Mit der fortschreitenden Digitalisierung wachsen auch die Anforderungen an eine moderne Datenschutzaufsicht. Die erste durchgeführte automatisierte Webseitenkontrolle der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat laut Pressemitteilung vom 30.07.2025 Verstöße bei der Einbettung von YouTube-Videos entdeckt. Die Erkenntnisse aus dieser systematischen Kontrolle machen deutlich, dass es beim Datenschutz insbesondere in der öffentlichen Kommunikation auf Webseiten des Bundes noch immer erheblichen Nachholbedarf gibt.
Automatisierte Analyse als Kontrollinstrument
Im ersten Quartal 2025 hat die BfDI die erste automatisierten Webseitenkontrolle durchgeführt und knapp 200 Webseiten kontrolliert. Dabei habe sie über 500.000 Einzelseiten automatisiert ausgewertet. In 40 Fällen sei eine datenschutzwidrige Einbindung von YouTube-Videos festgestellt worden. Daraufhin habe die BfDI jeweils ein Beratungsschreiben an die betroffene Behörde versendet. Auffällig sei dabei nicht nur der Umfang der gefundenen Verstöße, sondern auch die Tatsache, dass diese trotz mehrfacher Vorabinformationen in den Jahren zuvor erfolgt seien.
Die automatisierte Analyse gestatte es der BfDI, losgelöst von selektiven Einzelauskünften oder aufwendigen Stichproben ein „objektives und umfassendes Lagebild zu gewinnen“. Damit zeigt sich, welches Potenzial in einer digitalen Aufsicht liegt, wenn sie systematisch und methodisch skaliert Anwendung findet.
Rechtswidrige Einbindung von YouTube-Videos
Kern der Beanstandung sei die direkte Einbindung von YouTube-Videos auf der Webseite ohne vorherige Einwilligung der Nutzer. Der Verstoß betreffe insbesondere den Moment des Seitenaufrufs, bei dem automatisch eine Verbindung zu den Servern von YouTube, und damit zu einem Drittanbieter mit Sitz außerhalb der EU, hergestellt werde. Dabei würden unter anderem IP-Adressen und möglicherweise weitere Informationen ohne Einwilligung der Nutzer übertragen. Dieses Vorgehen sei mit den Anforderungen des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) nicht vereinbar. Die BfDI hatte diese Bewertung bereits etwa 2023 in einem Rundschreiben an die öffentlichen Stellen des Bundes ausführlich dargelegt.
YouTube datenschutzkonform einbinden
Die Einbindung von Videoinhalten sei nicht per se datenschutzwidrig. Die BfDI verweist auf zwei Handlungsoptionen, mit denen eine datenschutzgerechte Ausspielung von Videos auf Webseiten möglich sei.
Zunächst gelte das Selbsthosting als datenschutzrechtlicher Idealstandard. Hierbei werden Videos nicht über Plattformen wie YouTube, sondern auf eigenen Servern gespeichert und in die Webseite eingebunden. Die volle Kontrolle über Datenflüsse bleibe somit bei der verantwortlichen Stelle.
Daneben seien sogenannte Zwei-Klick-Lösungen denkbar. In diesem Fall zeigt die Webseite zunächst nur ein statisches Vorschaubild an. Erst wenn die Nutzer aktiv klicken, wird die Verbindung zu YouTube hergestellt und die entsprechenden Inhalte geladen. Allerdings betont die BfDI, dass auch in diesem Fall eine Alternative ohne Drittanbieter bereitgestellt werden sollte, um echte Wahlfreiheit zu gewährleisten.
Digitalisierung der Aufsicht als strategischer Schritt
Mit der nun erstmals eingesetzten digitalen Prüfmethodik positioniert sich die BfDI strategisch neu. Ziel sei es, nicht nur reaktiv auf Beschwerden zu reagieren, sondern durch proaktive, automatisierte Prüfverfahren einen präventiven Effekt zu erzielen. Die Skalierbarkeit solcher Kontrollen, gepaart mit der Möglichkeit zur Standardisierung von Analyseverfahren, dürfte die Effizienz der behördlichen Aufsicht erheblich steigern.
Die BfDI geht davon aus, dass den betroffenen Webseitenbetreibern, „trotz vorheriger Aufklärung über die Thematik durch die BfDI“, der Datenschutzverstoß nicht bewusst gewesen sei. In ihrer Pressemitteilung hat sie angekündigt, die Behörden bei der Umsetzung datenschutzkonformer Alternativen zu unterstützen. Für Ende 2025 sei bereits eine Evaluation der bisherigen Beratungsschreiben geplant. Außerdem will sie das Prüfspektrum auf andere datenschutzrelevante Aspekte und weitere öffentliche Webseiten ausweiten.
Fazit
Die entdeckten Verstöße bei der YouTube-Einbettung zeigen, dass Datenschutzkonformität im digitalen Raum kein Selbstläufer ist, sondern kontinuierliche Aufmerksamkeit und praktische Umsetzungshilfen erfordert. Mit ihrer methodischen Kontrolle und den konkreten Handlungsempfehlungen leistet die BfDI einen wichtigen Beitrag zur Professionalisierung datenschutzgerechter Öffentlichkeitsarbeit. Es ist erfreulich zu sehen, dass auch staatliche Seite vermehrt Innovation zum Schutz von Grundrechten einsetzen.
