iframes und Datenschutz

Wie kann ein kleiner Rahmen zur Datenschutz-Katastrophe werden?
Da müht man sich ab und dann das! Echt jetzt?

Mein folgendes Beispiel zeigt gut, dass man auch bei vermeintlich technisch “simplen” Lösungen am besten gleich den Datenschutz mitdenkt, um nicht hinterher ein böses Erwachen zu haben.

Was war passiert?

Vor einigen Wochen habe ich für einen Kunden eine Analyse seines Webportals durchgeführt und die Seite auf alle möglichen Datenschutzprobleme hin untersucht. Bis auf die üblichen Verdächtigen wie Google Fonts oder das scheinbar unverzichtbare Goolge Analytics war die Seite ziemlich sauber. Das Problem mit Google Fonts war auch schnell abgestellt und GA, naja, ich hab’ halt meinen Vers dazu gereimt. Mehr kann ich nicht tun.

So weit, so gut.

Vor einigen Tagen habe ich dann das Portal erneut untersucht und bin vollkommen sprachlos und fast lautlos vom Bürostuhl gerutscht. Der Scan ergab so ziemlich die toxischste Kombination aller nur denkbaren Datenschutzsünden ever. Von Google Fonts (die hatten wir doch gerade erst verbannt), über Doubleclick, GT, GA, Cloudfront und was weiß ich nicht noch alles. WTF. Was war das?

Nach etwas Recherche war es klar. Um mehr Content in das Portal zu bekommen, wurde dieser von anderen Seiten über sogenannte iframes eingebunden. Für alle Nicht-Techniker, iframes sind quasi “Fenster” (daher auch der Name) oder “Platzhalter” auf fremde Inhalte, die aber wie Originalinhalt der aufgesuchten Seite aussehen. Für den Content-Importeur ist das eine einfache Sache, da er einfach nur die URL benötigt, von der der fremde Content eingebunden werden. soll.

Allerdings – und das ist das Problem – können über dieses “Fenster” auch alle möglichen datenschutzrechtlich problematischen Inhalte der fremden Quellen in das eigene Universum importiert werden. Man hat am Ende keine Kontrolle darüber, was durch die fremden Inhalte an Cookies oder weiteren externen Ressourcen angefordert und nachgeladen wird.

Rechtlich besteht das Problem, dass der fremde Inhalt durch den Content-Importeur an den Endbenutzer “ausgeliefert” wird, ohne dass dieser vorher damit hätte rechnen müssen. Damit geht der Webseitenbetreiber, auf dessen Seite der iframe eingebunden wurde, eine (Mit-)Verantwortung für die ausgelieferten Inhalte ein. Anders als bei einem expliziten Link, auf den der Besucher intendiert klicken muss, wird der Inhalt des iframes direkt ausgeliefert.

Übrigens: Die Player vieler Videoportale wie youtube oder vimeo werden auch häufig über iframes in Seiten eingebunden. Auch hier finden ggf. kritische Datenverarbeitungen auf Drittseiten statt, für die der Webseitenbetreiber verantwortlich gemacht werden kann. Daher hat sich dort mittlerweile eine Zweischritt-Lösung etabliert, bei der der iframe erst durch einen Klick des Users freigeschaltet werden muss. So kann sich dieser erst informieren, bevor er einer Verarbeitung auf Drittseiten zustimmt.