YouTube, Google Maps & Co. datenschutzkonform einbinden

Ein YouTube-Video auf der Startseite, eine Google-Maps-Karte mit der Anfahrt, ein Instagram-Feed in der Seitenleiste, ein Bewertungs- oder Buchungs-Widget im Footer: Eingebettete Inhalte gehören zum Standard fast jeder modernen Website. Genau diese Bequemlichkeit ist datenschutzrechtlich heikel — denn viele Embeds bauen schon beim Laden der Seite eine Verbindung zu einem Drittanbieter auf, oft ohne dass deine Besucher gefragt wurden. Dieser Beitrag erklärt neutral, worin das Problem liegt und wie du Videos, Karten und Widgets sauberer einbindest.

Hinweis: Dieser Artikel ist eine technische Einordnung und ersetzt keine Rechtsberatung. Im Zweifel ziehst du am besten deine Datenschutzbeauftragte oder einen Fachanwalt hinzu.

Was sind „eingebettete Inhalte"?

Eingebettete Inhalte sind fremde Inhalte, die du über ein <iframe> oder ein eingebundenes Skript-Widget direkt in deine Seite holst. Typische Beispiele:

• Videos: YouTube, Vimeo
• Karten: Google Maps, OpenStreetMap-Dienste
• Social Media: Instagram, X (vormals Twitter), Facebook
• Funktions-Widgets: Bewertungs-, Buchungs-, Chat- oder Termin-Widgets

Der entscheidende Punkt: Damit ein eingebetteter Inhalt angezeigt werden kann, kontaktiert der Browser deiner Besucher in der Regel direkt den Server des Drittanbieters. Bei diesem Verbindungsaufbau wird zwangsläufig die IP-Adresse des Besuchers an den Anbieter übermittelt — technisch unvermeidbar, weil jede HTTP-Anfrage eine Absender-IP trägt. Häufig kommen weitere Daten hinzu (etwa welche Seite gerade besucht wird), und manche Dienste setzen dabei auch Cookies. Das passiert bei vielen Standard-Einbindungen bereits beim Seitenaufruf, also bevor deine Besucher überhaupt einwilligen konnten.

Hinzu kommt: Viele dieser Anbieter betreiben ihre Server überwiegend in den USA. Eine Übertragung dorthin ist ein Drittlandtransfer, an den der Datenschutz zusätzliche Anforderungen stellt. Die IP-Adresse gilt nach überwiegender Auffassung als personenbezogenes Datum — wird sie ohne Rechtsgrundlage und ohne Einwilligung an einen Dritten übertragen, deutet das auf ein datenschutzrechtliches Problem hin.

YouTube „erweiterter Datenschutzmodus" — kein Freifahrtschein

YouTube bietet einen sogenannten erweiterten Datenschutzmodus an: Statt über youtube.com bindest du das Video dabei über die Domain youtube-nocookie.com ein. Dieser Modus reduziert nach Angaben des Anbieters, welche Cookies beim bloßen Laden gesetzt werden.

Wichtig zur Einordnung: Der erweiterte Datenschutzmodus beseitigt nicht den Verbindungsaufbau zum Google-/YouTube-Server. Sobald das Video lädt, wird weiterhin eine Verbindung aufgebaut und dabei die IP-Adresse deiner Besucher übertragen. Der Modus ist also eine Verbesserung gegenüber der Standard-Einbindung, aber keine vollständige Lösung des Problems der ungefragten Datenübertragung.

Lösungsansätze

1. Zwei-Klick- bzw. Consent-Lösung

Der verbreitetste Ansatz ist die Zwei-Klick-Lösung (auch Consent- oder Klick-zum-Laden-Lösung): Statt das Embed sofort zu laden, zeigst du zunächst nur einen statischen Platzhalter — zum Beispiel ein Vorschaubild des Videos oder einen grauen Kartenbereich mit einem Hinweistext. Der eigentliche Inhalt vom Drittanbieter wird erst geladen, wenn die Besucherin aktiv klickt bzw. ihre Einwilligung gibt. Vorher fließt keine IP an den Anbieter.

Wichtig ist dabei, dass der Platzhalter den Inhalt wirklich blockiert (also kein verstecktes Vorab-Laden), und dass der Hinweis transparent erklärt, welcher Anbieter beim Klick kontaktiert wird. Viele Consent-Management-Tools (CMP) und CMS-Plugins bringen so eine Funktion bereits mit.

2. Statisches Bild statt interaktiver Karte

Nicht jede Karte muss interaktiv sein. Oft reicht für die Anfahrt ein statisches Karten-Bild (ein Screenshot oder ein lizenzfrei nutzbarer Kartenausschnitt) mit einem Link „Route planen", der erst auf Klick zum jeweiligen Kartendienst führt. So lädt deine Seite keinen interaktiven Drittanbieter-Inhalt und überträgt beim Aufruf keine IP.

3. Wo möglich: Selbst-Hosting

Bei manchen Inhalten kannst du den Umweg über den Drittanbieter ganz vermeiden. Ein kurzes Video kannst du etwa selbst hosten und über deine eigene Domain ausliefern; statische Inhalte lassen sich häufig nachbauen, statt sie als fremdes Widget einzubinden. Das ist nicht überall praktikabel — bei langen Videos oder komplexen Funktions-Widgets oft nicht — aber dort, wo es geht, entfällt die Datenübertragung an Dritte vollständig.

Der rechtliche Bezugspunkt

Sobald ein eingebetteter Inhalt beim Laden auf Endgeräte zugreift (etwa Informationen ausliest oder speichert) oder Daten an einen Dritten überträgt, kommt regelmäßig eine Einwilligung als Rechtsgrundlage in Betracht. Maßgeblich sind hier vor allem § 25 TDDDG (Schutz der Endeinrichtungen, früher § 25 TTDSG) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung als Rechtsgrundlage der Verarbeitung). Praktisch heißt das: Das Embed sollte erst nach einer aktiven, informierten Einwilligung der Besucherin geladen werden — genau das leistet die Zwei-Klick-Lösung.

Ob in deinem konkreten Fall eine Einwilligung erforderlich ist und wie sie eingeholt werden muss, hängt vom jeweiligen Dienst und Einsatzzweck ab — das beurteilt verlässlich nur eine fachkundige Prüfung.

Einen schnellen ersten Eindruck — ob deine Seite überhaupt schon beim Laden Drittanbieter kontaktiert — bekommst du in rund einer Minute mit dem kostenlosen Schnellcheck. Er ersetzt keine fachkundige Prüfung, zeigt dir aber sofort, ob an dieser Stelle Handlungsbedarf besteht.

Wie prüfst du deine eigene Seite?

Du musst kein Profi sein, um einen ersten Eindruck zu bekommen:

• Netzwerk-Tab der Entwicklertools: Öffne deine Seite, drücke F12, gehe auf „Netzwerk" und lade neu — ohne vorher etwas anzuklicken. Suche nach Requests an Drittanbieter wie youtube.com, ytimg.com, googlevideo.com, maps.googleapis.com oder gstatic.com. Tauchen sie schon beim Laden auf, wird das Embed ohne Einwilligung geladen.
• Auf Cookies achten: Sieh im Tab „Anwendung" bzw. „Application" nach, ob direkt beim Aufruf Cookies von Drittanbietern gesetzt werden.
• Eingebettete Schriften nicht vergessen: Manche Widgets laden zusätzlich eigene Schriften (z. B. von fonts.gstatic.com) nach — auch das ist eine Verbindung zu einem Dritten. Mehr dazu im Ratgeber zu externen Schriften.
• Unterseiten nicht vergessen: Embeds stecken oft nur auf bestimmten Templates (Kontaktseite mit Karte, Blog-Artikel mit Video) — prüfe mehrere Seitentypen.

Einen gezielten Check für eingebettete Videos und Karten findest du außerdem im YouTube- & Google-Maps-Embed-Check.

Kurz zusammengefasst

• Eingebettete Inhalte (YouTube, Vimeo, Google Maps, Instagram, X, Bewertungs- oder Buchungs-Widgets) kontaktieren den Drittanbieter oft schon beim Seitenaufruf und übertragen dabei die Besucher-IP — teils mit Cookies, teils an Server in den USA.
• YouTubes erweiterter Datenschutzmodus (youtube-nocookie.com) reduziert manche Cookies, beseitigt aber nicht den Verbindungsaufbau und die IP-Übertragung beim Laden.
• Saubere Ansätze sind die Zwei-Klick-/Consent-Lösung (Embed lädt erst nach aktivem Klick bzw. Einwilligung), ein statisches Karten-Bild statt interaktiver Karte und — wo möglich — Selbst-Hosting.
• Als Rechtsgrundlage kommt regelmäßig die Einwilligung in Betracht (§ 25 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO).
• Prüfen kannst du das im Netzwerk-Tab — feuern Requests an Dienste wie youtube, ytimg, googlevideo oder maps.googleapis schon vor jedem Klick, wird ohne Einwilligung geladen.

Dieser Beitrag liefert technische Hinweise und mögliche Risiken, keine Rechtsberatung. Für eine verbindliche Einschätzung deiner konkreten Situation wendest du dich an deine Datenschutzbeauftragte oder einen Fachanwalt.