Google Maps DSGVO-konform einbinden

Wie bindet man Google Maps datenschutzkonform ein? Lernen Sie die Unterschiede zwischen API-Integration und Embed-Funktion kennen.

Wie sieht es bei Google Maps eigentlich mit dem Datenschutz aus?

Werden Cookies gesetzt, wenn ich Google Maps auf meiner Website einbinde? Brauche Ich die Einwilligung meiner WebseitenbesucherInnen?

Was ist Google Maps?

Google Maps ist aus unserem Leben nicht mehr wegzudenken. Über die Jahre hat Google Maps Atlanten und große Kartenwerke aus den Regalen Zuhause und dem Handschuhfach im Auto vertrieben.

Wir müssen uns keine Adressen oder Anfahrtswege mehr merken. Google weiß, was wir suchen – vielleicht sogar bevor wir es suchen. Auch auf Unternehmensseiten ist Google Maps fast standardmäßig eingebunden, um Kunden zu ermöglichen, den Unternehmensstandort schnell und unkompliziert zu finden. Die wenigsten wissen, was dabei im Hintergrund passiert.

Denn wie bei allen Google Diensten werden Cookies gesetzt und Daten der WebsitebesucherInnen verarbeitet. Worauf also müssen Sie achten, wenn Sie Google Maps auf Ihrer Seite einbinden möchten? Oder sollten vielleicht besser gleich zu einer Alternative greifen?

Datenübermittlung in die USA

So viel kann an dieser Stelle schon gesagt werden: Google Maps gehört zu Google LLC und übermittelt Daten in die USA, also in ein Nicht-europäisches Ausland, mit anderen Datenschutzgesetzen. Für die Datenübermittlung in die USA galt lange Zeit das Privacy Shield – ein Abkommen zwischen den USA und Europa – welches inzwischen aufgrund mangelnden Datenschutzniveaus vom EuGH gekippt wurde (Schrems-Urteil-II). Als Rechtsgrundlage im Sinne des Art. 46 Abs. 2 DSGVO kommt das Privacy Shield also nicht mehr in Frage.

Die einzig verbleibende Rechtsgrundlage sind aktuell Standdarddatenschutzklauseln, die zwar vom EuGH noch nicht gekippt wurden, aber im Fall der Fälle kaum tauglich sein dürften. Es bleibt hier noch Lösungen (ggf. neue Abkommen) abzuwarten. Doch bis dahin ist Vorsicht geboten, wenn es um Dienstleister aus den USA geht und dringend geraten, sich nach geeigneten Alternativen aus der EU umzuschauen, da diese der Datenschutzgrundverordnung (DSGVO) unterliegen.

Google Maps auf gewerblichen Websites nutzen

Trotz dieser datenschutzrechtlichen Unsicherheiten und mangelnder Transparenz bezüglich der Zwecke der Datenverarbeitung durch Google möchten viele Unternehmen nicht auf Google Maps verzichten. Wie Sie den Service möglichst datenschutzkonform in Ihre Website einbinden können, erfahren Sie hier:

Datenschutzkonforme Integration von Google Maps

Schritt 1: Integration über eine Google-Maps API

Eine API (application programming interface) ist eine Schnittstelle zur Einbindung von Drittanbieterservices in eine Webiste. Ein API-Code ermöglicht die eindeutige Authentifizierung von BenutzerInnen/EntwicklerInnen oder eines Programms und wird der jeweiligen Website (nach Erstellung eines Google-Unternehmenskontos) zugewiesen. Über diese Schnittstelle kann Google dann Kartenzugriffe über die Website verfolgen. Diese Art der Integration kann über zwei Wege geschehen:

Über die Embed-Funktion für interaktive Karten über eine http-Anfrage
Klassisch Via JavaScript mit mehreren Google-Funktionen

Schritt 2: Aufnahme in die Datenschutzerklärung

Zur Erfüllung der Informationspflichten aus Art. 13 DSGVO muss in jedem Fall über die Datenverarbeitung durch Google Maps in der Datenschutzerklärung der Website informiert werden. Hier muss genau beschrieben werden, unter welchen Voraussetzungen personenbezogene Daten der BesucherInnen an Drittanbieter weitergegeben werden sowie welche Daten, wie lange, zu welchem Zweck erhoben werden.

Schritt 3: Aufnahme in die Consent-Management-Platform

Die Einbindung von Google Maps bedeutet, dass beim Aufruf der Seite ggf. Cookies von Google (mindestens das sogenannte NID-Cookie) gesetzt werden, welche Nutzereinstellungen und -informationen speichern und eine Verbindung zum Goolge-Netzwerk aufnehmen. Auf diese Weise können dort innerhalb von Nutzerprofilen diverse Informationen ausgewertet werden (auch wenn sie nicht in ein Google-Konto eingeloggt sind). Aus diesem Grund müssen Cookies von Google Maps als Analyse-Cookies kategorisiert werden und sind im Cookie Banner mit einer granularen Opt-In-Funktion aufzuführen.

Einwilligung via Cookie-Banner

Der EuGH hat beschlossen, dass eine generelle Einwilligungspflicht für alle Cookies besteht, die für den Betrieb der Website nicht zwingend notwendig sind. Die Argumentation über das berechtigte Interesse (Art. 6 Abs. 1 lit.f DSGVO) ist im Fall von Google Maps leider nicht anwendbar. Der Service stellt zwar einen Mehrwert für NutzerInnen dar, kann aber nicht als technisch unbedingt erforderlich angesehen werden. Ein Besuch der Website ist auch ohne Google Maps problemlos und ohne Einschränkungen möglich. Gleichzeitig muss man mögliche Alternativen mit in seine Argumentation einbeziehen und spätestens da bleiben wenig Argumente auf der Seite des berechtigten Interesses.

Long story short: Für die Nutzung von Google Maps brauchen Sie die vorherige, informierte, explizite und freiwillige Einwilligung Ihrer NutzerInnen.

Zwei-Klick-Lösung:

Wichtig ist hier zu beachten, dass personenbezogene Daten tatsächlich erst NACH ERFOLGTER EINWILLIGUNG übertragen werden dürfen. Es dürfen also keine Cookies gesetzt werden, bevor der Nutzer / die Nutzerin sein / ihr Opt-In durch das aktive Setzen eines Häkchens gegeben hat. Eine gängige Möglichkeit, technisch sicherzustellen, dass keine Daten unerlaubt übertragen werden, ist die Zwei-Klick-Lösung.

Hier wird zunächst an der Stelle, wo die Karte erscheinen soll, eine Grafik oder ein statisches Bild der Karte angezeigt. Dieser Platzhalter ist auf der eigenen Website hochgeladen und überträgt daher noch keine Daten. In dieser Grafik kann ein Hinweis erscheinen, der die NutzerInnen darauf hinweist, dass sie die Karte erst sehen können, nachdem sie in die Datenübertragung durch Google Maps eingewilligt haben. An dieser Stelle sollte nochmal auf die Datenschutzerklärung verlinkt werden. Nachdem die NutzerInnen zugestimmt haben, erscheint an dieser Stelle die gewünschte Karte von Google Maps.

Diese Zwei-Klick-Lösung ist bei einigen CMP-Anbietern (wie Borlabs oder Usercentrics) möglich. Achten Sie also bei der Wahl Ihres Cookie Banner Tools darauf, dass dieses (unter anderem) diese Funktion anbietet. Denn nicht nur für Google Maps ist es wichtig, dass diese Dienste tatsächlich erst nach Einwilligung Cookies setzen.

Fazit: Datenschutzkonforme Alternative für Google Maps

Eine 100prozentig datenschutzkonforme Einbindung von Google Maps sowie von anderen Google Diensten ist aufgrund der aktuellen Rechtslage (Stichwort: Privacy Shield und Datenübertragung in die USA) nicht möglich. Wer auf der sicheren Seite sein möchte, dem empfehlen wir die Alternative OpenStreetMap, welches seinen Sitz im Vereinigten Königreich hat.

Jörg ter Beek

Datenschutzexperte & DSB

Cookies & 3rd-Party-Services detektieren?

Sicherheit durch regelmäßige Insights-Scans gewinnen und Risiken durch die Einhaltung von rechtlichen Vorgaben reduzieren.

Ihre Vorteile mit dem Privacy Hub

Mit dem Privacy Hub erhalten Sie Zugang zu allen Datenschutz-Features, die Sie für die Umsetzung der DSGVO-Vorgaben auf Ihren Websites benötigen. Mittels Dashboard können Sie das Ergebnis Ihres DSGVO-Scores auf einen Blick erfassen und alle Datenschutzerklärungen zentral verwalten.