme von Video-Standbildern mit nachgeschalteter Wiedergabefunktion.

Über neue Entwicklungen auf diesem Gebiet hält Sie die IT-Recht Kanzlei selbstverständlich auf dem Laufenden. Bei weiteren Fragen zur Verwendung von Einbettungs-Codes oder Media-Plugins stehen wir Ihnen gerne persönlich zur Verfügung.

Autor:
Phil Salewski
(freier jur. Mitarbeiter der IT-Recht Kanzlei)

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

Kontakt:

IT-Recht Kanzlei

Alter Messeplatz 2
80339 München

Tel.: +49 (0)89 / 130 1433 - 0
Fax: +49 (0)89 / 130 1433 - 60

E-Mail: info@it-recht-kanzlei.de

© 2005-2016 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller