Google Maps DSGVO-konform einbinden – geht das?
Der Kartendienst von Google.
- Sitz: Mountain View, Kalifornien, Vereinigte Staaten
- Kategorie: Maps
- Rechtsgrundlage: Einwilligung erforderlich via Consent Management Platform (CMP)
Was ist Google Maps?
Über die Jahre hat Google Maps Atlanten und große Kartenwerke aus den Regalen Zuhause und dem Handschuhfach im Auto vertrieben. Wir müssen uns keine Adressen oder Anfahrtswege mehr merken. Google weiß, was wir suchen – vielleicht sogar bevor wir es suchen.
Auch auf Unternehmensseiten ist Google Maps fast standardmäßig eingebunden, um Kunden zu ermöglichen, den Unternehmensstandort schnell und unkompliziert zu finden. Die wenigsten wissen, was dabei im Hintergrund passiert. Denn wie bei allen Google Diensten werden Cookies gesetzt und Daten der WebsitebesucherInnen verarbeitet.
Datenübermittlung in die USA: Google Maps gehört zu Google LLC und übermittelt Daten in ein Nicht-europäisches Ausland, mit anderen Datenschutzgesetzen. Für die Datenübermittlung in die USA galt lange Zeit das Privacy Shield – ein Abkommen zwischen den USA und Europa – welches inzwischen aufgrund mangelnden Datenschutzniveaus vom EuGH gekippt wurde (Schrems-Urteil-II). Als Rechtsgrundlage im Sinne des Art. 46 Abs. 2 DSGVO kommt das Privacy Shield also nicht mehr in Frage.
Die einzig verbleibende Rechtsgrundlage sind aktuell Standdarddatenschutzklauseln, die zwar vom EuGH noch nicht gekippt wurden, aber im Fall der Fälle kaum tauglich sein dürften. Es bleibt hier noch Lösungen (ggf. neue Abkommen) abzuwarten. Doch bis dahin ist Vorsicht geboten, wenn es um Dienstleister aus den USA geht und dringend geraten, sich nach geeigneten Alternativen aus der EU umzuschauen, da diese der Datenschutzgrundverordnung (DSGVO) unterliegen.
Wie nutze ich Google Maps auf gewerblichen Websites datenschutzkonform?
Trotz dieser datenschutzrechtlichen Unsicherheiten und mangelnder Transparenz bezüglich der Zwecke der Datenverarbeitung durch Google möchten viele Unternehmen nicht auf Google Maps verzichten. Wie du den Service möglichst datenschutzkonform in deine Website einbinden könntest, erfährst du hier.
Datenschutzkonforme Integration von Google Maps
1. Über eine Google Maps API
Eine API (application programming interface) ist eine Schnittstelle zur Einbindung von Drittanbieterservices in eine Webiste. Ein API-Code ermöglicht die eindeutige Authentifizierung von BenutzerInnen/EntwicklerInnen oder eines Programms und wird der jeweiligen Website (nach Erstellung eines Google-Unternehmenskontos) zugewiesen. Über diese Schnittstelle kann Google dann Kartenzugriffe über die Website verfolgen. Diese Art der Integration kann über zwei Wege geschehen:
- Über die Embed-Funktion für interaktive Karten über eine http-Anfrage
- Klassischer Weg: Via JavaScript mit mehreren Google-Funktionen
2. Aufnahme in die Consent-Management-Platform
Die Einbindung von Google Maps bedeutet, dass beim Aufruf der Seite ggf. Cookies von Google (mindestens das sogenannte NID-Cookie) gesetzt werden, welche Nutzereinstellungen und -informationen speichern und eine Verbindung zum Goolge-Netzwerk aufnehmen. Auf diese Weise können dort innerhalb von Nutzerprofilen diverse Informationen ausgewertet werden (auch wenn sie nicht in ein Google-Konto eingeloggt sind).
Aus diesem Grund müssen Cookies von Google Maps als Analyse-Cookies kategorisiert werden und sind im Cookie Banner mit einer granularen Opt-In-Funktion aufzuführen.
Ziel erreicht! 🏁
In unserem Service-Universum findest du umfassende Informationen zu einzelnen Services – übersichtlich und digital!
Expertenwissen und Profi-Tipps gibt’s on top 😉
Hast du "Service" richtig eingebunden?
Mach den Test in unserem kostenlosen Quickscanner!
Rechtliche Grundlage für die Verarbeitung
Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TDDDG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.
Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TDDDG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.
Wann besteht eine Einwilligungspflicht?
Personenbezogene Daten
Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens eine der Rechtsgrundlagen (a, b, c, d, e, oder f) des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:
- Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
- Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)
Cookies
Gem. Art. 25 Abs. 1 TDDDG ist dann eine Einwilligung erforderlich, sobald Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.
Dabei sollte man wissen, dass damit nicht nur die bekannten, auf dem Endgerät der Nutzer platzierten Cookies gemeint sind, sondern auch sogenannte Zählpixel, die es unter anderem ermöglichen, den Useragent oder das Gerät der Nutzer zu verknüpfen oder herzuleiten.
Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.
Die Anforderungen an die Einwilligungsfreiheit
Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:
- Sofern eine Datenweitergabe an Dritte stattfindet:
a) Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Auftragsverarbeiter (AV), sollten Daten von diesem an Dritte weitergegeben werden.
b) Der Auftragsverarbeiter nutzt die gewonnen Daten nicht für eigene Zwecke.
c) Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an. - Kein Einsatz von Cookies oder ähnlichen Techniken, die nicht unbedingt erforderlich sind.
- Verarbeitung von personenbezogenen Daten ausschließlich in Europa oder in Ländern, für die ein Angemessenheitsbeschluss gemäß Artikel 45 DSGVO gilt.
- Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung.
- IP-Anonymisierung („Privacy by Default)
- Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser.
- Durchführung einer Interessensabwägung: Das berechtigte Interesse des Websitebetreibers muss die schützenswerten Interessen des Nutzers überwiegen.
- Nachweis der erfolgten Punkte 1-7 durch den Website-Betreiber
IP-Adresse
Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt. Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.
Server-Standort
Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.
Firmensitz
Bei amerikanischen Unternehmen und deren Töchter ist es zusätzlich wichtig den Fakt zu berücksichtigen, dass Daten die von Töchtern erhoben werden, auch in die USA weitergeleitet und dort verarbeitet werden. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig. Sollten die Unternehmen dem derzeitigen Data Privacy Framework (DPF) zugehörig sein, heißt auch das nicht, dass jeder der vom Unternehmen zugehöriger Service unbedenklich zu nutzen ist. Erst recht nicht ohne die Zustimmung der Nutzer.
Google Maps muss Bestandteil deiner Datenschutzerklärung sein!
Jetzt eine Datenschutzerklärung kostenlos über die Testversion unseres Privacy Hubs erstellen!
Warum ist Google Maps einwilligungspflichtig?
- Wenn Daten auf einem Server in einem sicheren Drittland verarbeitet würden, muss dennoch in jedem Fall eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO für die Nutzung von Google Maps eingeholt werden, da Daten durch den Dienst gespeichert werden.
- Der Dienst von Google Maps darf entsprechend erst nach Einwilligung geladen werden, da sonst bereits eine Verbindung zu einem der Server aufbauen würde.
- Das Erfüllen der Informationspflicht gemäß Art. 13 DSGVO in der Datenschutzerklärung stellt eine weitere Hürde dar, da die Information des Drittlandes fehlt und somit keine transparente Information geliefert werden kann.
Damit liegen Verstöße gegen die oben genannten Punkte 1, 2, 3 und 7 vor. Eine Einwilligungsfreiheit kann nicht begründet werden.
Fazit
Der EuGH hat beschlossen, dass eine generelle Einwilligungspflicht für alle Cookies besteht, die für den Betrieb der Website nicht zwingend notwendig sind. Die Argumentation über das berechtigte Interesse (Art. 6 Abs. 1 lit.f DSGVO) ist im Fall von Google Maps leider nicht anwendbar. Der Service stellt zwar einen Mehrwert für NutzerInnen dar, kann aber nicht als technisch unbedingt erforderlich angesehen werden. Ein Besuch der Website ist auch ohne Google Maps problemlos und ohne Einschränkungen möglich. Gleichzeitig muss man mögliche Alternativen mit in seine Argumentation einbeziehen und spätestens da bleiben wenig Argumente auf der Seite des berechtigten Interesses.
Long story short: Für die Nutzung von Google Maps brauchst du die vorherige, informierte, explizite und freiwillige Einwilligung deiner NutzerInnen.
Lösungsvorschlag: Zwei Klicks reichen aus!
Wichtig: Personenbezogene Daten dürfen tatsächlich erst nach erfolgter Einwilligung übertragen werden. Sprich, es dürfen somit keine Cookies gesetzt werden, bevor der Nutzer / die Nutzerin sein / ihr Opt-In durch das aktive Setzen eines Häkchens gegeben hat. Eine gängige Möglichkeit, technisch sicherzustellen, dass keine Daten unerlaubt übertragen werden, ist die Zwei-Klick-Lösung (ist bei einigen CMP-Anbietern wie Borlabs oder Usercentrics möglich).
Hier wird zunächst an der Stelle, wo die Karte erscheinen soll, eine Grafik oder ein statisches Bild der Karte angezeigt. Dieser Platzhalter ist auf der eigenen Website hochgeladen und überträgt daher noch keine Daten. In dieser Grafik kann ein Hinweis erscheinen, der die NutzerInnen darauf hinweist, dass sie die Karte erst sehen können, nachdem sie in die Datenübertragung durch Google Maps eingewilligt haben. An dieser Stelle sollte nochmal auf die Datenschutzerklärung verlinkt werden. Nachdem die NutzerInnen zugestimmt haben, erscheint an dieser Stelle die gewünschte Karte von Google Maps.
Cookiebox-Geheimtipp: Datenschutzkonforme Alternative
Eine 100prozentig datenschutzkonforme Einbindung von Google Maps sowie von anderen Google Diensten ist aufgrund der aktuellen Rechtslage (Stichwort: Privacy Shield und Datenübertragung in die USA) nicht möglich. Wer auf der sicheren Seite sein möchte, dem empfehlen wir die Alternative OpenStreetMap, welches seinen Sitz im Vereinigten Königreich hat.
Du hast Fragen?
Kontaktiere uns gerne für ein unverbindliches Erstgespräch: