DSGVO iFrame für TYPO3

YouTube-Videos und Google Maps ohne Einwilligung einzubetten, ist ein DSGVO-Verstoss mit Abmahnrisiko

Jede iFrame-Einbettung eines externen Dienstes überträgt die IP-Adresse des Besuchers an den Dienstanbieter, noch bevor der Besucher interagiert. Ein YouTube-Video auf der Startseite sendet beim Seitenaufruf die IP an Google, eine Google-Maps-Karte an Google, ein Facebook-Widget an Meta. Ohne vorherige Einwilligung des Besuchers ist das ein Verstoss gegen die DSGVO (Art. 6 Abs. 1 lit. a). Seit dem EuGH-Urteil Planet49 (2019) und dem BGH-Urteil zu Cookie-Bannern ist die Rechtslage klar: Technisch nicht notwendige Datenübertragungen an Dritte erfordern eine informierte Einwilligung. udg_gdpr_iframe implementiert die Zwei-Klick-Lösung für TYPO3: iFrames werden erst nach explizitem Klick des Besuchers geladen. Ein Platzhalter zeigt an, welcher Dienst geladen wird und welche Daten übertragen werden.

Typische Einsatzszenarien betreffen YouTube, Google Maps und Social-Media-Embeds

Das häufigste Szenario sind YouTube-Videos auf Unternehmenswebsites. Eine Firma zeigt auf ihrer Karriereseite ein Recruiting-Video. Ohne Consent-Lösung sendet die Seite bei jedem Aufruf die Besucher-IP an Google. Mit udg_gdpr_iframe sieht der Besucher statt des Videos einen Platzhalter mit Vorschaubild, dem Hinweis “Dieses Video wird von YouTube bereitgestellt. Beim Abspielen werden Daten an Google übertragen.” und einem Button “Video laden”. Erst nach Klick wird der iFrame geladen und das Video abgespielt.

Ein zweites Szenario ist die Google-Maps-Karte auf der Kontaktseite. Die Anfahrtskarte ist ein Standardelement, aber ein datenschutzrechtliches Risiko. udg_gdpr_iframe zeigt stattdessen ein statisches Kartenbild (Screenshot) als Platzhalter. Besucher, die die interaktive Karte brauchen, klicken auf “Karte laden” und akzeptieren damit die Datenübertragung an Google.

Drittes Szenario: Social-Media-Embeds. Ein Blog-Artikel zitiert einen Tweet oder einen Instagram-Post. Auch diese Embeds laden externe Ressourcen und übertragen Nutzerdaten. udg_gdpr_iframe blockiert den Embed und zeigt einen Platzhalter, der den Dienst benennt und einen Vorschautext anzeigt.

Technische Architektur ersetzt iFrames durch Platzhalter mit JavaScript-Loader

Die Extension registriert ein Content-Element oder modifiziert bestehende TYPO3-Content-Elemente, die iFrames enthalten. Im HTML wird der iFrame-src-Attribut durch ein data-src-Attribut ersetzt. Der Browser lädt den iFrame nicht, weil das src-Attribut fehlt. Stattdessen zeigt ein Platzhalter-Div den Dienst-Namen, den Datenschutzhinweis und einen Aktivierungs-Button.

Beim Klick auf den Button kopiert ein JavaScript-Snippet das data-src in das src-Attribut und der Browser lädt den iFrame. Optional kann der Besucher eine “Immer laden”-Checkbox aktivieren, die seine Entscheidung im LocalStorage speichert. Bei späteren Besuchen wird der iFrame dann ohne erneute Interaktion geladen.

Die Platzhalter-Darstellung ist per Fluid-Template konfigurierbar: Vorschaubild (z.B. YouTube-Thumbnail), Text, Button-Label, Link zur Datenschutzerklärung. Für YouTube-Videos kann die Extension das Thumbnail automatisch von der YouTube-API abrufen (ohne iFrame, nur ein Bild-Request).

Die Integration mit bestehenden Consent-Management-Plattformen (CookieBot, OneTrust, Borlabs Cookie) ist über die JavaScript-API möglich: Wenn der Besucher im Cookie-Banner der Kategorie “Marketing” zugestimmt hat, werden alle Marketing-iFrames automatisch geladen, ohne Zwei-Klick.

Häufige Probleme betreffen die Erkennung aller iFrames und die CMP-Integration

Das grösste Problem ist die vollständige Erkennung aller iFrames auf der Website. Redakteure betten iFrames nicht nur über Content-Elemente ein, sondern auch direkt im RTE (Rich Text Editor), in Fluid-Templates und in TypoScript. Die Extension muss alle Quellen abdecken. Ein häufiger Fehler: Die Content-Elemente sind geschützt, aber ein YouTube-iFrame im Footer-Template lädt weiterhin ohne Einwilligung. Die Lösung: Nach der Installation einen vollständigen Crawl der Website durchführen und alle iFrame-Quellen identifizieren.

Zweites Problem: Die Integration mit dem Consent-Management. Wenn die Website bereits Borlabs Cookie oder CookieBot einsetzt, kann es Konflikte geben: Das CMP blockiert den iFrame per eigenem Mechanismus, udg_gdpr_iframe blockiert ihn nochmals. Das Ergebnis: Doppelte Platzhalter oder ein iFrame, der nach der CMP-Einwilligung trotzdem nicht lädt. Die Lösung: Entweder udg_gdpr_iframe oder das CMP für iFrame-Blockierung nutzen, nicht beides.

Drittes Thema: Barrierefreiheit. Der Platzhalter muss per Screenreader zugänglich sein: Der Button braucht ein aria-label, der Datenschutzhinweis muss als Text (nicht als Bild) vorliegen, und die Tastaturnavigation muss funktionieren.

TYPO3 v12 wird unterstützt, die Extension bleibt relevant solange iFrames existieren

udg_gdpr_iframe löst ein Problem, das mit jeder neuen DSGVO-Auslegung relevanter wird. Die Extension läuft unter TYPO3 v12 stabil. Für v13 ist ein Update der Content-Element-Registrierung und des JavaScript-Loaders nötig. Da die Kernfunktionalität (iFrame-src durch data-src ersetzen) technisch trivial ist, lässt sich die Extension bei Bedarf mit geringem Aufwand auf jede TYPO3-Version portieren. Gosign prüft bei Datenschutz-Audits die vollständige iFrame-Abdeckung und empfiehlt die Lösung, die zum bestehenden Consent-Management der Website passt.