Mapbox und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Mapbox ein, verarbeitet er regelmäßig Webserver-Protokolldaten, Standort-, Endgeräte- und Interaktionsdaten zum Zweck der Anzeige interaktiver Karten – meist auf Basis einer Drittanbieter-Inhalte-Einwilligung. Diese Seite zum Mapbox-Datenschutz erläutert den Datenfluss, die Rolle von Mapbox, die Drittlandfrage und die Pflichtangaben für die Datenschutzerklärung.

A. Zweck und Funktionsweise von Mapbox

Mapbox ist ein US-amerikanischer Anbieter von Karten- und Geodienstleistungen, der über Web- und Mobile-SDKs interaktive Karten, Standortsuche (Geocoding), Routing und Navigation bereitstellt. Webseitenbetreiber binden Mapbox typischerweise über das JavaScript-SDK (z.B. mapbox-gl.js) oder über Embed-Snippets in ihre Webseite ein, um an einer bestimmten Stelle eine interaktive Karte mit Markern, Routen oder Filialfindern darzustellen.

Der vorliegende Beitrag fokussiert sich auf diese Integrations-Funktion (Karten-Embed über das Mapbox-SDK auf einer Webseite). Mapbox bietet darüber hinaus Mobile-SDKs für native Apps, Routing-APIs für Logistik sowie Plattformdienste – diese Funktionen liegen außerhalb des typischen Web-Einsatzes durch den Webseitenbetreiber und werden hier nicht behandelt.

Beim Seitenaufruf verbindet sich der Browser des Webseitenbesuchers direkt mit den Mapbox-Servern und lädt Kartenkacheln, Stile, Vektordaten und Schriften nach. Mapbox erfasst dabei nach eigenen Angaben Telemetriedaten, sofern diese nicht durch den Webseitenbetreiber oder den Nutzer deaktiviert werden.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Mapbox

Die DSGVO verpflichtet Webseitenbetreiber, transparent über die Datenverarbeitung zu informieren. Neben allgemeinen Angaben zum Verantwortlichen, zu den Betroffenenrechten und zur Aufsichtsbehörde sind beim Einsatz konkreter Tools wie Mapbox insbesondere folgende Pflichtangaben zu machen:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei Verarbeitung auf Grundlage einer Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO) zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zur Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• sowie – soweit Daten nicht direkt beim Betroffenen erhoben werden – die Kategorien der verarbeiteten Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben werden in den nachfolgenden Abschnitten für Mapbox aufgeschlüsselt.

In der Praxis ist es nicht zwingend, jedes einzelne Tool – auch nicht Mapbox – mit einem eigenen Textbaustein in der Datenschutzerklärung zu führen. Diese Praxis hat sich zwar weithin eingebürgert, sie führt aber zu langen, schablonenhaften Texten, die sich inhaltlich wiederholen und das Dokument schwer pflegbar machen. Sachgerechter ist ein themenorientierter Ansatz, der Verarbeitungen wie Drittanbieter-Inhalte übergreifend beschreibt und konkrete Dienstleister in einer Empfängerliste im Anhang nennt. Der matterius-Generator setzt diese Methodik um.

C. Anbieter von Mapbox

Vertragspartner für Webseitenbetreiber ist nach den öffentlich zugänglichen Angaben von Mapbox die

Mapbox, Inc. 1633 Westlake Avenue North, Suite 200 Seattle, WA 98109, USA

Mapbox unterhält Tochtergesellschaften und Niederlassungen u.a. in Europa; Vertragspartner und Datenflüsse hängen von der gewählten Vertragsgestaltung ab. Mapbox Inc. ist ein US-Unternehmen mit Sitz außerhalb der EU/EWR; den Status unter dem EU-US Data Privacy Framework (DPF) sollte der Webseitenbetreiber tagesaktuell prüfen unter https://www.dataprivacyframework.gov/s/participant-search. Soweit kein DPF-Schutz besteht, kommt eine Datenübermittlung typischerweise auf Grundlage von Standardvertragsklauseln (SCC) in Betracht.

Die Datenschutzhinweise von Mapbox sind unter https://www.mapbox.com/legal/privacy abrufbar; ergänzende Hinweise zu Mapbox-Telemetrie und Geo-Daten finden sich unter https://www.mapbox.com/telemetry.

D. Datenverarbeitung beim Einsatz von Mapbox – Ablauf in Schritten

1. Erhebung: Beim Aufruf einer Seite mit eingebundener Mapbox-Karte baut der Browser des Besuchers eine direkte Verbindung zu den Mapbox-Servern auf. Mapbox erhält die IP-Adresse, den User-Agent, den Referrer, technische Metadaten der Anfrage sowie – je nach Konfiguration – Kartenausschnitt, Zoom-Stufe und Interaktionsereignisse.
2. Speicherung: Mapbox speichert die Anfragen in Webserver-Protokollen sowie – sofern aktiviert – in Telemetrie-Datenbanken zur Produktverbesserung. Die Verarbeitung erfolgt auf Mapbox-Infrastruktur; Server-Standorte können auch in den USA liegen.
3. Nutzung: Mapbox nutzt die Daten zur Auslieferung von Kartenkacheln, Stilen und Vektordaten, zur Sicherstellung des Betriebs, zum Schutz vor Missbrauch sowie nach eigenen Angaben zur Verbesserung der Karten- und Navigationsdienste (Telemetrie).
4. Weitergabe: Mapbox kann konzerninterne Empfänger und technische Subprozessoren (z.B. Cloud-Infrastruktur) einbinden. Die aktuelle Subprozessoren-Liste ist über die Mapbox-Trust-Dokumentation verfügbar.
5. Löschung: Speicherfristen ergeben sich aus den Mapbox-Datenschutzhinweisen. Webseitenbetreiber können Telemetrie über das SDK deaktivieren; Endnutzer haben über den Telemetrie-Schalter im Mapbox-Karten-Layer zusätzlich eine Opt-Out-Möglichkeit.

E. Erhobene Daten beim Mapbox-Einsatz

Beim Aufruf einer Webseite mit eingebundener Mapbox-Karte werden insbesondere folgende Daten an Mapbox-Server übermittelt: IP-Adresse, Datum und Uhrzeit der Anfrage, URL des angefragten Karten-Tiles, Referrer-URL, User-Agent, Kartenausschnitt und Zoom-Stufe sowie ergänzende technische Metadaten. Bei aktivierter Mapbox-Telemetrie werden zusätzlich anonymisierte Geräte- und Bewegungsdaten erhoben.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der Drittanbieter-Webserver bei jeder Anfrage erhält, insbesondere IP-Adresse, Datum, Uhrzeit, URL des angefragten Inhalts, Referrer, Informationen zu Browser, Betriebssystem und Gerät sowie ergänzende technische Metadaten.
• Endgeräte-Daten: Angaben zum Endgerät des Nutzers, z.B. Gerätetyp, Betriebssystem, Bildschirmauflösung, Touch-Unterstützung.
• Browserinformationen: Informationen über den verwendeten Browser, z.B. Browsername und Browserversion.
• Grobe Standortdaten: Anhand der IP-Adresse oder vom Nutzer freigegebener präziser Geokoordinaten ermittelbarer Standort.
• Interaktionsdaten: Informationen darüber, wie der Nutzer mit der Karte interagiert, z.B. Mausbewegungen, Klicks, Scroll- und Zoom-Bewegungen, Touch-Bewegungen jeweils mit Datum und Uhrzeit.
• Klickpfade: Angeklickte Marker oder Schaltflächen innerhalb der Karte, sofern entsprechend konfiguriert.
• Technische Telemetriedaten: Bestimmte technische Daten zum Ablauf, z.B. Ladezeiten, Datenvolumen und Statuscodes.

F. Nutzungszwecke beim Mapbox-Einsatz

Der Webseitenbetreiber nutzt Mapbox in erster Linie, um interaktive Karten in seine Webseite einzubinden, etwa zur Standortvisualisierung von Filialen, Veranstaltungsorten oder zur Routendarstellung. Ergänzend kommen Funktionen wie Geocoding (Adresssuche) oder Routing in Betracht.

Die Nutzungszwecke lassen sich in folgende standardisierte Klassen einordnen:

• Funktionsbereitstellung: Erbringung der Karten- und Navigationsfunktionalität, insbesondere Darstellung von Karten, Markern und interaktiven Inhalten, einschließlich Fehlererkennung und Fehlervermeidung.
• Sicherheit und Missbrauchsschutz: Sicherstellung der Datensicherheit beim Karten-Embed, Erkennen und Beenden von Angriffen sowie Bot- und Missbrauchsabwehr durch Mapbox.
• Allgemeine Produktverbesserung: Nicht nutzerindividuelle Anpassung der Karten- und Auslieferungs-Infrastruktur, z.B. Optimierung auf Basis häufig nachgefragter Regionen.

G. Rechtsgrundlagen für den Einsatz von Mapbox

Mapbox fällt nach der einschlägigen Tool-Kategorie in den Bereich Drittanbieter-Inhalte (Karten-Embed über Drittserver).

Als Rechtsgrundlagen kommen in Betracht:

• Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG: Bei Online-Einbindung werden bei jedem Seitenaufruf Webserver-Protokolldaten – insbesondere die IP-Adresse – an Drittserver in den USA übermittelt. Dafür wird eine Drittanbieter-Inhalte-Einwilligung über das Consent-Banner regelmäßig als sachgerechte Grundlage angesehen.
• Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO: In Konstellationen ohne Cookies und ohne Telemetrie kann sich die Verarbeitung in engen Grenzen auf berechtigte Interessen an Funktionsbereitstellung, Effizienz und Sicherheit stützen. Die Tragfähigkeit dieser Grundlage ist im Einzelfall – insbesondere unter Beachtung der Drittland-Problematik und der Mapbox-Telemetrie – zu prüfen.

Die Rechtsgrundlage ist fallabhängig und vom Webseitenbetreiber im Einzelfall zu bewerten.

H. Besonderheiten und Hinweise zu Mapbox

• Rolle des Anbieters: Mapbox tritt nach den öffentlich zugänglichen Angaben für die durch das Karten-Embed entstehenden Server-Logs und Telemetriedaten regelmäßig als eigenständig Verantwortlicher auf, soweit es um die Verbesserung der eigenen Dienste geht. Für vom Webseitenbetreiber an Mapbox übergebene Daten (z.B. selbst eingespielte Datasets) bietet Mapbox einen Auftragsverarbeitungsvertrag an. Die Einordnung ist im Einzelfall zu prüfen.
• Drittlandtransfer / DPF: Mapbox Inc. hat ihren Sitz in den USA. Den DPF-Status sollte der Webseitenbetreiber unter https://www.dataprivacyframework.gov/s/participant-search selbst prüfen. Soweit kein DPF-Schutz greift, kommen Standardvertragsklauseln (SCC) als Garantie in Betracht.
• AVV/DPA: Mapbox stellt für Plattformkunden ein Data Processing Addendum bereit; relevant ist dies vor allem, wenn der Webseitenbetreiber eigene Datasets oder Geocoding-Anfragen mit personenbezogenen Inhalten an Mapbox übergibt.
• Telemetrie und Opt-Out: Mapbox erfasst nach eigenen Angaben Telemetrie-Daten zur Produktverbesserung. Webseitenbesucher können Telemetrie über den eingebauten Mapbox-Telemetrie-Schalter im Karten-Layer deaktivieren. Webseitenbetreiber können Telemetrie über das SDK abschalten.
• Cookies: Das Mapbox-Karten-Embed setzt nach den Anbieterangaben in der Standardkonfiguration regelmäßig keine Tracking-Cookies; im Einzelfall ist dies zu prüfen.
• Subprozessoren: Mapbox nutzt Cloud-Infrastruktur und konzerninterne Stellen; eine Subprozessoren-Liste stellt Mapbox in der Trust-Dokumentation bereit.
• Einstellungen für den Webseitenbetreiber: Mapbox erst nach erteilter Einwilligung laden lassen (Consent-Gating); Telemetrie nach Bedarf abschalten; Geocoding-Anfragen mit personenbezogenen Adressen vermeiden, soweit sie nicht zwingend erforderlich sind.

Diese Darstellung beruht auf den öffentlich zugänglichen Angaben von Mapbox und allgemein zugänglichen Quellen; sie ersetzt keine Einzelfallprüfung.

I. FAQ zum Mapbox-Datenschutz

J. Fazit zum Mapbox-Datenschutz und nächster Schritt

Mapbox bietet leistungsfähige Karten- und Geodienste, die sich flexibel in Webseiten einbinden lassen. Aus Datenschutzsicht ist relevant, dass bei jedem Seitenaufruf eine direkte Verbindung zu Mapbox-Servern aufgebaut wird, dabei IP-Adresse und weitere Webserver-Protokolldaten an einen US-Anbieter übermittelt werden und – je nach Konfiguration – Mapbox-Telemetrie hinzukommt. Webseitenbetreiber sollten Mapbox einwilligungsbasiert über das Consent-Banner einbinden, den DPF-Status prüfen, Telemetrie und Cookies konfigurieren und in der Datenschutzerklärung Zwecke, Datenarten, Empfänger, Drittlandtransfer und Rechtsgrundlage transparent darstellen.

Für die Datenschutzerklärung gilt: Es ist meist wenig sinnvoll, Mapbox mit einem eigenen Textbaustein zu führen. Das macht die Datenschutzerklärung lang, unübersichtlich und schwer pflegbar und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein themenorientierter Ansatz, der Drittanbieter-Inhalte übergreifend beschreibt und konkrete Dienstleister wie Mapbox nur im Anhang "Empfänger" auflistet. Genau diese Methodik verfolgt der matterius-Generator.

K. Kurator