Es wird viel über Plug-Ins, Buttons & Icons geredet – über Chancen fürs Marketing und Risiken für den Datenschutz. Aber was steckt eigentlich hinter den externen Inhalten bekannter Internetunternehmen, die per iframe auf vielen Webseiten eingebunden werden? Wir versuchen einmal einen Blick hinter die Kulissen zu werfen.
Der Inhalt im Überblick
Zauberwort: I(nline)frame
Das Einbinden fremden Contents kann über sogenannte Inlineframes (iframe) realisiert werden. Dabei handelt es sich grundsätzlich um Gestaltungsmittel für Websites auf HTML Basis. Einfach gesprochen lassen sich über iframes auf einer bestimmten Website kleine Fenster anzeigen, in denen eine ganz andere Website angezeigt wird.
Man könnte laienhaft sagen, es wird ein eigener Internetbrowser auf einer Website eingebaut, den der Besucher selbst nicht steuern kann, sondern der vom Betreiber der besuchten Website seine Befehle bekommt. Dort können Werbung, Bilder oder Symbole angezeigt werden, ohne dass dem Websitebesucher klar wird, dass er eigentlich gerade mehrere Websites parallel anschaut. Die überwiegende Anzahl von Seiten mit Social Media PlugIns arbeitet so. Beim Besuch von Websiten mit Facebook, Google+ und Twitter PlugIns sieht der Besucher also immer ein Zusammenspiel von mehreren Websites. Dies gilt auch bei der Einbindung von Videos über Youtube.
Der Vollständigkeit halber sei darauf hingewiesen, dass Facebook neben der iframe-Version mittlerweile auch eine XFBML-Version anbietet, die etwas anders arbeitet. Viele Seite binden jedoch den like-Button noch über einen iframe ein.
Was kann der iframe?
Die Nutzung eines iframes bringt einige Vorteile mit sich. Externe Inhalte können die eigene Webseite bereichern. Außerdem braucht der Websiteanbieter unter anderem weniger Speicherplatz für eigene Inhalte und die Seite kann schneller laden, ohne dass auf den Frame gewartet werden muss.
Aus datenschutzrechtlicher Sicht ist allerdings entscheidend, ob die eingebundene kleine fremde Seite in der Lage ist, Informationen zu sammeln und weiterzugeben.
Technisch gesehen ist dies möglich: Daten, die beim Besuch einer Website mit einem Inlineframe an die Quelle des Frameinhaltes weitergegeben werden können, sind zum Beispiel die IP-Adresse des Websitebesuchers, die URL der Zielseite oder die Uhrzeit. So hat beispielsweise Facebook eingeräumt, dass selbst bei Nutzern, die noch nie die Seite www.facebook.com angesteuert haben, die IP-Adresse bei Besuch einer mit dem like-Button geframten Seite übertragen wird.
Cookies auslesen
Darüber hinaus können über den in einem Inlineframe abgebildeten Inhalt hinaus auch die Informationen eines bereits zuvor gesetzten Cookies ausgelesen werden.
Hat ein User also beispielsweise www.youtube.com besucht und wurde dort auf seinem Rechner ein Cookie gesetzt – dies ist regelmäßig der Fall -, dann kann YouTube bei Besuch einer Website, die Youtube-Inhalte über einen iframe einbettet, die Informationen des Cookies abrufen.
Wichtig zu wissen ist dabei, dass es dazu nicht des Abspielen des Videos per Klick bedarf. Alleine die im iframe laufende „Website“ ist in der Lage den Cookie auszulesen.
Fazit
Die iframe-Technik ermöglicht es Daten über den Nutzer relativ einfach einzusammeln. Ob mit Cookie oder ohne Cookie – je nach technischer Versiertheit des Programmierers können ähnlich viele Daten erhoben und verwendet werden, wie dies bei Besuch einer Website möglich ist.
Das Problem ist wie immer, ob es sich dabei um personenbezogenen Daten handelt, wer die Daten bekommt und was damit passiert. Dies steht allerdings auf einem anderen Blatt…
Mich würde interessieren, wie die Einbettung von IFrames heute unter DSGVO zu bewerten ist. Mir geht es weniger um Dienste wie Facebook, sondern um die Einbettung von Portalen wie z.B. Immoscout, Mobile.de oder Buchungsplattformen bei Hotels und Veranstaltern. FB lässt sich vermeiden, für Autohändler, Immobilienmarkler oder Hotelbetreiber ist es allerdings schwer auf die oben genannten zu verzichten. Ebenso verhält es sich bei einigen Webseitenbetreiber die externe Shops einbinden. Oft wird die Einbindung als IFrame als „eigener“ Menüpunkt dargestellt. Der Nutzer wird nicht über das Verlassen der eigentlichen Seite aufgeklärt… Mich würde Interessieren wie in diesen Fällen zu informieren und handeln ist in Sache:
1. Cookie Hinweis (unter welche Kategorie würden die Cookies fallen? Theoretisch würde ich sagen technisch Notwendig, da ich im Falle eines Hotels die Buchung als „Notwendig“ vermuten würde, allerdings wäre ein Buchungssystem des Hotels die mildere Möglichkeit und ja theoretisch umsetzbar…)
2. Sollten die Inhalte durch eine 2-Klick-Lösung erst einmal blockiert werden?
3. Wie ist in der Datenschutzerklärung damit umzugehen?
Da ich momentan täglich mit dem Thema konfrontiert werde, würde ich mich sehr über Meinungen und Tipps freuen oder vielleicht über ein Update des Artikels.