IFRAMES: Haftung bei Einbindung von externen Inhalten

Kategorien: Datenschutz, Empfehlungen und Recht

Wer Inhalte von Dritten über ein IFRAME auf seiner Website einbindet, kann dafür haftbar gemacht werden. Sowohl das Urheberrecht als auch das Datenschutzrecht sind zu betrachten. Externe Dateien sollten nach Möglichkeit vermieden werden. Stattdessen sollten lokale Kopien der externen Dateien verwendet werden, was bei IFRAMES nicht immer möglich ist.

Einleitung

Beim Anzeigen eines IFRAMES auf einer Webseite werden IP-Adressen der Nutzer der Webseite an Dritte übertragen. Somit findet ein Transfer personenbezogener Daten statt. Damit sind die Maßstäbe der DSGVO anzusetzen. Auch der Transfer von Cookies kann gegeben sein.

Oft werden IFRAMES unbewusst eingebunden, beispielsweise beim Einbetten von YouTube Videos.

Darüber hinaus werden über IFRAMES externe Inhalte geladen und auf der gerade besuchten Webseite angezeigt. Dies erfordert eine urheberrechtliche Betrachtung.

Haftung aus urheberrechtlichen Gründen

Verstoß gegen Urheberrechte

Wer urheberrechtlich geschützte Inhalte über ein IFRAME einbindet, obwohl der Urheber technische Maßnahmen getroffen hat, die dies verhindern sollen, verstößt gegen das Urheberrecht. Dies ist zumindest dann der Fall, wenn diese Maßnahmen umgangen werden. Die Maßnahmen werden offensichtlich umgangen, wenn der eingebundene IFRAME die urheberrechtlich geschützten Inhalte anzeigt.

Das hat der EuGH in einem Urteil vom 09.03.2021 (C-392/19) in der Sache VG Bild-Kunst ./. Stiftung Preußischer Kulturbesitz entschieden. Am 09.09.2021 hat der BGH dieses Urteil bestätigt (Nr. 169/2021)

Störerhaftung

In einem Urteil vom 14.09.2012 (Az.: 6 U 73/12) stellte das OLG Köln fest, dass der Betreiber einer Internetseite keine Urheberrechtsverletzung durch die Einbindung eines Inhalts per IFRAME begangen hatte. Bindet man Inhalte per IFRAME ein, so werden diese laut OLG Köln dadurch nicht öffentlich zugänglich gemacht. Ohne diese Bedingung jedoch kann keine Urheberrechtsverletzung vorliegen.

Der Seitenbetreiber kann insofern nur noch als Störer haftbar gemacht werden.

Sollte der Betreiber Kenntnis einer Verletzung der Urheberrechte erlangen, können ihm zugemutet werden, die Einbindung der fremden Inhalte durch einen IFRAME auf seiner Homepage zu unterlassen.

Deswegen übrigens ist der sogenannte Disclaimer, der eine Haftung für externe Inhalte ausschließen soll, Bullshit. Vielmehr handelt es sich um einen schädlichen Disclaimer, denn die Erklärung zum Haftungsausschluss hat keinerlei positive Wirkung. Dafür kann aber eine negative Wirkung gegeben sein, wenn auch mit nicht allzu hoher Wahrscheinlichkeit. Immerhin erklärt der Betreiber der Webseite, nicht für externe Inhalte zu haften. Hieran schließt sich die Frage an, ob der Betreiber der Webseite dies nur erklärt, weil er schon Kenntnis über die externen Inhalte hatte. Hatte er diese Kenntnis nämlich, haftet er direkt und ab Kenntnis. Ihm wäre das Versäumnis vorzuwerfen, nicht sofort reagiert und die Referenzen auf die externen Inhalte nicht sofort entfernt zu haben.

Genau schädlich sind alle anderen mir bekannten Disclaimer. Man kann Haftung einfach nicht weiter ausschließen, als es das Gesetz sowieso schon vorsieht. Wer Abmahnungen durch einen Hinweis ausschließen will, sollte den Arzt wechseln.

Gezielte Einbindung ohne Kennzeichnung

Wer Text, ein Bild, ein Video, Audio-Dateien oder sonstige Inhalte losgelöst von anderen Inhalten über IFRAMES einbindet und dies nicht ausreichend kenntlich macht, kann bei Rechtsverletzungen dafür haftbar gemacht werden.

Dies stellte das OLG Düsseldorf in seinem Urteil vom 08.11.2011 (Az.: I-20 U 42/11) klar.

Haftung aus Datenschutzgründen

Cookies

Werden beim Laden eines IFRAME-Inhalts Cookies transferiert oder erzeugt, ist eine Einwilligungspflicht wahrscheinlich gegeben. Dies folgt aus dem bezüglich der ePrivacy Richtlinie konform auszulegenden Telemediengesetz. Siehe hierzu das Urteil des BGH vom 28.05.2020 – I ZR 7/16. Eingebundene YouTube Videos sind unabhängig von Cookies einwilligungspflichtig! Kurzfassung: Dies gilt alleine schon wegen Art. 5 DSGVO (Datenminimierung). Wer möchte, kann noch den Datentransfer in unsichere Drittländer als Grund nennen.

Datenminimierung

Werden die IFRAME-Inhalte von einem Dritten bezogen, mit dem keine vertragliche Beziehung besteht, ist oft mindestens ein Verstoß gegen Artikel 5 DSGVO (Datenminimierung) gegeben. Eine geeignete vertragliche Beziehung zur Vermeidung von Problemen könnte ein Auftragsverarbeitungsvertrag sein, wenn der Vertragspartner in Deutschland, der EU oder zumindest in einem sicheren Drittland sitzt.

Der Datentransfer muss allerdings auch bei vertraglicher Absicherung in einem akzeptablen Rahmen bleiben. Tracking, also das Nachverfolgen von Nutzern, sollte nicht Zweck der IFRAME-Einbindung sein. Dann nämlich wäre eine Einwilligung sehr wahrscheinlich notwendig.

Datentransfer in unsichere Drittländer

Wenn der eingebundene Content auf einem Server außerhalb der EU liegt, wird der Artikel 44 DSGVO relevant. Er regelt den Datenaustausch mit unsicheren Drittländern.

Technische Probleme mit IFRAMES

IFRAMES sind eine Technologie, die ganz früher verstärkt eingesetzt wurde. Heutzutage sollten IFRAMES nur noch im Notfall eingesetzt werden, wenn dies technisch notwendig ist. Aber auch hier gibt es Probleme, die eher technischer Natur sind.

Bindet man ein IFRAME auf einer Webseite so ein, dass über oder unter dem IFRAME Inhalt von der einbindenden Webseite steht, ist es – man glaubt es kaum – schwierig, die Höhe des IFRAME korrekt zu setzen. Die Höhe eines IFRAME ist grundsätzlich nicht bekannt. Wäre die Höhe für eine Auflösung bekannt, wäre die Höhe bei einer anderen Auflösung nicht mehr die gleiche. Oft sind IFRAME Inhalte zudem dynamisch, sodass die Höhe noch weniger vorhersagbar ist.

Befinden sich unter dem IFRAME Links zu Datenschutzerklärung oder Impressum, wird es noch lustiger. Würde man nämlich die Höhe des IFRAME sehr groß machen, um garantiert alle Inhalte im IFRAME ohne Scrollen darstellen zu können, wäre der Abstand zu den genannten Verlinkungen möglicherweise zu groß. Der Nutzer würde die Links womöglich nicht finden. In Konsequenz könnten Impressum und Datenschutzerklärung als nicht verfügbar gelten.

Ist die Höhe eine IFRAME hingegen zu klein gewählt, entstehen hässliche Scrollbalken. Auf dem Smartphone entstehen so schnell verschachtelte Scrollbereiche: Der äußere Bereich, die eigentliche Webseite, muss gescrollt werden. Ebenso muss der innere Bereich, das IFRAME, auch gescrollt werden. Kein Nutzer findet das gut und viele wären nicht in der Lage, alle Inhalte anzusehen.

Empfehlungen für Verantwortliche

Externe Inhalte sollten nicht per IFRAME eingebunden werden, wenn es andere Möglichkeiten gibt. Denn der Seitenbetreiber hat letztendlich keine Kontrolle über die externen Inhalte. Abgesehen davon können leicht Probleme mit der Datenschutzgrundverordnung entstehen. Technisch sind IFRAMES zudem schwierig beherrschbar.

Sollten Drittinhalte über IFRAMES dargestellt werden, sollte dies deutlich gekennzeichnet werden. Außerdem sollte ein Hinweis angebracht werden, dass bei Kenntnis von Rechtsverletzungen die Einbindung der fraglichen Inhalte entfernt wird.

YouTube Videos sollten aus Datenschutzgründen nicht per IFRAME eingebunden werden bzw. gar nicht ohne Einwilligung geladen werden. Meine Empfehlung: YouTube Videos vermeiden bzw. ein Vorschaubild verlinken (weitere Alternativen nennt mein Artikel).

Datenschutzerklärung ergänzen

Jegliche Übertragung personenbezogener Daten muss in der Datenschutzerklärung erwähnt werden, u. a. damit der Nutzer die Möglichkeit hat, dem zu widersprechen bzw. die Löschung der von ihm gespeicherten Daten zu verlangen.

Um sicherzugehen, muss jede Seite einer Online Präsenz auf IFRAME Inhalte untersucht werden. Danach kann entschieden werden, welche IFRAMES zulässig sind und in der Datenschutzerklärung erwähnt werden müssen und welche zu ersetzen oder zu entfernen sind.