Den federala kommissionären för dataskydd och informationsfrihet, Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), har för första gången genomfört en automatiserad webbplatskontroll och identifierat överträdelser i integrationen av YouTube-videor på federala webbplatser.
Under det första kvartalet 2025 analyserade BfDI systematiskt nästan 200 federala webbplatser med hjälp av olika granskningsverktyg. BfDI analyserade över 500 000 enskilda webbsidor, och man identifierade nästan 40 överträdelser på grund av YouTube-integrationer i strid med dataskyddslagstiftningen. Som ett resultat av analyserna har BfDI skickat ut 40 skrivelser med råd till de identifierade organen.
YouTube-videor kan användas av offentliga myndigheter på deras webbplatser i enlighet med dataskyddsbestämmelserna. Det blir problematiskt när videor bäddas in direkt. När webbplatsen öppnas ansluter användarens webbläsare automatiskt till YouTubes servrar och överför bland annat ip-adresser. Denna dataöverföring sker utan användarens föregående samtycke och bryter därför mot lagen om dataskydd för digitala tjänster inom telekommunikation (TDDDG). BfDI har upprepade gånger tidigare meddelat denna bedömning till de federala myndigheterna, till exemepel i ett cirkulär 2023.
Trots BfDI:s upprepade och tydliga ställningstaganden i denna fråga är det uppenbart att medvetenheten om problemet ännu inte har nått ut till alla. Den automatiserade analysen gjorde det möjligt för BfDI att för första gången få en objektiv och heltäckande bild av situationen, bortom självrapportering eller slumpmässigt urval. Med denna testmetod tar BfDI ett viktigt steg i tillsynen av dataskydd. Särskilt förfarandets skalbarhet, objektivitet och förebyggande effekt är skäl att ytterligare utvidga detta tillvägagångssätt.
I slutet av 2025 kommer BfDI att utvärdera hur och om de berörda organen har reagerat på skrivelserna. Ytterligare granskningar med ett annat fokus och en utvidgning till ytterligare webbplatser kommer att följa parallellt.
Med skrivelserna vill BfDI hjälpa federala offentliga organ att implementera videointegration på ett sätt som uppfyller kraven på dataskydd. Enligt BfDI finns det två huvudalternativ:
- Självhosting som standard: Videor hostas på myndigheternas egna servrar och bäddas in på webbplatsen. Detta säkerställer fullständig kontroll över behandlingen av personuppgifter och användarinteraktioner.
- Lösningar med två klick: Användarna måste aktivt klicka på en förhandsgranskningsbild innan anslutningen till YouTube upprättas. Med denna variant bör ett likvärdigt alternativ utan en tredjepartsleverantör alltid erbjudas.
BfDI betonar att efterlevnad av dataskyddsregelverkat inte är en engångshandling, utan en kontinuerlig process. BfDI använder digitala tillsynsmetoder för att stödja federala offentliga organ i att framgångsrikt följa denna väg.