Den som bäddar in innehåll från tredje part på sin webbplats via en IFRAME kan hållas ansvarig. Både upphovsrättslagstiftningen och dataskyddslagstiftningen måste beaktas. Externa filer bör undvikas så långt det är möjligt. Istället bör lokala kopior av externa filer användas, vilket inte alltid är möjligt med IFRAMES.
Inledning
När ett IFRAME visas på en webbplats överförs IP-adresserna till användarna av webbplatsen till tredje parterna. Således sker en överföring personuppgifter. Med detta i åtanke ska GDPR-kraven tillämpas. Även överföringen av Cookies kan förekomma.
Framför allt läggs IFRAMES in av omedvetenhet, till exempel när man laddar upp YouTube-videor.
Dessutom laddas externt innehåll via IFRAMES och visas på den webbplats som för närvarande besöks. Detta kräver hänsyn enligt upphovsrättslagen.
Ansvar på upphovsrättslig grund
Intrång i upphovsrätten
Den som bäddar in upphovsrättsligt skyddat innehåll via en IFRAME, trots att upphovsmannen har vidtagit tekniska åtgärder för att förhindra detta, bryter mot upphovsrättslagen. Detta gäller åtminstone om dessa åtgärder kringgås. Åtgärderna kringgås uppenbarligen om den integrerade IFRAME:n visar det upphovsrättsskyddade innehållet.
Detta har EU-domstolen beslutat i ett domslut den 09.03.2021 (C-392/19) i målet VG Bild-Kunst ./. Stiftung Preußischer Kulturbesitz. Den 09.09.2021 bekräftade BGH detta domslut (Nr. 169/2021)
Ansvar för störning
I ett domstolsavgörande den 14.09.2012 (Az.: 6 U 73/12) fastslog Oberlandesgericht Cologne att en webbplatsägare inte begått någon upphovsrättsintrång genom att infoga innehåll via IFRAME. Om man infogar innehåll via IFRAME så görs detta enligt OLG Cologne inte tillgängligt för allmänheten. Utan denna förutsättning kan det dock inte föreligga något upphovsrättsintrång.
I detta avseende kan webbplatsoperatören endast hållas ansvarig som störande part.
Om operatören får kännedom om ett upphovsrättsintrång kan det förväntas att denne avstår från att integrera tredjepartsinnehållet med hjälp av en IFRAME på sin hemsida.
Därför är det så kallade Disclaimer, som ska undvika ansvar för externa innehåll, Bullshit. Istället handlar det om en skadlig disclaimer, eftersom förklaringen till ansvarsfrihet har ingen positiv effekt. Däremot kan det finnas en negativ effekt, även om sannolikheten inte är alltför hög. I alla fall förklar webbplatsens ägare att de inte håller sig ansvariga för externa innehåll. Här uppstår frågan om webbplatsens ägare bara förklar detta eftersom de redan hade kännedom om det externa innehållet. Om de hade denna kännedom, håller de direkt ansvar och från kännedom. Det vore dem att förekomma att inte reagerat omedelbart och inte tagit bort referenserna till det externa innehållet omedelbart.
Precis skadliga är alla andra disclaimer jag känner till. Man kan ansvar inte helt utelämnas från, mer än vad lagen redan säger. Vem vill avvisa anmälningar genom en påminnelse, borde byta läkare.
Riktad integration utan märkning
Den som bäddar in text, en bild, en video, ljudfiler eller annat innehåll separat från annat innehåll via IFRAMES och inte tillräckligt tydligt anger detta kan hållas ansvarig vid rättsliga överträdelser.
Detta stod klart i ett domslut från Oberlandesgericht Düsseldorf den 08.11.2011 (Az.: I-20 U 42/11).
Ansvar på grund av dataskyddsskäl
Cookies
Om cookies överförs eller skapas när man laddar in en IFRAME-innehåll, är ett samtyckeskrav sannolikt. Detta följer av Lagen om telemedia, som ska implementeras i enlighet med ePrivacy-direktivet. Se till exempel BGH:s dom den 28 maj 2020 – I ZR 7/16. Inbundna YouTube-videor är oavsett om cookies används samtyckeskrävs! Sammanfattning: Detta gäller redan på grund av art. 5 GDPR (dataminimering). Den som vill kan fortfarande anföra att datat överförts till osäkra tredjeländer.
Minimering av data
Om IFRAME-innehåll härrör från en tredje part med vilken ingen avtalsrelation finns, är det ofta minst ett brott mot Artikel 5 GDPR (dataminimisering) som föreligger. En lämplig avtalsrelation för att undvika problem kunde vara en uppgiftshanteringavtal om den avtalspartner sitter i Tyskland, EU eller åtminstone i ett säkert tredje land.
Dataöverföringen måste dock även vid avtalsenlig säkerhet hålla sig inom ett acceptabelt ramverk. Spårning, dvs efterföljande av användare, bör inte vara syftet med IFRAME-integrering. Då skulle en samtycke sannolikt vara nödvändig.
Dataöverföring till osäkra tredje länder
Om inbunden innehåll finns på en server utanför EU, gäller artikel 44 GDPR . Den reglerar utbyte av data med osäkra tredjeländer. ([1])
Tekniska problem med IFRAMES
IFRAMES är en teknik som användes alltmer förr i tiden. Numera bör IFRAMES endast användas i nödfall om det är tekniskt nödvändigt. Men även här finns det problem som är mer av teknisk natur.
Om du bäddar in en IFRAME på en webbplats på ett sådant sätt att innehåll från den inbäddande webbplatsen visas ovanför eller under IFRAME, är det – det är svårt att tro – svårt att ställa in höjden på IFRAME korrekt. Höjden på en IFRAME är i princip okänd. Om höjden var känd för en upplösning skulle höjden inte längre vara densamma för en annan upplösning. Dessutom är IFRAME-innehållet ofta dynamiskt, så höjden är ännu mindre förutsägbar.
Om det finns länkar till integritetspolicyn eller det juridiska meddelandet under IFRAME blir det ännu mer underhållande. Om man skulle göra höjden på IFRAME:n mycket stor för att kunna visa allt innehåll i IFRAME:n utan att scrolla, skulle avståndet till de nämnda länkarna eventuellt bli för stort. Användaren kanske inte skulle kunna hitta länkarna. Som en följd av detta skulle det juridiska meddelandet och integritetspolicyn kunna anses vara otillgängliga.
Men om höjden på en IFRAME är för liten skapas fula scrollbars. På en smartphone resulterar detta snabbt i nästlade scrollområden: Det yttre området, den faktiska webbplatsen, måste rullas. Det inre området, IFRAME, måste också rullas. Ingen användare gillar detta och många skulle inte kunna se allt innehåll.
Rekommendationer till de ansvariga
Externt innehåll bör inte integreras via IFRAME om det finns andra alternativ. Detta beror på att webbplatsoperatören i slutändan inte har någon kontroll över det externa innehållet. Dessutom kan det lätt uppstå problem med den allmänna dataskyddsförordningen. IFRAMES är också tekniskt sett svåra att kontrollera.
Om innehåll från tredje part visas via IFRAMES ska detta tydligt märkas ut. Dessutom bör ett meddelande läggas till som anger att integrationen av innehållet i fråga kommer att tas bort om vi får kännedom om eventuella rättsliga överträdelser.
YouTube-videos bör inte läggas in med hjälp av IFRAME på grund av dataskyddsskäl och bör inte heller laddas utan att användaren gett sitt samtycke. Min rekommendation: undvika YouTube-videos eller länka till ett förhandsbild (andra alternativ nämns i min artikel).
Supplement integritetspolicy
Varje överföring av personuppgifter måste nämnas i personuppgiftsbehandlingens villkor, m.m. för att användaren ska ha möjlighet att motsätta sig detta och begära radering av de uppgifter som han själv har sparats.
För att vara säker, måste varje sida av en online närvaro undersökas för IFRAME-innehåll. Därefter kan man bestämma vilka IFRAMES som är tillåtna och ska nämnas i integritetspolicyen och vilka som ska ersättas eller tas bort.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.