Zum Inhalt springen
Unabhängiges Tool. Nicht von Google LLC. „Google" und „Google Fonts" sind Marken der Google LLC und werden ausschließlich beschreibend verwendet.
Lösung: Consenta

YouTube DSGVO-konform einbetten — youtube-nocookie und 2-Klick-Lösungen

· Anleitungen

TL;DR: Ein klassischer YouTube-Embed (youtube.com/embed/...) lädt Cookies und Tracking-Skripte direkt beim Page-Load — ohne dass der Besucher das Video gestartet hat. DSGVO-konform sind nur drei Wege: (1) die Erweiterte-Datenschutz-Variante youtube-nocookie.com nutzen und mit Click-to-Load kombinieren, (2) einen Auto-Blocker einsetzen, der das Iframe vor Consent blockiert (z.B. Consenta), oder (3) ein statisches Vorschaubild ausliefern und das Iframe erst nach Klick laden.

YouTube-Videos sind das mit Abstand häufigste Embed im Web — und gleichzeitig eine der häufigsten Ursachen für DSGVO-Beschwerden. Der Grund ist technisch unspektakulär, aber rechtlich folgenreich: das Iframe ruft beim Rendern Skripte und Cookies aus der Google-Domain ab, lange bevor der Besucher das Play-Symbol gesehen hat.

Was beim klassischen YouTube-Embed passiert

Ein normaler Embed-Tag sieht so aus:

<iframe src="https://www.youtube.com/embed/VIDEO_ID" allowfullscreen></iframe>

Schon beim ersten Page-Load löst der Browser DNS, TLS und mehrere HTTP-Requests an youtube.com und googlevideo.com aus. Dabei werden:

  • die IP-Adresse des Besuchers an Google in den USA übertragen,
  • Cookies wie VISITOR_INFO1_LIVE, YSC, PREF oder GPS gesetzt — auch ohne Klick aufs Video,
  • Player-Skripte und Tracking-Bibliotheken nachgeladen, die in der Browser-Umgebung des Besuchers laufen.

Diese drei Punkte sind ohne aktive Einwilligung nach DSGVO + TTDSG nicht zulässig — vergleichbar mit der Argumentation des LG München I zu Google Fonts (Az. 3 O 17493/20): Datentransfer in ein Drittland ohne Rechtsgrundlage = Persönlichkeitsrechtsverletzung.

Variante 1: youtube-nocookie.com — der einfachste Schritt

Google bietet eine alternative Embed-Domain an, die mit „erweitertem Datenschutz“ beworben wird:

<iframe src="https://www.youtube-nocookie.com/embed/VIDEO_ID" allowfullscreen></iframe>

Der Unterschied: Google verspricht, vor dem ersten Klick auf das Video keine personalisierten Werbe-Cookies zu setzen. Was trotzdem passiert: die IP-Adresse wird übertragen (das ist technisch unvermeidbar, sobald der Browser ein Iframe von einer fremden Domain lädt), und einige technisch notwendige Cookies werden gesetzt.

Die Aufsichtsbehörden in DE bewerten youtube-nocookie.com als besser, aber nicht ausreichend für eine Einbindung ohne Consent. Die Datenschutzkonferenz (DSK) und der LfDI Baden-Württemberg haben in mehreren Stellungnahmen darauf hingewiesen, dass auch bei nocookie ein Drittland-Datentransfer stattfindet, der ohne Rechtsgrundlage rechtswidrig bleibt.

Fazit: nocookie ist die Pflicht-Verbesserung, wenn du YouTube überhaupt einbettest — aber nicht der Endpunkt.

Variante 2: Click-to-Load (2-Klick-Lösung)

Statt das Iframe direkt zu rendern, zeigst du ein statisches Vorschaubild. Das Iframe wird erst beim Klick auf einen „Video laden“-Button initialisiert — verbunden mit einer kurzen Datenschutz-Information.

Vorteil: kein einziger Request an YouTube/Google vor der Einwilligung des Besuchers. Der Klick auf „Video laden“ ist die explizite Einwilligung.

Implementation in WordPress:

  • Manuell: Vorschaubild von img.youtube.com/vi/VIDEO_ID/maxresdefault.jpg einbinden (das Bild liegt auf YouTube-CDN, ist aber statisch und setzt keine Cookies — du kannst es zur Sicherheit auch lokal ablegen). Beim Klick per JavaScript ein Iframe einfügen.
  • Plugin-basiert: Cookie-Consent-Tools wie Consenta blockieren YouTube-Iframes pauschal vor dem Consent-Banner-Klick und ersetzen sie durch eine kurze Hinweis-Box mit Aktivieren-Button.

Variante 3: Auto-Blocker (transparent für die Editor*innen)

Wer YouTube-Embeds quer durch die Site verteilt einsetzt — im Block-Editor, in Page-Buildern, in Custom-Templates — möchte nicht jede Einbindung händisch in eine Click-to-Load-Komponente verwandeln. Hier kommt der Auto-Blocker ins Spiel: er erkennt YouTube-Iframes serverseitig oder per JavaScript vor dem Render und ersetzt sie automatisch durch einen Consent-Platzhalter.

Beim ersten Klick auf den Platzhalter wird der Besucher gefragt, ob er externe Inhalte zulassen möchte. Bei „Ja“ wird das Iframe initialisiert — und die Einwilligung im Consent-Log dokumentiert.

Diese Variante hat den Vorteil, dass Bestandsinhalte automatisch DSGVO-konform werden, ohne dass du jeden alten Beitrag editieren musst.

Wie du prüfst, ob deine Seite YouTube ohne Consent lädt

Auf unserem Scanner kannst du nach dem ersten Schrift-Scan einen Erweiterten DSGVO-Scan starten. Der erkennt unter anderem YouTube-Embeds, die nicht die nocookie-Variante nutzen, sowie Vimeo, Google Maps, Tracking-Pixel und externe Schrift-CDNs.

Praxis-Empfehlung

  1. Wenn du YouTube überhaupt einsetzt: nocookie als Mindestmaß, das ist eine Ein-Wort-Änderung im URL-String.
  2. Wenn du es richtig machen willst: Auto-Blocker oder Click-to-Load — keine Daten vor Consent.
  3. Wenn du Videos selbst hostest (z.B. auf eigenem Server oder via Bunny Stream): kein YouTube nötig, alles unter eigener Domain. Performance-mäßig oft sogar besser.

Schriften lokal hosten + Drittdienste blocken — beides mit Consenta

Seit v1.13 erledigt Consenta zwei Probleme in einem Plugin: Der Site-wide Font-Localizer scannt deine Seite, lädt alle gefundenen Google-Schriften automatisch herunter und liefert sie ab dann lokal aus — ohne WOFF2-Handarbeit. Der Auto-Blocker stoppt zusätzlich Maps, Videos, Tracking-Pixel und andere Drittdienste vor der Einwilligung des Besuchers.

Consenta ansehen →

Themen: Auto-Blocker, Cookies, Embeds, YouTube