InFocus · Begriff

YouTube-Video einbinden

Aktualisiert Juli 2026 ca. 8Minuten Norm-Anker: Art. 6 DSGVO, § 25 TDDDG

AppCore IntelligenceUnit Redaktion, AppCore

Die AppCore IntelligenceUnit beobachtet die Entwicklung der einschlägigen Regulierung laufend und bereitet sie redaktionell auf.

  • Content-Compliance
  • Markenkommunikation
Diese Lösung prüft der AppCore Audit für eingebettete Videos direkt.

Ein eingebettetes YouTube-Video lädt beim Seitenaufruf Verbindungen zu Google, auch wenn niemand auf Play klickt. Der erweiterte Datenschutzmodus mindert das Problem, löst es aber nicht vollständig.

In Kürze Rechtsgrundlage: Art. 6 DSGVO, § 25 TDDDGStandard-Einbettung lädt Google-Verbindungen schon beim SeitenaufrufErweiterter Datenschutzmodus (youtube-nocookie.com) reduziert, beseitigt aber nicht allesKlick-to-load mit Vorschaubild ist die datensparsamste LösungAufsichtsbehörden sehen auch den erweiterten Modus kritisch ohne Einwilligung

Was beim Einbetten eines YouTube-Videos passiert

Wird ein YouTube-Video klassisch per iFrame eingebettet, lädt der Browser des Besuchers bereits beim Aufruf der Seite Ressourcen von YouTube- beziehungsweise Google-Servern, um Vorschaubild und Player-Rahmen darzustellen. Das geschieht unabhängig davon, ob das Video jemals gestartet wird, und überträgt dabei technische Daten wie die IP-Adresse an Google.

Zusätzlich können, je nach Konfiguration und vorhandenem Google-Login des Besuchers, weitergehende Informationen zum Nutzungsverhalten erfasst werden. Für ein Unternehmen bedeutet das: Ein eingebettetes Video ist datenschutzrechtlich kein neutrales Medienelement, sondern ein aktiver Drittanbieter-Dienst, ähnlich wie ein Analyse- oder Social-Media-Plugin.

Google bietet mit dem sogenannten erweiterten Datenschutzmodus, technisch über die Domain youtube-nocookie.com, eine Variante an, die laut Google-Angaben Cookies erst nach Interaktion mit dem Video setzt. Diese Variante reduziert das Risiko, verhindert aber nicht die grundsätzliche Verbindung zu Google-Servern beim Laden der Vorschau.

Die Rechtsgrundlage: Art. 6 DSGVO und § 25 TDDDG

Rechtlich gilt für eingebettete YouTube-Videos dieselbe Logik wie für andere nicht notwendige Drittdienste: § 25 TDDDG verlangt eine vorherige Einwilligung für das Speichern und Auslesen von Informationen auf dem Endgerät, soweit dies nicht technisch zwingend erforderlich ist. Art. 6 DSGVO verlangt zusätzlich eine Rechtsgrundlage für die anschließende Verarbeitung der übertragenen Daten.

Deutsche Datenschutzaufsichtsbehörden haben wiederholt darauf hingewiesen, dass auch der erweiterte Datenschutzmodus eine vorherige Einwilligung nicht ersetzt, weil weiterhin beim Laden der Seite eine Verbindung zu Google-Servern aufgebaut wird. Der Modus mindert das Ausmaß der Datenverarbeitung, macht die Einwilligungspflicht aber nicht überflüssig.

Klick-to-load: die datensparsamste Lösung

Die verbreitetste, wirklich datensparsame Lösung ist eine Klick-to-load-Einbindung: Statt des aktiven Players erscheint zunächst nur ein statisches Vorschaubild, das ohne Verbindung zu Google-Servern von der eigenen Seite ausgeliefert wird. Erst ein Klick des Besuchers lädt den eigentlichen YouTube-Player und löst damit die Verbindung zu Google aus.

Cookie-Banner und Klick-to-load lassen sich kombinieren

In der Praxis wird Klick-to-load häufig mit dem allgemeinen Cookie-Einwilligungssystem verknüpft: Der Klick auf das Vorschaubild gilt zugleich als Einwilligung für diesen einen Dienst, oder das Video wird erst nach einer allgemeinen Einwilligung zu Marketing- beziehungsweise Video-Diensten überhaupt anklickbar.

Wie hoch ist dein Risiko bei eingebetteten Videos?

Schalte ein, was auf deine Website zutrifft. Der Wert ist ein Anhaltspunkt, keine Rechtsprüfung.

Trifft mich das?

Schalte mindestens ein Kriterium ein, um eine Einschätzung zu sehen.

Woran sich eine saubere Video-Einbindung misst

Was eine datenschutzkonforme Einbindung von YouTube-Videos ausmacht, in vier Prinzipien.

Vier Anforderungen, zum Durchtippen

Kein aktiver Player ohne Zutun.

Ein verzögert ladender Player vermeidet die Verbindung zu Google beim bloßen Seitenaufruf und verschiebt sie auf eine aktive Handlung.

Hilft Statisches Vorschaubild, Player lädt erst nach Klick.

Stolperfalle YouTube-iFrame lädt direkt beim Seitenaufruf.

Laden erst nach Zustimmung.

Wie jeder andere nicht notwendige Drittdienst darf auch ein eingebettetes Video erst nach erteilter Einwilligung laden.

Hilft Video lädt erst nach Zustimmung zu Marketing- oder Video-Cookies.

Stolperfalle Video unabhängig von der Cookie-Entscheidung eingebunden.

Erweiterter Modus als Zusatz, nicht als Lösung.

Der erweiterte Datenschutzmodus mindert das Risiko, ersetzt aber laut Aufsichtsbehörden nicht die grundsätzliche Einwilligungspflicht.

Hilft Erweiterter Datenschutzmodus zusätzlich zur Einwilligungspflicht genutzt.

Stolperfalle Erweiterter Modus als vollständiger Ersatz für die Einwilligung verstanden.

Alle eingebetteten Videos gleich behandelt.

Eingebettete Videos finden sich oft verteilt über viele Unterseiten. Eine einheitliche Prüfung verhindert vereinzelte, übersehene Altlasten.

Hilft Auch Videos auf Unterseiten und in Blog-Beiträgen geprüft.

Stolperfalle Nur die Startseite geprüft, Videos in älteren Blog-Beiträgen übersehen.

Der häufigste Irrtum: „Wir nutzen doch den Datenschutzmodus“

Ein verbreiteter Irrtum ist, die Aktivierung des erweiterten Datenschutzmodus mache die Einwilligungspflicht überflüssig. Aufsichtsbehörden haben wiederholt klargestellt, dass auch dieser Modus weiterhin eine Verbindung zu Google-Servern beim Laden der Seite herstellt und damit grundsätzlich einwilligungspflichtig bleibt. Der Modus ist eine sinnvolle Ergänzung, kein Ersatz.

Ein zweiter Irrtum betrifft ältere Inhalte: Videos, die vor Jahren in Blog-Beiträge oder Unterseiten eingebettet wurden, werden bei einer Umstellung der Haupt-Cookie-Lösung oft vergessen, weil sie nicht im zentralen Theme, sondern verstreut in einzelnen Inhalten stecken.

Wie steht es um deine eingebetteten Videos?

Wähle die Situation, die deiner aktuellen Website am nächsten kommt.

Trifft eine der folgenden Situationen auf dich zu?

Wähle eine Situation, um die Einordnung zu sehen.

Zeitleiste

Von der Standard-Einbettung zur bewussten Video-Lösung

Wie sich der Umgang mit eingebetteten Videos technisch und rechtlich entwickelt hat.

  1. 2010er

    iFrame-Einbettung wird Standard

    Das direkte Einbetten von YouTube-Videos per iFrame verbreitet sich als einfachste technische Lösung auf Websites.

  2. 2018

    Der erweiterte Datenschutzmodus erscheint

    Google führt die Domain youtube-nocookie.com als datensparsamere Einbettungsoption ein.

  3. 2021

    Das TTDSG verankert die Einwilligungspflicht

    Mit § 25 TTDSG, heute TDDDG, wird die vorherige Einwilligung für nicht notwendige Cookies und ähnliche Techniken auch für eingebettete Medien verbindlich.

  4. laufend

    Klick-to-load setzt sich als Standard durch

    Datensparsame Vorschaubild-Lösungen werden zunehmend zum erwarteten Standard für eingebettete Videos.

Die Rechtslage: Art. 6 DSGVO und § 25 TDDDG

Rechtlich verlangt § 25 TDDDG die vorherige Einwilligung für das Speichern und Auslesen von Endgeräte-Informationen, soweit keine technische Notwendigkeit besteht, was für ein eingebettetes YouTube-Video regelmäßig zutrifft. Art. 6 DSGVO verlangt zusätzlich eine Rechtsgrundlage für die anschließende Verarbeitung der übertragenen Daten. Beide Anforderungen gelten unabhängig davon, ob die klassische oder die erweiterte Einbettungsvariante genutzt wird.

Für die Praxis kommt es auf eine technische Unterscheidung an: Eine Klick-to-load-Lösung mit statischem Vorschaubild vermeidet die Verbindung zu Google beim bloßen Seitenaufruf vollständig, während jede aktiv ladende Einbettung, mit oder ohne erweiterten Datenschutzmodus, eine vorherige Einwilligung braucht.

So prüft der AppCore Audit eingebettete Videos

Der AppCore Audit prüft mit der Lösung PrivacyScanner, ob eingebettete Videos als aktiv ladender Player oder als datensparsame Vorschaubild-Lösung umgesetzt sind, und macht sichtbar, wenn ein Video unabhängig von der Einwilligung lädt.

Bußgeld und Abmahnung: die Folgen

Ein eingebettetes Video, das ohne vorherige Einwilligung Verbindungen zu Google aufbaut, kann von der zuständigen Aufsichtsbehörde als Verstoß gegen § 25 TDDDG mit einem Bußgeld geahndet werden. Zusätzlich ist der Verstoß über § 3a UWG wettbewerbsrechtlich abmahnfähig, weil § 25 TDDDG als Marktverhaltensregel gilt.

Da eingebettete Videos oft über viele Unterseiten verstreut sind, wiegt ein systematischer Fehler in der Standard-Einbettung besonders schwer: Betrifft er das genutzte Theme oder Plugin, potenziert sich das Risiko über alle betroffenen Seiten hinweg.

Die eigene Video-Einbindung prüfen

Die Prüfung ist überschaubar. Drei Fragen helfen bei der Einordnung. Erstens: Laden eingebettete Videos als aktiver Player direkt beim Seitenaufruf, oder erst nach einem Klick auf ein Vorschaubild? Zweitens: Ist das Laden, falls doch aktiv, an die Cookie-Einwilligung gekoppelt? Drittens: Wurden auch ältere Inhalte wie Blog-Beiträge auf vergessene Video-Einbettungen durchsucht?

Wer diese Fragen ehrlich beantwortet, findet die häufigsten Lücken selbst. Aktiv ladende Standard-Einbettungen, ein alleiniges Vertrauen auf den erweiterten Datenschutzmodus und übersehene ältere Inhalte gehören zu den klassischen Fundstellen.

Für Seiten mit vielen Videos über verschiedene Inhaltstypen hinweg wird die vollständige Prüfung schnell aufwendig. Genau hier setzt der AppCore Audit an: Er prüft die tatsächlich geladenen Video-Elemente über die Seite hinweg und macht sichtbar, wo eine datensparsamere Einbindung sinnvoll wäre.

Videoinhalte und Datenschutz schließen sich nicht aus. Wer auf eine klick-basierte, einwilligungsabhängige Einbindung setzt, zeigt seine Videos weiterhin und senkt gleichzeitig sein Compliance-Risiko spürbar.

Wo stehst du gerade?

Dein Weg zu mehr Sicherheit

Vom Befund zur laufenden Prüfung

Drei Schritte, jeder für sich nutzbar.

Schritt 1 · Diagnose

AppCore Audit

kostenfreieinmalige Diagnose

Wir prüfen deine Seite über alle 20 Lösungen und zeigen dir, was offen ist.

Kostenfrei starten
Schritt 3 · Dauerpflege

Plan

ab 99,- €pro Monat

Deine Seite bleibt dauerhaft sauber, mit laufender Prüfung.

Pläne ansehen

Audit BluePrint / CMS Plan

Nächster Schritt

Compliance-Risiko einschätzen

Der AppCore-Erstaudit zeigt dir in 10 Minuten, wo deine Website steht.