Iedereen die inhoud van derden via een IFRAME op zijn website plaatst, kan aansprakelijk worden gesteld. Er moet rekening worden gehouden met zowel auteursrecht als gegevensbescherming. Externe bestanden moeten zoveel mogelijk worden vermeden. In plaats daarvan moeten lokale kopieën van externe bestanden worden gebruikt, wat niet altijd mogelijk is met IFRAMES.
Inleiding
Bij het tonen van een IFRAME op een website worden IP-adressen van de gebruikers van de website aan derden overgedragen. Hierdoor vindt een overdracht van persoonsgegevens plaats. Daarmee zijn de maatstaven van de AVG van toepassing. Ook kan er sprake zijn van het overdragen van cookies.
Vaak worden IFRAMES onbewust ingevoeg, bijvoorbeeld bij het invoegen van YouTube-video's.
Daarnaast wordt externe inhoud geladen via IFRAMES en weergegeven op de website die op dat moment wordt bezocht. Hier moet rekening mee worden gehouden in het kader van de auteursrechtwetgeving.
Aansprakelijkheid op grond van auteursrecht
Inbreuk op auteursrechten
Iedereen die auteursrechtelijk beschermde inhoud insluit via een IFRAME, ook al heeft de auteur technische maatregelen genomen om dit te voorkomen, overtreedt de auteursrechtwet. Dit is in ieder geval het geval als deze maatregelen worden omzeild. De maatregelen worden duidelijk omzeild als de geïntegreerde IFRAME de auteursrechtelijk beschermde inhoud weergeeft.
Het heeft de Europese Hof van Justitie in een vonnis van 09.03.2021 (C-392/19) in het geval VG Bild-Kunst ./. Stiftung Preußischer Kulturbesitz beslist. Op 09.09.2021 heeft de Hoge Raad dit vonnis bevestigd (Nr. 169/2021)
Aansprakelijkheid voor interferentie
In een von 14.09.2012 (Az.: 6 U 73/12) uitgebrachte uitspraak stelde het OLG Keulen vast dat de beheerder van een internetpagina geen inbreuk op auteursrechten had gepleegd door het invoegen van inhoud per IFRAME. Bindt men inhoud per IFRAME in, dan wordt deze volgens het OLG Keulen niet openbaar beschikbaar gemaakt. Zonder deze voorwaarde kan er geen sprake zijn van een inbreuk op auteursrechten.
In dit opzicht kan de websitebeheerder alleen aansprakelijk worden gesteld als verstoorder.
Als de exploitant zich bewust wordt van een schending van het auteursrecht, kan van hem worden verwacht dat hij afziet van de integratie van de inhoud van derden door middel van een IFRAME op zijn homepage.
Disclaimer, die bedoeld is om aansprakelijkheid voor externe inhoud uit te sluiten, is Bullshit. Het gaat namelijk om een schadelijke disclaimer, want de Erklärung to disclaimer heeft geen enkele positieve effect. Integendeel, er kan zelfs een negatief effect zijn, alhoewel dat niet erg waarschijnlijk is. De beheerder van de website verklaart in ieder geval dat hij niet aansprakelijk is voor externe inhoud. Hierdoor rijst de vraag of de beheerder van de website dit alleen verklaard omdat hij al kennis had van die externe inhoud. Had hij deze kennis namelijk, dan haft hij direct en afhankelijk van zijn kennis. Hij zou dan moeten worden verweten dat hij niet onmiddellijk heeft gereageerd en de referenties naar de externe inhoud niet onmiddellijk heeft verwijderd.
Precies schadelijk zijn alle andere disclaimer die ik ken. Men kan aansprakelijkheid gewoon niet verder uitsluiten dan het wettelijke minimum al doet. Wie waarschuwingen door een waarschuwing wil uitschrijven, moet de dokter wijzigen.
Gerichte integratie zonder etikettering
Iedereen die tekst, een afbeelding, een video, audiobestanden of andere inhoud los van andere inhoud insluit via IFRAMES en dit niet voldoende aangeeft, kan aansprakelijk worden gesteld in geval van wettelijke overtredingen.
Dit stelde het OLG Düsseldorf in zijn uitspraak van 08.11.2011 (Az.: I-20 U 42/11) duidelijk.
Aansprakelijkheid om redenen van gegevensbescherming
Cookies
Wanneer bij het laden van inhoud in een IFRAME cookies worden overgedragen of gegenereerd, is een toestemmingsplicht waarschijnlijk gegeven. Dit volgt uit de Wet op de telemedia, die conform de ePrivacy Richtlijn moet worden nageleefd. Zie hiervoor het von 28.05.2020 – I ZR 7/16 von het Bundesgerichtshof (BHG). Ingebedde YouTube-video's zijn onafhankelijk van cookies toestemmingplichtig! Korte samenvatting: Dit geldt alleen al omwille van Art. 5 GDPR (gegevensminimisatie). Wie wil, kan nog de gegevensoverdracht naar onzekere derde landen als reden noemen.
Gegevensminimalisatie
Wanneer de inhoud van IFRAME's wordt opgehaald van een derde partij waarmee geen contractuele relatie bestaat, is vaak minstens één overtreding van Artikel 5 GDPR (gegevensbeperking) gegeven. Een geschikte contractuele relatie om problemen te voorkomen zou een opdrachtverwerkingsovereenkomst kunnen zijn, als de opdrachtnemer in Duitsland, de EU of tenminste in een veilig buitenland zit.
De gegevensoverdracht moet echter ook bij contractuele afhandeling binnen een acceptabele grenzen blijven. Tracking, dus het opsporen van gebruikers, mag niet de doelstelling zijn van de IFRAME-integratie. Dan zou er namelijk wellicht toestemming nodig zijn.
Gegevensoverdracht naar onveilige derde landen
Wanneer de ingebouwde inhoud zich op een server buiten de EU bevindt, is artikel 44 GDPR van toepassing. Het regelt de uitwisseling van gegevens met onzekere derdelanden.
Technical problemen met IFRAMES
IFRAMES zijn een technologie die in het verleden steeds meer werd gebruikt. Tegenwoordig mogen IFRAMES alleen in noodgevallen worden gebruikt als het technisch noodzakelijk is. Maar ook hier zijn er problemen die meer van technische aard zijn.
Als je een IFRAME insluit op een website op zo'n manier dat inhoud van de insluitende website boven of onder de IFRAME verschijnt, is het – het is bijna niet te geloven – moeilijk om de hoogte van de IFRAME goed in te stellen. De hoogte van een IFRAME is in principe onbekend. Als de hoogte bekend zou zijn voor de ene resolutie, zou de hoogte niet meer hetzelfde zijn voor een andere resolutie. Bovendien is de inhoud van IFRAME vaak dynamisch, waardoor de hoogte nog minder voorspelbaar is.
Als er links naar het privacybeleid of de juridische mededeling onder de IFRAME staan, wordt het nog leuker. Als je de hoogte van de IFRAME heel groot zou maken om alle inhoud in de IFRAME weer te geven zonder te scrollen, zou de afstand tot de genoemde links mogelijk te groot zijn. De gebruiker zou de links dan niet kunnen vinden. Als gevolg hiervan zouden de juridische kennisgeving en het privacybeleid als onbeschikbaar kunnen worden beschouwd.
Als de hoogte van een IFRAME echter te klein is, ontstaan er lelijke scrollbalken. Op een smartphone resulteert dit al snel in geneste scrollgebieden: Het buitenste gebied, de eigenlijke website, moet worden gescrold. Het binnenste gebied, de IFRAME, moet ook worden gescrold. Geen enkele gebruiker vindt dit prettig en velen zouden niet in staat zijn om alle inhoud te bekijken.
Aanbevelingen voor verantwoordelijken
Externe inhoud moet niet worden geïntegreerd via IFRAME als er andere opties zijn. De reden hiervoor is dat de websitebeheerder uiteindelijk geen controle heeft over de externe inhoud. Daarnaast kunnen er gemakkelijk problemen ontstaan met de Algemene Verordening Gegevensbescherming. Technisch gezien zijn IFRAMES ook moeilijk te controleren.
Als inhoud van derden wordt weergegeven via IFRAMES, moet dit duidelijk worden aangegeven. Bovendien moet er een mededeling worden toegevoegd waarin staat dat de integratie van de inhoud in kwestie zal worden verwijderd als we ons bewust worden van wettelijke overtredingen.
YouTube-video's moeten uit privacyredenen niet per IFRAME worden ingeladen en ook niet zonder toestemming geladen worden. Mijn aanbeveling: YouTube Videos vermijden of een afbeeldingsvoorbeeld linken (weitere Alternatives noemt mijn artikel).
Aanvulling privacybeleid
Elke overdracht van persoonsgebonden gegevens moet in de gebruikersvoorwaarden worden genoemd, onder andere om de gebruiker de mogelijkheid te geven daartegen in te gaan of de verwijdering van de door hem opgeslagen gegevens te vragen.
Om er zeker van te zijn, moet elke pagina van een online aanwezigheid op IFRAME-inhoud worden onderzocht. Daarna kan besloten worden welke IFRAMES toegestaan zijn en in de gegevensbeschermingsverklaring genoemd moeten worden en welke vervangen of verwijderd moeten worden.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
