HinSchG Vorgaben einfach und effizient umsetzen mit dem Parlabox Hinweisgebersystem
cookiebox logo
Demo vereinbaren
Kostenlos starten
cookiebox logo
maps
Google Maps

Google Maps DSGVO-konform einbinden – geht das?

data processing services & kategorisierung
google maps logo
Google Maps

Der Kartendienst von Google.

  • Sitz: Mountain View, Kalifornien, Vereinigte Staaten
  • Kategorie: Maps
  • Rechtsgrundlage: Einwilligung erforderlich via Consent Management Platform (CMP)
Inhalt des Beitrags

Was ist Google Maps?

Über die Jahre hat Google Maps Atlanten und große Kartenwerke aus den Regalen Zuhause und dem Handschuhfach im Auto vertrieben. Wir müssen uns keine Adressen oder Anfahrtswege mehr merken. Google weiß, was wir suchen – vielleicht sogar bevor wir es suchen.

 

Auch auf Unternehmensseiten ist Google Maps fast standardmäßig eingebunden, um Kunden zu ermöglichen, den Unternehmensstandort schnell und unkompliziert zu finden. Die wenigsten wissen, was dabei im Hintergrund passiert. Denn wie bei allen Google Diensten werden Cookies gesetzt und Daten der WebsitebesucherInnen verarbeitet.

 

Datenübermittlung in die USA: Google Maps gehört zu Google LLC und übermittelt Daten in ein Nicht-europäisches Ausland, mit anderen Datenschutzgesetzen. Für die Datenübermittlung in die USA galt lange Zeit das Privacy Shield – ein Abkommen zwischen den USA und Europa – welches inzwischen aufgrund mangelnden Datenschutzniveaus vom EuGH gekippt wurde (Schrems-Urteil-II). Als Rechtsgrundlage im Sinne des Art. 46 Abs. 2 DSGVO kommt das Privacy Shield also nicht mehr in Frage.

 

Die einzig verbleibende Rechtsgrundlage sind aktuell Standdarddatenschutzklauseln, die zwar vom EuGH noch nicht gekippt wurden, aber im Fall der Fälle kaum tauglich sein dürften. Es bleibt hier noch Lösungen (ggf. neue Abkommen) abzuwarten. Doch bis dahin ist Vorsicht geboten, wenn es um Dienstleister aus den USA geht und dringend geraten, sich nach geeigneten Alternativen aus der EU umzuschauen, da diese der Datenschutzgrundverordnung (DSGVO) unterliegen.

Wie nutze ich Google Maps auf gewerblichen Websites datenschutzkonform?

Trotz dieser datenschutzrechtlichen Unsicherheiten und mangelnder Transparenz bezüglich der Zwecke der Datenverarbeitung durch Google möchten viele Unternehmen nicht auf Google Maps verzichten. Wie du den Service möglichst datenschutzkonform in deine Website einbinden könntest, erfährst du hier.

 

Datenschutzkonforme Integration von Google Maps

 

1. Über eine Google Maps API

 

Eine API (application programming interface) ist eine Schnittstelle zur Einbindung von Drittanbieterservices in eine Webiste. Ein API-Code ermöglicht die eindeutige Authentifizierung von BenutzerInnen/EntwicklerInnen oder eines Programms und wird der jeweiligen Website (nach Erstellung eines Google-Unternehmenskontos) zugewiesen. Über diese Schnittstelle kann Google dann Kartenzugriffe über die Website verfolgen. Diese Art der Integration kann über zwei Wege geschehen:

 

  • Über die Embed-Funktion für interaktive Karten über eine http-Anfrage
  • Klassischer Weg: Via JavaScript mit mehreren Google-Funktionen

 

2. Aufnahme in die Consent-Management-Platform

 

Die Einbindung von Google Maps bedeutet, dass beim Aufruf der Seite ggf. Cookies von Google (mindestens das sogenannte NID-Cookie) gesetzt werden, welche Nutzereinstellungen und -informationen speichern und eine Verbindung zum Goolge-Netzwerk aufnehmen. Auf diese Weise können dort innerhalb von Nutzerprofilen diverse Informationen ausgewertet werden (auch wenn sie nicht in ein Google-Konto eingeloggt sind).

 

Aus diesem Grund müssen Cookies von Google Maps als Analyse-Cookies kategorisiert werden und sind im Cookie Banner mit einer granularen Opt-In-Funktion aufzuführen.

Na, auf der Suche nach einem ganz bestimmten Service?

Ziel erreicht! 🏁 

In unserem Service-Universum findest du umfassende Informationen zu einzelnen Services – übersichtlich und digital!

Expertenwissen und Profi-Tipps gibt’s on top 😉

Zur Cookiepedia-Übersicht
data processing services

Rechtliche Grundlage für die Verarbeitung

Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TTDSG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

 

Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TTDSG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

Wann besteht eine Einwilligungspflicht?

Personenbezogene Daten

Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens eine der Rechtsgrundlagen (a, b, c, d, e, oder f) des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

  1. Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
  2. Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)

Cookies

Gem. Art. 25 Abs. 1 TTDSG ist dann eine Einwilligung erforderlich, sobald Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

Dabei sollte man wissen, dass damit nicht nur die bekannten, auf dem Endgerät der Nutzer platzierten Cookies gemeint sind, sondern auch sogenannte Zählpixel, die es unter anderem ermöglichen, den Useragent oder das Gerät der Nutzer zu verknüpfen oder herzuleiten.

Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

Die Anforderungen an die Einwilligungsfreiheit

Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:


  1. Sofern eine Datenweitergabe an Dritte stattfindet:
    a) Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Auftragsverarbeiter (AV), sollten Daten von diesem an Dritte weitergegeben werden.
    b) Der Auftragsverarbeiter nutzt die gewonnen Daten nicht für eigene Zwecke.
    c) Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an.
  2. Kein Einsatz von Cookies oder ähnlichen Techniken, die nicht unbedingt erforderlich sind.
  3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa oder in Ländern, für die ein Angemessenheitsbeschluss gemäß Artikel 45 DSGVO gilt.
  4. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung.
  5. IP-Anonymisierung („Privacy by Default)
  6. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser.
  7. Durchführung einer Interessensabwägung: Das berechtigte Interesse des Websitebetreibers muss die schützenswerten Interessen des Nutzers überwiegen.
  8. Nachweis der erfolgten Punkte 1-7 durch den Website-Betreiber
desktop icon

IP-Adresse

Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt. Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

legal icon

Server-Standort

Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

desktop icon

Firmensitz

Bei amerikanischen Unternehmen und deren Töchter ist es zusätzlich wichtig den Fakt zu berücksichtigen, dass Daten die von Töchtern erhoben werden, auch in die USA weitergeleitet und dort verarbeitet werden. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig. Sollten die Unternehmen dem derzeitigen Data Privacy Framework (DPF) zugehörig sein, heißt auch das nicht, dass jeder der vom Unternehmen zugehöriger Service unbedenklich zu nutzen ist. Erst recht nicht ohne die Zustimmung der Nutzer.

Warum ist Google Maps einwilligungspflichtig?

  • Wenn Daten auf einem Server in einem sicheren Drittland verarbeitet würden, muss dennoch in jedem Fall eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO für die Nutzung von Google Maps eingeholt werden, da Daten durch den Dienst gespeichert werden.
  • Der Dienst von Google Maps darf entsprechend erst nach Einwilligung geladen werden, da sonst bereits eine Verbindung zu einem der Server aufbauen würde.
  • Das Erfüllen der Informationspflicht gemäß Art. 13 DSGVO in der Datenschutzerklärung stellt eine weitere Hürde dar, da die Information des Drittlandes fehlt und somit keine transparente Information geliefert werden kann.

Damit liegen Verstöße gegen die oben genannten Punkte 1, 2, 3 und 7 vor. Eine Einwilligungsfreiheit kann nicht begründet werden.

Fazit

Der EuGH hat beschlossen, dass eine generelle Einwilligungspflicht für alle Cookies besteht, die für den Betrieb der Website nicht zwingend notwendig sind. Die Argumentation über das berechtigte Interesse (Art. 6 Abs. 1 lit.f DSGVO) ist im Fall von Google Maps leider nicht anwendbar. Der Service stellt zwar einen Mehrwert für NutzerInnen dar, kann aber nicht als technisch unbedingt erforderlich angesehen werden. Ein Besuch der Website ist auch ohne Google Maps problemlos und ohne Einschränkungen möglich. Gleichzeitig muss man mögliche Alternativen mit in seine Argumentation einbeziehen und spätestens da bleiben wenig Argumente auf der Seite des berechtigten Interesses.

 

Long story short: Für die Nutzung von Google Maps brauchst du die vorherige, informierte, explizite und freiwillige Einwilligung deiner NutzerInnen.

 

Lösungsvorschlag: Zwei Klicks reichen aus!

Wichtig: Personenbezogene Daten dürfen tatsächlich erst nach erfolgter Einwilligung übertragen werden. Sprich, es dürfen somit keine Cookies gesetzt werden, bevor der Nutzer / die Nutzerin sein / ihr Opt-In durch das aktive Setzen eines Häkchens gegeben hat. Eine gängige Möglichkeit, technisch sicherzustellen, dass keine Daten unerlaubt übertragen werden, ist die Zwei-Klick-Lösung (ist bei einigen CMP-Anbietern wie Borlabs oder Usercentrics möglich).

 

Hier wird zunächst an der Stelle, wo die Karte erscheinen soll, eine Grafik oder ein statisches Bild der Karte angezeigt. Dieser Platzhalter ist auf der eigenen Website hochgeladen und überträgt daher noch keine Daten. In dieser Grafik kann ein Hinweis erscheinen, der die NutzerInnen darauf hinweist, dass sie die Karte erst sehen können, nachdem sie in die Datenübertragung durch Google Maps eingewilligt haben. An dieser Stelle sollte nochmal auf die Datenschutzerklärung verlinkt werden. Nachdem die NutzerInnen zugestimmt haben, erscheint an dieser Stelle die gewünschte Karte von Google Maps.

Cookiebox-Geheimtipp: Datenschutzkonforme Alternative

Eine 100prozentig datenschutzkonforme Einbindung von Google Maps sowie von anderen Google Diensten ist aufgrund der aktuellen Rechtslage (Stichwort: Privacy Shield und Datenübertragung in die USA) nicht möglich. Wer auf der sicheren Seite sein möchte, dem empfehlen wir die Alternative OpenStreetMap, welches seinen Sitz im Vereinigten Königreich hat.

google maps logo

Du hast Fragen?

Dann ruf uns gerne an. Wir helfen dir bei Fragen zu unserem Produkt und Features oder generell zu allen Datenschutz-Themen:

+49 251 95 20 37 - 50
Schreib uns!
fragen icon
Cookiebox
Über uns
Kontakt
Karriere
Impressum
Datenschutzerklärung
Datenschutzeinstellungen
AGB/AVV
Hinweisgeberportal
Mehr
Cortina DSB Siegel
Unternehmensgruppe
cookiebox icon

Du wünschst weitere Infos zum Privacy Hub oder unseren Beratungsleistungen?

jörg ter beek portrait

Jörg ter Beek

Managing Director, Head of Sales & Partnerships

+49 251 95 20 37 -50
jtb@cookiebox.pro
Kostenlos testen
Preise & Pakete
Pakete & Preise
Kostenlos testen
cookiebox logo