gekennzeichnet.
In der öffentlich verfügbaren Version ist OpenStreetMap nicht datenschutzkonform nutzbar, außer man möchte einen eigenen Server installieren. Es gibt aber eine Lösung, die absolut datenschutzkonform ist.
Live Demo als Appetithappen am Anfang
Hier sehen Sie eine datenschutzkonforme interaktive Karte zur Anzeige eines Standorts, ganz ohne Einwilligung und ohne jegliche Datenschutzprobleme.
Weiter unten erfahren Sie, wie das geht und welche Merkmale die Lösung hat. Vorab: Sie ist kostenfrei kommerziell nutzbar. Wer direkt sehen will, wie die Lösung funktioniert:
Einleitung
Die Nutzung von Google-Tools wie Google Maps ist mit großen rechtlichen Unsicherheiten behaftet. Weil Google Maps zudem technisch nicht notwendige Cookies einsetzt und diverse Ladevorgänge anstößt, kann das Kartenprodukt von Google nur mit Einwilligung verwendet werden. Update: Wie ein Kommentator zu Recht sagte, kann die Google Maps JavaScript API verwendet werden, um die Karte ohne Cookies darzustellen. Ich erweitere daher meine Argumentation: Der Datentransfer zu Google ist ohne Einwilligung nicht erlaubt, sage ich. An anderer Stelle hatte ich das untersucht: Google erklärt, Daten von Nutzern, die über jedweden Google Dienst (also auch ein Karten-Plugin) erhoben wurden, für eigene Zwecke zu verwenden. Zudem lädt Google Maps die Google Schriften nach. Das halte ich außerdem für einwilligungspflichtig. Die Privacy Shield Thematik könnte man hier auch noch bemühen.
Die meiner Meinung nach beste und bekannteste kostenfreie Alternative ist OpenStreetMap (OSM). Leider kann OpenStreetMap so, wie es ausgeliefert wird, nicht datenschutzkonform genutzt werden.
Diese und weitere Möglichkeiten der Nutzung von OSM und deren Vor- und Nachteile schildere ich im Folgenden. Anschließend zeige ich eine Lösung, die absolut datenschutzkonform ist.
Nutzen von Karten auf Webseiten
Bevor man sich überlegt, eine Karte einzubinden oder die aktuelle Karte beizubehalten, sollte man sich darüber im Klaren sein, was der Nutzen einer solchen Karte sein soll. Hier meine Meinung:
- Anzeige eines Standorts: Geht besser mit eigenem Bildmaterial oder Bildern vom Stadtmarketing
- Routenplaner: Dafür muss keine interaktive Karte eingebettet sein, sondern eine Funktion zum Aufruf eines Routenplaners
- Anzeige mehrerer Standorte: Könnte man mit einer eigenen Karte (Bild samt Standorten) realisieren. Eine interaktive Karte ist oft wenig sinnvoll
- Datenbasis von Google: Diese könnte für die zuvor genannten Funktion ausgebeutet werden. Vorteil: Einfach. Nachteil: Kartenbetrieb kaum datenschutzkonform möglich. Bei nicht allzu vielen Standorten können diese leicht auf einer Karte gezeichnet werden.
Meiner Ansicht und Erfahrung nach bleiben nur ganz wenige Anwendungsfälle übrig, die den Einsatz einer interaktiven Karte rechtfertigen würden. Eine solche Karte hat auch Nachteile:
- Auf kleinen Bildschirm, wie auf Smartphones, scrollt der Nutzer nicht selten aus Versehen über die Karte statt über die Webseite und bleibt womöglich in der Karte hängen
- Auf großen Bildschirm werden Karten oft mickrig angezeigt, obwohl der ganz Bildschirm Platz bietet
- Oft zeigen Karten eine unvorteilhafte Vogelperspektive. Der eigentliche Standort ist nur zu erahnen, die direkte Umgebung gar nicht zu sehen
Möglichkeiten der Nutzung
Die offensichtlichste Möglichkeit der Nutzung von OSM ist leider nicht datenschutzkonform. Warum das so ist und welche weiteren Arten der Nutzung es für OpenStreetMap-Karten gibt, zeigt die folgende Auflistung.
Dienst von OpenStreetMap direkt nutzen
Die OpenStreetMap Karten werden auf der Webseite https://www.openstreetmap.org/ angeboten. Eben diese Webseite muss über einen geeigneten JavaScript-Code eingebunden werden, um eine Karte anzuzeigen. Auch die deutschsprachige Webseite openstreetmap.de verweist auf openstreetmap.org, wie die deutsche FAQ zeigt.
Die offensichtlichste Möglichkeit, OpenStreetMap Karten zu nutzen, ist nicht datenschutzkonform
Quelle: eigene Untersuchung.
Auf der OpenStreetMap Webseite, auf der das Plugin heruntergeladen werden kann (openstreetmap.org), sind sowohl Datenschutzerklärung als auch Impressum nicht ordentlich erreichbar. Zudem ist die Datenverarbeitung nicht gut erklärt. Dies macht die Karten aus Datenschutzsicht unbrauchbar. Ein Nachweis, was mit den Verkehrsdaten der Nutzer passiert, die OpenStreetMap von einer einbindenden Webseite erhält, lässt sich so nicht führen. Auf der deutschen OSM-Webseite (openstreetmap.de) sind Impressum und Datenschutzhinweise vorhanden. Sofern von dort das Karten-Plugin heruntergeladen werden kann und die Karten von diesem deutschen Server geladen werden, wäre das Problem gelöst.
Mein Beitrag zum datenschutzfreundlichen OSM-Plugin enthält einige weitere Kritikpunkte am direkten Einsatz von OSM.
Allerdings müsste man idealerweise mit dem Anbieter des OSM-Plugins einen Auftragsverarbeitungsvertrag (AVV) abschließen. Der AVV würde im besten Fall garantieren, dass alle erhaltenen Daten von OSM nach DSGVO und nicht für OSM-eigene Zwecke verarbeitet werden. Auch dürften die Daten idealerweise Deutschland oder Europa nicht verlassen, und die OSM-Organisation müsste rein deutsch oder europäisch sein, jedenfalls nicht in ein US-amerikanisches Rechtskonstrukt eingebettet sein.
MapBox
MapBox ist ein amerikanischer Anbieter, der u.a. Karten anbietet, die auch auf OpenStreetMap basieren.
Weil für MapBox wegen Art. 44ff DSGVO eine Einwilligung erforderlich ist und ich amerikanische Anbieter nicht weiter unterstützen möchte, scheide MapBox als mögliche Lösung aus.
Was für MapBox gilt, kann auch auf andere Anbieter übertragen werden. Möglicherweise gibt es kostenpflichtige Angebote DSGVO-konformer Anbieter aus Europa oder Deutschland. In diesem Artikel soll es ausschließlich um kostenfreie Angebote gehen.
Selbst betriebener OpenStreetMap Server
OpenStreetMap erlaubt den Betrieb eines eigenen Tile Servers. Dieser Server wird mit der jeweils aktuellen Datenbasis von OpenStreetMap bestückt und kann daraufhin Karten ausspucken. Er wird über eine Javascript Logik angesteuert.
Die Installation dieses Servers ist derart kompliziert, dass sie schon fast als Unverschämtheit bezeichnet werden darf.
Jedenfalls ist ein solcher eigenbetriebener OSM-Server eine datenschutzfreundliche Lösung, aber eben für die meisten Webseiten illusorisch.
Kartenausschnitt herunterladen und nutzen
Auf der Webseite von OpenStreetMap kann man sich einen Kartenausschnitt definieren und die Daten dafür dann herunterladen. Über eine Export-Funktion erhält man eine XML-Datei. Was dann mit der XML-Datei zu tun ist, bleibt erst einmal offen. Ich habe es nicht näher untersucht, weil diese Lösung offensichtlich nicht direkt nutzbar ist und technischen Sachverstand erfordert.
Vielleicht möchte mir jemand schreiben, wie man einfach von der XML-Datei zur interaktiven Karte kommt.
Auf der Webseite von OpenMapTiles können Kartendaten für den gesamten Planeten, einzelne Kontinente oder auch Länder heruntergeladen werden. Eine kommerzielle Nutzung ist allerdings kostenpflichtig. Zusätzlich bedarf es weiterer Schritte und Installationen, um von den Kartendaten zum fertigen Produkt zu kommen. Klingt alles ziemlich kompliziert und nicht massentauglich.
Eigene Lösung
Meine am Anfang gezeigte Lösung zeigt, wie eine Karte ganz ohne Datenschutzprobleme eingebunden werden kann. Die Merkmale der Lösung sind:
- Kein Datentransfer zu Dritten
- Funktioniert ohne Einwilligung
- Benötigt keinen Datenschutztext
- Keine Installation eines eigenen Servers
- Zeigt nur den relevanten Kartenausschnitt
- Zoom ist nur in sinnvollen Grenzen möglich
- Verschieben des Kartenausschnitts ist nur in sinnvollen Grenzen möglich
- Direkt nutzbar für die Deutschlandkarte über Hosting Angebot (von mir beispielsweise)
- Eigenbetrieb möglich
- Speicherplatzbedarf ist nicht allzu hoch
- Datentransfer läuft über eigenen Server
Die Lösung ist kostenfrei und hat fast nur Vorteile. Aktuell ist das Installieren etwas komplizierter als die rechtswidrige Einbindung von Google Maps, verursacht aber m. E. weniger Arbeit als die datenschutzkonforme Einbindung der Datenkraken-Karte. Ganz zu schweigen von der höheren Rechtssicherheit.
Dafür ist die Lösung gesetzeskonform und macht im Endeffekt weniger Arbeit. Im Eigenbetrieb muss man eine recht einfache Installation vornehmen, die überwiegend aus dem Kopieren von Dateien besteht. Vielleicht biete ich hierfür mal ein WordPress-Plugin o. ä. an.
Update: Mittlerweile gibt es sogar mehrere Varianten für WordPress-Plugins. Ein Konfigurator erleichtert es, das passende Plugin für eigene Standorte zu erhalten.
Fazit
Ein selbst betriebener OpenStreetMap Server ist eine Möglichkeit, eine Karte datenschutzrechtlich einwandfrei zu nutzen. Man spart sich dabei sogar den Datenschutztext. Die Installation ist allerdings nicht ganz unkompliziert. Zudem sollte man alle paar Monate eine Aktualisierung des Kartenmaterials vornehmen.
Wie ich oben gezeigt habe, ist eine datenschutzkonforme Lösung möglich und jetzt schon verfügbar.
Ich arbeite an einer OpenStreetMap Lösung für die Allgemeinheit, um die Nutzung für andere so weit wie möglich zu vereinfachen und eine DSGVO-konforme Nutzung zu ermöglichen. Mittlerweile gibt es einige Varianten für Karten-Konfiguratoren. Neben der JavaScript- und der WordPress-Variante besteht auch die Möglichkeit, mehrere Standorte gleichzeitig auf einer Karte anzuzeigen. Pro Standort kann eine individuelle Beschriftung angegeben werden. Die Anzeige einer Routenplanung ist in Arbeit. Neues hierzu erfahren Sie, wenn Sie regelmäßig auf Dr. DSGVO vorbeischauen oder den Newsletter abonnieren.
Für weitere Anregungen bin ich offen und dankbar.
Kernaussagen dieses Beitrags
OpenStreetMap kann nicht datenschutzkonform genutzt werden, es sei denn, man installiert einen eigenen Server.
OpenStreetMap-Karten sind zwar nützlich, aber die direkte Nutzung ist aus Datenschutzgründen problematisch.
Eine eigene OpenStreetMap-Karte auf der Webseite einzubinden ist datenschutzfreundlich, aber etwas kompliziert.
Es gibt jetzt schon datenschutzkonforme Lösungen für die Nutzung von OpenStreetMap.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die 
Hallo, die Lösung ist ja da und sichtbar, aber Sie äußern sich überhaupt nicht dazu, was genau Sie da nun getan haben. Nur die Vorteile aufzuzeigen, nützt jemandem, der eine Lösung sucht, nun auch nicht wirklich. Also: welche Variante haben Sie für das Beispiel oben denn nun gewählt und wie sind Sie vorgegangen? Würde mich wirklich interessieren….
Hallo Herr Müller,
Sie haben recht. Die Lösung ist als Prototyp vorhanden. Ich habe im obigen Artikel gerade einen Link auf einen weiteren Artikel eingebaut, in dem die Vorteil der Lösung beschrieben sind.
Melden Sie sich bitte per Mail bei mir, wenn Sie Interesse an der Lösung haben. Ich stelle sie kostenfrei zur Verfügung. Die Lösung ist lauffähig, deren Markttauglichkeit ist aber noch in der Prüfung durch mich.
Viele Grüße
Klaus Meffert
und was ist das hier? https://www.fossgis.de/datenschutzerkl%C3%A4rung/
Das ist eine Datenschutzerklärung einer Webseite namens "fossgis.de".
Um näher auf Ihre Frage einzugehen: Eine Datenschutzerklärung muss direkt erreichbar sein. Das ist bei OSM-Webseiten regelmäßig nicht der Fall. Fossgis ist nicht OpenStreetMep.
Ich hatte übrigens mit Fossgis wegen deren Routenplaner Kontakt aufgenommen, weil dort die DSE auch nicht korrekt verlinkt war und einige andere Formalien nicht korrekt waren. Es gab eine Antwort, aber wenig Verständnis für meine Punkte bzw. fehlte hierzu das Wissen.
Hallo Herr Meffert,
solange https://www.openstreetmap.org/ keine personenbezogenen Daten speichert oder verarbeitet die nicht zwingend für den Betrieb der Website erfoderlich sind, brauchen sie auch keinen Hinweis zu Datenschutz. Es gibt noch keine Pflicht, darauf hinzuweisen, dass man etwas nicht tut und komplett datensparsam unterwegs ist.
Der Transfer der Netzwerkadresse als personenbezogenes Datum zum Anbieter von OpenStreetMap ist jedenfalls technisch nicht notwendig.
Entweder haben Sie mit dem OpenStreetMap-Anbieter einen AVV geschlossen, oder es besteht eine Rechtsunsicherheit.
Siehe u.a. auch Art. 25 DSGVO und Art. 5 Abs. 1 c DSGVO
ich finde das eine gute Lösung und habe mal einen Prototyp für ein Joomla V4 Modul erstellt, allerdings jetzt erst mal lokal. Es funktioniert bereits und ich könnte mir vorstellen, das auf github zu stellen, um es allgemein verfügbar zu machen.
Es gäbe allerdings einen Wunsch bzgl. des Icons. Unter Joomla werden Bilder oder Icons üblicherweise im Ordner /images abgelegt und ich würde die Auswahl des Bildes gerne als konfigurierbaren Parameter für diesen Basispfad gestalten, sehe aber keine Möglichkeit dazu, dies dem js mitzuteilen ;-). Kann hier geholfen werden?
Randnotizen:
– Setze ich auf Deiner Webseite das Icon manuell, dann erscheint es mit dem generierten Code trotzdem leicht versetzt (ca 5mm) auf der Zielkarte. Ist das bekannt?
– Klicke ich links oben auf Vollbild, dann erscheint der Marker im Vollbild nicht mehr auf der Karte. Bekannt?
Beste Grüße
Hallo Peter,
vielen Dank für Deine Rückmeldung.
Das Problem mit dem verschobenen Marker sollte behoben sein. Nutzt Du das WordPress-Plugin oder das normale Plugin? WordPress-Plugin kann ggf. sein, das prüfe ich.
Das Vollbild zeigt direkt die Original-Webseite von OpenStreetMap. Dort gibt es diesen Marker nicht, der auf der Karte zum Plugin von mir zu sehen ist. Insofern kann der Marker im "Vollbild" nicht zu sehen sein. Soweit ich mich erinnere, wird das Vollbild aber zentriert angezeigt, so dass der "Marker" quasi die Bildmitte ist.
Servus Klaus,
gerne geschehen. Ich werde mir mal ein Update von Dir holen. Meine Beobachtung basiert auf karte.js mit drdsgvo_map_version=1.4. Vom Plugin her bin ich in einer anderen Welt, arbeite nicht mit wordpress sondern mit Joomla. Darauf bezogen sich meine Fragen. Das mit dem Markerbild gehört sicher eher in den Bereich Komfort, aber ich hätte das Modul gerne so geschrieben, dass anwenderfreundlich ein Markerbild (ohne ftp client) hochgeladen werden kann und dann verwendbar ist. Der Zielpfad wäre dann aber ein anderer, Joomla Module landen in /modules und Bilder in /images. Kannst Du mir da weiter helfen, um letzteren Pfad auch Deinem karte.js mitteilen zu können? Dieses erwartet das Bild unter /modules
Kleiner Nachtrag: In meinem Modul verwende ich das normale Plugin
Ich verwende ja das Plugin von Dir. Es gibt eine Kleinigkeit, die ich gerne anders gestalten würde:
Die Karte zeigt zusätzlich zu den normalen Daten auch gefundene und behobene Fehler an. Kann ich hier etwas verändern, sodass diese nicht mehr angezeigt werden?
ich verstehe leider nicht, was mit "zeigt zusätzlich zu den normalen Daten auch gefundene und behobene Fehler an" gemeint ist.
Entwarnung: Ich habe es heute noch einmal probiert, die roten/grünen Icons (siehe dazu openstreetmap.org mit aktiver Option "Hinweise/Fehlermeldungen" in Ebenen) sind weg.
Vielleicht war es eine Art Cache Problem im Browser, obwohl ich zum Test den Browser neu gestartet hatte und es auf einem anderen Rechner ebenso auftauchte. Oder was bei OSM selbst 😉
OK, danke.
Die 4-5 Artikel, die ich heute gelesen habe, gefallen mir richtig gut.
Leicht verständlich und trotzdem detailliert.
Die Lösung for OSM ist großartig.
Kann man da irgendwie einen 2. Marker setzen, um z.B. einen abseitigen Parkplatz zu zeigen?
Vielen Dank für die freundliche Rückmeldung!
Mehrere Marker zu setzen ist an sich kein Problem, aber der Konfigurator hierfür macht Arbeit.
Einen solchen Konfigurator wird es demnächst geben.
Na ja so ganz stimmt es nicht. Verwendet man die JavcascriptAPI von Google werden definitiv KEINE Cookies gesetzt. Daher ist die Aussage: "Googlemaps geht nicht weil technisch nicht notwendige Cookies gesetzt werden" nicht korrekt. Das hängt von der Wahl dert Implementierung ab.
Zwar ist die Google JSApi kostenpflichtig, aber erst ab >20.000 Abrufen pro Monat. Da muss man als Mittelständler erstmal hinkommen.
Allerdings werden natürlich trotzdem Daten indirekt an Google übetragen, da man die Karte ja extern einbindet und somit zumindest die IP Adresse übetragen wird. Und leider schweigt sich Google da etwas aus, insofern weiß man nicht genau wie Google arbeitet, und das ist dann natürlich berechtigte Kritik.
Vermutlich kann Googelmaps dann auf eigene gesetzte Cookies zurückgreifen (die fast jeder hat weil er ohne Google nicht kann) und kann dadurch wissen wer die Karte nutzt bzw. über die Werbe IDs.
Wie dem auch sei: Die komfortabelste Lösung ist leider eben Googlemaps, auch weil der Routenplaner gleich in der Karte integriert ist, wer mit dem Handy unterwegs ist macht einen Mausklick und siehtz die Route vom Standort wo er grade ist.
Den Komfort muss man erstmal schlagen.
Hallo Olaf,
guter Punkt, mit der JSApi. Ich habe es schnell geprüft (auf einer Google Demo Seite für die Maps JSAPI). Es werden da keine Cookies gesetzt.
Meinen Beitrag habe ich ergänzt, u.a. hiermit:
Ich erweitere daher meine Argumentation: Der Datentransfer zu Google ist ohne Einwilligung nicht erlaubt, sage ich. An anderer Stelle hatte ich das untersucht: Google erklärt, Daten von Nutzern, die über jedweden Google Dienst (also auch ein Karten-Plugin) erhoben wurden, für eigene Zwecke zu verwenden. Zudem lädt Google Maps die Google Schriften nach. Das halte ich außerdem für einwilligungspflichtig. Die Privacy Shield Thematik könnte man hier auch noch bemühen.
–
Was den Komfort angeht: Das interessiert nicht. Wenn etwas rechtswidrig ist, ist es egal, ob es die ansonsten beste Lösung der Welt ist oder nicht. Es gibt übrigens andere gute Routenplaner, die ich sogar besser finde. Google Maps berechnete mehrmals die Fahrtzeit falsch und teils sogar logisch falsch (selbst zu beliebigen Nachtzeiten hat Maps eine Stausituation einkaluliert).
Hallo Olaf.
Google Maps muss auch keine Cookies mehr setzen, die sind ja bereits vorhanden. Google weiß nun, dass der Nutzer sich für diese Lokation interessiert.
In Google Ads gibt es (sinngemäß) die Zielgruppe "Nutzer, die sich für den Standort interessieren".
D.h. der Nutzer, der eben nach Laufschuhen gesucht hat (Cookie gesetzt), und dann eine Map von Dinkelskirchen aufruft, bekommt darauf hin Werbung von Sportgeschäften in der Nähe von Dinkelskirchen eingeblendet. Das ist nun harmlos, zeigt aber den Weg der Daten auf.
Hallo und vielen Dank für das Aufgreifen dieses Themas, was mich auch schon länger beschäftigt.
Ich bin weg von Google zu Here gegangen. Here sitzt in den Niederlanden und unterliegt somit schon mal der DSGVO.
Here Maps kann ich komplett vom Server aus anfragen (kein JS vom Kunden-Browser, kein iframe o.ä.) . Mein Server lädt ein JPG-Bild herunter und speichert es unter dem von mir vorgegebenen Dateinamen. Der Nutzer lädt dieses Bild wie jedes andere auch in den Browser.
Reverse Geolocation (Anzeige der Adresse) ist auf Wunsch gleich im Bild mit drin.
Soweit ich erkennen kann, findet hier keinerlei Datenaustausch zwischen Nutzer und Kartenanbieter statt.
Wer einen Routenplaner oder Zoom nutzen möchte, bekommt einen zusätzlichen Link a la https://www.google.com/maps/search/?api=1&query=yy.yyyyy,x.xxxxx
mit entsprechendem Hinweis, dass nun der sichere Hafen verlassen wird.
Hier das Impressum von openstreetmap, wo der Betreiber der Seite, der OpenStreetMap Foundation, explizit genannt wird: https://www.openstreetmap.org/about
Sofort zu finden über den Button "About" ganz oben.
Hier die Datenschutzerklärung, die dort ebenfalls explizit verlinkt ist: https://wiki.osmfoundation.org/wiki/Privacy_Policy
Oder auf den Link "Nutzungsbedingungen der Wabseite und API" ganz unten klicken, dort ist die "Privacy Policy" angegeben: "Because our Services are used by people all over the world, personal information that we collect may be stored and processed in any other country in which we or our agents maintain facilities. If you are a resident of the EU, EEA, or EFTA, your information will be stored and processed in accordance with the GDPR. If you are a resident of another country, you consent to any such transfer of information outside your country by using our Services."
Oder auf das (c) in der Karte klicken, auch dort finden sich entsprechende Informationen.
In der Datenschutzerklärung ist dann erläutert, das bei Abruf von Tiles immer der nächstgelegene Server des Abrufenden verwendet wird, also in der EU. Es werden damit keine Daten ins Nicht-EU-Ausland übertragen.
Insofern kann ich das einzige Argument gegen OSM, es fehle ein Impressum und eine Datenschutzerklärung, nicht ganz nachvollziehen.
Was mich noch interessieren würde: Welche Art der Einbindung von OSM ist gemeint? iframe? leaflet?
Beste Grüße
Chnutz
Danke für Ihre detaillierte und konstruktive Rückmeldung!
Der zuerst von Ihnen genannte Link führt auf eine Seite, wo die Adressangabe und Landangabe der OSM Foundation fehlen. Klickt man auf einen Link zur OSM Foundation, kommt man auf eine andere Seite, wo ich kein Impressum finde. Wenn ich genauer suche, finde ich eine Organisation in UK.
Die Standardsprüche, dass alles natürlich nach DSGVO gehandhabt wird, wenn man ein EU-Bürger ist, finde ich höchstens langweilig, aber nicht hilfreich.
Auch die Sache mit den Serverstandorten ist nicht besonders zielführend. Kann man denn garantieren, dass nur Server aus der EU verwendet werden? Kann garantiert werden, dann kein Zugriff aus den USA erfolgt, etwa weil OSM Mitarbeiter dort wohnen?
Welche Art der Einbindung ist eigentlich fast egal, denn die Verkehrsdaten des Nutzers wandern so oder so ab.
Zugegeben: OSM ist kein Hochrisikotool. Was die OSM Foundation so alles mit den Daten macht, verrät die Datenschutzerklärung in etwa (wenn man ihr vertrauen möchte). Da stehen einige Dinge drin, die nicht so wirklich in eine perfekte Datenschutzwelt passen.
Es ist ganz einfach: Wer OSM einbindet, muss genau wissen, was mit den Daten passiert. Lokal einbinden ist das beste und datenschutzrechtlich sicherste und einfachste.
Dass für bundesdeutsche NGO's die Hürden für eine DSGVO-gerechte Implementierung von OSM, openstreetmaps, derart hoch gelegt werden (müssen) – letztendlich ist wohl ein On-Premise-Hosting unvermeidbar – ist wirklich eine Herausforderung. In diesem Bereich ist die Cloud sowas von "dead as a dodo".
Zeigt aber auch, dass es für gut ausgebildetes IT-Fachpersonal keine Alternative gibt. Vor vier Jahren war das jedenfalls der O-Ton von führenden Admins öffentl. Infrastruktur während einer Microsoft-Security-Veranstaltung in Berlin.
Wenn openstreetmap.de gemeint ist: Die bieten kein Plugin für die Karte an, wenn ich recht informiert bin (eben konnte ich auf deren Seite jedenfalls auf die Schnelle nichts dazu finden).
Unabhängig davon gilt: Das mildere Mittel ist zu nehmen. Das hat nichts mit NGOs zu tun.
Cloud geht DSGVO-konform. Man braucht einen Anbieter rein aus D oder EU sowie einen AVV mit dem Anbieter. Anbieter außerhalb der EU gehen natürlich generell auch, nur sollten sie keinesfalls aus den USA kommen oder Bezüge dahin haben. Was UK angeht, ist die Lage fraglich.
Microsoft jedenfalls hat die Muttergesellschaft in den USA.
Hallo Dr. DSGVO,
hab mir die anleitung zum eigenen OSM-Server angeguckt. so dramatisch finde ich das nicht, ganz im Gegenteil, relativ einfach erklärt und für einen UNIX-Admin sicher kein Drama. Da habe ich schon viel heftigeres gesehen. Viele sind halt windowsverwöhnt!
OK, nehme ich mal so hin 🙂
Für einen "UNIX-Admin" mag es wohl kein großes Problem sein, einem OSM-Server zu installieren.
Wenn jemand das vorhat, würde ich fast empfehlen, einen Docker Container zu nutzen (siehe etwa https://hub.docker.com/r/overv/openstreetmap-tile-server/#!) – habe ich selbst nicht ausprobiert, dafür aber diverse andere Installationen mit Docker.
Ich habe ein kleines Darstellungsproblem: Manche Tiles sind farbig, manche in Graustufen. Was tun?
Hatten Sie die Graustufen-Version genutzt oder die "normale" Kartenversion (mit farbigen Tiles)?
Hallo,
ich hatte zuerst eine Version in Farbe, habe aber dann auf Graustufen umgestellt.
Es scheint am Cache zu liegen. Ich habe den Ordner Tiles gelöscht, damit sich alle Tiles neu aufbauen. Jetzt sieht's bei mir am Rechner noch seltsam aus (obwohl ich alles gelöscht habe), aber an allen anderen Rechnern und am Handy ist die Welt jetzt in Ordnung.
Super Tool!! DANKE für den Kampf gegen die Windmühlen!
Moin Moin,
vielen Dank für diesen Artikel. Ich habe mir über den Konfigurator das WordPress-Plugin heruntergeladen und installiert.
Mir ist aufgefallen, dass der Code in interaktive_karte/proxy/index.php unleserlich gemacht wurde. Ist das der korrekte Code aus Ihrem Hause oder eine Backdoor?
Ich musste schon Erfahrung mit einem kompromittierten WordPress machen, in dem der Schadcode ähnlich aussah.
Vielen Dank und beste Grüße
Aurel
Der Code ist unleserlich, damit nicht andere ihn kopieren und als eigene Lösung ausgeben. Es gibt keine Backdoor. Einer hatte den Code bereits mal deobfuskiert und konnte sehen, dass alles in Ordnung ist.
Sie haben meine Garantie, dass es keine Backdoor o.ä. gibt.
Vielen Dank für die schnelle Antwort!
Ich habe in der zwischenzeit den Code formatiert und ganz ganz grob nachvollzogen. Scheint alles gut zu sein!
Mir sind da kurz die Alarmglocken angegangen 🙂
Das hat zwar nix mit der DSGVO zutun, aber für mich gehört zum Datenschutz auch transparenter Code, damit Webmaster die Chance haben diesen nachzuvollziehen und sicherstellen können, dass nur gewollte Daten den Server verlassen.
Aber das Plugin funktioniert super und ich behalte es.
Vielen Dank für die Arbeit!
Danke für Ihre Rückmeldung.
Wenn kein Datenschutzproblem, dann kein Problem für mich 😉
Das Plugin ist kostenfrei, da nehme ich mir heraus, gewisse Schutzfunktionen einzubauen.
Ist der Artikel eigentlich euer Ernst? Ihr schreibt, dass ihr "keinen technischen Sachverstand habt" um einen eigenen OSM Server aufzusetzen, zeitgleich bietet ihr eine angeblich datenschutzfreundliche Lösung an. Wenn ihr nicht mal in der Lage seid ein kleines Dockerimage zu deployen, stelle ich in Frage, wie ihr behaupten könnt, dass eure "datenschutzfreundliche Lösung" auch tatsächlich datenschutzfreundlich ist. Wie konntet ihr das ohne "technischem Sachverstand" überprüfen?
Wir reden hier über eine massentaugliche Lösung.
Es geht NICHT darum, anderen kostenfrei einen Server bereitzustellen und dazu auch noch kostenfrei die rechtlichen Verpflichtungen und das Haftungsrisiko zu übernehmen.
Möchtest Du das machen, Stefan? Wo ist Dein OSM-Server, den alle kostenfrei als Plugin-Server für deren Webseiten nutzen dürfen? Gerne nehme ich Deinen Server in meine Artikel auf, wenn Du mir die Adresse nennst.
Hallo, wir verwenden in WordPress das relativ neue Plugin GDPR & DSGVO Compliant Maps | GeoUNIT Maps von Unit08 welches damit wirbt, datenschutzkonform zu sein. Ist dieses Plugin eine gute Alternative?
Können Sie die genaue Adresse der Webseite nennen, wo das Plugin eingebunden ist? Dann schaue ich es mir gerne an.
Falls Antwort auf diesen Kommentar: Ich anonymisiere die Adresse, sie wird also nicht veröffentlicht!
Hallo,
wenn ich OSM oder einen anderen externen Content einbinde, welcher KEINE COOOKIES setzt, müsste das DSGVO-konform sein und der Inhalt nicht geblockt werden oder nicht?
Nicht ganz, denn die IP-Adresse, welche als personenbezogen anzusehen ist, wird zu OSM übertragen. Zusätzlich dazu wird die Seite, auf der OSM eingebunden ist, mit übertragen, ebenso der Zeitpunkt des Aufrufs und weitere Nutzer-bezogene und Geräte-bezogene Daten.
Wer oder was OSM ist, ist mir jedenfalls nicht ganz klar. Ob OSM sich an die DSGVO hält, ist zwar anzunehmen, aber nicht gesichert. Dafür bedürfte es eines Auftragsverarbeitungsvertrages.
Fragen über Fragen, die man am besten vermeidet, beispielsweise durch lokales Einbinden der Karte. Siehe Lösung in diesem Blog: https://dr-dsgvo.de/karte2-wp/
Hallo,
auf welches Plugin von OSM beziehen Sie sich hier?
„Auf der OpenStreetMap Webseite, auf der das Plugin heruntergeladen werden kann (openstreetmap.org),…“
Wo soll es da ein Plugin zum Herunterladen geben? Das wäre mir völlig neu.
Die OSM-Seite hat sich mittlerweile möglicherweise geändert.
Hier findet man beispielsweise einen Plugin-Code:
https://wiki.openstreetmap.org/wiki/OpenLayers_Simple_Example