Seit Jahren schon ist ein scheinbar kleines Feature auf Webseiten von Unternehmen nicht mehr wegzudenken: Google Maps. Unternehmen nutzen die digitale Landkarte, um Kunden über den Firmenstandort zu informieren und Besuchern die Anfahrt- und Parkmöglichkeit in der Nähe mitteilen, die das Erreichen der Geschäftsräume erleichtert. Google und der Datenschutz – da war doch was? Mit diesem Beitrag möchten wir aufzeigen, wie man dieses kleine Helferlein (fast) datenschutzkonform auf Webseiten einbinden kann.
Datentransfer in die USA
Nur fast? Leider ja! Spätestens seit dem Urteil des EuGH zum Privacy Shield vom 16.07.2020 ist der Transfer von personenbezogenen Daten bekanntlich nicht mehr zu 100 Prozent datenschutzkonform möglich. Als Garantie im Sinne des Art. 46 Abs. 2 DSGVO kommt der Privacy Shield nämlich nicht mehr in Betracht. Sämtliche Hoffnungen ruhen nun im Grunde auf den Standarddatenschutzklauseln. Diese wurden von EuGH in dem genannten Urteil ausdrücklich nicht gekippt und stellen daher – zumindest formell – weiterhin eine taugliche Rechtsgrundlage für den Datentransfer in die USA dar.
Der EuGH hat dem europäischen Gesetzgeber aber ins Hausaufgabenheft geschrieben, dass man aber dennoch dafür sorgen müsse, dass die Garantien, welche in den Standarddatenschutzklauseln so schön beschrieben sind, auch tatsächlich eingehalten werden. Nur wie genau diese zusätzlichen Maßnahmen aussehen sollen, hat der EuGH nicht gesagt. Und so versucht die Datenschutzwelt seit nunmehr einem guten halben Jahr verzweifelt, Lösungen zu finden. Vorschläge gab es schon viele; zuletzt wurden Mitte November 2020 erste Leitlinien durch den Europäischen Datenschutzausschuss veröffentlicht. Finale Ergebnisse lassen aber immer noch auf sich warten.
Google Maps auf gewerblichen Webseiten
Man kann zudem noch darauf hinweisen, dass die Google LLC selbst durch ihr undurchsichtiges Verhalten in der Vergangenheit – wie andere US-Unternehmen auch – ihr Scherflein zu dieser Problematik beigetragen hat. Dennoch setzen immer noch viele europäische Unternehmen auf die zahlreichen Dienste von Google. Wie binde ich Google Maps nun – abgesehen von der Privacy-Shield-Problematik – auf meiner Website datenschutzkonform ein?
Datenschutzerklärung und Integration
Auf jeden Fall muss ein Hinweis in der Datenschutzerklärung erfolgen, um die Informationspflichten aus Art. 13 DSGVO zu erfüllen. Schließlich muss der Website-Bertreiber jeden Nutzer beim Aufrufen der Website darüber informieren, unter welchen Voraussetzungen seine personenbezogenen Daten an einen Fremddienstleister übermittelt werden können. Hier sind unbedingt Informationen erforderlich, dass beim Anklicken der Karte personenbezogene Daten des Nutzers an Google übertragen werden.
Zur Integration in die eigene Website ist im Regelfall die Programmierschnittstelle „Google Maps API“ (application programming interface) erforderlich. Dieser Schlüssel stellt eine Methode dar, Benutzer, Entwickler oder ein aufrufendes Programm bei einer API eindeutig zu authentifizieren. Der API-Key wird der jeweiligen Website dabei nach Erstellung eines Google-Kontos zugewiesen. Dadurch kann Google die Kartenzugriffe auf der Webseite verfolgen und dem entsprechenden Google-Konto zuweisen. Die Integration kann dabei auf folgenden Arten vorgenommen werden:
• Embed-Funktion: Damit kann man eine interaktive Karte oder ein Street-View-Panorama mit einer einfachen HTTP-Anfrage auf der Webseite platzieren; hier ist kein JavaScript erforderlich
• JavaScript: Mit dieser „klassischen“ Methode werden mehrere Funktionen von Google angeboten.
Hier finden Sie eine gute Übersicht über die verschiedenen Modelle.
Und wie hältst du es mit der Einwilligung?
Seit dem Urteil des EuGH zu Einwilligungsbedürftigkeit bei Cookies hat sich auch diese Problematik zu einem wahren Dauerbrenner im Datenschutzrecht entwickelt. Mit dem Urteil hat der EuGH klargestellt, dass eine generelle Einwilligungspflicht für alle Cookies besteht, welche für den Betrieb der Website nicht zwingend notwendig sind. Auf die Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 Buchst. f DSGVO kann das Setzen dieser Cookies nicht mehr gestützt werden.
Wenn die Nutzung von Google Maps mit der Einbindung von Cookies einhergeht, sind diese Grundsätze in jedem Fall zu beachten. Wenn Cookies im Rahmen der Einbindung von Google Maps gesetzt werden, stellen diese – welche Überraschung – eine Verbindung zum Google-Netzwerk her. Dies geschieht selbst dann, wenn der Nutzer nicht in sein bestehendes Google-Konto eingeloggt ist. Es dürfte zwar unstreitig sein, dass die Nutzung von Google Maps einen gewissen Mehrwert für die Nutzung einer Website darstellt, allerdings ist es nur schwer vertretbar, das Setzen eines Cookies als technisch unbedingt erforderlich anzusehen. Es ist also darauf zu achten, dass die Einwilligung des Website-Besuchers vorher eingeholt wird.
Zwei-Klick-Lösungen: Shariff Wrapper & Co.
Da personenbezogene Daten erst nach erfolgter Einwilligung des Nutzers an Google übertragen werden dürfen, bieten sich die sogenannten Zwei-Klick-Lösungen an. Dadurch kann man technisch sicherstellen, dass die Website die Daten erst dann überträgt, wenn der Nutzer die Karte anklickt. Dies funktioniert technisch so, dass der Bereich, auf welchem die Karte platziert wird, durch eine Grafik repräsentiert wird, die als Platzhalter dient. Da diese Grafik zur eigentlichen Webseite gehört, werden beim bloßen Aufruf der Seite keine Daten an Dritte übermittelt. Hier besteht dann die Möglichkeit, einen Hinweis für die Nutzer der Website einzubauen bzw. die Datenschutzerklärung der Webseite zu verlinken.
Diesbezüglich kommen vor allem die Zwei-Klick-Lösungen von
• Shariff Wrapper
• Embetty und
• AVADA
in Betracht. Während Shariff Wrapper und Embetty Projekte aus deutscher Hand darstellen, gehört AVADA zum US-amerikanischen Anbieter ThemeFusion. An dieser Stelle muss natürlich erneut auf das Problem mit dem Datentransfer in die USA verwiesen werden…
Borlab-Cookie: Auch für Google Analytics und Matomo
Für Webseiten von WordPress gibt es eine weitere Möglichkeit zur weitgehend DSGVO-konformen Einbindung von Google Maps. Das Plugin „Borlab-Cookie“ ist eine umfassende Lösung, da diese auch Hinweise für die Nutzung einschließlich Opt-In bereitstellt. Das Plugin erkennt z. B. auch Skripte, welche auf der Website laufen. Darüber hinaus kann das Plugin verwendet werden, um JavaScript-Codes auch bei anderen Tools zu erkennen, z. B. bei Google Analytics oder Matomo), so dass die Skripte erst dann geladen werden, wenn der Nutzer eingewilligt hat.
Auf der sicheren Seite: Ohne die USA!
Es gibt also viele Möglichkeiten, Google Maps nahezu DSGVO-konform einzubinden. Wenn man allerdings ganz auf der sicheren Seite sein möchte, müsste man weiterhin komplett auf US-Dienstleister verzichten. Hier muss jedes Unternehmen selbst entscheiden, inwiefern es in der Lage ist, auf die geballte Marktmacht der Big Player zu verzichten. Ein Restrisiko bleibt derzeit immer. Als europäische Alternative für einen Kartendienst steht z. B. OpenStreetMap mit Hauptsitz innerhalb der EU zur Verfügung.
Insgesamt wird die Zeit zeigen müssen, ob und in welcher Weise der Datentransfer in die USA in Zukunft wieder – wenn er es denn jemals war – vollständig datenschutzkonform möglich ist.
Beitrag hier kommentieren
