Maps

OpenStreetMap

gut, aber nicht perfekt

header-monitoring
OpenStreetMap (2)

OpenStreetMap

OpenStreetMap ist ein Open-Source Kartenprojekt.

Sitz: Cambridge, East of England, Vereinigtes Königreich
Kategorie:
Maps
Rechtsgrundlage: Einwilligung erforderlich via Consent Management Plattform (CMP)
Inhalt des Beitrags

    Was ist OpenStreetMap?

    OpenStreetMap ist ein Projekt welches sich zum Ziel gemacht hat, eine freie Weltkarte zu erschaffen. Die Daten von OpenStreetMap darf jeder lizenzkostenfrei einsetzen und beliebig weiterverarbeiten.

    Warum wird OpenStreetMap verwendet?

    OpenStreetMap steht jedermann lizenzkostenfrei zur Verfügung. Du kannst damit also potenziell Geld sparen. Außerdem kommt hinzu, dass es sich um ein Projekt der Open Street Map Foundation handelt, welche in Großbritannien ansässig ist und damit schon mal "besser"als die Vereinigten Staaten. Es handelt sich um ein gemeinnütziges Projekt, welches dafür erstaunlich gute Karten liefert. Es ist also nicht verwunderlich, dass dieser Dienst so beliebt ist.

    Allerdings ergeben sich auch hier einige Probleme, wodurch der Dienst einwilligungspflichtig wird. Welches das sind und was du tun kannst um OpenStreetMap doch ohne Einwilligung auszuspielen verrate ich dir jetzt.

    Welche Daten werden verarbeitet?

    Es ist nicht ganz einfach zu erfahren welche Daten verarbeitet werden wenn du OpenStreetMap verwendest. Ich konnte aber folgende Daten ausmachen:

    • IP-Adresse
    • Browser- und Gerätetyp
    • Betriebssystem
    • Referrer Website
    • Datum und Zeit des Abrufs
    • Ggfs. besuchte Seiten

    Es werden also personenbezogene Daten gesammelt, was dazu führt, dass der Benutzer der Verarbeitung dieser zustimmen muss.

     

    Wir brauchen unbedingt YouTube-Videos auf unserer Website! Aber...

    Welche Varianten gibt es, um ein YouTube-Video innerhalb meiner Website einzubinden?

    Muss ich rechtliche Grundlagen berücksichtigen?

    youtube datenschutzkonform einbinden

    Rechtliche Grundlage für die Verarbeitung

    Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TTDSG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

    Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TTDSG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

    Wann besteht eine Einwilligungspflicht?

    Personenbezogene Daten

    Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens einer der Buchstaben des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

    1. Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
    2. Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)

    Cookies

    Gem. Art. 25 Abs. 1 TTDSG ist dann eine Einwilligung erforderlich, wenn Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

    Dabei sollte man wissen, dass damit nicht nur die bekannten, kleinen Textdateien und Pixel zählen, sondern alle Technologien, die es ermöglichen, einen Nutzer, einen Benutzeragenten oder Gerät herauszufinden, zu verknüpfen oder herzuleiten.

    Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

    Die Anforderungen an die Einwilligungsfreiheit

    Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:

    1. Abschluss eines Auftragsverarbeitungsvertrags mit dem Auftragsverarbeiter (AV)
    2. Kein Einsatz von Cookies oder ähnlichen Techniken zur Profilbildung
    3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa
    4. Der Auftragsverarbeiter nutzt die gewonnenen Daten nicht für eigene Zwecke
    5. Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an
    6. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung
    7. IP-Anonymisierung („Privacy by Default“)
    8. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser
    9. Nachweis der erfolgten Punkte 1-8 durch den Website-Betreiber
    referenzen-icon

    IP-Adresse

    Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt.

    Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

    dsb-icon

    Server-Standort

    Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

    firmensitz

    Firmensitz

    Bei amerikanischen Unternehmen oder deren Töchter ist zusätzlich der Fakt, dass es sich um ein amerikanisches Unternehmen handelt zu berücksichtigen. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig.

    Warum ist OpenStreetMap Einwilligungspflichtig?

    • Die Möglichkeit einen AVV abzuschließen wurde auf der Website nicht deutlich
    • Die IP-Adresse wird verarbeitet
    • Es werden weitere personenbezogene Daten verarbeitet

    Damit liegen Verstöße gegen die oben genannten Punkte 1, 7 und 9 vor. Eine Einwilligungsfreiheit kann nicht begründet werden.

    DISCLAIMER: Dies heißt nicht, dass die nicht genannten Punkte erfüllt sind.

    Fazit zur datenschutzkonformen Nutzung von OpenStreetMap

    OpenStreetMap ist ein tolles, gemeinnütziges Projekt mit einer starken Community.

    Da personenbezogene Daten verarbeitet werden, muss der Benutzer der Verarbeitung zustimmen. Hinzu kommt, dass es scheinbar nicht möglich ist einen AVV mit der Open Street Map Foundation abzuschließen. Da es sich hier um kein gewinnorientiertes Unternehmen handelt ist dies auch nicht verwunderlich.

    OpenStreetMap ist aus Datenschutzsicht besser als Google Maps oder andere amerikanische Anbieter, aber die ganz normale Einbindung auf der Website benötigt trotzdem eine Einwilligung. Die Lösung kommt in Form eines selbst betriebenen OpenStreetMap Servers daher, was aber für die allermeistens Anwender viel zu aufwändig wäre.

    Ich möchte aber hier auf die Lösung des Dr. DSGVO verweisen, die tatsächlich Datenschutz-konform zu sein:

    https://dr-dsgvo.de/datenschutzfreundliche-interaktive-karte-fuer-webseiten-plugin-zum-download-als-google-maps-ersatz/

    OpenStreetMap (2)

    Du hast Fragen?

    Dann ruf uns gerne an. Wir helfen dir bei Fragen zu unseren Produkten oder generell zu allen Datenschutz-Themen:

    Rufen Sie uns an