YouTube und DSGVO: Sind eingebettete Videos abmahnbar?

Wer ein YouTube-Video direkt auf seiner Website einbettet, lädt damit Google-Tracking-Skripte mit — noch bevor der Besucher das Video überhaupt anschaut oder einem Cookie-Banner zustimmt. Genau das gilt nach der DSGVO als problematisch. Die gute Nachricht: Das Problem ist mit einer Stunde Arbeit sauber zu lösen, ohne ganz auf YouTube zu verzichten.

  • Erkennt eingebettete YouTube-Videos automatisch
  • Sofort-Report
  • Server in Deutschland 🇩🇪
  • Keine Speicherung deiner Daten

Bettet deine Seite YouTube ungefragt ein? Jetzt prüfen

URL eingeben — in 60 Sekunden siehst du, ob deine Website iframes mit youtube.com lädt, bevor der Besucher zugestimmt hat. Kostenlos, ohne Registrierung.

Warum YouTube-Embeds zum DSGVO-Problem werden

Der Standard-Weg, ein YouTube-Video auf der eigenen Seite zu zeigen, ist ein einziger <iframe>: Code kopieren, einfügen, fertig. Genau diese Bequemlichkeit ist das Problem. Sobald der iframe geladen wird, baut der Browser eines jeden Besuchers automatisch eine Verbindung zu youtube.com auf — und damit zu Google. Übertragen werden dabei mindestens die IP-Adresse, der User-Agent (Browser und Betriebssystem) sowie der Referrer, also die URL der Seite, auf der das Video eingebettet ist.

Das passiert vor jedem Klick. Es passiert auch dann, wenn das Video unten auf der Seite liegt und nie gesehen wird. Es passiert sogar, wenn der Besucher das Video nie startet. Anders gesagt: Allein die Tatsache, dass das Video auf der Seite vorhanden ist, reicht für die Datenübermittlung an Google aus. Die IP-Adresse ist nach ständiger Rechtsprechung ein personenbezogenes Datum im Sinne der DSGVO — und Google sitzt mit zentralen Servern in den USA, einem Drittland im Sinne der Verordnung.

Damit liegt der gleiche Mechanismus vor, der schon bei extern eingebundenen Google Fonts zur Abmahnwelle 2022 geführt hat: personenbezogene Daten gehen ungefragt an einen Dritten in einem Drittland. Im Fall von YouTube kommt sogar noch eine Komponente dazu, die bei Fonts fehlt: Google nutzt YouTube aktiv zur Werbe- und Profilbildung, und die mitgesendeten Cookies (etwa VISITOR_INFO1_LIVE, YSC oder bei eingeloggten Nutzern SAPISID) sind nicht funktional, sondern dienen genau diesem Tracking.

Welche Daten übertragen werden — bevor der Besucher klickt

Wenn jemand sagt „aber das Video wird ja erst nach dem Klick auf Play geladen", liegt ein Missverständnis vor. Was nach dem Klick passiert, ist nur der Video-Stream selbst. Die Verbindungen zu Google für Tracking und Werbe-Identifikation finden schon beim Rendern der Seite statt. Konkret beobachtet man bei einem Standard-Embed im Netzwerk-Tab eines Browsers:

  • Verbindung zu www.youtube.com — lädt den Player-Code und initialisiert das Embed-iframe, inklusive Cookies.
  • Verbindung zu i.ytimg.com — lädt das Thumbnail und weitere Assets.
  • Verbindung zu googlevideo.com — vorbereitende Anfragen für das Video-Streaming.
  • Verbindung zu fonts.gstatic.com — der Player nutzt Google-Schriften.
  • Verbindung zu doubleclick.net oder googleadservices.com — Werbe- und Tracking-Pixel, abhängig vom Video und der Einbettungsart.

Alle diese Anfragen tragen die IP-Adresse, einen Browser-Fingerprint und — falls der Besucher in einem Google-Konto eingeloggt ist — die Authentifizierungs-Cookies dieses Kontos. Für Google ist damit eindeutig identifizierbar, wer wann welche Seite mit eingebettetem Video besucht hat. Das ist nicht „Beifang" eines technischen Embeds, sondern integraler Teil der Architektur.

Die Rechtslage: kein BGH-Urteil, aber klare Linie der Behörden

Anders als bei Google Fonts gibt es zu YouTube-Embeds (Stand heute) kein bekanntes Schadensersatz-Urteil eines deutschen Gerichts, das Standard-Embeds einzeln abgewatscht hat. Das heißt aber nicht, dass keine rechtliche Bewertung existiert. Die Landesdatenschutzbehörden haben sich mehrfach klar positioniert:

  • Die Datenschutzkonferenz (DSK) der deutschen Aufsichtsbehörden hat in ihren Orientierungshilfen wiederholt festgehalten, dass die Einbindung Drittinhalte wie YouTube-Videos eine Einwilligung der Besucher voraussetzt, sobald dabei personenbezogene Daten an die Drittquelle übertragen werden.
  • Die EuGH-Rechtsprechung zur „gemeinsamen Verantwortung" beim Einbinden Drittinhalte (Urteil „Fashion ID", Rs. C-40/17, 2019) ordnet die Betreiberin oder den Betreiber einer Website als mitverantwortlich ein, sobald der Inhalt Drittanbieter-Daten bezieht. Die Einbindung ist also nicht „Sache von Google", sondern auch Sache des Seitenbetreibers.
  • Mehrere Datenschutzbehörden — etwa der Hamburgische Datenschutzbeauftragte — haben in Stellungnahmen empfohlen, YouTube-Inhalte ausschließlich mit Klick-zum-Laden-Wrapper auszuliefern.

Das Risiko ist also nicht die Abmahnung im Stil von 2022 (die kam in der YouTube-Variante bisher kaum vor) — sondern Beanstandungen durch Aufsichtsbehörden im Rahmen von Beschwerden oder Prüfungen, dazu zivilrechtliche Schadensersatzforderungen einzelner Besucher, die auf das Münchner Fonts-Urteil als Maßstab verweisen. Anders gesagt: kein flächendeckender Druck, aber ein strukturelles, dauerhaftes Risiko, das jederzeit konkret werden kann.

Lädt deine Seite YouTube ungefragt? So erkennst du es

Bevor du irgendetwas änderst, prüfst du, ob dein Auftritt überhaupt betroffen ist. Es gibt zwei einfache Wege:

1. Quelltext durchsuchen

Öffne im Browser den Quelltext einer Seite, auf der du ein Video vermutest (Strg+U oder Rechtsklick → „Seitenquelltext anzeigen"), und suche mit Strg+F nach youtube.com sowie youtu.be. Findest du einen iframe mit src="https://www.youtube.com/embed/...", lädt deine Seite das Embed direkt. Achte auch auf data-src-Attribute — manche Plugins schreiben die URL zunächst dorthin und tauschen sie per JavaScript erst beim Scrollen in src um.

2. Netzwerk-Analyse in den Entwicklertools

Drücke F12, wechsle auf den Reiter Netzwerk (Network), lade die Seite neu und filtere nach youtube oder googlevideo. Jede Anfrage, die ohne dass du etwas geklickt hast erscheint, ist ein Hinweis auf eine direkte Einbettung. Das ist genau der Befund, mit dem ein Datenschutzbeauftragter eine Beanstandung dokumentieren würde — und mit dem du nach der Umstellung kontrollierst, dass wirklich keine Aufrufe mehr stattfinden.

Wer es nicht manuell machen will: Der DSGVO Risk Checker prüft beides automatisch und sagt dir in 60 Sekunden, ob YouTube-Embeds auf deinen Seiten vorhanden sind und ob ein Consent-Tool als Schutz davor vorhanden ist.

Statt selber zu suchen — scannen lassen

Gib deine URL ein. Der Checker findet YouTube-iframes (auch mit data-src), erkennt das Vorhandensein eines Cookie-Banners und ordnet das Ergebnis rechtlich ein.

Lösungen im Überblick: nocookie, Klick-zum-Laden, Plugins

Es gibt drei etablierte Wege, ein YouTube-Video DSGVO-konform einzubetten. Sie unterscheiden sich im Aufwand und im Grad der Datensparsamkeit:

1. youtube-nocookie.com — der einfache Halbschritt

Google selbst stellt unter www.youtube-nocookie.com einen „erweiterten Datenschutzmodus" bereit. In der Embed-URL wird einfach youtube.com durch youtube-nocookie.com ersetzt. Damit reduziert sich das Tracking spürbar — die meisten Werbe-Cookies werden erst nach dem Klick auf Play gesetzt. Die IP-Adresse wird aber weiterhin schon beim Seitenaufruf übertragen, und auch ein paar Verbindungen zu Google-Servern bleiben. Allein ist diese Lösung also kein vollständiger DSGVO-Schutz, sondern eine Verbesserung.

2. Klick-zum-Laden-Wrapper — der saubere Weg

Die einzige Variante, die das Tracking vollständig verhindert, bis der Besucher aktiv zustimmt, ist ein „Klick-zum-Laden"-Wrapper: Statt des iframes zeigt die Seite zunächst nur ein Vorschaubild und einen Play-Button. Erst nach einem Klick wird das eigentliche YouTube-iframe per JavaScript in das DOM eingefügt und geladen. Wird das Video nicht angeklickt, baut der Browser nie eine Verbindung zu Google auf. Diese Lösung wird von Datenschutzbehörden ausdrücklich empfohlen. Sie ist mit ein paar Zeilen HTML, CSS und JavaScript selbst gebaut — oder über fertige Bibliotheken wie Lite YouTube Embed.

3. WordPress: WP YouTube Lyte und Co.

Auf WordPress-Seiten sind die einfachsten Wege Plugins wie WP YouTube Lyte oder Lazy Load for Videos. Beide ersetzen die Standard-Embeds automatisch durch Vorschaubilder und laden das echte iframe erst nach dem Klick — also genau das Klick-zum-Laden-Prinzip aus Punkt 2, nur ohne eigene Code-Änderungen. Konfiguration: meist nur Plugin aktivieren und einmal in den Einstellungen den richtigen Modus wählen.

Die ausführliche Anleitung mit Code-Beispielen für alle drei Methoden, inklusive der Frage, wie sich der Klick-zum-Laden-Wrapper für TYPO3, Joomla oder eine eigene Website mit reinem HTML/JS realisieren lässt, findest du auf YouTube DSGVO-konform einbinden.

Was der DSGVO Risk Checker bei YouTube prüft

Damit du weißt, was du bekommst — ehrlich und ohne Übertreibung: Der Checker durchsucht den HTML-Quelltext deiner Seite (sowohl src als auch data-src auf jedem <iframe>) nach youtube.com und youtu.be. Findet er eine direkte Einbettung, gleicht er das Ergebnis mit der Anwesenheit eines Cookie-Banners ab. Liegt kein Banner vor, wird der Punkt „YouTube-Einbettung ohne Consent" als Verstoß markiert und mit den konkreten Lösungswegen (nocookie, Klick-zum-Laden, WP-Plugins) versehen. Werden keine Embeds gefunden, gilt der Prüfpunkt als bestanden.

YouTube-Embeds sind dabei einer von über 60 technischen Prüfpunkten. Der Checker erkennt parallel auch andere ungefragten Datenflüsse — etwa eingebettete Google Fonts, Tracking-Skripte oder Karten. Du bekommst einen priorisierten Überblick, wo dein Auftritt nachgeschärft werden muss und in welcher Reihenfolge sich die Punkte am sinnvollsten abarbeiten lassen.

Wichtig: Der Checker findet das Problem und ordnet es ein — er hostet keine Videos für dich, ändert deinen Code nicht automatisch und ersetzt deine Embeds nicht selbst. Die Umstellung übernimmst du (oder dein Entwickler) anhand der verlinkten Anleitung. Genau dafür ist der Befund da: damit du weißt, wo du ansetzen musst.

Prüfe in 60 Sekunden, ob deine Seite betroffen ist

Kostenloser Scan, kein Konto nötig, sofortiges Ergebnis.

  • Findet alle eingebetteten YouTube-Videos automatisch
  • Erkennt auch lazy-loadende Varianten über data-src
  • Gleicht das Ergebnis mit dem Vorhandensein eines Consent-Tools ab
  • Rechtliche Einordnung mit konkretem Lösungsweg
  • 60+ weitere DSGVO-Prüfpunkte inklusive
  • Server in Deutschland — keine Speicherung deiner Inhalte

Häufige Fragen

Sind eingebettete YouTube-Videos DSGVO-konform?

Die direkte Einbettung über youtube.com lädt beim Seitenaufruf automatisch Google-Tracking-Skripte und setzt Cookies — noch bevor der Besucher das Video startet oder einem Cookie-Banner zugestimmt hat. Damit gilt sie als datenschutzrechtlich problematisch. Eine konforme Einbindung ist möglich, erfordert aber den Wechsel zu youtube-nocookie.com plus einen Klick-zum-Laden-Wrapper oder ein vergleichbares Consent-Konstrukt.

Reicht der erweiterte Datenschutzmodus von YouTube (youtube-nocookie.com) aus?

Er reduziert das Tracking spürbar, aber er beseitigt es nicht vollständig. Auch bei youtube-nocookie.com wird beim Laden der Seite die IP-Adresse an Google übertragen und es werden weiterhin einige Verbindungen zu Google-Servern aufgebaut. Für eine sauber konforme Lösung empfehlen Datenschutzbehörden den zusätzlichen Klick-zum-Laden-Wrapper, der den iframe erst nach aktiver Zustimmung des Besuchers lädt.

Woran erkenne ich, ob meine Website YouTube-Videos problematisch einbettet?

Suche im HTML-Quelltext nach iframe-Tags mit src-Werten, die youtube.com/embed oder youtu.be enthalten. Alternativ kannst du die Entwicklertools des Browsers (F12) öffnen, auf den Netzwerk-Reiter wechseln und nach „youtube" oder „googlevideo" filtern — jede Anfrage dort, die beim Laden der Seite (vor jedem Klick) erscheint, ist ein Hinweis auf eine direkte Einbettung. Der DSGVO Risk Checker erkennt beide Varianten automatisch.

Ist YouTube auf einer Website grundsätzlich illegal?

Nein. Die Einbindung selbst ist nicht verboten. Verboten beziehungsweise problematisch ist die Übermittlung personenbezogener Daten der Besucher an Google ohne deren Einwilligung. Wenn das Video erst nach einer aktiven Zustimmung geladen wird — etwa durch einen Klick auf ein Vorschaubild — und der Besucher vorher transparent informiert wurde, ist die Einbindung zulässig.

Welche Daten überträgt eine direkte YouTube-Einbettung an Google?

Bereits beim Laden des iframes baut der Browser Verbindungen zu youtube.com und googlevideo.com auf. Übertragen werden mindestens IP-Adresse, User-Agent, Referrer (also die Seite, auf der das Video eingebettet ist) und Cookies, falls der Besucher in einem Google-Konto angemeldet ist. Bei eingeloggten Nutzern lässt sich der Seitenaufruf einem konkreten Konto zuordnen — ein klassisches Profiling-Risiko.

Was prüft der DSGVO Risk Checker bei YouTube-Embeds genau?

Der Checker durchsucht den HTML-Quelltext deiner Seite nach iframe-Elementen mit src oder data-src auf youtube.com oder youtu.be und gleicht das Ergebnis mit dem Vorhandensein eines Consent-Tools ab. Wird ein Embed ohne Cookie-Banner gefunden, markiert er den Punkt als Verstoß, ordnet ihn rechtlich ein und nennt die konkreten Lösungswege: youtube-nocookie.com plus Klick-zum-Laden-Wrapper oder ein WordPress-Plugin wie WP YouTube Lyte beziehungsweise Lite YouTube Embed.

Weiterführende Anleitungen

YouTube DSGVO-konform einbinden — Schritt für Schritt → Verwandt: Google Fonts und DSGVO — abmahnbar? → Verwandt: Google Tag Manager und DSGVO → Verwandt: Google Maps und DSGVO → Verwandt: Google Analytics und DSGVO → Pillar: vollständiger DSGVO Check →