Diese Technologien sind bei Websitebetreibern sehr beliebt, um etwa Karten von Google Maps, Videos von YouTube oder Inhalte von Social-Media-Plattformen einfach und bequem auf der eigenen Website anzuzeigen. Aber jedes Mal, wenn ein solcher Dienst bzw. Inhalt geladen wird, werden Daten des Nutzers an den Server des Drittanbieters übermittelt.
Was sind iFrames und JavaScript-Inhalte?
iFrames und JavaScript sind Techniken, mit denen Inhalte von Drittanbietern auf einer Website eingebunden werden können. iFrames ermöglichen das direkte Einbinden externer Seiten, während JavaScript häufig für dynamische und interaktive Inhalte genutzt wird. Über diese Technologien werden häufig beliebte Dienste wie Google Maps, YouTube-Videos, Social-Media-Buttons oder Tracking-Tools integriert, um die Benutzerfreundlichkeit der Website zu erhöhen und attraktive Inhalte bereitzustellen.
Doch bei jedem Zugriff auf diese externen Inhalte übermitteln Browser automatisch bestimmte Nutzerdaten, insbesondere die IP-Adresse, an den Server des Drittanbieters. Nach der DSGVO gilt die IP-Adresse als personenbezogenes Datum, dessen Weitergabe ohne Erlaubnis des Nutzers nicht erlaubt ist.
Datenschutzprobleme durch die Einbindung fremder Inhalte
Automatische Datenübertragung
Sobald ein externer Inhalt in eine Website eingebettet ist, erfolgt eine automatische Datenübertragung an den Drittanbieter. Die DSGVO fordert aber, dass Nutzer aktiv über solche Übertragungen informiert werden und ihre ausdrückliche Zustimmung dazu geben müssen. Eine bloße Einblendung eines Datenschutzhinweises genügt hier oft nicht, wenn die Datenübertragung ohne aktives Zutun des Nutzers geschieht.
Tracking und Profilbildung
Viele Drittanbieter nutzen die übermittelten Daten, um das Surfverhalten der Nutzer zu verfolgen, Profile zu erstellen und personalisierte Werbung auszuspielen. Besonders problematisch ist dies, wenn solche Daten über viele Websites hinweg gesammelt werden, ohne dass Nutzer eine Vorstellung davon haben, wie und zu welchem Zweck ihre Daten weiterverwendet werden. Die DSGVO fordert eine eindeutige Transparenz und Einwilligung des Nutzers.
Datenübermittlung in unsichere Drittländer
Viele Dienste, die über iFrames und JavaScript integriert werden, stammen von Unternehmen in den USA oder anderen Ländern außerhalb der EU. Da die USA seit dem EuGH-Urteil von 2020 (Schrems II) als unsicheres Drittland gelten, müssen zusätzliche Maßnahmen getroffen werden, um den Schutz personenbezogener Daten zu gewährleisten. Solche Übermittlungen sind nur zulässig, wenn ein ausreichendes Datenschutzniveau sichergestellt ist – was in der Praxis oft eine große Herausforderung darstellt.
Mangelnde Transparenz und Kontrolle
Nutzer haben häufig keine Möglichkeit, die Datenübertragung und deren Ausmaß zu kontrollieren. Eine Verlinkung in der Datenschutzerklärung auf die Datenrichtlinien des Drittanbieters reicht in der Regel nicht aus, da Nutzer selten die vollständige Kontrolle über ihre Daten behalten.
Die Rechtsfolgen und Anforderungen für Sie als Webseitenbetreiber
Um rechtlich sicherzugehen, müssen Sie als Webseitenbetreiber verschiedene Maßnahmen ergreifen:
Transparente Einwilligung: Die DSGVO fordert, dass Webseitenbetreiber vor der Übermittlung von Daten an Drittanbieter eine informierte Einwilligung einholen. Cookie-Banner oder sogenannte Consent-Management-Plattformen (CMP) helfen, dies technisch umzusetzen. Der Nutzer muss explizit der Weitergabe seiner Daten an Drittanbieter zustimmen können und auch die Möglichkeit haben, diese Entscheidung jederzeit zu ändern.
Technische Alternativen nutzen: Wo möglich, sollten Betreiber Inhalte lokal hosten, statt sie über Drittanbieter zu laden. Bei Google Fonts beispielsweise können die Schriften direkt auf den eigenen Servern gespeichert und so datenschutzkonform eingebunden werden. Alternativ gibt es Tools, die nur dann externe Inhalte laden, wenn der Nutzer ausdrücklich zustimmt, zum Beispiel durch eine Zwei-Klick-Lösung bei Videos oder interaktiven Karten.
Datenschutzerklärung und Dokumentation: Betreiber sind verpflichtet, in ihrer Datenschutzerklärung ausführlich und leicht verständlich über die Einbindung und Nutzung externer Inhalte zu informieren. Wer welchen Zugriff auf welche Daten hat, muss transparent dargelegt werden. Webseitenbetreiber sollten zudem dokumentieren, welche Drittanbieter eingebunden sind und welche Maßnahmen zum Schutz der Nutzerdaten getroffen werden.
Fazit
Die DSGVO stellt klare Anforderungen an die Einbindung von Drittanbietern über iFrames, JavaScript, Google Fonts und ähnliche Technologien. Das einfache Einbinden externer Inhalte ohne Zustimmung ist nicht mehr zulässig, da dies zur Weitergabe personenbezogener Daten an Drittanbieter führt. Sie als Webseitenbetreiber sind deshalb in der Pflicht, datenschutzfreundliche Alternativen zu suchen, Transparenz zu schaffen und die Rechte der Nutzer durch verlässliche Einwilligungs- und Kontrollmechanismen zu schützen.
Die Herausforderung bleibt, datenschutzkonforme und zugleich nutzerfreundliche Lösungen zu finden, die eine Balance zwischen der Bereitstellung externer Inhalte und dem Schutz personenbezogener Daten herstellen. Mit der steigenden Sensibilität für Datenschutzfragen wird es erforderlich, dass Sie ihre Webseiten entsprechend anpassen und Ihren Nutzern die Entscheidung über ihre Daten selbst überlassen.