Da bin ich nicht sicher, denn auch die Seiten mit den Warnmeldungen können direkt aufgerufen werden und das heißt, es fehlt die Notwendigkeit dafür, die externen Inhalte als eigene Inhalte einzubinden. Der Link zum Drittanbieter genügt vollkommen (das mildere Mittel). Es fehlt eine rechtliche Anforderung, dass die Inhalte unmittelbar anzuzeigen sind. Das würde bei der Interessenabwägung mE zugunsten des Betroffenen sprechen. Etwas anderes wäre es vielleicht, wenn die externen Inhalte nur über das eigene Angebot erreicht werden können, weil zB ein Login des Anbieters notwendig ist.
Man muss hier unterscheiden: Eine Übermittlung der Besucherdaten vom Verantwortlichen an den Drittanbieter findet nicht statt. Die Übermittlung der Daten erfolgt durch den Besucher selbst. Aber es kann eine gemeinsame Verantwortlichkeit durch die Nutzung externer Inhalte bestehen. Zur Einbindung externer Inhalte, die eine Datenübermittlung in Drittstatten beinhalten, äußerten sich in jüngster Vergangenheit mehrere Gerichte in der Hinsicht, dass eine Einwilligung vor der Übermittlung notwendig ist (zB LG München Az. 3 O 17493/20; VG Wiesbaden Az. 6 L 738/21.WI). Aus Sicht der DSGVO steht also die Frage der gemeinsamen Verantwortlichkeit im Raum. Denn im Gegensatz zum Link, der unmissverständlich auf eine weitere Seite führt, wird das Angebot des Drittanbieters als eigener Inhalt dargestellt und somit über Zweck und Mittel des Drittanbieters im Rahmen des eigenen Angebotes verfügt. Das ist der Unterschied zum Link, der eindeutig auf ein fremdes Angebot verweist.
Das TTDSG fordert in §19 Abs.3:
Die Weitervermittlung zu einem anderen Anbieter von Telemedien ist dem Nutzer anzuzeigen.
Das wurde unverändert von §13 Abs.5 TMG übernommen und hat seinen Ursprung in §4 Abs.3 TDDSG (Teledienstedatenschutzgesetz). In der Gesetzesbegründung des TDDSG aus dem Jahr 1997 (BT-Drs 13/7385) heißt es dazu:
Zweck des Absatzes 3 ist es, dem Nutzer Transparenz über die Weiterschaltung zu einem weiteren Diensteanbieter zu ermöglichen. Ohne eine derartige Vorschrift können weder das Auskunftsrecht des Nutzers noch eine datenschutzrechtliche Kontrolle wirksam wahrgenommen werden.
Das Beispiel des LDA Bayern zur Einbindung von Drittdiensten oder -inhalten ist missverständlich formuliert[1]. Durch das Einbinden von Drittinhalten ohne Verlinkung wird ein Onlineangebot natürlich nicht verlassen und es findet auch keine technische Weiterleitung statt (zB statt <img src="www.irgend.wo/images/…> die lokale Kopie <img src=images/…>). Dazu passt allerdings nicht der Hinweis, die Einbindung von Drittinhalten sei häufig mit der Übermittlung von personenbezogenen Daten an Drittanbieter verbunden. Wird das Onlineangebot nicht verlassen, werden auch keine Daten an Dritte übermittelt. Hier wurden offenbar zweierlei Formen der Einbindung vermischt, nämlich eine lokale Kopie des Drittinhaltes (= Nichtverlassen des Onlineangebots) und das Laden externer Drittinhalte mittels Aufruf der Quelle (= Verlassen des Onlineangebots).
Durch die Einbindung externer Inhalte per iframe erfolgt die Weiterleitung bereits mit dem Aufruf der Webseite. Sie findet also vor der geforderten Anzeige einer Weitervermittlung statt. Technisch passiert beim direkten Besuch des Drittanbieters via Link und bei der Einbindung via iframe dasselbe: Aufbau TCP-Verbindung und Datenübermittlung zum Drittanbieter (IP, Browserdaten etc.). Ein technischer Unterschied besteht im Umfang der Inhalte: Laden sämtlicher Inhalte beim Besuch des Drittanbieters vs. partielles Laden beim Einbinden einzelner Inhalte des Drittanbieters. Ein datenschutzrechtlicher Unterschied kann ebenfalls im Umfang der Datenverarbeitung bestehen: Beim Laden der kompletten Seite kann eine Weiterverarbeitung stattfinden (Scripte, Cookies), was bei partiellen Inhalten vielleicht nicht passiert.
Mit der Einbettung von externen Inhalten in iframes findet die Weiterleitung oder -vermittlung idR ohne Wissen des Besuchers statt (gleiches bei Bildern, Fonts, Scripten uä). Meist verrät erst der Blick in den Quelltext das tatsächliche Geschehen. Damit sind wir bei dem in der Gesetzesbegründung angesprochenen Problem: Die Nutzung ist für den Besucher intransparent; die Verarbeitung von pb Daten ist unbekannt; es fehlt die Möglichkeit der datenschutzrechtlichen Kontrolle. Und während ein Besucher bei einem Link über die Weiterleitung frei entscheiden kann, bleibt ihm diese Entscheidung bei iframes versagt.
Aus Sicht der IT-Sicherheit sind iframes, die externe Inhalte laden, grundsätzlich nicht zu empfehlen[2], da auch der Anbieter keine Kontrolle über die Drittinhalte hat.
Die Methode, auf externen Inhalt hinzuweisen und einen Button “Externe Inhalte anzeigen” einzubinden, wahlweise den Link zum Drittanbieter anzuzeigen, ist wohl das empfehlenswerte Vorgehen. Das ermöglichte dem Besucher eine freie Entscheidung und mit der Nutzung des Buttons würde dem Anzeigen des externen Inhaltes ebenso zugestimmt wie beim Klicken auf einen Link.
[1] Rn21, Erläuterungen zum neuen Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), Orientierungshilfe
https://www.datenschutz-bayern.de/datenschutzreform2018/OH_TTDSG_Telemedien.pdf
[2] https://owasp.org/www-community/attacks/Cross_Frame_Scripting
Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021)
https://datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf