Maps

Google Maps DSGVO-konform einbinden – geht das?

header-monitoring
service_google-maps
Google Maps
Der Kartendienst von Google.
Sitz: Mountain View, Kalifornien, Vereinigte Staaten
Kategorie: Maps
Einordnung: Einwilligung erforderlich via Consent Management Platform (CMP)
Inhalt des Beitrags

    Was ist Google Maps?

    Über die Jahre hat Google Maps Atlanten und große Kartenwerke aus den Regalen Zuhause und dem Handschuhfach im Auto vertrieben. Wir mĂŒssen uns keine Adressen oder Anfahrtswege mehr merken. Google weiß, was wir suchen – vielleicht sogar bevor wir es suchen.

    Auch auf Unternehmensseiten ist Google Maps fast standardmĂ€ĂŸig eingebunden, um Kunden zu ermöglichen, den Unternehmensstandort schnell und unkompliziert zu finden. Die wenigsten wissen, was dabei im Hintergrund passiert. Denn wie bei allen Google Diensten werden Cookies gesetzt und Daten der WebsitebesucherInnen verarbeitet.

    DatenĂŒbermittlung in die USA: Google Maps gehört zu Google LLC und ĂŒbermittelt Daten in ein Nicht-europĂ€isches Ausland, mit anderen Datenschutzgesetzen. FĂŒr die DatenĂŒbermittlung in die USA galt lange Zeit das Privacy Shield – ein Abkommen zwischen den USA und Europa – welches inzwischen aufgrund mangelnden Datenschutzniveaus vom EuGH gekippt wurde (Schrems-Urteil-II). Als Rechtsgrundlage im Sinne des Art. 46 Abs. 2 DSGVO kommt das Privacy Shield also nicht mehr in Frage.

    Die einzig verbleibende Rechtsgrundlage sind aktuell Standdarddatenschutzklauseln, die zwar vom EuGH noch nicht gekippt wurden, aber im Fall der FĂ€lle kaum tauglich sein dĂŒrften. Es bleibt hier noch Lösungen (ggf. neue Abkommen) abzuwarten. Doch bis dahin ist Vorsicht geboten, wenn es um Dienstleister aus den USA geht und dringend geraten, sich nach geeigneten Alternativen aus der EU umzuschauen, da diese der Datenschutzgrundverordnung (DSGVO) unterliegen.

     

    Wie nutze ich Google Maps auf gewerblichen Websites datenschutzkonform?

    Trotz dieser datenschutzrechtlichen Unsicherheiten und mangelnder Transparenz bezĂŒglich der Zwecke der Datenverarbeitung durch Google möchten viele Unternehmen nicht auf Google Maps verzichten. Wie du den Service möglichst datenschutzkonform in deine Website einbinden könntest, erfĂ€hrst du hier.

    Datenschutzkonforme Integration von Google Maps

    1. Über eine Google Maps API

    Eine API (application programming interface) ist eine Schnittstelle zur Einbindung von Drittanbieterservices in eine Webiste. Ein API-Code ermöglicht die eindeutige Authentifizierung von BenutzerInnen/EntwicklerInnen oder eines Programms und wird der jeweiligen Website (nach Erstellung eines Google-Unternehmenskontos) zugewiesen. Über diese Schnittstelle kann Google dann Kartenzugriffe ĂŒber die Website verfolgen. Diese Art der Integration kann ĂŒber zwei Wege geschehen:

    • Über die Embed-Funktion fĂŒr interaktive Karten ĂŒber eine http-Anfrage
    • Klassischer Weg: Via JavaScript mit mehreren Google-Funktionen

    2. Aufnahme in die Consent-Management-Platform

    Die Einbindung von Google Maps bedeutet, dass beim Aufruf der Seite ggf. Cookies von Google (mindestens das sogenannte NID-Cookie) gesetzt werden, welche Nutzereinstellungen und -informationen speichern und eine Verbindung zum Goolge-Netzwerk aufnehmen. Auf diese Weise können dort innerhalb von Nutzerprofilen diverse Informationen ausgewertet werden (auch wenn sie nicht in ein Google-Konto eingeloggt sind).

    Aus diesem Grund mĂŒssen Cookies von Google Maps als Analyse-Cookies kategorisiert werden und sind im Cookie Banner mit einer granularen Opt-In-Funktion aufzufĂŒhren.

    Rechtliche Grundlage fĂŒr die Verarbeitung

    Die Grundlage fĂŒr die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TTDSG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

    Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TTDSG fokussiert sich auf den Zugriff auf das EndgerÀt, also z.B. den Einsatz von Cookies.

    Wann besteht eine Einwilligungspflicht?

    Personenbezogene Daten

    Die Verarbeitung personenbezogener Daten ist nur dann rechtmĂ€ĂŸig, wenn mindestens einer der Buchstaben des Art. 6 Abs. 1 DSGVO erfĂŒllt ist. Die beiden wichtigen lit. sind die folgenden:

    1. Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
    2. Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)

    Cookies

    Gem. Art. 25 Abs. 1 TTDSG ist dann eine Einwilligung erforderlich, wenn Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

    Dabei sollte man wissen, dass damit nicht nur die bekannten, kleinen Textdateien und Pixel zĂ€hlen, sondern alle Technologien, die es ermöglichen, einen Nutzer, einen Benutzeragenten oder GerĂ€t herauszufinden, zu verknĂŒpfen oder herzuleiten.

    Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

    Die Anforderungen an die Einwilligungsfreiheit

    Um einen einwilligungsfreien Einsatz zu gewĂ€hrleisten, mĂŒssten folgende Bedingungen erfĂŒllt sein:

    1. Abschluss eines Auftragsverarbeitungsvertrags mit dem Auftragsverarbeiter (AV)
    2. Kein Einsatz von Cookies oder Àhnlichen Techniken zur Profilbildung
    3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa
    4. Der Auftragsverarbeiter nutzt die gewonnenen Daten nicht fĂŒr eigene Zwecke
    5. Der Auftragsverarbeiter verknĂŒpft die Daten nicht ĂŒber verschiedene Websites oder reichert sie an
    6. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausfĂŒhrliche Informationen ĂŒber die Erhebung personenbezogener Daten in der DatenschutzerklĂ€rung
    7. IP-Anonymisierung („Privacy by Default“)
    8. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser
    9. Nachweis der erfolgten Punkte 1-8 durch den Website-Betreiber
    referenzen-icon

    IP-Adresse

    Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt.

    Falls du verhindern willst, dass personenbezogene Daten ĂŒbermittelt werden, musst du immer dafĂŒr sorgen, dass die IP-Adresse verschleiert wird.

    dsb-icon

    Server-Standort

    Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

    firmensitz

    Firmensitz

    Bei amerikanischen Unternehmen oder deren Töchter ist zusĂ€tzlich der Fakt, dass es sich um ein amerikanisches Unternehmen handelt zu berĂŒcksichtigen. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig.

    Wir brauchen unbedingt YouTube-Videos auf unserer Website! Aber...

    Welche Varianten gibt es, um ein YouTube-Video innerhalb meiner Website einzubinden?

    Muss ich rechtliche Grundlagen berĂŒcksichtigen?

    youtube datenschutzkonform einbinden

    Warum ist Google Maps Einwilligungspflichtig?

    • Wenn Daten auf einem Server in einem sicheren Drittland verarbeitet wĂŒrden, muss dennoch in jedem Fall eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO fĂŒr die Nutzung von Google Maps eingeholt werden, da Daten durch den Dienst gespeichert werden.
    • Der Dienst von Google Maps darf entsprechend erst nach Einwilligung geladen werden, da sonst bereits eine Verbindung zu einem der Server aufbauen wĂŒrde.
    • Das ErfĂŒllen der Informationspflicht gemĂ€ĂŸ Art. 13 DSGVO in der DatenschutzerklĂ€rung stellt eine weitere HĂŒrde dar, da die Information des Drittlandes fehlt und somit keine transparente Information geliefert werden kann.

    Damit liegen VerstĂ¶ĂŸe gegen die oben genannten Punkte 1, 2, 3 und 7 vor. Eine Einwilligungsfreiheit kann nicht begrĂŒndet werden.

    Fazit

    Der EuGH hat beschlossen, dass eine generelle Einwilligungspflicht fĂŒr alle Cookies besteht, die fĂŒr den Betrieb der Website nicht zwingend notwendig sind. Die Argumentation ĂŒber das berechtigte Interesse (Art. 6 Abs. 1 lit.f DSGVO) ist im Fall von Google Maps leider nicht anwendbar. Der Service stellt zwar einen Mehrwert fĂŒr NutzerInnen dar, kann aber nicht als technisch unbedingt erforderlich angesehen werden. Ein Besuch der Website ist auch ohne Google Maps problemlos und ohne EinschrĂ€nkungen möglich. Gleichzeitig muss man mögliche Alternativen mit in seine Argumentation einbeziehen und spĂ€testens da bleiben wenig Argumente auf der Seite des berechtigten Interesses.

    Long story short: FĂŒr die Nutzung von Google Maps brauchst du die vorherige, informierte, explizite und freiwillige Einwilligung deiner NutzerInnen.

    Lösungsvorschlag: Zwei Klicks reichen aus!

    Wichtig: Personenbezogene Daten dĂŒrfen tatsĂ€chlich erst nach erfolgter Einwilligung ĂŒbertragen werden. Sprich, es dĂŒrfen somit keine Cookies gesetzt werden, bevor der Nutzer / die Nutzerin sein / ihr Opt-In durch das aktive Setzen eines HĂ€kchens gegeben hat. Eine gĂ€ngige Möglichkeit, technisch sicherzustellen, dass keine Daten unerlaubt ĂŒbertragen werden, ist die Zwei-Klick-Lösung (ist bei einigen CMP-Anbietern wie Borlabs oder Usercentrics möglich).

    Hier wird zunĂ€chst an der Stelle, wo die Karte erscheinen soll, eine Grafik oder ein statisches Bild der Karte angezeigt. Dieser Platzhalter ist auf der eigenen Website hochgeladen und ĂŒbertrĂ€gt daher noch keine Daten. In dieser Grafik kann ein Hinweis erscheinen, der die NutzerInnen darauf hinweist, dass sie die Karte erst sehen können, nachdem sie in die DatenĂŒbertragung durch Google Maps eingewilligt haben. An dieser Stelle sollte nochmal auf die DatenschutzerklĂ€rung verlinkt werden. Nachdem die NutzerInnen zugestimmt haben, erscheint an dieser Stelle die gewĂŒnschte Karte von Google Maps.

     

    Cookiebox-Geheimtipp: Datenschutzkonforme Alternative

    Eine 100prozentig datenschutzkonforme Einbindung von Google Maps sowie von anderen Google Diensten ist aufgrund der aktuellen Rechtslage (Stichwort: Privacy Shield und DatenĂŒbertragung in die USA) nicht möglich. Wer auf der sicheren Seite sein möchte, dem empfehlen wir die Alternative OpenStreetMap, welches seinen Sitz im Vereinigten Königreich hat.

    Du hast Fragen?

    Dann ruf uns gerne an. Wir helfen dir bei Fragen zu unseren Produkten oder generell zu allen Datenschutz-Themen:

    Rufen Sie uns an