Online Routenplaner: welche Anbieter nehmen Datenschutz ernst?

Kategorien: Datenschutz und Empfehlungen

Ganz schnell noch eine Route planen. Kein Problem, wenn Datenmissbrauch in Kauf genommen wird. Welche Angebote gibt es und welche verdienen die Auszeichnung guter Datenschutz?

Einleitung

Ein Routenplaner zeigt einen Weg von einem Startpunkt zu einem Zielpunkt. Viele Planer unterstützen mehrere Fortbewegungsvarianten, von denen das Auto wahrscheinlich die häufigste ist. Oft wird auch der Weg zu Fuß oder mit dem Fahrrad unterstützt. Manche Karten orientieren sich sogar an der Art der Reise. Sie bieten einige Karten besondere Anhaltspunkte für Camper, Radfahrer oder Outdoor Enthusiasten.

Dieser Test untersucht, wie ernst Anbieter von Online Routenplanern verbindliche Datenschutzregeln nehmen und Gesetze einhalten. Aus diversen Untersuchungen zu sogenannten Trackern, Cookies und zu Datenströmen gemäß Rechtsgrundlagen der DSGVO behaupte ich, in vielen Fällen eine in meinem Augen eindeutige Einschätzung vornehmen zu können, ob etwas erlaubt ist oder nicht. Ich denke sogar, dass viele Punkte bereits von einem Landgericht in meinem Sinne entschieden werden würden, wenn es die Entscheidung selbst vornehmen und nicht die nächst höhere Instanz fragen will.

Weist die Webseite eines Anbieters Datenschutzprobleme auf, ist der online Routenplaner schlechterdings datenschutzkonform

Mein Testverfahren, was für jede beliebgie SoftWare gilt

Ungeachtet der gut gefestigten Rechtslage, was populäre Tools wie Google Analytics oder Google reCAPTCHA oder den Transfer technisch nicht notwendiger Cookies angeht, gibt es Grenzfälle. Das Vorhandensein dieser Grenzfälle auf einer Webseite zeigt mir, dass der Betreiber der Webseite entweder Datenschutz nicht besonders ernst nimmt oder nicht kompetent beraten wurde. Beides wäre gleich schlecht. Ein Grenzfall, allerdings nur aufgrund mangelnder höchstrichterlicher Rechtsprechung, ist die Einwilligungsabfrage, die eine Ablehnung nicht gleich einfach wie eine Einwilligung erlaubt.

Mein Ansatz, um die DSGVO-Konformität eines Online Rutenplaners oder auch jedes anderen Angebots, wie Microsoft Teams oder Zoom, zu prüfen: Zeigt die Webseite des Anbieters bereits mögliche Datenschutzprobleme, dann kann die angebotene Software wohl kaum datenschutzkonform sein. Warum sollte gerade die Software den Datenschutz einhalten, wenn es schon die Webseite nicht tut?

Online Routenplaner-Test

Sofern nicht anders angegeben, fand der Test der Routenplaner am 20.03.2021 statt. Die Befunde wurden am Tag des Tests aufgezeichnet. Sollte ein Anbieter eines Routenplaners seine Webseite nach meinem Test anpassen und endlich datenschutzkonform sein, vermerke ich das gerne in diesem Beitrag nach Erhalt einer Benachrichtigung.

Generell weisen fast alle Einwilligungsabfragen, sofern es sie denn gibt, erhebliche Mängel auf. Diese werden im folgenden nur Ansatzweise genannt, da dieser Beitrag sonst um ein Vielfaches umfangreicher werden würde. Wer die Einwilligungsabfragen selber kurz prüfen will, dem reicht zunächst der gesunde Menschenverstand. Einfach die Details zum Cookie Popup anzeigen lassen und staunen. Wer nicht weiß, nach was er suchen soll, dem hilft meine Checkliste für Einwilligungsabfragen sicher weiter.

Google Maps Routenplaner

Das meiner Einschätzung nach bekannteste Produkt dieser Art.

Auf der Webseite https://www.google.de/maps/ fehlen das Impressum und die vorgeschriebene Datenschutzerklärung (Stand: 20.03.2021). Google ist ein Unternehmen, was den Datenschutz meiner Einschätzung nach mit Füßen tritt. Weiterhin erhält das Google Imperium täglich millionenfache Datenspenden von deutschen Webseiten. Diese Datenspenden sind meist rechtswidrig, weil der Besucher der Webseite nicht um Einwilligung gebeten wurde. Eine weitere Betrachtung erübrigt sich damit für mich.

Google Maps als eingebettete Lösung ist kein Routenplaner, aber bedarf bereits in dieser Variante einer Einwilligung, alleine wegen der zahlreichen Cookies und der massiven Datentransfers. Die Einwilligung rechtskonform einzuholen, dürfte bei den intransparenten Datenschutz-Ausführungen von Google nicht möglich sein.

Der Google Maps Routenplaner verstößt gegen Datenschutzgesetze.

Falk Routenplaner

Der Falk Routenplaner wird auf der Webseite https://www.falk.de/routenplaner angeboten. Ruft man die Seite auf, finden bereits Datenverarbeitungen ohne Einwilligung statt. Insbesondere werden Google Analytics, DoubleClick und INFOnline Analytics geladen:

Die direkt feststellbaren Cookies sind:

Dies verstößt gegen Datenschutzgesetze. Siehe beispielsweise meine Ausführungen zu Google Analytics, die dies belegen.

Zudem wird der Besucher des Falk Routenplaners direkt mit einer Falschaussage konfrontiert, wie die Einwilligungsabfrage beweist:

Die Überschrift lautet: "Wir respektieren Ihre Privatsphäre". Man könnte dies als Falschaussage, zumindest aber als irreführend bezeichnen, wenn man unterstellt, dass Falk weiß, welche Datenverarbeitungen auf der eigenen Webseite stattfinden.

Dem geschulten Auge fällt auf, dass die Ablehnung nicht direkt möglich ist und optisch erheblich zurückgestellt ist. Der Button Alles akzeptieren hingegen ist wie durch ein Wunder direkt anklickbar.

Der Falk Routenplaner verstößt gegen Datenschutzgesetze.

ADAC Maps-Routenplaner

Das Kartenprodukt des ADAC ist auf der Webseite https://maps.adac.de/ zu finden. Ohne Einwilligung werden der Google Tag Manager und Google Analytics geladen:

Dabei werden folgende Cookies gesetzt:

Dass Google Analytics alleine wegen der gezeigten Cookies einer Einwilligung bedarf, zeigt meine Untersuchung. Das Argument des Datentransfers in unsichere Drittländer kommt noch hinzu.

Die Einwilligungsabfrage, die für irgend etwas anderes gut zu sein scheint, als für die genannten Google Tools um Erlaubnis zu fragen, sieht so aus:

Wieder einmal kann der Nutzer direkt alles akzeptieren, was dem ADAC an Datenverarbeitungsvorgängen vorschwebt. Ein Ablehnen ist aber nicht direkt möglich.

Ruft man die Informationen und Einstellungen auf, wird man etwas überrascht:

Nun wird doch nach einem Consent für Google Analytics gefragt, obwohl dieses Tool bereits geladen wurde!

Was sich hinter der gezeigten Erklärung der zwei Ausprägungen von Google Analytics verbergen soll, erschließt sich mir nicht. Klickt man auf die Fragezeichen neben den Tools, erscheint für Google Analytics Statistik folgende Angabe (Auszug):

Dies ist ein Webanalyse- und Statistikdienst, der zur Analyse der Webseitennutzung und zur Reichweitenmessung eingesetzt wird (Property ID UA – 131770699-7 und UA – 131770699-12).

Für Google Analytics wird erklärt (Auszug):

Dies ist ein Webanalysedienst (Property ID UA – 131770699-1 und UA-131770699-11). Bei dieser Analyse werden „Cookies“ / Textdateien verwendet, welche auf Ihrem Endgerät gespeichert werden.

Offenbar weiß der ADAC selber nicht, was da erklärt wird. Das wird alleine daran deutlich, dass die beim "zweiten" Google Analytics erklärten Cookies bereits ohne Einwilligung genutzt werden oder die Cookies sich auf das erste Google Analytics beziehen, dessen Unterschied zur zweiten Variante (sofern es diese überhaupt gibt) nicht zugänglich ist. Herzlichen Glückwunsch zur Wahl einer offenbar ungeeigneten Einwilligungsabfrage. Vgl. meinen Praxistest Consent Tools.

Für den Google Tag Manager erklärt der ADAC übrigens, dass der Ort der Verarbeitung die Vereinigten Staaten von Amerika sind. Vgl. hierzu Art. 44ff DSGVO (Datentransfer in unsichere Drittländer).

Der ADAC Maps-Routenplaner verstößt gegen Datenschutzgesetze.

HERE

Auf der Webseite https://wego.here.com wird vom Anbieter HERE ein Online Routenplaner angeboten. HERE ist eine niederländische Firma, unterliegt also auch der DSGVO als europäische Verordnung.

Ein erster Blick zeigt, dass "nur" das Tool Amplitude ohne Einwilligung geladen wird. Amplitude beschreibt sich selbst als Analytics Produkt. Amplitude wird von einer amerikanischen Firma angeboten. Vgl. hierzu Art. 44ff DSGVO (Datentransfer in unsichere Drittländer).

Amplitude bietet die Möglichkeit, sich die Auswertemöglichkeiten in einem Testzugang anzusehen. Dort zeigt sich folgende Aufzeichnung zu einem einzelnen Besucher einer Webseite:

Wie zu erkennen ist, werden recht viele Daten pro Person erhoben. Die von Amplitude bereitgestellte User ID ist vergleichbar der Google Analytics Client ID. Sie ist datenschutzrechtlich hochproblematisch.

Insgesamt sind nach dem Aufruf der Seite von HERE folgende Cookies feststellbar:

Man erkennt ein Cookie von Amplitude mit einer sehr langen Laufzeit. Dies ist technisch offensichtlich nicht notwendig, sondern wird zur Nachverfolgung von Nutzern verwendet.

Ruft man die Datenschutzerklärung auf, wird weiterhin Tealium ohne Einwilligung geladen. Tealium wird von einer amerikanischen Firma angeboten. Wenn man Tealium als Tag Management System ansieht (analog zu Google Tag Manager) stellt sich zusätzlich zum Datentransfer in die USA die Frage nach der Einhaltung des Art. 5 Abs. 1 c DSGVO (Dateminimierung).

HERE verstößt gegen Datenschutzgesetze.

Routenplaner von web.de

Der Routenplaner von web.de wird auf der Webseite https://route.web.de/ angeboten. Ruft man diese Webseite auf, bietet web.de einen ganz besonderen Service:

Mit nur einem Klick kann der Nutzer allen Datenerhebungen zustimmen. Möchte der Nutzer hingegen ablehnen, muss er gleich dreimal klicken. Das erleichtert die Entscheidung erheblich, hofft anscheinend web.de.

Nach Ablehnen mit drei Klicks, also ohne erteilte Einwilligung, lädt der web.de Routenplaner die Tools Adition, Criteo sowie mehrere von United Internet und 1&1. web.de wird laut Impressum von der 1&1 Mail & Media GmbH betrieben. Adition ist immerhin ein deutsches Unternehmen, was allerdings bei unerlaubten Datentransfers nur eine untergeordnete Rolle spielen würde. Criteo scheint in Frankreich ansässig zu sein.

Auch nach zumutbar langer Suche konnte ich in den Datenschutzhinweisen von web.de keine Informationen zu Adition und Criteo finden. Die Datenschutzhinweise machen auf mich den Eindruck, als wären sie sehr stark aufgeteilt, was eine Suche nach eingesetzten Diensten für mich schwierig macht. web.de bezeichnet seine Datenschutzhinweise selbst als transparent, ich sehe es komplett anders. Alleine schon die Frage, ob der Routeplaner von web.de dem WEB.DE Online-Portal oder WEB.DE Produkten zuzuordnen ist, konnten mir die Datenschutzausführungen nicht beantworten, die an keiner mir offensichtlichen Stelle Begriffe wie "Route", "Routenplaner" oder "Karte" verwenden. Zum Begriff Karte findet ich im Text jedenfalls nur "Kreditkarte" oder "Grußkarte".

Irgendwann, nach gefühlt unendlicher Suche, gelang es mir, eine Einstellung aufzurufen, die weitereführende Informationen zum Datenschutz enthält. Dort kann, ziemlich versteckt, ein Dialog aufgerufen werden, der für Partner von web.de anzeigt, ob eine Einwilligung zu Datenverarbeitungsvorgängen mit diesen erteilt wurde. Zu Criteo sieht meine Ansicht so aus:

Für Criteo habe ich offensichtlich keine Einwilligung erteilt. Merkwürdigerweise wird Criteo aber ohne Einwilligung geladen. Hier scheint was nicht zu stimmen.

An der Liste der Partner, die ich ca. 100 Einträge enthält, erkennt man jedenfalls, wie viele mögliche Datenempfänger web.de vorsieht.

web.de scheint Datenschutzgesetze nicht ausreichend ernst zu nehmen.

Viamichelin: Michelin Routenplaner

Der Routenplaner von Viamichelin ist über die Adresse https://www.viamichelin.de/web/Routenplaner erreichbar.

Weil die Einwilligungsabfrage von Viamichelin meiner Einschätzung nach nicht rechtskonform ist, ohne Einwilligung aber nicht erheblich viele Probleme feststellbar sind, möchte ich zwei Fälle unterscheiden.

Vor Einwilligung erhobene Daten

Ohne Einwilligung finden Datentransfer statt zu:

• viamichelin.com: Dem Namen nach der gleiche Konzern. Nicht näher nachprüfbar, weil ein Impressum fehlt. Über einem Kontaktformular wird für Viamichelin eine Adresse in Frankreich genannt.
• privacy-center.org: Laut Alienvault eine Domäne, die von Amazon in einem amerikanischen Rechenzentrum gehalten sind. Dies deckt sich auch mit der Angabe auf der Webseite von Didomi (https://www.didomi.io/legal-notice), dem Anbieter des Consent Tools, das Viamichelin verwendet

Ferner werden Cookies gesetzt:

Das Cookie s_fid hat eine Funktionsdauer von fünf Jahren und einen Wert, der zur Nachverfolgung von Nutzern geeignet ist.

Nach Einwilligung erhobene Daten

Mit Einwilligung wird Google Analytics geladen. Anscheinend leicht zeitverzögert werden zahlreiche weitere Dienste geladen, darunter auch Google Tag Manager, DoubleClick und OpenX. Die mit Einwilligung verwendeten Cookies sind:

Die Einwilligungsabfrage stellt sich wie folgt dar:

Das Ablehnen ist wieder einmal nicht so leicht möglich wie das Zustimmen. Weiterhin ist der Hinweis zum Widerruf falsch. Die genannten Funktion "Mehr Infos" finde ich auf der Webseite nicht.

Alles in allem, sehe ich größere Datenschutzprobleme.

Der Viamichelin Routenplaner erscheint nicht datenschutzkonform.

OpenStreetMap Routing (OSRM)

OSMR steht für OpenStreetMap Routing und basiert auf einem Open Source Routing Algorithmus. Die Webseite lautet http://map.project-osrm.org/.

Beim Aufruf der Seite finden Datentransfers zu openstreetmap.de statt. Diese Domäne wird allerdings vom selben Betreiber bereitgestellt wir OSRM. Insofern ist der Datentransfer einwandfrei. Weitere Datentransfers konnte ich nicht feststellen. Technisch nicht notwendige Cookies werden anscheinend nicht verwendet.

Die Webseite verweist "nur" über den Text "Informationen zu diesem Service" auf eine Datenschutzerklärung, was noch halbwegs vertretbar, wenn auch nicht optimal ist. Weil es sich um eine Seite handelt, die anscheinend nicht gewerblich betrieben wird, scheint die Impressumspflicht gemäß § 5 TMG auszuscheiden. Auch eine Angabe eines redaktionell Verantwortlichen gemäß § 18 MStV (ehemals § 55 Abs. 2 RStV) scheint nicht erforderlich, weil die Karte keine offensichtlichen Meinungsäußerungen darstellt.

OSRM nimmt Datenschutz ernst!

Mein Fazit zu OpenStreetMap Routing

Aufgrund der minimalen Verbesserungsmöglichkeit zum Hinweis auf die Datenschutzerklärung werde ich den Betreiber mit einer Empfehlung anschreiben. Bei dieser Gelegenheit werde ich mich zusätzlich erkundigen, ob und wie man den kostenfreien Service von OSRM etwas performanter gestalten kann. Ich finde den Service gut, sehe aber Optimierungsbedarf, um ihn massentauglicher zu machen.

GraphHopper

Update 23.03.2021: Nur zufällig habe ich diesen Dienst namens GraphHopper gefunden. Er wird sogar auf openstreetmap.org und auf openstreetmap.de für die Routenplanung angeboten. Letztere Seite kann man anscheinend nicht mit Parametern aufrufen, so dass ein gegebener Standort vorbelegt ist. Deswegen hatte ich die deutsche OSM-Seite auch nicht für einen Routenplanung genutzt. Die OSM-Seite der OpenStreetMap Foundation hingegen hat einen Button, der mir bei flüchtigem Ansehen nicht als Routenplaner ins Auge fiel. Ich dachte, es gibt dort keine Möglichkeit der Routenplanung!

GraphHopper ist über die Webseite https://graphhopper.com/maps/ erreichbar.

Die Geschwindigkeit von GraphHopper war in meinen wenigen Tests ausgesprochen hoch. Ich war sehr angenehm überrascht und würde sogar aus dem Bauch heraus behaupten, dass GraphHopper spürbar schneller als die Routenplanung von Google Maps ist.

GraphHopper wird von der GraphHopper GmbH aus Deutschland betrieben, was schon mal gut ist. Die Webseite von GraphHopper zeigt keine Datenschutzerklärung, dachte ich. Die Seite wird in Deutsch angezeigt, daher ist mir der Link namens Privacy erst nicht ins Auge gefallen. Er ist so wahrscheinlich nicht gültig, ich möchte hieraus aber kein großes Problem machen. Eher ein großes Problem ist, dass die Datenschutzerklärung an sich in englischer Sprache gehalten ist, obwohl die Firma in Deutschland sitzt und GraphHopper in der Sprache deutsch angezeigt wird.

Bis auf Matomo finden keine erwähnenswerten Datentransfers statt. Matomo wird mit Cookies verwendet, die eine Lebensdauer von teils über einem Jahr haben. Das ist nicht ganz so gut und kann wegen §15 TMG Abs. 3 i.V.m. Art 5 Abs. 3 eprivacy Richtlinie (vgl. BGH Urteil vom 28.05.2020 – I ZR 7/16) als einwilligungspflichtig angesehen werden.

Meine automatisierte Analyse der Webseite graphhopper.com hat ferner ergeben, dass keine weiteren nennenswerten Datenschutzprobleme existieren..

Ich werde die GraphHopper GmbH anschreiben und um eine Datenschutzoptimierung bitten. Falls diese vorgenommen wird, kann auch dieser Dienst aus meiner Sicht uneingeschränkt empfohlen werden.

GraphHopper nimmt Datenschutz ernst, hat aber kleine Schwächen diesbezüglich

11880 Routenplaner (vormals Klicktel)

Bereits beim Aufruf der Webseite https://www.11880.com/routenplaner sieht man, wie wenig 11880 von Datenschutz versteht oder hält:

Direkt geladen werden Google Analytics, Google Tag Manager und DoubleClick. Eine weitere Betrachtung erübrigt sich damit.

Der 11880 Routenplaner verstößt gegen Datenschutzgesetze.

Bing Karten

Den Routenplaner von Microsoft findet man auf https://www.bing.com/maps. Die Einwilligungsabfrage enthält wieder einmal kritisierbare Punkte:

Wenn ohne Einwilligung nicht ganz so viele Cookies mit längerer Laufzeit verwendet werden würden, könnte man über dieses Problem noch einmal reden:

Zu diesen Cookies konnte ich nach zumutbarer Suchdauer keine Informationen auf den Bing Karten Seiten finden.

Bing Maps scheint Datenschutzregeln nicht einzuhalten.

Mappy

Die Webseite von Mappy lautet https://en.mappy.com/. Eine deutsche Version scheint es nicht zu geben.

Ohne Einwilligung wird ein Dienst namens Orange geladen, den ich nicht kenne. Die Einwilligungsabfrage ist auf Französisch:

Als Consent Tool wurde das gleiche wie von Viamichelin verwendet. Siehe weiter oben für meine Anmerkungen dazu.

Mappy ist nicht für den deutschen Markt geeignet. Eine genaue Datenschutzprüfung ist mir wegen fehlender Transparenz nicht möglich.

TomTom myDrive

Das Angebot von TomTom erreicht man über die Webseite https://mydrive.tomtom.com/de_de. Die Einwilligungsabfrage sieht so aus:

Der gesetzlich vorgeschriebene Hinweis auf eine Widerrufsmöglchkeit fehlt (siehe Art. 7 Abs. 3 DSGVO).

Ohne Einwilligung werden die Tools Tealium, Google Tag Manager, Google Analytics und weitere geladen. Eine nähere Betrachtung ist alleine deswegen schon nicht mehr nötig.

TomTomDrive verstößt gegen Datenschutzgesetze.

Andere Angebote

Sogenannte Vermittlungsplattformen, die sich Dienste Dritter bedienen, habe ich nicht betrachtet, weil hoffentlich alle relevanten Drittdienste bereits betrachtet wurden. Wer weitere Anbieter kennt, die untersucht werden sollten, kann mir gerne eine Nachricht schreiben.

Empfehlung

Der OpenStreetMap Routenplaner OSRM erscheint als einziger Dienst datenschutzkonform. GraphHopper ist ebenfalls noch vertretbar. Alle anderen Dienste weisen erhebliche Mängel auf.

Wenn man darauf achtet, Viamichelin nur nach Ablehnung zu nutzen, also zwei Klicks vor Nutzung des Angebots in Kauf nimmt, erscheint dieses Produkt zumindest halbwegs vertretbar.

Wer einen Ersatz für Google Maps sucht, also die Anzeige einer interaktiven Karte, dem empfehle ich meine kostenfreie Lösung auf Basis von OpenStreetMap.