DSGVO und Google Maps


(Jannis from inStacks Software) #1

Wer sich fragt, was er nun mit seinen Google Maps macht im Hintergund des DSGVO:

Open Street Map Deutschland gibt es hier als Option:
http://osmdemo.instacks.com/#openstreetmap

Das Kartenmaterial wird von Deutschen Servern geladen.


(michael m.) #2

SicherÔÇŽ? Ich dachte, es w├Ąren u.a. auch Server in U.K. und Russland


#3

Bis 2019 w├╝rde das erst einmal gen├╝gen. Bis dahin d├╝rfte es etwas mehr Klarheit geben, was geht und was nicht.


(Jannis from inStacks Software) #4

Wenn Du im Stack die German Variante w├Ąhlst, steht ein openstreetmap.de Server dahinter. Ich gehe mal start davon aus, dass dieser in Deutschland steht.


(Jan Fuellemann) #5

Sch├Ân :slight_smile: Kannst Du den PIN noch zentriert auf der Karte lassen, wenn vergr├Â├čert oder verkleinert wird?

Vielen Dank

Jan


(Jannis from inStacks Software) #6

Der Pin hat nichts mit der Zentrierung zu tun.

Der Pin ist ein Marker. Das Zentrum legst Du mit anderen Koordinaten fest.


(Jan Fuellemann) #7

Wenn also der Marker und das Zentrum identisch sind, bleibt der Marker auch beim Vergr├Â├čern und Verkleinern mittig?


(Jannis from inStacks Software) #8

Das sollte wohl so sein.


(Oliver) #9

Die deutsche Variante wird auf Servern in meiner Heimatstadt gehostet, ich kann dir also garantieren dass die in Deutschland stehen :smiley:


(michael m.) #10

Ich habe das heute mit einer Testseite nachgepr├╝ft. Die Karten werden aus Teilen zusammengesetzt, die von U.K.-Servern (bytemark.co.uk) geholt werden

Allerdings habe ich heute auch gelesen, dass U.K. trotz Brexit die DSVGO bzw. GDPR umsetzen will


(Markus Frieauff ) #11

Open Street Maps scheint mir auch keine DSGVO-konforme L├Âsung zu sein. Laut Datenschutzerkl├Ąrung von Open Street Maps werden bei der Nutzung der Karten auch ├╝ber die zur Verf├╝gung gestellten APIs personenbezogene Daten ├╝bertragen:
ÔÇťAccessing any of the services via a browser or via applications that utilize the provided APIs produces records of that use, for example in webserver log files. Further we may operate user interaction tracking software that will generate additional records of user activity, for example Piwik.ÔÇŁ
Quelle: https://wiki.osmfoundation.org/wiki/Privacy_Policy

Wenn man also wirklich ernst machen will damit, da├č die Karten nur angezeigt werden, wenn der User vorher seine Zustimmung erteilt hat, dann bleibt nur, einen Button einzubauen, der, wenn er angeklickt wird, auf eine weitere Seite f├╝hrt, auf der die Karte ist. Und diese Seite darf nur ├╝ber den Button erreichbar sein. Die verbleibende Schwachstelle dabei w├Ąre da├č die URL zu dieser Seite, wenn sie bekannt ist, ja auch direkt eingegeben werden k├Ânnte.
Was meint ihr?


(Jannis from inStacks Software) #12

Wenn man die Deutsche Version der OpenStreetMap verwendet, werden die Karten aus Potsdam geladen.


(Markus Frieauff ) #13

Ja. Aber die ip-Adressen werden ├╝bertragen. DAS ist das Problem, nicht der Standort der Server!


(Jannis from inStacks Software) #14

https://wiki.openstreetmap.org/wiki/GDPR

Und ich verstehe das so, wenn sie von Deutschen Servern kommen, m├╝ssen sie auch GDPR ber├╝cksichtigen.

Aber gerne kannst du auch von der Karte einen Screenshot machen und diese per lokalem Bild einblenden.


(Markus Frieauff ) #15

Also, nochmal: die Beachtung der DSGVO ist nicht das Problem. Nat├╝rlich m├╝ssen in Deutschland bzw Europa t├Ątige Unternehmen die DSGVO beachten. Das Problem ist dass IP-Adressen klar als personenbezogene Daten definiert sind. Und bevor (!) deine Webseite die irgendwohin ├╝bertragen darf brauchst du die Einwilligung der User. Liegt die nicht vor, ist die Anzeige einer Karte von GoogleMaps und OpenStreetMap gleicherma├čen nicht DSGVO-konform, v├Âllig egal wo der Server steht und ob das Unternehmen erkl├Ąrt hat, die DSGVO zu beachten. Jetzt verst├Ąndlich?
Man braucht also sowas wie einen Cookie-Hinweis mit Abfrage der Einwilligung BEVOR Daten von woanders geladen werden, wenn dabei auch die IP-Adresse ├╝bertragen wird.

Es ist nicht damit getan,sich auf denniorrelten Umgang der Dienstleister mit den Daten zu berufen (zumal du dann auch eine auftragsdatenvereinbarung mit OpenStreetMaps br├Ąuchtest). Sie d├╝rfen ohne Einwilligung einfach keine Daten bekommen!


(Jannis from inStacks Software) #16

Ich w├╝rde mich ├╝ber einen etwas milderen Ton hier im Forum freuen. Danke auch Dir f├╝r diese Ber├╝cksichtigung.

Und ich bin auch wie @apfelpuree kein Anwalt.
Da Du ja schon Die Antworten auf Deine Frage besser wei├čt, ist doch alles gut. Ich halte mich ab sofort aus dieser Diskussion heraus.


(Markus Frieauff ) #17

Oh sorry - so war das nicht gemeint. Ich hatte einfach den Eindruck, meine Argumente vielleicht nicht klar genug formuliert zu haben. Sorry wenn das aggressiv wirkte. Ich sollte erst nen Kaffee trinken bevor ich anfange zu schreiben :slight_smile:


(michael m.) #18

Solange die Karten-Teile von Servern im Geltungsbereich des DSVGO/GDPR geholt werden, k├Ânnte man mit ┬ž 6 Abs. 1 Satz 1 lit. f) DSGVO argumentieren und ein ÔÇťberechtigte InteresseÔÇŁ reklamieren. Ob man damit durchkommt, ist allerdings die Frage. Bei Google Maps allerdings wird das ganz sicher zum Problem.

in Workaround w├Ąre vielleicht, die Karte auf eine Extraseite zu legen, in der eigentlichen Seite wird nur ein Screenshot der Karte eingef├╝gt und die eigentlich Karte kannst du nur aufrufen, wenn du vorher einen Disclaimer best├Ątigt hast. Was f├╝r KonstrukteÔÇŽ

Die Kartenbestandteile werden, wie ich oben schon schrieb, tats├Ąchlich aus U.K. geholt - siehe oben


(Karsten M├╝ller) #19

. . . gibt es denn einen Stack, der das regeln kann? Ich meine das mit der Einwilligung?

Es gibt ja f├╝r WP etwa ÔÇ×Borlab CookiesÔÇť, aber ob das auch Google Maps abdecken kann, wei├č ich nicht. Ob es etwas derartiges f├╝r RW gibt, dass dem Besucher eine Wahl l├Ąsst, ist mir auch nicht bekannt.
Der Stack von Joe Workman scheint ja auch nur einen Hinweis anzuzeigen. Und ob das ausreichend ist, scheint wohl im Moment mehr als fraglich. Oder sehe ich das falsch?

Beste Gr├╝├če . . . Karsten


(Markus Frieauff ) #20

Der normale Cookie Jar von Joe Workman erlaubt zwar Annehmen- und Ablehnen-Kn├Âpfe, aber schon bevor man das klickt, werden Cookies gesetzt und IP-Adresen ├╝bertragen. Es gibt jetzt einen brandneuen Stack von Will Woodgate (stacks4stacks.com), der das wohl besser macht (geht zur├╝ck auf eine Diskussion die ich mit ihm hatte - finde ich ganz toll, da├č er das sofort aufgreift!):
https://stacks4stacks.com/cookiemanager/

edit: hier stellt Will das Ding selbst vor: