Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Ist OpenStreetMap datenschutzkonform nutzbar?

23

In der öffentlich verfügbaren Version ist OpenStreetMap nicht datenschutzkonform nutzbar, außer man möchte einen eigenen Server installieren. Es gibt aber eine Lösung, die absolut datenschutzkonform ist.

Live Demo als Appetithappen am Anfang

Hier sehen Sie eine datenschutzkonforme interaktive Karte zur Anzeige eines Standorts, ganz ohne Einwilligung und ohne jegliche Datenschutzprobleme.

Weiter unten erfahren Sie, wie das geht und welche Merkmale die Lösung hat. Vorab: Sie ist kostenfrei kommerziell nutzbar. Wer direkt sehen will, wie die Lösung funktioniert:

Einleitung

Die Nutzung von Google-Tools wie Google Maps ist mit großen rechtlichen Unsicherheiten behaftet. Weil Google Maps zudem technisch nicht notwendige Cookies einsetzt und diverse Ladevorgänge anstößt, kann das Kartenprodukt von Google nur mit Einwilligung verwendet werden. Update: Wie ein Kommentator zu Recht sagte, kann die Google Maps JavaScript API verwendet werden, um die Karte ohne Cookies darzustellen. Ich erweitere daher meine Argumentation: Der Datentransfer zu Google ist ohne Einwilligung nicht erlaubt, sage ich. An anderer Stelle hatte ich das untersucht: Google erklärt, Daten von Nutzern, die über jedweden Google Dienst (also auch ein Karten-Plugin) erhoben wurden, für eigene Zwecke zu verwenden. Zudem lädt Google Maps die Google Schriften nach. Das halte ich außerdem für einwilligungspflichtig. Die Privacy Shield Thematik könnte man hier auch noch bemühen.

Die meiner Meinung nach beste und bekannteste kostenfreie Alternative ist OpenStreetMap (OSM). Leider kann OpenStreetMap so, wie es ausgeliefert wird, nicht datenschutzkonform genutzt werden.

Diese und weitere Möglichkeiten der Nutzung von OSM und deren Vor- und Nachteile schildere ich im Folgenden. Anschließend zeige ich eine Lösung, die absolut datenschutzkonform ist.

Nutzen von Karten auf Webseiten

Bevor man sich überlegt, eine Karte einzubinden oder die aktuelle Karte beizubehalten, sollte man sich darüber im Klaren sein, was der Nutzen einer solchen Karte sein soll. Hier meine Meinung:

  • Anzeige eines Standorts: Geht besser mit eigenem Bildmaterial oder Bildern vom Stadtmarketing
  • Routenplaner: Dafür muss keine interaktive Karte eingebettet sein, sondern eine Funktion zum Aufruf eines Routenplaners
  • Anzeige mehrerer Standorte: Könnte man mit einer eigenen Karte (Bild samt Standorten) realisieren. Eine interaktive Karte ist oft wenig sinnvoll
  • Datenbasis von Google: Diese könnte für die zuvor genannten Funktion ausgebeutet werden. Vorteil: Einfach. Nachteil: Kartenbetrieb kaum datenschutzkonform möglich. Bei nicht allzu vielen Standorten können diese leicht auf einer Karte gezeichnet werden.

Meiner Ansicht und Erfahrung nach bleiben nur ganz wenige Anwendungsfälle übrig, die den Einsatz einer interaktiven Karte rechtfertigen würden. Eine solche Karte hat auch Nachteile:

  • Auf kleinen Bildschirm, wie auf Smartphones, scrollt der Nutzer nicht selten aus Versehen über die Karte statt über die Webseite und bleibt womöglich in der Karte hängen
  • Auf großen Bildschirm werden Karten oft mickrig angezeigt, obwohl der ganz Bildschirm Platz bietet
  • Oft zeigen Karten eine unvorteilhafte Vogelperspektive. Der eigentliche Standort ist nur zu erahnen, die direkte Umgebung gar nicht zu sehen

Möglichkeiten der Nutzung

Die offensichtlichste Möglichkeit der Nutzung von OSM ist leider nicht datenschutzkonform. Warum das so ist und welche weiteren Arten der Nutzung es für OpenStreetMap-Karten gibt, zeigt die folgende Auflistung.

Dienst von OpenStreetMap direkt nutzen

Die OpenStreetMap Karten werden auf der Webseite https://www.openstreetmap.org/ angeboten. Eben diese Webseite muss über einen geeigneten JavaScript Code eingebunden werden, um eine Karte anzuzeigen. Auch die deutschsprachige Webseite openstreetmap.de verweist auf openstreetmap.org, wie die deutsche FAQ zeigt.

Die offensichtlichste Möglichkeit, OpenStreetMap Karten zu nutzen, ist nicht datenschutzkonform

Quelle: eigene Untersuchung.

Auf der OpenStreetMap Webseite, auf der das Plugin heruntergeladen werden kann (openstreetmap.org), fehlen sowohl eine Datenschutzerklärung als auch ein Impressum. Dies macht die Karten aus Datenschutzsicht unbrauchbar. Ein Nachweis, was mit den Verkehrsdaten der Nutzer passiert, die OpenStreetMap von einer einbindenden Webseite erhält, lässt sich so nicht führen. Auf der deutschen OSM-Webseite (openstreetmap.de) sind Impressum und Datenschutzhinweise vorhanden. Sofern von dort das Karten-Plugin heruntergeladen werden kann und die Karten von diesem deutschen Server geladen werden, wäre das Problem gelöst.

Mein Beitrag zum datenschutzfreundlichen OSM-Plugin enthält einige weitere Kritikpunkte am direkten Einsatz von OSM.

Allerdings müsste man idealerweise mit dem Anbieter des OSM-Plugins einen Auftragsverarbeitungsvertrag (AVV) abschließen. Der AVV würde im besten Fall garantieren, dass alle erhaltenen Daten von OSM nach DSGVO und nicht für OSM-eigene Zwecke verarbeitet werden. Auch dürften die Daten idealerweise Deutschland oder Europa nicht verlassen, und die OSM-Organisation müsste rein deutsch oder europäisch sein, jedenfalls nicht in ein US-amerikanisches Rechtskonstrukt eingebettet sein.

MapBox

MapBox ist ein amerikanischer Anbieter, der u.a. Karten anbietet, die auch auf OpenStreetMap basieren.

Weil für MapBox wegen Art. 44ff DSGVO eine Einwilligung erforderlich ist und ich amerikanische Anbieter nicht weiter unterstützen möchte, scheide MapBox als mögliche Lösung aus.

Was für MapBox gilt, kann auch auf andere Anbieter übertragen werden. Möglicherweise gibt es kostenpflichtigte Angebote DSGVO-konformer Anbieter aus Europa oder Deutschland. In diesem Artikel soll es ausschließlich um kostenfreie Angebote gehen.

Selbst betriebener OpenStreetMap Server

OpenStreetMap erlaubt den Betrieb eines eigenen Tile Servers. Dieser Server wird mit der jeweils aktuellen Datenbasis von OpenStreetMap bestückt und kann daraufhin Karten ausspucken. Er wird über eine Javascript Logik angesteuert.
Die Installation dieses Servers ist derart kompliziert, dass sie schon fast als Unverschämtheit bezeichnet werden darf.

Jedenfalls ist ein solcher eigenbetriebener OSM-Server eine datenschutzfreundliche Lösung, aber eben für die meisten Webseiten illusorisch.

Kartenausschnitt herunterladen und nutzen

Auf der Webseite von OpenStreetMap kann man sich einen Kartenausschnitt definieren und die Daten dafür dann herunterladen. Über eine Export-Funktion erhält man eine XML-Datei. Was dann mit der XML-Datei zu tun ist, bleibt erst einmal offen. Ich habe es nicht näher untersucht, weil diese Lösung offensichtlich nicht direkt nutzbar ist und technischen Sachverstand erfordert.

Vielleicht möchte mir jemand schreiben, wie man einfach von der XML-Datei zur interaktiven Karte kommt.

Auf der Webseite von OpenMapTiles können Kartendaten für den gesamten Planeten, einzelne Kontinente oder auch Länder heruntergeladen werden. Eine kommerzielle Nutzung ist allerdings kostenpflichtig. Zusätzlich bedarf es weiterer Schritte und Installationen, um von den Kartendaten zum fertigen Produkt zu kommen. Klingt alles ziemlich kompliziert und nicht massentauglich.

Eigene Lösung

Meine am Anfang gezeigte Lösung zeigt, wie eine Karte ganz ohne Datenschutzprobleme eingebunden werden kann. Die Merkmale der Lösung sind:

  • Kein Datentransfer zu Dritten
  • Funktioniert ohne Einwilligung
  • Benötigt keinen Datenschutztext
  • Keine Installation eines eigenen Servers
  • Zeigt nur den relevanten Kartenausschnitt
    • Zoom ist nur in sinnvollen Grenzen möglich
    • Verschieben des Kartenausschnitts ist nur in sinnvollen Grenzen möglich
  • Direkt nutzbar für die Deutschlandkarte über Hosting Angebot (von mir beispielsweise)
  • Eigenbetrieb möglich
    • Speicherplatzbedarf ist nicht allzu hoch
    • Datentransfer läuft über eigenen Server

Die Lösung ist kostenfrei und hat fast nur Vorteile. Aktuell ist das Installieren etwas komplizierter als die rechtswidrige Einbindung von Google Maps, verursacht aber m. E. weniger Arbeit als die datenschutzkonforme Einbindung der Datenkraken-Karte. Ganz zu schweigen von der höheren Rechtssicherheit.

Dafür ist die Lösung gesetzeskonform und macht im Endeffekt weniger Arbeit. Im Eigenbetrieb muss man eine recht einfache Installation vornehmen, die überwiegend aus dem Kopieren von Dateien besteht. Vielleicht biete ich hierfür mal ein WordPress-Plugin o. ä. an.

Fazit

Ein selbst betriebener OpenStreetMap Server ist eine Möglichkeit, eine Karte datenschutzrechtlich einwandfrei zu nutzen. Man spart sich dabei sogar den Datenschutztext. Die Installation ist allerdings nicht ganz unkompliziert. Zudem sollte man alle paar Monate eine Aktualisierung des Kartenmaterials vornehmen.

Wie ich oben gezeigt habe, ist eine datenschutzkonforme Lösung möglich und jetzt schon verfügbar.

Ich arbeite an einer OpenStreetMap Lösung für die Allgemeinheit, um die Nutzung für andere so weit wie möglich zu vereinfachen und eine DSGVO-konforme Nutzung zu ermöglichen.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine unabhängige Berichterstattung würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/ist-openstreetmap-datenschutzkonform-nutzbar
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Gerwin Müller

    Hallo, die Lösung ist ja da und sichtbar, aber Sie äußern sich überhaupt nicht dazu, was genau Sie da nun getan haben. Nur die Vorteile aufzuzeigen, nützt jemandem, der eine Lösung sucht, nun auch nicht wirklich. Also: welche Variante haben Sie für das Beispiel oben denn nun gewählt und wie sind Sie vorgegangen? Würde mich wirklich interessieren….

  2. Dr. DSGVO

    Hallo Herr Müller,

    Sie haben recht. Die Lösung ist als Prototyp vorhanden. Ich habe im obigen Artikel gerade einen Link auf einen weiteren Artikel eingebaut, in dem die Vorteil der Lösung beschrieben sind.

    Melden Sie sich bitte per Mail bei mir, wenn Sie Interesse an der Lösung haben. Ich stelle sie kostenfrei zur Verfügung. Die Lösung ist lauffähig, deren Markttauglichkeit ist aber noch in der Prüfung durch mich.

    Viele Grüße

    Klaus Meffert

    • Dr. DSGVO

      Das ist eine Datenschutzerklärung einer Webseite namens “fossgis.de”.

      Um näher auf Ihre Frage einzugehen: Eine Datenschutzerklärung muss direkt erreichbar sein. Das ist bei OSM-Webseiten regelmäßig nicht der Fall. Fossgis ist nicht OpenStreetMep.

      Ich hatte übrigens mit Fossgis wegen deren Routenplaner Kontakt aufgenommen, weil dort die DSE auch nicht korrekt verlinkt war und einige andere Formalien nicht korrekt waren. Es gab eine Antwort, aber wenig Verständnis für meine Punkte bzw. fehlte hierzu das Wissen.

  3. Zwerg01

    Hallo Herr Meffert,

    solange https://www.openstreetmap.org/ keine personenbezogenen Daten speichert oder verarbeitet die nicht zwingend für den Betrieb der Website erfoderlich sind, brauchen sie auch keinen Hinweis zu Datenschutz. Es gibt noch keine Pflicht, darauf hinzuweisen, dass man etwas nicht tut und komplett datensparsam unterwegs ist.

    • Dr. DSGVO

      Der Transfer der Netzwerkadresse als personenbezogenes Datum zum Anbieter von OpenStreetMap ist jedenfalls technisch nicht notwendig.
      Entweder haben Sie mit dem OpenStreetMap-Anbieter einen AVV geschlossen, oder es besteht eine Rechtsunsicherheit.
      Siehe u.a. auch Art. 25 DSGVO und Art. 5 Abs. 1 c DSGVO

  4. Peter Möller

    ich finde das eine gute Lösung und habe mal einen Prototyp für ein Joomla V4 Modul erstellt, allerdings jetzt erst mal lokal. Es funktioniert bereits und ich könnte mir vorstellen, das auf github zu stellen, um es allgemein verfügbar zu machen.

    Es gäbe allerdings einen Wunsch bzgl. des Icons. Unter Joomla werden Bilder oder Icons üblicherweise im Ordner /images abgelegt und ich würde die Auswahl des Bildes gerne als konfigurierbaren Parameter für diesen Basispfad gestalten, sehe aber keine Möglichkeit dazu, dies dem js mitzuteilen ;-). Kann hier geholfen werden?

    Randnotizen:
    – Setze ich auf Deiner Webseite das Icon manuell, dann erscheint es mit dem generierten Code trotzdem leicht versetzt (ca 5mm) auf der Zielkarte. Ist das bekannt?
    – Klicke ich links oben auf Vollbild, dann erscheint der Marker im Vollbild nicht mehr auf der Karte. Bekannt?

    Beste Grüße

    • Dr. DSGVO

      Hallo Peter,

      vielen Dank für Deine Rückmeldung.

      Das Problem mit dem verschobenen Marker sollte behoben sein. Nutzt Du das WordPress-Plugin oder das normale Plugin? WordPress-Plugin kann ggf. sein, das prüfe ich.

      Das Vollbild zeigt direkt die Original-Webseite von OpenStreetMap. Dort gibt es diesen Marker nicht, der auf der Karte zum Plugin von mir zu sehen ist. Insofern kann der Marker im “Vollbild” nicht zu sehen sein. Soweit ich mich erinnere, wird das Vollbild aber zentriert angezeigt, so dass der “Marker” quasi die Bildmitte ist.

  5. Peter Möller

    Servus Klaus,

    gerne geschehen. Ich werde mir mal ein Update von Dir holen. Meine Beobachtung basiert auf karte.js mit drdsgvo_map_version=1.4. Vom Plugin her bin ich in einer anderen Welt, arbeite nicht mit wordpress sondern mit Joomla. Darauf bezogen sich meine Fragen. Das mit dem Markerbild gehört sicher eher in den Bereich Komfort, aber ich hätte das Modul gerne so geschrieben, dass anwenderfreundlich ein Markerbild (ohne ftp client) hochgeladen werden kann und dann verwendbar ist. Der Zielpfad wäre dann aber ein anderer, Joomla Module landen in /modules und Bilder in /images. Kannst Du mir da weiter helfen, um letzteren Pfad auch Deinem karte.js mitteilen zu können? Dieses erwartet das Bild unter /modules

    Kleiner Nachtrag: In meinem Modul verwende ich das normale Plugin

  6. Peter Möller

    Ich verwende ja das Plugin von Dir. Es gibt eine Kleinigkeit, die ich gerne anders gestalten würde:
    Die Karte zeigt zusätzlich zu den normalen Daten auch gefundene und behobene Fehler an. Kann ich hier etwas verändern, sodass diese nicht mehr angezeigt werden?

    • Dr. DSGVO

      ich verstehe leider nicht, was mit “zeigt zusätzlich zu den normalen Daten auch gefundene und behobene Fehler an” gemeint ist.

      • Peter Möller

        Entwarnung: Ich habe es heute noch einmal probiert, die roten/grünen Icons (siehe dazu openstreetmap.org mit aktiver Option “Hinweise/Fehlermeldungen” in Ebenen) sind weg.

        Vielleicht war es eine Art Cache Problem im Browser, obwohl ich zum Test den Browser neu gestartet hatte und es auf einem anderen Rechner ebenso auftauchte. Oder was bei OSM selbst 😉

  7. Silvio

    Die 4-5 Artikel, die ich heute gelesen habe, gefallen mir richtig gut.
    Leicht verständlich und trotzdem detailliert.

    Die Lösung for OSM ist großartig.
    Kann man da irgendwie einen 2. Marker setzen, um z.B. einen abseitigen Parkplatz zu zeigen?

    • Dr. DSGVO

      Vielen Dank für die freundliche Rückmeldung!

      Mehrere Marker zu setzen ist an sich kein Problem, aber der Konfigurator hierfür macht Arbeit.
      Einen solchen Konfigurator wird es demnächst geben.

  8. Olaf

    Na ja so ganz stimmt es nicht. Verwendet man die JavcascriptAPI von Google werden definitiv KEINE Cookies gesetzt. Daher ist die Aussage: “Googlemaps geht nicht weil technisch nicht notwendige Cookies gesetzt werden” nicht korrekt. Das hängt von der Wahl dert Implementierung ab.
    Zwar ist die Google JSApi kostenpflichtig, aber erst ab >20.000 Abrufen pro Monat. Da muss man als Mittelständler erstmal hinkommen.
    Allerdings werden natürlich trotzdem Daten indirekt an Google übetragen, da man die Karte ja extern einbindet und somit zumindest die IP Adresse übetragen wird. Und leider schweigt sich Google da etwas aus, insofern weiß man nicht genau wie Google arbeitet, und das ist dann natürlich berechtigte Kritik.
    Vermutlich kann Googelmaps dann auf eigene gesetzte Cookies zurückgreifen (die fast jeder hat weil er ohne Google nicht kann) und kann dadurch wissen wer die Karte nutzt bzw. über die Werbe IDs.
    Wie dem auch sei: Die komfortabelste Lösung ist leider eben Googlemaps, auch weil der Routenplaner gleich in der Karte integriert ist, wer mit dem Handy unterwegs ist macht einen Mausklick und siehtz die Route vom Standort wo er grade ist.
    Den Komfort muss man erstmal schlagen.

    • Dr. DSGVO

      Hallo Olaf,

      guter Punkt, mit der JSApi. Ich habe es schnell geprüft (auf einer Google Demo Seite für die Maps JSAPI). Es werden da keine Cookies gesetzt.

      Meinen Beitrag habe ich ergänzt, u.a. hiermit:
      Ich erweitere daher meine Argumentation: Der Datentransfer zu Google ist ohne Einwilligung nicht erlaubt, sage ich. An anderer Stelle hatte ich das untersucht: Google erklärt, Daten von Nutzern, die über jedweden Google Dienst (also auch ein Karten-Plugin) erhoben wurden, für eigene Zwecke zu verwenden. Zudem lädt Google Maps die Google Schriften nach. Das halte ich außerdem für einwilligungspflichtig. Die Privacy Shield Thematik könnte man hier auch noch bemühen.


      Was den Komfort angeht: Das interessiert nicht. Wenn etwas rechtswidrig ist, ist es egal, ob es die ansonsten beste Lösung der Welt ist oder nicht. Es gibt übrigens andere gute Routenplaner, die ich sogar besser finde. Google Maps berechnete mehrmals die Fahrtzeit falsch und teils sogar logisch falsch (selbst zu beliebigen Nachtzeiten hat Maps eine Stausituation einkaluliert).

    • Armin Happel

      Hallo Olaf.
      Google Maps muss auch keine Cookies mehr setzen, die sind ja bereits vorhanden. Google weiß nun, dass der Nutzer sich für diese Lokation interessiert.
      In Google Ads gibt es (sinngemäß) die Zielgruppe “Nutzer, die sich für den Standort interessieren”.
      D.h. der Nutzer, der eben nach Laufschuhen gesucht hat (Cookie gesetzt), und dann eine Map von Dinkelskirchen aufruft, bekommt darauf hin Werbung von Sportgeschäften in der Nähe von Dinkelskirchen eingeblendet. Das ist nun harmlos, zeigt aber den Weg der Daten auf.

  9. Armin Happel

    Hallo und vielen Dank für das Aufgreifen dieses Themas, was mich auch schon länger beschäftigt.
    Ich bin weg von Google zu Here gegangen. Here sitzt in den Niederlanden und unterliegt somit schon mal der DSGVO.
    Here Maps kann ich komplett vom Server aus anfragen (kein JS vom Kunden-Browser, kein iframe o.ä.) . Mein Server lädt ein JPG-Bild herunter und speichert es unter dem von mir vorgegebenen Dateinamen. Der Nutzer lädt dieses Bild wie jedes andere auch in den Browser.
    Reverse Geolocation (Anzeige der Adresse) ist auf Wunsch gleich im Bild mit drin.
    Soweit ich erkennen kann, findet hier keinerlei Datenaustausch zwischen Nutzer und Kartenanbieter statt.
    Wer einen Routenplaner oder Zoom nutzen möchte, bekommt einen zusätzlichen Link a la https://www.google.com/maps/search/?api=1&query=yy.yyyyy,x.xxxxx
    mit entsprechendem Hinweis, dass nun der sichere Hafen verlassen wird.

  10. Chnutz

    Hier das Impressum von openstreetmap, wo der Betreiber der Seite, der OpenStreetMap Foundation, explizit genannt wird: https://www.openstreetmap.org/about
    Sofort zu finden über den Button “About” ganz oben.

    Hier die Datenschutzerklärung, die dort ebenfalls explizit verlinkt ist: https://wiki.osmfoundation.org/wiki/Privacy_Policy

    Oder auf den Link “Nutzungsbedingungen der Wabseite und API” ganz unten klicken, dort ist die “Privacy Policy” angegeben: “Because our Services are used by people all over the world, personal information that we collect may be stored and processed in any other country in which we or our agents maintain facilities. If you are a resident of the EU, EEA, or EFTA, your information will be stored and processed in accordance with the GDPR. If you are a resident of another country, you consent to any such transfer of information outside your country by using our Services.”

    Oder auf das (c) in der Karte klicken, auch dort finden sich entsprechende Informationen.

    In der Datenschutzerklärung ist dann erläutert, das bei Abruf von Tiles immer der nächstgelegene Server des Abrufenden verwendet wird, also in der EU. Es werden damit keine Daten ins Nicht-EU-Ausland übertragen.

    Insofern kann ich das einzige Argument gegen OSM, es fehle ein Impressum und eine Datenschutzerklärung, nicht ganz nachvollziehen.

    Was mich noch interessieren würde: Welche Art der Einbindung von OSM ist gemeint? iframe? leaflet?

    Beste Grüße
    Chnutz

    • Dr. DSGVO

      Danke für Ihre detaillierte und konstruktive Rückmeldung!
      Der zuerst von Ihnen genannte Link führt auf eine Seite, wo die Adressangabe und Landangabe der OSM Foundation fehlen. Klickt man auf einen Link zur OSM Foundation, kommt man auf eine andere Seite, wo ich kein Impressum finde. Wenn ich genauer suche, finde ich eine Organisation in UK.

      Die Standardsprüche, dass alles natürlich nach DSGVO gehandhabt wird, wenn man ein EU-Bürger ist, finde ich höchstens langweilig, aber nicht hilfreich.

      Auch die Sache mit den Serverstandorten ist nicht besonders zielführend. Kann man denn garantieren, dass nur Server aus der EU verwendet werden? Kann garantiert werden, dann kein Zugriff aus den USA erfolgt, etwa weil OSM Mitarbeiter dort wohnen?

      Welche Art der Einbindung ist eigentlich fast egal, denn die Verkehrsdaten des Nutzers wandern so oder so ab.

      Zugegeben: OSM ist kein Hochrisikotool. Was die OSM Foundation so alles mit den Daten macht, verrät die Datenschutzerklärung in etwa (wenn man ihr vertrauen möchte). Da stehen einige Dinge drin, die nicht so wirklich in eine perfekte Datenschutzwelt passen.

      Es ist ganz einfach: Wer OSM einbindet, muss genau wissen, was mit den Daten passiert. Lokal einbinden ist das beste und datenschutzrechtlich sicherste und einfachste.

  11. Martin

    Dass für bundesdeutsche NGO’s die Hürden für eine DSGVO-gerechte Implementierung von OSM, openstreetmaps, derart hoch gelegt werden (müssen) – letztendlich ist wohl ein On-Premise-Hosting unvermeidbar – ist wirklich eine Herausforderung. In diesem Bereich ist die Cloud sowas von “dead as a dodo”.
    Zeigt aber auch, dass es für gut ausgebildetes IT-Fachpersonal keine Alternative gibt. Vor vier Jahren war das jedenfalls der O-Ton von führenden Admins öffentl. Infrastruktur während einer Microsoft-Security-Veranstaltung in Berlin.

    • Dr. DSGVO

      Wenn openstreetmap.de gemeint ist: Die bieten kein Plugin für die Karte an, wenn ich recht informiert bin (eben konnte ich auf deren Seite jedenfalls auf die Schnelle nichts dazu finden).
      Unabhängig davon gilt: Das mildere Mittel ist zu nehmen. Das hat nichts mit NGOs zu tun.

      Cloud geht DSGVO-konform. Man braucht einen Anbieter rein aus D oder EU sowie einen AVV mit dem Anbieter. Anbieter außerhalb der EU gehen natürlich generell auch, nur sollten sie keinesfalls aus den USA kommen oder Bezüge dahin haben. Was UK angeht, ist die Lage fraglich.

      Microsoft jedenfalls hat die Muttergesellschaft in den USA.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

UserCentrics: Praxistest des Consent Tools für Webseiten