Enhver, der indlejrer tredjepartsindhold på sin hjemmeside via en IFRAME, kan holdes ansvarlig. Der skal tages hensyn til både ophavsret og databeskyttelse. Eksterne filer bør så vidt muligt undgås. I stedet bør man bruge lokale kopier af eksterne filer, hvilket ikke altid er muligt med IFRAMES.
Indledning
Når en IFRAME vises på en hjemmeside, bliver IP-adresserne af hjemmesidens brugere overført til tredjeparter. Således finder en overførsel af personlige data sted. Derved skal de gældende krav i GDPR anvendes. Overførslen af cookies kan også være til stede.
Ofte bliver IFRAMES uden at være klar over det indlejret, f.eks. når man indsætter YouTube videoer.
Derudover indlæses eksternt indhold via IFRAMES og vises på det websted, der aktuelt besøges. Dette kræver overvejelser i henhold til loven om ophavsret.
Ansvar på grund af ophavsret
Krænkelse af ophavsret
Enhver, der indlejrer ophavsretligt beskyttet indhold via en IFRAME, selv om ophavsmanden har truffet tekniske foranstaltninger for at forhindre dette, overtræder ophavsretsloven. Dette er i det mindste tilfældet, hvis disse foranstaltninger omgås. Foranstaltningerne er tydeligvis omgået, hvis den integrerede IFRAME viser det ophavsretligt beskyttede indhold.
Det har den Europæiske Domstol for Retter (EuGH) i en afgørelse af 09.03.2021 (C-392/19) i sagen VG Bild-Kunst ./. Stiftung Preußischer Kulturbesitz besluttet. Den 09.09.2021 har den Højesteret (BGH) denne afgørelse bekræftet (Nr. 169/2021)
Ansvar for indblanding
I et dom fra 14.09.2012 (Az.: 6 U 73/12) fastslog OLG Cologne, at udgiveren af en hjemmeside ikke havde begået en urheberretsforbrydelse ved at integrere indhold via IFRAME. Hvis man integrerer indhold via IFRAME, bliver dette ifølge OLG Cologne ikke offentliggjort. Men uden denne betingelse kan der ikke være tale om en urheberretsforbrydelse.
I denne henseende kan webstedsoperatøren kun holdes ansvarlig som en forstyrrer.
Hvis operatøren bliver opmærksom på en krænkelse af ophavsretten, kan det forventes, at han afstår fra at integrere tredjepartsindholdet ved hjælp af en IFRAME på sin hjemmeside.
Dafor er den såkaldte Undertegningen, der skal afskære ansvar for eksterne indhold, Bullshit. I stedet handler det om en skadelig disclaimer, da Erklæringen til afvisning af ansvar har ingen positiv virkning. Dertil kan der være en negativ virkning, hvis også med ikke alt for høj sandsynlighed. I hvert fald er webstedets ejer gået ud og sagt, at de ikke tager ansvar for eksterne indhold. Herfra følger spørgsmålet, om webstedets ejer har gjort dette, fordi de allerede havde kendsgerning om de eksterne indhold. Havde de denne kendsgerning, så var de direkte ansvarlige og fra kendsgerningen af. Det ville være deres fejl ikke at have reageret straks og fjernet referencerne til de eksterne indhold straks.
Præcis så skadeligt er alle andre disclaimerer, som jeg kender. Man kan ikke helt undgå ansvar, hvis loven allerede siger det samme. Hvis man vil afvise anklagelser ved hjælp af en besked, skal man bytte læge. ([1])
Målrettet integration uden mærkning
Enhver, der indlejrer tekst, et billede, en video, lydfiler eller andet indhold separat fra andet indhold via IFRAMES og ikke angiver dette tilstrækkeligt, kan holdes ansvarlig i tilfælde af lovovertrædelser.
Det gjorde OLG Düsseldorf tydeligt i sin dom af 08.11.2011 (Az.: I-20 U 42/11).
Ansvar af hensyn til databeskyttelse
Cookies
Når der ved lastning af en IFRAME-indehold Cookies overføres eller oprettes, er en samtykningspligt sandsynlig givet. Dette følger ud fra det i forhold til ePrivacy-direktiv konform udlæggede Telemediengesetz. Se herfor dommen fra BGH den 28.05.2020 – I ZR 7/16. Indbundne YouTube videoer er uafhængig af Cookies samtykningspligtige! Kurzfassung: Dette gælder alene på grund af Art. 5 GDPR (dataminimale). Hvis man vil, kan man stadig den dataoverførsel til usikre tredjelande nævne som grund.
Minimering af data
Når IFRAME-inholdet henteres fra en tredje part, hvor der ikke er en kontraktuel forbindelse, forekommer ofte mindst én overtrædelse af Artikel 5 GDPR (dataminimering). En passende kontraktuel forbindelse til at undgå problemer kunne være et Kontrakt om ordrebehandling, hvis den kontraktpartner sidder i Tyskland, EU eller mindst i et trygt tredje land.
Dataoverførslen skal dog også ved kontraktslig sikring være i en acceptabel ramme. Tracking, altså efterfølgelsen af brugere, bør ikke være formålet med IFRAME-indbindingen. Så ville en samtykkeværdig sikkert være nødvendig.
Dataoverførsel til usikre tredjelande
Når indbundet indhold findes på en server uden for EU, bliver artikel 44 GDPR relevant. Den regulerer dataudvekslingen med usikre tredjelande.
Tekniske problemer med IFRAMES
IFRAMES er en teknologi, der blev brugt i stigende grad tidligere. I dag bør IFRAMES kun bruges i nødstilfælde, hvis det er teknisk nødvendigt. Men også her er der problemer, som er af mere teknisk karakter.
Hvis du indlejrer en IFRAME på et websted på en sådan måde, at indhold fra det indlejrende websted vises over eller under IFRAME'en, er det – det er svært at tro – svært at indstille højden på IFRAME'en korrekt. Højden på en IFRAME er stort set ukendt. Hvis højden var kendt for én opløsning, ville højden ikke længere være den samme for en anden opløsning. Desuden er IFRAME-indhold ofte dynamisk, så højden er endnu mindre forudsigelig.
Hvis der er links til privatlivspolitikken eller den juridiske meddelelse under IFRAME, bliver det endnu mere underholdende. Hvis man gør højden på IFRAME'en meget stor for at kunne vise alt indhold i IFRAME'en uden at scrolle, vil afstanden til de nævnte links muligvis være for stor. Brugeren ville måske ikke kunne finde linkene. Som følge heraf kan den juridiske meddelelse og privatlivspolitikken betragtes som utilgængelige.
Men hvis højden på en IFRAME er for lille, opstår der grimme scrollbars. På en smartphone resulterer det hurtigt i indlejrede scroll-områder: Det yderste område, det egentlige website, skal scrolles. Det indre område, IFRAME'en, skal også scrolles. Det er der ingen brugere, der bryder sig om, og mange vil ikke kunne se alt indholdet.
Anbefalinger til de ansvarlige
Eksternt indhold bør ikke integreres via IFRAME, hvis der er andre muligheder. Det skyldes, at webstedsoperatøren i sidste ende ikke har nogen kontrol over det eksterne indhold. Derudover kan der nemt opstå problemer med den generelle forordning om databeskyttelse. Teknisk set er IFRAMES også vanskelige at kontrollere.
Hvis tredjepartsindhold vises via IFRAMES, skal dette være tydeligt markeret. Derudover bør der tilføjes en meddelelse om, at integrationen af det pågældende indhold vil blive fjernet, hvis vi bliver opmærksomme på eventuelle lovovertrædelser.
YouTube videoer skal ikke på grund af dataskyddsmæssige årsager være indlæst via IFRAME eller overhovedet uden samtykke hentes. Min anbefaling: Undgå YouTube videoer eller link en forsidebillede (yderligere alternativer nævnes i min artikel).
Supplement til privatlivspolitik
Alle overdrift af personlige oplysninger skal nævnes i persondatopolicy, m.m., så brugeren har mulighed for at modsætte sig eller kræve sletning af de oplysninger, der er gemt fra ham.
For at sikre, skal hver side af en online præsenç undersøges på IFRAME-indehold. Herefter kan afgøres, hvilke IFRAMES er tilladte og skal nævnes i persondatapolitikken, og hvilke der skal erstattes eller fjernes.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.