WordPress und Datenschutz: YouTube-Videos

Wenn Videos in ein Weblog eingebunden werden, dann dürften sie in den meisten Fällen von YouTube kommen. Google hat da auch – mal wieder – einen richtig feinen Service, der ordentlich funktioniert und einem sehr viel Arbeit abnimmt, zum Beispiel das Kodieren von Videos für die verschiedenen Browser. Ist ja nicht so, dass es da ein Format gäbe, das dann auch in allen Browsern funktioniert.

Bindet man aber Inhalte von Servern anderer Leute ein, dann bekommen diese anderen Leute die IP-Adressen der Seitenbesucher und können zum Beispiel auch eigene Cookies auslesen und setzen – das Problem kennen wir ja schon. Wenn nun also ein bei YouTube eingeloggter Nutzer eine Seite mit einem eingebundenen YouTube-Video einbindet, dann liest YouTube den entsprechenden Cookie aus und erfährt, dass dieser Nutzer auf dieser einen Webseite unterwegs war. Ganz ohne, dass der Nutzer dazu erst das Video starten müsste.

YouTube selbst bietet hier schon seit einiger Zeit eine Lösung für die Cookie-Problematik an: Man kann Videos über die Domain youtube-nocookie.com einbinden statt von youtube.com. Da es eine andere Domain ist, sendet der Browser des Besuchers keine der Cookies, die über youtube.com gesetzt wurden beim Aufruf, aber sobald er das Video abspielt, wird auch wieder youtube.com kontaktiert. Wie man den entsprechenden Embed-Code bekommt, steht zum Beispiel bei der IT-Recht Kanzlei.

YouTube ohne Cookies automatisch

Jetzt benutzen wir aber WordPress, weil wir es bequem haben wollen ? Keiner von uns will manuell irgendwelche Embed-Codes bei YouTube holen, um sie ins Weblog zu packen – schließlich macht WordPress die Embeds automatisch, wenn man nur den Link zum Video einfügt. Aber es gibt ja eine simple Möglichkeit, alle automatischen Embeds ebenso automatisch auf die No-Cookie-Domain umzubiegen. Dazu einfach die folgende Funktion in die function.php des aktuellen Child-Themes setzen (ich erwähnte früher schon, dass ein Child-Theme eine sinnvolle Sache ist):

add_filter( 'embed_oembed_html', 'youtube_nocookie_domain', 10, 4);
function youtube_nocookie_domain( $html, $url, $attr, $post_ID ) {
    if ( preg_match('#https?://(www\.)?youtu#i', $url) ) {
        return preg_replace('#src=(["\'])(https?:)?//(www\.)?youtube\.com#I', 'src=$1$2//$3youtube-nocookie.com', $html);
    }
    return $html;
}

Damit wäre das erledigt – eigentlich. Denn wenn man JetPack installiert hat (JetPack soll zwar noch rechtzeitig DSGVO-kompatibel werden, aber ich will es trotzdem komplett los werden). Denn JetPack pfuscht in den Embed-Prozess rein, so dass der entsprechende Hook nicht mehr zur Verfügung steht. Doof. Und das ist auch beim zweiten Plugin problematisch.

Zwei-Klick-Lösung für YouTube

Ein erster Ansatz soziale Plugins (z.B. den Facebook-Like-Button) datenschutzfreundlicher zu machen, war die Zwei-Klick-Lösung. Statt  den Button direkt einzubinden, wurde dieser erst nach einem Klick des Nutzers nachgeladen. Zwischenzeitlich ist die Sheriff-Lösung (die ich hier auch verwende, dazu später mehr) populärer, aber der Zwei-Klick-Ansatz funktioniert ja auch für Videos. Das Plugin Embed videos and respect privacy setzt das um. Neben dem Problem bei der Verwendung von JetPack – dieses Plugin nutzt ebenfalls den embed_oembed_html-Hook, der von JetPack gekillt wird, gibt es noch das Problem mit der Videogröße. Also der Größe in der es eingebunden wird.

Die normalen WordPress-Embeds binden die Videos jeweils passend für die aktuell verfügbare Breite auf dem Bildschirm ein. Das macht das Plugin leider nicht. Zumindest bis jetzt, möglicherweise findet hier ja noch eine entsprechende Weiterentwicklung statt. Wäre auf jeden Fall zu begrüßen, ebenso wie die Erweiterung auf die ganzen anderen Dienste, die man in WordPress direkt per oEmbed einfügen kann.

Und welches ist die richtige Lösung?

Ja woher soll ich denn das wissen? ? Rein technisch funktionieren beide Lösungen und bringen zumindest ein wenig mehr Datenschutz. Rein rechtlich würde ich vermuten, dass man mit der Zwei-Klick-Lösung auf der sichereren (nicht sicheren!) Seite sein dürfte. Aber so lange es diese Lösung nicht responsive gibt, ist der Preis für den besseren Datenschutz eben, dass es unschön oder auch richtig beschissen aussieht.

In Hinblick auf die DSGVO wird an solchen Stellen immer gerne das „berechtigte Interesse“ eines Sitebetreibers erwähnt, welches Ausnahmen von den Regeln ermöglichen würde. Ein Beispiel sind hier oft die diversen Sicherheitslösungen, bei denen IP-Adressen mit zentralen Datenbanken abgeglichen werden, um böse Buben und Mädchen zu blockieren. Noch weiß keiner, wie Gerichte das in Zukunft sehen werden oder ob „meine Website sieht sonst beschissen aus“ ein berechtigtes Interesse im Sinne dieser Verordnung sein kann. Das wird man abwarten müssen. Zumindest mal die Variante für YouTube ohne Cookies habe ich hier schon aktiv, in Hinblick auf die DSGVO behalte ich aber das Zwei-Klick-Plugin im Auge. Ich würde ja sagen, dass ich mich auch mal selbst daran versuchen will, etwas in der Richtung zu bauen, aber ich würde niemandem empfehlen darauf zu warten – Zeit ist schließlich nie genug da.

Das Beitragsbild ist übrigens das Coverbild zum aktuellen Video von J.B.O. – das es natürlich auch auf YouTube zu sehen gibt und in etlichen Websites von dort aus eingebunden ist. Aber der leicht verzweifelte Gesichtsausdruck von Vito passt einfach ganz gut zum Thema, denn so schauen derzeit viele Sitebetreiber, wenn sie sich mit dem Thema DSGVO befassen ?

 

[su_box title=”Mehr zum Thema” box_color=”#394972″][su_menu name=”Datenschutz” class=”dobschatcontentmenu”][/su_box]

One Comment

Wordpress & Datenschutz: YouTube wirklich sauber eingebunden › Dobschat

[…] muss dann doch noch mal zu YouTube zurückkommen, mir wurde nach dem letzten Beitrag das Plugin WP YouTube Lyte empfohlen. Dieses Plugin würde eine […]