Seit Jahren schon ist ein scheinbar kleines Feature auf Webseiten von Unternehmen nicht mehr wegzudenken: Google Maps. Unternehmen nutzen die digitale Landkarte, um Kunden über den Firmenstandort zu informieren und Besuchern die Anfahrt- und Parkmöglichkeit in der Nähe mitteilen, die das Erreichen der Geschäftsräume erleichtert. Google und der Datenschutz – da war doch was? Mit diesem Beitrag möchten wir aufzeigen, wie man dieses kleine Helferlein (fast) datenschutzkonform auf Webseiten einbinden kann.
Der Inhalt im Überblick
Datentransfer in die USA
Nur fast? Leider ja! Spätestens seit dem Urteil des EuGH zum Privacy Shield vom 16.07.2020 ist der Transfer von personenbezogenen Daten bekanntlich nicht mehr zu 100 Prozent datenschutzkonform möglich. Als Garantie im Sinne des Art. 46 Abs. 2 DSGVO kommt der Privacy Shield nämlich nicht mehr in Betracht. Sämtliche Hoffnungen ruhen nun im Grunde auf den Standarddatenschutzklauseln. Diese wurden von EuGH in dem genannten Urteil ausdrücklich nicht gekippt und stellen daher – zumindest formell – weiterhin eine taugliche Rechtsgrundlage für den Datentransfer in die USA dar.
Der EuGH hat dem europäischen Gesetzgeber aber ins Hausaufgabenheft geschrieben, dass man aber dennoch dafür sorgen müsse, dass die Garantien, welche in den Standarddatenschutzklauseln so schön beschrieben sind, auch tatsächlich eingehalten werden. Nur wie genau diese zusätzlichen Maßnahmen aussehen sollen, hat der EuGH nicht gesagt. Und so versucht die Datenschutzwelt seit nunmehr einem guten halben Jahr verzweifelt, Lösungen zu finden. Vorschläge gab es schon viele; zuletzt wurden Mitte November 2020 erste Leitlinien durch den Europäischen Datenschutzausschuss veröffentlicht. Finale Ergebnisse lassen aber immer noch auf sich warten.
Google Maps auf gewerblichen Webseiten
Man kann zudem noch darauf hinweisen, dass die Google LLC selbst durch ihr undurchsichtiges Verhalten in der Vergangenheit – wie andere US-Unternehmen auch – ihr Scherflein zu dieser Problematik beigetragen hat. Dennoch setzen immer noch viele europäische Unternehmen auf die zahlreichen Dienste von Google. Wie binde ich Google Maps nun – abgesehen von der Privacy-Shield-Problematik – auf meiner Website datenschutzkonform ein?
Datenschutzerklärung und Integration
Auf jeden Fall muss ein Hinweis in der Datenschutzerklärung erfolgen, um die Informationspflichten aus Art. 13 DSGVO zu erfüllen. Schließlich muss der Website-Bertreiber jeden Nutzer beim Aufrufen der Website darüber informieren, unter welchen Voraussetzungen seine personenbezogenen Daten an einen Fremddienstleister übermittelt werden können. Hier sind unbedingt Informationen erforderlich, dass beim Anklicken der Karte personenbezogene Daten des Nutzers an Google übertragen werden.
Zur Integration in die eigene Website ist im Regelfall die Programmierschnittstelle „Google Maps API“ (application programming interface) erforderlich. Dieser Schlüssel stellt eine Methode dar, Benutzer, Entwickler oder ein aufrufendes Programm bei einer API eindeutig zu authentifizieren. Der API-Key wird der jeweiligen Website dabei nach Erstellung eines Google-Kontos zugewiesen. Dadurch kann Google die Kartenzugriffe auf der Webseite verfolgen und dem entsprechenden Google-Konto zuweisen. Die Integration kann dabei auf folgenden Arten vorgenommen werden:
- Embed-Funktion: Damit kann man eine interaktive Karte oder ein Street-View-Panorama mit einer einfachen HTTP-Anfrage auf der Webseite platzieren; hier ist kein JavaScript erforderlich
- JavaScript: Mit dieser „klassischen“ Methode werden mehrere Funktionen von Google angeboten.
Hier finden Sie eine gute Übersicht über die verschiedenen Modelle.
Und wie hältst du es mit der Einwilligung?
Seit dem Urteil des EuGH zu Einwilligungsbedürftigkeit bei Cookies hat sich auch diese Problematik zu einem wahren Dauerbrenner im Datenschutzrecht entwickelt. Mit dem Urteil hat der EuGH klargestellt, dass eine generelle Einwilligungspflicht für alle Cookies besteht, welche für den Betrieb der Website nicht zwingend notwendig sind. Auf die Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 Buchst. f DSGVO kann das Setzen dieser Cookies nicht mehr gestützt werden.
Wenn die Nutzung von Google Maps mit der Einbindung von Cookies einhergeht, sind diese Grundsätze in jedem Fall zu beachten. Wenn Cookies im Rahmen der Einbindung von Google Maps gesetzt werden, stellen diese – welche Überraschung – eine Verbindung zum Google-Netzwerk her. Dies geschieht selbst dann, wenn der Nutzer nicht in sein bestehendes Google-Konto eingeloggt ist. Es dürfte zwar unstreitig sein, dass die Nutzung von Google Maps einen gewissen Mehrwert für die Nutzung einer Website darstellt, allerdings ist es nur schwer vertretbar, das Setzen eines Cookies als technisch unbedingt erforderlich anzusehen. Es ist also darauf zu achten, dass die Einwilligung des Website-Besuchers vorher eingeholt wird.
Zwei-Klick-Lösungen: Shariff Wrapper & Co.
Da personenbezogene Daten erst nach erfolgter Einwilligung des Nutzers an Google übertragen werden dürfen, bieten sich die sogenannten Zwei-Klick-Lösungen an. Dadurch kann man technisch sicherstellen, dass die Website die Daten erst dann überträgt, wenn der Nutzer die Karte anklickt. Dies funktioniert technisch so, dass der Bereich, auf welchem die Karte platziert wird, durch eine Grafik repräsentiert wird, die als Platzhalter dient. Da diese Grafik zur eigentlichen Webseite gehört, werden beim bloßen Aufruf der Seite keine Daten an Dritte übermittelt. Hier besteht dann die Möglichkeit, einen Hinweis für die Nutzer der Website einzubauen bzw. die Datenschutzerklärung der Webseite zu verlinken.
Diesbezüglich kommen vor allem die Zwei-Klick-Lösungen von
in Betracht. Während Shariff Wrapper und Embetty Projekte aus deutscher Hand darstellen, gehört AVADA zum US-amerikanischen Anbieter ThemeFusion. An dieser Stelle muss natürlich erneut auf das Problem mit dem Datentransfer in die USA verwiesen werden…
Borlab-Cookie: Auch für Google Analytics und Matomo
Für Webseiten von WordPress gibt es eine weitere Möglichkeit zur weitgehend DSGVO-konformen Einbindung von Google Maps. Das Plugin „Borlab-Cookie“ ist eine umfassende Lösung, da diese auch Hinweise für die Nutzung einschließlich Opt-In bereitstellt. Das Plugin erkennt z. B. auch Skripte, welche auf der Website laufen. Darüber hinaus kann das Plugin verwendet werden, um JavaScript-Codes auch bei anderen Tools zu erkennen, z. B. bei Google Analytics oder Matomo), so dass die Skripte erst dann geladen werden, wenn der Nutzer eingewilligt hat.
Auf der sicheren Seite: Ohne die USA!
Es gibt also viele Möglichkeiten, Google Maps nahezu DSGVO-konform einzubinden. Wenn man allerdings ganz auf der sicheren Seite sein möchte, müsste man weiterhin komplett auf US-Dienstleister verzichten. Hier muss jedes Unternehmen selbst entscheiden, inwiefern es in der Lage ist, auf die geballte Marktmacht der Big Player zu verzichten. Ein Restrisiko bleibt derzeit immer. Als europäische Alternative für einen Kartendienst steht z. B. OpenStreetMap zur Verfügung. Zwar befindet sich der Hauptsitz der Betreiberin im Vereinigten Königreich und damit nicht mehr in der EU. Allerdings gilt das Vereinigte Königreich – zumindest bis Ende April – nicht als Drittland im Sinne der DSGVO.
Insgesamt wird die Zeit zeigen müssen, ob und in welcher Weise der Datentransfer in die USA in Zukunft wieder – wenn er es denn jemals war – vollständig datenschutzkonform möglich ist.
Zu OpenStreetMap sei angemerkt, dass die Verantwortliche, d.h. die OpenStreetMap Foundation (OSMF), ihren Sitz im Vereinigten Königreich hat. Innerhalb der EU gibt es z.B. die HERE B.V., die als Verantwortliche jedoch eigene Zwecke verfolgt, die über jene der OSMF hinausgehen dürften.
Vielen Dank für Ihren Hinweis! Wir haben den Artikel an dieser Stelle angepasst.
Mit der Anerkennung UKs als sicheres Drittland (vgl. auch https://www.dr-datenschutz.de/angemessenheitsbeschluss-uk-ist-sicheres-drittland/) dürfte OSM doch (wieder) problemlos einbindbar sein, oder wären hier noch weitere Dinge zu beachten?
Das ist richtig. Für das Vereinigte Königreich gilt seit Juli 2021 ein entsprechender Angemessenheitsbeschluss, so dass UK aus datenschutzrechtlicher Sicht nicht als Drittland zu behandeln ist.
Regelmäßig und gerne lese ich Ihre Artikel über den Newsletter. In diesem Artikel („Wie kann Google Maps DSGVO-konform eingebunden werden?“) ist mir allerdings aufgefallen, dass Sie eines der bekannteren Consent Tool empfehlen. Ich kann nur davon abraten, derartige Empfehlungen auszusprechen. Was Borlabs angeht, lässt sich leicht zeigen, dass dieses Tool gerade nicht DSGVO konform ist. Gerne beweise ich es Ihnen, Sie werden es sicher auch selber rausfinden können.
Das gleiche gilt übrigens für alle anderen (mir) bekannten Consent Tools. Selbst die Anbieter dieser Tools schaffen auf deren eigenen Webseiten unter Einsatz des eigenen Consent Tools nicht (!), DSGVO-konform zu sein.
Ich würde mich freuen, wenn Sie Ihren Artikel abändern würden und die genannte Empfehlung rausnehmen!
Das würde mich auch interessieren, warum Borlabs nicht konform ist. Bei den anderen Tools mit zentraler Verwaltung via Servern sehe ich in den Netzlaufwerkanalysen Übertragungen an externe Server teils in den USA, worüber kein Wort verloren wird.
Nach unserer Kenntnis ist Borlabs grundsätzlich in der Lage, soweit wie möglich DSGVO-Konformität herzustellen. Außerdem bitten wir zu beachten, dass unsere Artikel stets auch die subjektiven Erfahrungen und Bewertungen unsere Autoren beinhalten.
@Dr. Datenschutz diese Einschätzung teile ich. Mir wurde in einer Online-Konferenz zugetragen, es würden Server in Florida genutzt. Alle meine Projekte werden mit Borlabs ausgestattet. Bei der Netzwerkanalyse findet keine Verbindung im Auftrag des Plugins statt, so dass der Nutzer im Browser keine Daten an die USA übermittelt. Daher ist die Frage, wo Herr Meffert ein Problem mit Borlabs sieht.
Als wirkilich DSGVO-konforme Variante empfehle ich immer, auf der eigenen Seite lediglich einen Screenshot einzufügen, der über einen hinterlegten Link zu GoogleMaps mit der entsprechenden Adresse führt. Die Nutzer nehmen das gut an und da es nicht auf der eigenen Seite stattfindet, kann einem dann egal sein, was Google so treibt.
Ein Screenshot von GoogleMaps dürfte eine Urheberechtsverletzung darstellen, so dass ein Screenshot leider auch kein gangbarer Weg ist. Ein Link zu GoogleMaps ohne Screenshot ist dagegen kein Problem und daher die einzige rechtssichere Methode.
Die Einbindung von GoogleMaps und anderen Drittanbietercontent in die eigene Website begründet eine gemeinsame Verantwortlichkeit i.S.v. Art. 26 DSGVO. Google ist aber – sofern ich richtig informiert bin – nicht bereit, eine Vereinbarung nach Art. 26 Abs. 1 DSGVO abzuschließen. Eine DSGVO-konforme Einbindung von GoogleMaps ist daher leider nicht möglich.
Nach Ansicht des EuGH genügt es für die gemeinsame Verantwortlichkeit, wenn eine Person oder Stelle aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und so an der Entscheidung über Zweck und Mittel der Verarbeitung mitwirkt. Dies gilt sicherlich für den Facebook-Like-Button oder für Google Analytics. Ob dies auch auf Google Maps zutrifft, ist zumindest zweifelhaft. So hat sich im vergangenen Jahr auch die DSK positioniert.
Unabhängig davon ist eine 100%ige DSGVO-Konformität derzeit in der Tat nicht möglich, wie wir ja im Beitrag bereits klargestellt haben.
Wenn die Einbindung von Google / Youtube / Facebook Widgets in Webseiten nicht 100% DSGVO Konform ist, selbst wenn man Borlabs verwendet, dann müssten doch Seiten wie Google.de, Youtube.com oder Facebook.com erst recht komplett gesperrt werden, oder? Da findet ja permanent ein Datenfluss in die USA statt.
Jetzt rein von der Logik her : ). Da würde mich ihre Meinung interessieren.
Rein von der Logik her haben Sie Recht. Es ist vermutlich tatsächlich so, dass die großen US-amerikanischen Unternehmen tagtäglich gegen europäisches Datenschutzrecht verstoßen. Allein eine unvollständige Transparenz hinsichtlich der einzelnen Datenverarbeitungsvorgänge stellt einen Verstoß gegen Art. 5 DSGVO dar. Die Marktmacht der „Big Player“ ist allerdings sehr groß. Dennoch wurden bereits Bußgelder gegen Google, Amazon etc. verhängt:
https://www.dr-datenschutz.de/o-le-merveilleux-135-millionen-bussgeld-bei-google-und-amazon/
https://www.dr-datenschutz.de/milliardenstrafe-gegen-facebook-teurer-datenschutzskandal/
Danke für die Antwort! Aus meiner Sicht ist halt das Ganze tamtam um den Datenschutz bei KMU Webseiten ziemlich witzlos, solange man die Big Player nicht zum datenschutzkonformen Handeln bewegen kann.
Sobald die nämlich Datenschutzkonform handeln, haben kleine Webseitenbetreiber auch automatisch keine Probleme mehr mit der Einbettung dieser Dienste.