YouTube — consent fix

Ein eingebettetes YouTube-Video setzt sofort Tracking-Cookies und sendet Daten an die Server von Google. Dies geschieht bereits, bevor der Besucher auf "Play" klickt. Wenn Ihre Website dieses Video lädt, bevor der Benutzer den Cookie-Banner akzeptiert, verstoßen Sie gegen die DSGVO.

Warum YouTube zu früh geladen wird (und warum nocookie nicht ausreicht)

YouTube-Videos werden fast immer direkt über ein <iframe>-Tag in den Quellcode einer Website eingefügt und nicht über den Google Tag Manager (GTM). Daher können Sie diese nicht einfach über GTM-Ausnahme-Trigger blockieren.

Hinweis: Viele Websites versuchen, dies zu lösen, indem sie die Iframe-Domain auf youtube-nocookie.com ändern. Dies ist jedoch nur eine Teillösung. Es verhindert zwar personalisierte Werbung, aber YouTube setzt weiterhin Sitzungs- und funktionale Cookies (wie YSC und VISITOR_INFO1_LIVE) und empfängt weiterhin die IP-Adresse des Besuchers. Nach strenger Auslegung der DSGVO ist dies ohne ausdrückliche Einwilligung für Marketing/Statistik weiterhin nicht zulässig.

Die Lösung: Das YouTube-Iframe blockieren

Da wir den GTM hierfür nicht nutzen können, müssen wir entweder das HTML direkt anpassen oder die integrierten Funktionen Ihrer Consent Management Platform (CMP) verwenden.

1. Der automatische Weg (über Ihre CMP)

Viele beliebte CMPs, wie z.B. Cookiebot, verfügen über eine integrierte automatische Blockierung für YouTube.

• Cookiebot: Cookiebot durchsucht automatisch Ihr HTML und ersetzt das YouTube-Iframe durch einen temporären Platzhalter mit dem Text 'Akzeptieren Sie Marketing-Cookies, um dieses Video anzusehen'. Stellen Sie sicher, dass diese Funktion ('Auto-blocking') in Ihrem Cookiebot-Dashboard aktiviert ist. Wenn das Iframe dennoch durchrutscht, fügen Sie manuell das Attribut data-cookieconsent="marketing" zu Ihrem <iframe> hinzu.

2. Der manuelle Weg (Consent Facade)

Wenn Ihre CMP keine automatische Video-Blockierung unterstützt, müssen Sie eine "Consent Facade" (Einwilligungs-Fassade) erstellen. Das bedeutet, dass der Browser das Video nicht laden darf, bis Ihre CMP per JavaScript grünes Licht gibt.

1. Suchen Sie das YouTube-<iframe> in Ihrem Quellcode.
2. Ändern Sie das Attribut src in data-src. Dadurch erkennt der Browser es nicht mehr als aktiven Link.
3. Verwenden Sie JavaScript, um die URL wieder in das Attribut src einzufügen, sobald die Einwilligung über Ihre CMP erteilt wurde.

Hier ist ein generisches Beispiel:

<!-- Das Video ist pausiert, da src durch data-src ersetzt wurde -->
<iframe data-src="https://www.youtube.com/embed/123456789" width="560" height="315" frameborder="0"></iframe>

<script>
// Beispiel: Auf ein Zustimmungs-Update von Ihrer spezifischen CMP warten
document.addEventListener('consent_marketing_granted', function() {
    var iframes = document.querySelectorAll('iframe[data-src*="youtube.com"]');
    iframes.forEach(function(iframe) {
        iframe.src = iframe.getAttribute('data-src'); // Video erst jetzt laden
    });
});
</script>

Überprüfung

Verlassen Sie sich auf den Network-Tab Ihres Browsers, um zu sehen, ob das Video wirklich blockiert wird.

1. Öffnen Sie Ihre Website in einem Inkognito-Fenster.
2. Ignorieren Sie den Cookie-Banner vollständig (klicken Sie nichts an).
3. Öffnen Sie die Entwicklertools (F12) und navigieren Sie zum Network-Tab.
4. Suchen Sie nach youtube. Es dürfen absolut keine Anfragen an youtube.com oder youtube-nocookie.com sichtbar sein.

Sind Sie unsicher, ob die Anpassung funktioniert hat, oder möchten Sie ausschließen, dass andere Skripte noch Daten leaken? Führen Sie einen kostenlosen Scan mit ConsentChecker.eu durch, um sofortige Gewissheit zu erhalten.

Quellen

• Videos und Playlists einbetten (Google Support)