Google Maps und Datenschutz – Was Webseitenbetreiber wissen müssen

Bindet ein Webseitenbetreiber Google Maps über iFrame oder API ein, verarbeitet er Klickpfade, Webserver-Protokolldaten und grobe Standortdaten zum Zweck der Bereitstellung von Kartenfunktionalität auf Basis von Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG). Google Maps ist ein Kartendienst von Google, der interaktive Karten, Navigationsanweisungen und Ortsinformationen bereitstellt.

A. Zweck und Funktionsweise von Google Maps

Google Maps ist ein kartographischer Dienst von Google Ireland Limited, der es Webseitenbetreibern ermöglicht, interaktive Karten auf ihre Websites einzubinden – etwa um ein Büro, ein Geschäft, ein Restaurant oder einen Veranstaltungsort zu lokalisieren und zu zeigen. Nutzer können auf der eingebundenen Karte zoomen, die Ansicht ändern, Routen planen und Ortsdetails abrufen.

Integrationsfunktion: Google Maps wird typischerweise über ein HTML-<iframe>-Element oder über die Google Maps API eingebunden. Der iFrame lädt einen Google-Server und bindet die Kartendarstellung direkt ein. Bei der API wird JavaScript-Code verwendet, um Karten dynamisch zu laden. In beiden Fällen wird beim Laden der Seite eine Verbindung zu Google-Servern hergestellt, Cookies werden gesetzt (insbesondere das NID-Cookie von Google) und die IP-Adresse sowie Browser-Information werden an Google übermittelt.

B. Pflichtangaben in der Datenschutzerklärung zu Google Maps

Die DSGVO verlangt für den Einsatz von Google Maps folgende Pflichtangaben in der Datenschutzerklärung: Zwecke der Datenverarbeitung (Art. 13 Abs. 1 lit. c DSGVO), Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO), bei berechtigten Interessen zusätzlich die konkret verfolgten Interessen (Art. 13 Abs. 1 lit. d DSGVO), Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO), Drittlandtransfers und deren Grundlagen (Art. 13 Abs. 1 lit. f DSGVO) sowie Speicherdauer oder deren Kriterien (Art. 13 Abs. 2 lit. a DSGVO).

Es ist nicht erforderlich, Google Maps in der Datenschutzerklärung als eigenen Textbaustein zu behandeln. Die in der Praxis weit verbreitete Praxis, für jedes Tool einen gesonderten Abschnitt vorzusehen, macht Datenschutzerklärungen lang, unübersichtlich und schwer pflegbar – und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein themenorientierter Ansatz, der externe Inhalte (Karten, Videos, Social Media) übergreifend erklärt und Google Ireland Limited als Empfänger im Anhang nennt.

C. Anbieter von Google Maps: Google Ireland Limited

Anbieter: Google Ireland Limited (Verantwortlicher für EU-Nutzer)

Vollständige Anschrift: Gordon House, Barrow Street, Dublin 4, Irland

Sitzland: Europäischer Wirtschaftsraum (EWR), Irland

Nach Angaben des Anbieters agiert Google Ireland Limited als Verantwortlicher gemäß Art. 4 Abs. 7 DSGVO für die Datenverarbeitung durch Google Maps. Die tatsächliche Datenverarbeitung erfolgt durch Google LLC (Mountain View, Kalifornien, USA) und deren Subprozessoren.

Data Privacy Framework (DPF): Google LLC ist nach Angaben des Anbieters unter dem EU-US Data Privacy Framework zertifiziert. Überprüfung unter: https://www.dataprivacyframework.gov/participant/5780

Datenschutzerklärung des Anbieters: https://policies.google.com/privacy

Auftragsverarbeitungsvertrag (AVV/DPA): Für Google Maps ist vom Betreiber zu verifizieren, ob ein DPA erforderlich und verfügbar ist.

D. Datenverarbeitung durch Google Maps – Ablauf

E. Erhobene Daten beim Einsatz von Google Maps

Google Maps erfasst beim Laden und bei der Nutzung die IP-Adresse des Nutzers, Browser- und Geräte-Informationen, Interaktionsdaten (Zoomen, Schwenken, Suchvorgänge auf der Karte, Klicks auf Punkte von Interesse), sowie Cookies für Nutzer-Tracking. Wenn Nutzer in ihr Google-Konto eingeloggt sind, werden diese Aktivitäten mit dem Konto verknüpft.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit/Zeitzone, User-Agent (Browser, Betriebssystem), Referrer-Seite, Statuscode
• Klickpfade: Seite, auf der die Karte aufgerufen wird, Interaktionen mit der Karte (Zoomen, Suchvorgänge, Klicks auf Ortsmarker)
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung, Ausrichtung
• Browserinformationen: Browsername, Browserversion, Sprache
• Grobe Standortdaten: Aus der IP-Adresse ermittelter grober Standort
• Nutzerprofile: Google-Konto-Daten (wenn eingeloggt), Such- und Navigationsverlauf

F. Nutzungszwecke beim Einsatz von Google Maps

Der Webseitenbetreiber nutzt Google Maps primär zur Bereitstellung von Kartenfunktionalität und Ortsinformation (z. B. zur Anzeige des Bürostandorts, eines Geschäfts oder einer Veranstaltung). Google LLC nutzt die gesammelten Daten nach Angaben des Anbieters zur Verbesserung des Maps-Services und zur Verfolgung von Verkehrsmustern.

Die Zwecke lassen sich wie folgt einordnen:

• Funktionsbereitstellung: Darstellung von interaktiven Karten, Navigationsanweisungen, Ortsinformationen, Verkehrsinformationen
• Sicherheit und Missbrauchsschutz: Erkennung von Bots und nicht-autorisierten Zugriffen auf die Maps API
• Allgemeine Produktverbesserung: Nicht-individuell erfolgende Optimierung von Kartendaten, Verbesserung der Verkehrsinformationen
• Nutzerprofil-Erstellung: Erstellung von Interessens-Profilen auf Basis von Such- und Navigationsverlauf (durch Google, wenn Nutzer eingeloggt)
• Nutzerindividuelles Marketing: Personalisierte Werbung auf Basis von Orts- und Verhaltens-Daten (durch Google als eigenständigen Verantwortlichen)

G. Rechtsgrundlagen für Google Maps

Google Maps ist ein Drittanbieter-Inhalte-Dienst, bei dem externe Server (Google) in die Website eingebunden werden. Kommt typischerweise in Betracht:

Primäre Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG)

Da Google Maps beim Laden der Seite Cookies setzt und Daten an Google-Server überträgt, kommt als Rechtsgrundlage regelmäßig eine Einwilligung des Nutzers vor dem Laden in Betracht. Die Einwilligung wird typischerweise über ein Cookie-Consent-System eingeholt.

Eine praktische Umsetzung ist das Zwei-Klick-System: Zunächst wird ein Platzhalter/Teaser angezeigt. Der Nutzer muss aktiv klicken, um die Karte zu laden. Dies gilt als Einwilligung zur Datenverarbeitung.

Die konkrete Rechtsgrundlage ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

H. Besonderheiten und Hinweise zu Google Maps

• NID-Cookie: Google setzt das NID-Cookie für Nutzungsverfolgung. Dies kommt als Tracking-Cookie in Betracht, das Einwilligung erfordern kann.
• Data Privacy Framework (DPF): Google LLC ist nach Angaben des Anbieters DPF-zertifiziert. Ãœberprüfung unter: https://www.dataprivacyframework.gov/participant/5780
• Zwei-Klick-Lösung: Eine datenschutzfreundliche Methode: Zunächst wird ein Teaser/Platzhalter angezeigt. Der Nutzer muss aktiv klicken, um die Karte zu laden. Dies ermöglicht die Einholung einer Einwilligung vor der Datenübertragung.
• Alternativen: OpenStreetMap ist eine quelloffene Kartenlösung. Für reine Anzeige eines Standorts kann auch ein statisches Kartenbild ohne Drittanbieter-Anfragen verwendet werden.
• Auftragsverarbeitung: Vom Betreiber zu verifizieren, ob ein DPA mit Google abzuschließen ist.

I. FAQ zu Google Maps

J. Fazit und Empfehlung zu Google Maps

Google Maps ist ein verbreitetes Tool zur Anzeige von Standorten auf Websites. Da beim Laden der Karte Cookies gesetzt und Daten an Google-Server übertragen werden, kommt als Rechtsgrundlage typischerweise eine Einwilligung in Betracht. Die Daten werden nach Angaben des Anbieters unter DPF-Zertifizierung in die USA übermittelt.

Es ist wenig sinnvoll, für Google Maps einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Das macht die Datenschutzerklärung lang, unübersichtlich und schwer pflegbar – und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein themenorientierter Ansatz, der externe Inhalte übergreifend beschreibt und Google Ireland Limited im Empfänger-Anhang nennt. Genau das ist die Methodik des matterius-Generators.