OpenStreetMap mit Leaflet und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber OpenStreetMap mit Leaflet ein, um interaktive Karten in die Webseite einzubinden, verarbeitet er beim Aufruf der Karte regelmäßig Webserver-Protokolldaten, Endgeräte-Daten, Browserinformationen und grobe Standortdaten zum Zweck der Karten-Darstellung. Rechtsgrundlage ist – je nach Einbindungsvariante – typischerweise die Drittanbieter-Inhalte-Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG) oder, bei lokaler bzw. proxy-basierter Einbindung, ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Diese Seite erläutert kompakt, welche Daten OpenStreetMap mit Leaflet verarbeitet und was Webseitenbetreiber dazu in ihre Datenschutzhinweise aufnehmen müssen.

A. Zweck und Funktionsweise von OpenStreetMap mit Leaflet

OpenStreetMap (OSM) ist ein freies, von einer weltweiten Community gepflegtes Geodatenprojekt. Die zugehörige OpenStreetMap Foundation (OSMF) mit Sitz in Cambridge, Vereinigtes Königreich, betreibt unter anderem den öffentlichen Karten-Tile-Server tile.openstreetmap.org, der vorgerenderte Kartenkacheln (Tiles) ausliefert.

Leaflet ist eine schlanke, quelloffene JavaScript-Bibliothek (MIT-Lizenz) zur Darstellung interaktiver Karten im Browser. Leaflet selbst erhebt nach den Angaben des Projekts keine personenbezogenen Daten und kommuniziert nicht mit eigenen Servern; die Bibliothek wird üblicherweise lokal vom Webserver des Webseitenbetreibers ausgeliefert oder über ein CDN bezogen.

Aus Datenschutzsicht ist daher streng zu trennen:

• Leaflet-Bibliothek (passiv): Wird die JavaScript-Datei lokal ausgeliefert, lösen die Karten-Funktionen selbst keine Drittserver-Requests aus.
• Tile-Server (aktiv): Sobald Leaflet Karten-Tiles vom OSM-Tile-Server (oder von einem alternativen Tile-Anbieter wie MapTiler, Mapbox, Carto, Stadia Maps, Geoapify) abruft, baut der Browser des Nutzers eine direkte Verbindung zu diesem Drittserver auf. Erst dieser Schritt ist datenschutzrechtlich der eigentliche „Drittanbieter-Inhalt".

Diese Seite fokussiert sich auf die typische Integrations-Funktion: Einbindung einer interaktiven Karte mit Leaflet, deren Tiles vom OSM-Tile-Server geladen werden. Andere Funktionen des OSM-Ökosystems (z.B. Beitrag eigener Karten-Daten als OSM-Mapper, Routing-Dienste, Nominatim-Geocoding) werden hier nicht behandelt.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von OpenStreetMap mit Leaflet

Die DSGVO schreibt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu den Rechten der betroffenen Person und zur Aufsichtsbehörde in Bezug auf die Nutzung von Tools wie OpenStreetMap mit Leaflet folgende spezifische Pflichtangaben vor: die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO) und – bei Verarbeitung auf Grundlage einer Interessenabwägung – die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO).

Hinzukommen die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO), die Frage, ob Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO), die Speicherdauer oder die Kriterien zur Festlegung der Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO) sowie – soweit Daten nicht direkt beim Betroffenen erhoben werden – die Kategorien der verarbeiteten personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben werden in den folgenden Abschnitten konkret für OpenStreetMap mit Leaflet aufgeschlüsselt.

Es ist nicht erforderlich, jedes einzelne Tool – also auch OpenStreetMap mit Leaflet – mit eigenem, gesondertem Textbaustein in der Datenschutzerklärung aufzuführen, auch wenn sich genau diese Praxis weithin eingebürgert hat. Dieser „Textbaustein-pro-Tool"-Ansatz hat sich als schlechte Manier etabliert: Er führt zu langen, sich inhaltlich wiederholenden Texten, die die Datenschutzerklärung unübersichtlich, schwer pflegbar und für Nutzer kaum lesbar machen – im Widerspruch zum Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein themenorientierter Ansatz, bei dem Verarbeitungen übergreifend (Serverbetrieb, Newsletter, Tracking, Drittanbieter-Inhalte …) beschrieben werden und die konkret eingesetzten Dienstleister – darunter OSMF oder ein alternativer Tile-Anbieter – in einem Anhang: Empfänger aufgelistet werden. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von OpenStreetMap mit Leaflet

Bei der hier behandelten Standardeinbindung sind zwei Akteure zu unterscheiden:

1. Leaflet-Bibliothek

• Projekt: Leaflet (Open-Source-Projekt unter MIT-Lizenz, gepflegt von Volodymyr Agafonkin und Mitwirkenden)
• Quelle: https://leafletjs.com
• Wird die Bibliothek lokal vom Webserver des Webseitenbetreibers ausgeliefert, entstehen keine Drittserver-Requests. Wird sie über ein öffentliches CDN (z.B. unpkg, jsDelivr, cdnjs) bezogen, gilt das jeweilige CDN als zusätzlicher Empfänger und ist wie ein Drittanbieter-Inhalt zu behandeln.

2. Tile-Server (Standard: OpenStreetMap Foundation)

• Juristischer Name: OpenStreetMap Foundation (OSMF)
• Anschrift: St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich
• Sitzland: Vereinigtes Königreich
• Privacy Policy: https://osmfoundation.org/wiki/Privacy_Policy
• Tile Usage Policy: https://operations.osmfoundation.org/policies/tiles/

Das Vereinigte Königreich gilt nach dem Angemessenheitsbeschluss der EU-Kommission vom 28. Juni 2021 als sicheres Drittland im Sinne von Art. 45 DSGVO. Eine zusätzliche Zertifizierung (etwa nach dem EU-US Data Privacy Framework) ist hier nicht einschlägig.

Setzt der Webseitenbetreiber statt des OSM-Tile-Servers einen alternativen Tile-Anbieter (z.B. MapTiler AG/Schweiz, Mapbox Inc./USA, Carto, Stadia Maps Inc./USA, Geoapify GmbH/Deutschland) ein, gelten dessen jeweilige Datenschutzhinweise und ggf. zusätzliche Garantien (z.B. SCC, DPF) sind eigenständig zu prüfen.

D. Datenverarbeitung bei OpenStreetMap mit Leaflet – Ablauf in Schritten

E. Erhobene Daten bei OpenStreetMap mit Leaflet

Beim Aufruf einer mit Leaflet eingebundenen Karte mit Tiles vom OSM-Tile-Server werden nach den Angaben der OSMF in deren Privacy Policy insbesondere folgende Daten an den Tile-Server übermittelt: IP-Adresse des Nutzer-Endgeräts, User-Agent-String (Browser- und Betriebssystem-Information), Referrer (URL der Webseite, von der die Karte aufgerufen wurde), Datum und Uhrzeit des Requests, angefragte Tile-URL (in der Regel kodiert über Zoom-Stufe und x/y-Koordinaten und damit ein technischer Hinweis auf den dargestellten Kartenausschnitt) sowie technische Metadaten des Requests.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der Tile-Server bei jeder Tile-Anfrage vom Endgerät des Nutzers erhält, insbesondere IP-Adresse, Datum und Uhrzeit der Anfrage, URL des angefragten Tiles, Referrer (URL der einbindenden Webseite), Informationen zum verwendeten Browser, Betriebssystem und Gerät sowie ergänzende technische Metadaten.
• Endgeräte-Daten: Aus dem User-Agent ableitbare Angaben zum Endgerät, z.B. Gerätetyp und Betriebssystem.
• Browserinformationen: Browsername und Browserversion aus dem User-Agent.
• Grobe Standortdaten: Anhand der IP-Adresse kann der Tile-Anbieter den groben Standort des Nutzers auf Stadt- oder Gemeindeebene ermitteln; zudem ergibt sich aus den angefragten Tile-Koordinaten ein technischer Hinweis auf den dargestellten Kartenausschnitt – nicht jedoch zwingend auf den tatsächlichen Aufenthaltsort des Nutzers.

Wird Leaflet ausschließlich lokal eingebunden und werden die Tiles selbst gehostet oder über einen serverseitigen Proxy ausgeliefert, gehen die Daten an den Webserver des Webseitenbetreibers; in diesem Fall fallen lediglich die ohnehin entstehenden Webserver-Protokolldaten an.

F. Nutzungszwecke beim Einsatz von OpenStreetMap mit Leaflet

Webseitenbetreiber binden OpenStreetMap mit Leaflet typischerweise ein, um Standorte (etwa Filialen, Veranstaltungsorte, Anfahrtsbeschreibungen) interaktiv darzustellen, dem Nutzer das Zoomen und Verschieben der Karte zu ermöglichen oder Marker, Routen und Polygone zu visualisieren.

Die mit dem Einsatz von OpenStreetMap mit Leaflet typischerweise verfolgten Zwecke lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Erbringung der Karten-Funktion auf der Webseite, insbesondere Darstellung von Karten und interaktiven Inhalten, Anzeige von Standorten und Markern, Zoom- und Pan-Steuerung, Fehlererkennung und -vermeidung beim Tile-Laden.
• Sicherheit und Missbrauchsschutz: Schutz des Tile-Servers vor übermäßiger Nutzung, Scraping und Angriffen (vom Tile-Anbieter ausgeführt); auf Seiten des Webseitenbetreibers gegebenenfalls Erkennung verdächtiger Anfragemuster.
• Allgemeine Produktverbesserung: Optimierung der Webseite anhand häufig aufgerufener Karten-Inhalte und genutzter Geräte.

G. Rechtsgrundlagen für OpenStreetMap mit Leaflet

OpenStreetMap mit Leaflet fällt – soweit Tiles von einem Drittserver geladen werden – primär in die Tool-Kategorie Drittanbieter-Inhalte (Karten). Wird dagegen die Leaflet-Bibliothek lokal ausgeliefert und werden auch die Tiles selbst gehostet oder über einen Proxy bereitgestellt, ist der Vorgang im Schwerpunkt dem Serverbetrieb/Hosting zuzuordnen.

Als Rechtsgrundlagen kommen typischerweise in Betracht:

• Standardeinbindung mit Tiles vom OSM-Tile-Server (oder anderem Drittanbieter): Da der Browser des Nutzers eine direkte Verbindung zu einem Drittserver aufbaut und dabei mindestens die IP-Adresse übermittelt wird, kommt regelmäßig die Drittanbieter-Inhalte-Einwilligung des Nutzers nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG in Betracht. Praktisch bedeutet das: Die Karte wird erst nach aktiver Einwilligung (z.B. über einen Consent-Banner oder einen Klick-zum-Laden-Platzhalter) nachgeladen.
• Self-Hosting der Tiles oder Proxy-Lösung: Werden die Tiles vom Webserver des Webseitenbetreibers ausgeliefert, kann die Verarbeitung auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden – mit den Interessen Funktionsbereitstellung, Effizienz und Sicherheit.
• Lokale Einbindung der Leaflet-Bibliothek: Die Bibliothek selbst löst keine Drittserver-Requests aus; ihre Auslieferung erfolgt im Rahmen des regulären Serverbetriebs (berechtigtes Interesse).

H. Besonderheiten und Hinweise zu OpenStreetMap mit Leaflet

• Self-Hosting der Tiles: Wer den Drittserver-Request vermeiden möchte, kann Tiles selbst rendern (z.B. via tileserver-gl, Mapnik, openmaptiles) oder einen serverseitigen Proxy einsetzen. Damit verbleibt die Verarbeitung beim Webseitenbetreiber, und die Drittanbieter-Inhalte-Einwilligung entfällt.
• Klick-zum-Laden-Lösungen: Eine gängige Praxis besteht darin, die Karte zunächst als Platzhalter darzustellen und erst nach Klick bzw. Einwilligung die Tiles vom Drittserver nachzuladen. Damit lässt sich der Datenabfluss vor Einwilligung wirksam vermeiden.
• Tile Usage Policy der OSMF: Der öffentliche OSM-Tile-Server ist nach der Tile Usage Policy nur für Anwendungen mit moderatem Traffic bestimmt. Bei stärker frequentierten Webseiten ist der Wechsel zu einem kommerziellen Tile-Anbieter oder Self-Hosting empfohlen – auch unabhängig von Datenschutzfragen.
• Drittlandtransfer: Die OSMF hat ihren Sitz in Cambridge/UK. Das Vereinigte Königreich ist nach dem EU-Angemessenheitsbeschluss vom 28.06.2021 ein sicheres Drittland; ein Rückgriff auf SCC oder DPF ist insoweit nicht erforderlich. Bei alternativen Tile-Anbietern aus den USA (z.B. Mapbox, Stadia Maps) ist der DPF-Status oder eine SCC-Grundlage gesondert zu prüfen.
• Subprozessoren / Empfänger: Die OSMF nennt in ihrer Privacy Policy die wesentlichen Subprozessoren und Infrastruktur-Partner. Bei kommerziellen Tile-Anbietern ist eine eigenständige Subprozessor-Liste zu konsultieren.
• AVV/DPA: Für die Nutzung des öffentlichen OSM-Tile-Servers wird typischerweise kein klassischer AVV nach Art. 28 DSGVO geschlossen; die OSMF tritt insoweit nach öffentlich zugänglichen Angaben als eigenständig Verantwortliche auf. Bei kommerziellen Tile-Anbietern (z.B. Mapbox, MapTiler) wird in der Regel ein DPA angeboten – Abschluss und Rolle (Auftragsverarbeitung oder eigenständige Verantwortlichkeit) sind im Einzelfall zu prüfen.
• Leaflet-Plugins: Einzelne Leaflet-Plugins können Drittserver-Requests auslösen (z.B. Geocoding-Plugins, Routing-Plugins, Heatmap-Layer). Solche Plugins sind separat zu bewerten.
• CDN-Bezug: Wird Leaflet über ein öffentliches CDN bezogen, gilt das CDN als zusätzlicher Drittanbieter; Self-Hosting der Bibliothek ist datenschutzfreundlicher.

I. FAQ zu OpenStreetMap mit Leaflet

J. Fazit zu OpenStreetMap mit Leaflet und Datenschutzerklärung

OpenStreetMap mit Leaflet ist eine etablierte Kombination zur Einbindung interaktiver Karten: die Leaflet-Bibliothek selbst erhebt keine personenbezogenen Daten, der Datenschutzimpact entsteht erst durch die Tile-Requests an den OSM-Tile-Server bzw. an einen alternativen Tile-Anbieter. Webseitenbetreiber müssen daher klar zwischen lokal ausgelieferter Bibliothek und dem Drittserver-Request beim Tile-Laden unterscheiden – nur Letzterer löst die Pflichten zur Drittanbieter-Inhalte-Einwilligung typischerweise aus.

Es ist für Webseitenbetreiber meist wenig sinnvoll, für jedes einzelne Tool – also auch für OpenStreetMap mit Leaflet – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Solche tool-spezifischen Bausteine wiederholen sich inhaltlich, machen die Datenschutzerklärung lang, unübersichtlich und schwer pflegbar – und widersprechen dem Transparenzgebot des Art. 12 Abs. 1 DSGVO.

Empfehlenswert ist stattdessen ein strukturierter, themenorientierter Ansatz: Verarbeitungen werden nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Newsletter, Tracking, Verkauf …) übergreifend erklärt, und im Anhang: Empfänger werden die konkret eingesetzten Dienstleister – etwa die OpenStreetMap Foundation oder ein alternativer Tile-Anbieter – aufgelistet. Dies ist die Methodik des matterius-Generators.

K. Kurator dieser Seite

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com