DSGVO und Google Maps

Ja. Aber die ip-Adressen werden übertragen. DAS ist das Problem, nicht der Standort der Server!

https://wiki.openstreetmap.org/wiki/GDPR

Und ich verstehe das so, wenn sie von Deutschen Servern kommen, müssen sie auch GDPR berücksichtigen.

Aber gerne kannst du auch von der Karte einen Screenshot machen und diese per lokalem Bild einblenden.

Also, nochmal: die Beachtung der DSGVO ist nicht das Problem. Natürlich müssen in Deutschland bzw Europa tätige Unternehmen die DSGVO beachten. Das Problem ist dass IP-Adressen klar als personenbezogene Daten definiert sind. Und bevor (!) deine Webseite die irgendwohin übertragen darf brauchst du die Einwilligung der User. Liegt die nicht vor, ist die Anzeige einer Karte von GoogleMaps und OpenStreetMap gleichermaßen nicht DSGVO-konform, völlig egal wo der Server steht und ob das Unternehmen erklärt hat, die DSGVO zu beachten. Jetzt verständlich?
Man braucht also sowas wie einen Cookie-Hinweis mit Abfrage der Einwilligung BEVOR Daten von woanders geladen werden, wenn dabei auch die IP-Adresse übertragen wird.

Es ist nicht damit getan,sich auf denniorrelten Umgang der Dienstleister mit den Daten zu berufen (zumal du dann auch eine auftragsdatenvereinbarung mit OpenStreetMaps bräuchtest). Sie dürfen ohne Einwilligung einfach keine Daten bekommen!

Ich würde mich über einen etwas milderen Ton hier im Forum freuen. Danke auch Dir für diese Berücksichtigung.

Und ich bin auch wie @apfelpuree kein Anwalt.
Da Du ja schon Die Antworten auf Deine Frage besser weißt, ist doch alles gut. Ich halte mich ab sofort aus dieser Diskussion heraus.

Oh sorry - so war das nicht gemeint. Ich hatte einfach den Eindruck, meine Argumente vielleicht nicht klar genug formuliert zu haben. Sorry wenn das aggressiv wirkte. Ich sollte erst nen Kaffee trinken bevor ich anfange zu schreiben :slight_smile:

Solange die Karten-Teile von Servern im Geltungsbereich des DSVGO/GDPR geholt werden, könnte man mit § 6 Abs. 1 Satz 1 lit. f) DSGVO argumentieren und ein “berechtigte Interesse” reklamieren. Ob man damit durchkommt, ist allerdings die Frage. Bei Google Maps allerdings wird das ganz sicher zum Problem.

in Workaround wäre vielleicht, die Karte auf eine Extraseite zu legen, in der eigentlichen Seite wird nur ein Screenshot der Karte eingefügt und die eigentlich Karte kannst du nur aufrufen, wenn du vorher einen Disclaimer bestätigt hast. Was für Konstrukte…

Die Kartenbestandteile werden, wie ich oben schon schrieb, tatsächlich aus U.K. geholt - siehe oben

. . . gibt es denn einen Stack, der das regeln kann? Ich meine das mit der Einwilligung?

Es gibt ja für WP etwa „Borlab Cookies“, aber ob das auch Google Maps abdecken kann, weiß ich nicht. Ob es etwas derartiges für RW gibt, dass dem Besucher eine Wahl lässt, ist mir auch nicht bekannt.
Der Stack von Joe Workman scheint ja auch nur einen Hinweis anzuzeigen. Und ob das ausreichend ist, scheint wohl im Moment mehr als fraglich. Oder sehe ich das falsch?

Beste Grüße . . . Karsten

Der normale Cookie Jar von Joe Workman erlaubt zwar Annehmen- und Ablehnen-Knöpfe, aber schon bevor man das klickt, werden Cookies gesetzt und IP-Adresen übertragen. Es gibt jetzt einen brandneuen Stack von Will Woodgate (stacks4stacks.com), der das wohl besser macht (geht zurück auf eine Diskussion die ich mit ihm hatte - finde ich ganz toll, daß er das sofort aufgreift!):
CookieManager | Stacks4Stacks

edit: hier stellt Will das Ding selbst vor:

Oh - das klingt doch sehr gut. Das werde ich mir heute gleich mal ansehen. Dankeschön. :slight_smile:

Ohne Programmierkenntnisse hilft dir das nichts mit der eigentlichen Frage nach dem einbinden von google maps…

Naja…ich denke das geht ohne Programmierkenntnisse…zumindest laut dem Zitat von Will: “So if you put Google Analytics, YouTube or a Google Map inside CookieManager, the default configuration would mean that content is never shown or even loaded in the page source unless a cookie of allow_cookies is found.”

Ich hab die Beschreibung von Will jetzt nur überflogen, aber m.E. betrifft das doch nur das Setzen von Cookies. IPs werden im Einzelfall doch schon übertragen, wenn die Seite schon geladen wird. Und wenn die Seite geladen ist, ist es zu spät für das Einholen der Zustimmung

Bezogen auf Google Maps: Allein der Kartenaufbau erfordert z.B. Standortdaten und dabei werden IPs an den Kartenserver übertragen.

Naja, Will verspricht, daß die in Cookie Manager eingesetzten Stacks erst in den Browser geladen werden wenn der User “ok” klickt. Das hieße ja dann daß vorher auch keine ip-Abfrage stattfindet. Ich hatte aber noch nicht die Zeit, das selbst auszuprobieren.

Das kann er gar nicht versprechen, da er nicht den kompletten HTML Content von anderen Stacks kontrollieren kann, sondern nur ein Subset.

Da steht bei Will Woodgate dies (übersetzt):

CookieManager kann auf zwei Arten arbeiten - er kann entweder Tracking-Cookies per Knopfdruck setzen/ändern oder er kann nach vorhandenen Cookies suchen und Teile der Webseite entsprechend laden. Daher können Sie mühelos Stacks, Inhalte oder Skripte unter Quarantäne stellen, die ein Website-Benutzer nicht ausdrücklich zur Ansicht oder Verfolgung freigegeben hat.

Ich kann mir das im Moment nicht vorstellen, wie ein Inhalt, der in der Webseite geladen wird, “unter Quarantäne” gestellt wird. Er wir ja geladen und wenn es ein Inhalt ist, der Informationen nach außen schaufelt, dann tut er das im Moment des Ladens und nicht erst wenn die Cookies akzeptiert worden sind.

Etwas anderes mag es mit den Cookies sein: Hier mag es funktionieren, dass das Setzen von Cookies unterbunden wird. Aber damit ist das Problem der Informationsweitergabe doch nicht behoben. Oder liege ich jetzt völlig falsch?

1 Like

Also ich habe mir die Beschreibung des Stacks jetzt auch mal gegeben, da der kostenlos angeboten wird werde ich mir später mal den Code ansehen und dann genaueres dazu sagen können, doch jetzt erstmal meine Vermutung dazu.
Vermutlich wird der im Stack angelegte Content tatsächlich ˋin Quarantäne´ gesetzt. Das läuft entweder so, dass (der PHP-Weg) der Inhalt serverseitig nicht ausgegeben wird solange kein Cookie gesetzt ist (erklärt für mich den Page Reload, wenn der Cookie gesetzt wird => dann wird der entsprechende Inhalt geladen) oder der Inhalt während des Renderns mittels einer detach-Funktion (JS/jQuery) vorübergehend aus dem DOM entfernt.

PHP-seitige wäre das für Angelegenheiten wie einem Video in einem iFrame sowie allen Skripten in einem script-Tag, die in dem Cookie-Manager liegen eine sichere Sache. Mit dem detach kann das u.U. schon schwierig werden, je nachdem was zuerst ausgeführt wird. Wenn der Inhalt mittels PHP nicht ausgegeben wird, heißt das tatsächlich, dass das dann auf Userseite nicht existiert, da der Server das dann nicht ausgibt.
Kritisch ist es allerdings mit

  1. Allen Skripten die entweder im seitenweiten oder seitenspezifischen Code definiert werden

  2. Skripten, die in einem Stack als Ressource mitgeliefert werden.

Diese Skripte können von diesem Stack nicht berücksichtigt werden, weil:

  1. Fall: diese Skripte bis auf‘s platzieren in der Seite nichts weiter mit dem Stacks-Plugin zu tun haben
  2. Fall: diese Skripte im Build-Prozess des Plugins an anderer Stelle im DOM platziert und somit extra behandelt werden (meines Wissens nach) und damit von der ˋQuarantäne´ ausgeschlossen sind.

Was kann man da tun? Den seitenweiten und seitenspezifischen Code kann man, insofern das ganze mit php läuft, mit einer if-Abfrage umschließen, die die Existenz des jeweiligen Cookies prüft. Was die mit den Stacks mitgelieferten Skripte betrifft => erstmal nichts, außer die Skripte im exportieren Code ebenfalls mit einer if-Abfrage zu versehen. Unabhängig davon ist das vielleicht größte Problem der derzeit exzessive Gebrauch von CDN‘s für so ziemlich jede halbwegs wichtige Ressource (sei es jQuery, Bootstrap, Foundation oder gar Vue.js)…

~N

1 Like

Und schon etwas herausgefunden?

Jo. Der Stack funktioniert so, dass die Cookies mittels JS (genauer jQuery) gesetzt und von PHP eingelesen werden. Sprich, wenn man einen Stack, sagen wir mal einen für Google Maps, in den TRUE-Bereich setzt, wird dieser Inhalt tatsächlich nur dann geladen, wenn ein entsprechender Cookie existiert (z.B. wenn Nutzerseitig zugestimmt wurde, dass ein solcher Inhalt geladen werden darf).

Wie gesagt, dass ist an sich relativ safe (für Skript-unabhängige Sachen wie bspw. YouTube-Videos, die ja nur per iFrame geladen werden). Kritisch wiederum wird es bei Sachen, deren Skripte vom Stacks-Plugin an anderer Stelle (wie im head oder vor dem Ende des body-Tags) abgelegt werden, da diese nicht von der (PHP-)if-Abfrage umschlossen sind, aber im eventuell schon eine Verbindung zu irgendeinem Server herstellen. Ebenfalls, wie bereits erwähnt, nützt der Stack bei Skripten im seitenweiten oder seitenspezifischen Teil nichts. Dem kann aber wie folgt Abhilfe geschaffen werden:
<?php if($_COOKIE['cookie_name']){?>
hier_das_skript
<?php } ?>
(Damit das funktioniert, muss die finale Skript-Datei von *.js zu *.js.php umbenannt werden. In der von RW exportierten Datei, sei es eine index.php oder was auch immer, muss dann ebenfalls der verlinkte Dateiname angepasst werden. Ist leider etwas umständlich.)
Einfacher ginge es, anstatt die Skriptsektionen zu nutzen, die Skripte wie oben beschrieben mit dem PHP-Code und eine script-Tag zu umschließen und in einem HTML-Stack zu packen. Daraus kann man dann ein Partial machen und das dann in jeder Seite einzufügen.
Der Cookie-Name wäre dann bspw. der, den man hier im Stack setzt.

Update of OpenStreetMap Stack:

1 Like

This topic was automatically closed after 30 days. New replies are no longer allowed.