Embed-Block Ein Klick extra für mehr Datenschutz
1. Was sind "Embeds"?
Klassisches Beispiel: YouTube bietet eine "Einbetten-Funktion" an, wodurch ein sog. Inline-Frame (kurz: iFrame) generiert wird. Diese funktionieren - flach gesagt - wie ein Fenster in der einbettenden Webseite, in dem eine andere (eingebettete) Webseite zu sehen ist. Dabei verhält sich diese eingebettete Webseite genau so, als ob der Betrachtende diese Seite direkt aufgerufen hätte - allerdings ohne dass dieser Umstand irgendwie besonders sichtbar wäre:

Schematische Darstellung eines iframes am Beispiel einer Video- und einer Lernplattform (MS, CC-by-sa)
Der/dem Seitenbesuchenden wird also das Video angezeigt, welches sich nahtlos in die besuchte Webseite einfügt, der Browser baut allerdings im Hintergrund eine Verbindung zur Videoplattform auf, besucht also gerade (stark vereinfacht) zwei Internetseiten gleichzeitig.
1.1 Was ist daran auszusetzen?
Die Funktion ist recht komfortabel und prinzipiell nicht verwerflich. Es gibt gute Gründe, die iframe-Technik einzusetzen. Aber in manchen Fällen gehen damit datenschutzrechtlich "schwierige Begleiterscheinungen" einher. Denn der Inhalteanbieter (hier: die Videoplattform) kann dabei genauso agieren, als ob sie direkt aufgerufen worden wäre. Daraus resultiert folgendes:
Die Videoplattform kann Cookies setzen, Canvas Fingerprints, Browser Fingerprints oder ähnliche Informationen erhalten (also alles das was Sie heute bereits 150 Mal weggeklickt haben: "Diese Seite setzt Cookies und verwandte Techniken ein, um ...").
Manche Plattformen können die Interaktion mit dem Inhalt aufzeichnen, z.B. wie lange Sie ein Video angeschaut haben, ob Sie vor- und/oder zurückgespult oder pausiert haben.
Die Informationen aus den Fingerprints und der Interaktions-Aufzeichnung können - ebenso wie weitere Informationen (z.B. IP-Adresse, Referrer) - gespeichert werden. Cookies werden bei einem folgenden Besuch der Anbieter-Seite (oder einem erneuten Aufruf eines eingebetteten Inhalts des gleichen Anbieters) wieder eingesammelt. Alle Informationen zusammen werden zu (Schatten-) Profilen verschnürt. Die Informationen können auch mit bestehenden Benutzendenprofilen - wenn man z.B. ein Benutzendenkonto bei der Videoplattform hat - beim nächsten Login verknüpft werden.
1.2 Ist das legal?
Ja. Ohne z.B. Cookies wären viele Dinge im Internet gar nicht möglich. Z.B. würde unsere Lernplattform bei jedem Seitenwechsel auf eine andere Unterseite (z.B. wenn ein Klick auf dem Moodle-Dashboard zu einer Kursseite führt) beim Laden der neuen Seite "vergessen" haben, dass Sie angemeldet waren. Auch das "Warenkorb bearbeiten" oder "Weiter zum Bezahlen" in den Online-Shops wäre nicht möglich - oder man müsste sich auf jeder neu geladenen Unterseite erneut anmelden. Die Informationen zu einer authentifizierten Sitzung (sog. Session) bzw. einem erfolgreichen Login stehen in einem Cookie auf Ihrem Endgerät und machen Webseiten oft überhaupt erst benutzbar.
Aus Sicherheitsgründen darf ein Cookie allerdings nur von denjenigen Seiten ausgelesen werden, welche dieses Cookie auch gesetzt hat. Also darf z.B. YouTube nur YouTube-Cookies auslesen, aber keine Facebook-Cookies. Da die Anbieter der eingebetteten Inhalte aber genau so agieren, als wäre eine URL des Anbieters direkt aufgerufen worden, können also auch durch iframes Cookies gesetzt und ausgelesen werden.
Die rechtlichen Grundlagen liefern übrigens das TMG und/oder die ePrivacy-Richtlinie.
1.3 Wer tut sowas (und warum)?
Ähm - Alle. Die "Like-Buttons" von Sozialen Netzwerken, eingebette Videos (YouTube, Vimeo, Twitch, DailyMotion, etc.), eingebettete Karten (Google Maps, Bing Maps, etc.), eingebettete Instagram-Posts, Twitter Tweets, CodePen-Snippets, usw. funktionieren alle in Details anders, aber in Bezug auf Cookies und Datensammlung doch alle ähnlich.
Denn Informationen über die Nutzenden sind für diese Anbieter recht wertvoll. Hier können Sehgewohnheiten, Einkaufsverhalten, Suchverläufe etc. analysiert werden, welche "am Ende des Tages" vielen Anbietern dabei helfen, passende Werbung oder individualisierte Angebote auszuwählen und zu platzieren.
1.4 Was bedeutet das für die THGA?
Die THGA als Anbieterin von Telemediendiensten und Verantwortliche für die damit einhergehende Datenverarbeitung hat nach DSGVO diverse Pflichten gegenüber den Benutzenden bzgl. des Datenschutzes bei der Nutzung der von ihr angebotenen Dienste.
U.a. müssen wir ab dem Zeitpunkt, ab dem eine Verarbeitung personenbezogener Daten stattfindet, die Benutzenden über Art, Umfang und Zweck der Verarbeitung, die Speicherdauer für anfallende Daten, die Pflichten und Rechte der Benutzenden und vieles mehr informieren. Dafür gibt es eine (aus Gründen: recht lange) Datenschutzerklärung z.B. auf der Lernplattform oder auch hier.
Vor allem in Bezug auf unsere Lernplattform muss man dabei noch folgendes berücksichtigen: Nicht alle Benutzende besuchen die Lernplattformen freiwillig (= keine Einwilligung in die Datenverarbeitung gem. Art. 6 (1) lit. a DSGVO), sondern vielmehr deswegen, weil der/die Lehrende sich dazu entschlossen hat, unsere Lernplattform in der Lehre einzusetzen:
Die Studierenden und Kursteilnehmenden von Kursen mit eingebetteten Inhalten würden also quasi genötigt, personenbezogene Daten preiszugeben und Cookies auf dem eigenen Endgerät zuzulassen, wenn sie an der Lehrveranstaltung und dem dazugehörigen Online-Kurs teilnehmen.
Um dieses Missverhältnis ein wenig zu entspannen, war der Plan, einen iframe-Blocker zu entwickeln, welche den Datenaustausch mit dem Inhalteanbieter (also dem Anbieter des eingebetten Inhalts) blockiert und die Betroffenen jedes mal darüber informiert, dass bei einem weiteren Klick Daten mit diesem Anbieter ausgetauscht werden.
2. Cookies selber überprüfen?
Sie können diesen Effekt einmal gerne selber überprüfen: Klicken Sie dazu auf unten stehenden Button "Testseite öffnen". Auf der sich öffnenden Seite finten Sie mit Hilfe der sog. Entwicklerwerkzeuge von Desktop-Browsern überprüfen, welche Cookies gesetzt werden:
- Öffnen Sie mit [F12] (Firefox, Chrome, Edge, Internet Explorer) die Entwicklerwerkzeuge.
- Suchen Sie die Cookie-Anzeige
- im Firefox auf dem Tab "Web-Speicher"
- im Chrome auf dem Tab "Application"
- im Edge auf dem Tab "Speicher"
- im Internet Explorer auf dem Tab "Netzwerk"
- Laden Sie diese Seite ggf. erneut (z.B. mit [F5]).
- Achten Sie bei Interesse auch auf die Angaben auf dem Tab "Netzwerkanalyse". Dort werden Anfragen aufgelistet, die von der momentan aufgerufenen Webseite ausgesendet werden. Diese lassen sich nach "Host" sortieren. Achten Sie hier auf Anfragen, die nicht an *.thga.de gestellt werden. 😮
- YouTube setzt mind. vier Cookies, die personenbezogene Daten beinhalten können:

Anzeige von Cookies in den Entwicklerwerkzeugen (MS, CC-by-sa)
3. Umsetzung
3.1 Für Moodle keine "Out-of-the-Box"-Lösung
In der Moodle Community selber kursieren trotz umfangreicher DSGVO-relevanter Anpassungen keine Plugins, mit der z.B. sog. Zwei-Klick-Lösungen oder Blockierungen realisiert werden 🙁
Darüber hinaus gibt es in den Tiefen der Moodle-Konfiguration diverse Einstellungen, die dem Datenschutz bei Video-Einbettungen eher kontraproduktiv gegenüberstehen:
- Die Standard-Mediaplayer-Plugins "YouTube" und "Vimeo" haben bisher YouTube- und Vimeo-Links zu Videos und Playlists automatisch in eingebettet iFrames umgewandelt. Sehr komfortabel, aber leider nicht so richtig "datenschutz-sauber".
> Die Plugins wurden deaktiviert. - Der Moodle-eigene Videoplayer (basierend auf video.js) besitzt eine Funktion, ebenfalls YouTube-Videos darzustellen. Auch hier werden Inhalte von Servern Dritter geladen und iFrames generiert.
> Auch diese Funktion wurde deaktiviert. - Die einzige Möglichkeit für Benutzende, Videos in Webseiten einzubetten, funktioniert nun über die von den Anbietern bereitgestellten "Embed-Code-Schnipsel". So wurden die Ansatzpunkte für einen Embed-Block eingegerenzt.
3.2 Bestehendes weiterverwenden und anpassen
Arndt von Lucadou (lucadou.net) hat dankenswerterweise eine Lösung gebastelt und unter der freien MIT Lizenz auf Github veröffentlicht. Diese habe ich (vor allem bzgl. der Texte und des Designs) angepasst und in unsere Moodle-Umgebung integriert.
Dabei werden, wenn iFrames im Quelltext der Seite vorhanden sind, diese durch einen Hinweis ersetzt, dass hier versucht wurde, eine Verbindung mit Drittanbietern herzustellen. Erst, wenn ein Button angeklickt wird, werden diese Inhalte nachgeladen. Dabei wird außerdem die YouTube-URL automatisch durch die "NoCookie"-URL des "erweiterten Datenschutzmodus" (hier, Abschnitt Optionen) ersetzt. Dieses Feature (von YouTube selber recht gut versteckt) schützt zwar nicht umfassend, schränkt die Informationsweitergabe und das Speichern von Cookies etwas ein.
Diese Lösung funktioniert in meinen Tests mit Firefox, Chrome und dem Internet Explorer.
3.3 Eigenentwicklung für Websites
Ich habe in einem anderen Zusammenhang selber an einem kleinen Skript gebastelt, welches beim Laden von iFrames ebenfalls deren Quellcode manipuliert. Das setze ich auch hier auf der Seite ein.
Auch bei diesem Skript werden die iframes so verändert, dass keine Verbindung zum Anbieter-Server hergestellt wird. Das funktioniert in meinen Tests zuverlässig. Der Code ist unter obigem Link unter CC0 veröffentlicht.
Im Falle unserer Lernplattform werden beide Ansätze miteinander kombiniert.
4. Ergebnis
Das Ganze sieht nun so aus:
Erst nach einem Klick auf den entspr. Button wird der Inhalt geladen.
4.1 Unterstützte (getestete) Browser
Bisher habe ich diese Lösung in folgenden Browsern getestet:
- Mozilla Firefox (Windows)
- Google Chrome (Windows, iOS, iPadOS und Android)
- Microsoft Internet Explorer (Windows)
- Microsoft Edge (Windows)
- Safari (iOS, iPadOS)
4.2 Einschränkungen
Bisher werden nur YouTube-Videos, YouTube-Playlists und Vimeo-Videos blockiert. "Einbettbare" Formate, die bisher nicht unterstützt werden:
- Google Maps
- Bing Maps
- Andere Videoportale
- Instagram-Posts
- Twitter Tweets
- ...
Trotzdem: Ein erster Schritt und besser als nichts?
Hinweise zu Fehlern, zur Verbesserung dieser Lösung oder zu anderen Lösungsansätzen nehme ich sehr gerne entgegen! 🙂
Dann bis dann,
MS
Der Artikel "Embed-Block" von Martin Smaxwil ist lizenziert unter einer CC-by-sa-4.0-Lizenz. Über diese Lizenz hinausgehende Erlaubnisse können Sie unter https://moodle.thga.de/licensing erhalten.
Das Skript ist als erstes auf meinem privaten Blog (medienmarmela.de) veröffentlicht worden. Der Code ist gemeinfrei.
Das Beitragsbild ist von Markus Spiske, Quelle: Pixabay, Pixabay License.