Das Einbinden einer OpenStreetmap Karte und der Datenschutz (DSGVO)

Für mein unmaßgebliches Rechtsempfinden dürfte das ein „berechtigtes Interesse“ darstellen, das zur verhältnismäßigen Speicherung auch ohne Einwilligung berechtigt.

–ks

Eine TCP-Verbindung (und damit auch http/https) wird durch 4 Parameter eindeutig definiert:
IP-Adresse des Clients, IP-Adresse des Servers, Client-Port und Server-Port.

Ohne diese Parameter ist es schlichtweg unmöglich eine Ende-Zu-Ende Kommunikation durchzuführen.

Ob man die Client-IP auch nach beendeter Kommunikation irgendwo speichert ist ein anderes Thema.

Sven

Vielleicht noch mal etwas einfacher: Dein Denkfehler besteht darin, dass die Kacheln gar nicht über deinen Webserver laufen, sondern direkt vom Tileserver an deinen Besucher geschickt werden.

Das ist so, als würdest du ein Bild, das auf einer anderen Website steht, mit einem entsprechenden Deeplink in deine Seite einbauen (). Dann ruft der Browser deines Besuchers, sobald er darauf stößt, bei diesem anderen Server an und lässt sich von da das Bild schicken. Das Leaflet-Skript macht prinzipiell nichts anderes: es bindet die passenden Kacheln per Deeplink auf den Tileserver ein. Sobald also das Leaflet im Browser deines Besuchers ausgeführt wird, wird sich der die Kacheln vom OSM-Tileserver holen. Dein Server sieht gar nichts davon. Die Seite wird erst im Browser des Besuchers aus Bestandteilen zusammengebaut, die er sich in der ganzen Welt zusammengesucht hat.

Vielleicht auch noch wichtig zum Verständnis: Ausgeführt wird ein Javascript, also auch Leaflet, immer clientseitig, also im Browser des Besuchers, niemals auf deinem Server. Dein Webserver kann gar kein Javascript. Er liefert nur den Text des Skripts aus und sagt dem Besucher: Mach damit, was du willst.

–ks

Mit solchen pauschalen Aussagen, ohne den Hintergrund zu kennen, wäre ich in den heutigen Zeiten von node.js und Co. gaaaanz vorsichtig :stuck_out_tongue:

Dir ist aber kontextbezogen schon klar, dass sich meine Aussage nicht an ein Fachpublikum richtete, und dass eine vollständigere Differenzierung dieser zugegebenermaßen verallgemeinernden Aussage möglicherweise den Irritationspegel weiter hätte ansteigen lassen, den sie einklich senken sollte :smiley:

–ks

Es scheint sich generell die Meinung durchzusetzen, dass eine explizite Einwilligung einzuholen eine ganz schlechte Idee ist (d.h. anstatt auf legitimes Interesse verweisen).

Das kannst du schon wenn du über den Dienst einen Vertrag abschliesst.

Wir sind daran das zu dokumentieren.

Am besten schon, ja.

Vielen Dank an alle für die hilfreichen Antworten.

Ist diese Dokumentation schon öffentlich?

@aselnigu: Laut Wochennotiz Nr. 405 (siehe Lizenzen) dürfte es dieses Dokument sein.

@SimonPoole: Vielen Dank für die Ausführungen. Allerdings stelle ich mir (nicht nur bei OSM) die Frage, ob es in Deutschland rechtlich zulässig ist, einfach auf eine englischsprachige Datenschutzerklärung zu verweisen. Schließlich ist nicht jeder Deutsche der englischen Sprache mächtig. Ich denke dabei an englischsprachige AGB’s von amerikanischen Firmen, welche Dienstleistungen (auch) in Deutschland anbieten. Ich meine gelesen zu haben, dass dies nicht rechtens sei. Nun sind AGB’s und Datenschutzerklärungen durchaus verschiedene Dinge. Allerdings sollten doch beide Sachverhalte für Otto-Normalbürger verständlich sein, d.h. ganz ohne juristisch geschultes Übersetzungsbüro? Oder schieße ich hier gedanklich über das Ziel hinaus?

@fireball2 @SimonPoole
Wenn ich es richtig sehe ist die Verlinkte PDF (https://wiki.openstreetmap.org/w/images/8/88/GDPR_Position_Paper.pdf) nur als Vorschlag für eine deutsche Umsetzung zu sehen, oder? Openstreetmap.de ist ja ein eigener Server und nicht mit dem Openstreetmap.org (der zum Beispiel Cookies setzt - qos_token) gleich zu setzten.

Ich vermute mal hier bin ich einigermaßen richtig. Eigentlich habe ich mir überlegt googlemaps rauszuschmeißen und OpenStreetMap einzubinden. Aber ich finde keinen Datenschutzerklärungsgenerator oder Textbausteine für Datenschutzerklärungen bezüglich OSM . Für google gibt es so etwas, also bleibt es bei google.

Wenn ich jetzt nicht zu blöd zum Suchen bin, sollte sich OSM etwas einfallen lassen, um diesen “Nachteil” auszugleichen.

Es liegt wohl kaum im Aufgabenbereich von OSM dir eine Datenschutzerklärung zu erstellen.

Unser Papier ist eher eine Zusammenfassung der Rechtslage wie wir (LWG) es sehen und was wir meinen in groben Zügen für Konsequenzen daraus zu ziehen sind.

Die konkrete Umsetzung kommt jetzt, zum Teil technisch, da ist de facto Frederik federführend, zum Teil wieder mal Policies und Nutzungsbedingungen anpassen (das gilt sinngemäss natürlich für von Dritten betrieben Dienste).

Simon

Auch so kann man sagen, dass man an der Nutzung seines unterstützten Projektes kein Interesse hat.

Ist doch eine interessante Frage, wie viele Leute wegen des DSGVO von OSM und anderen KArtenanbietern weg zu google wechseln, weil es nur für googlemaps eine Billiglösung für die Datenschutzerklärung gibt? Jetzt verstanden.

Wenn die “Billiglösung” die ist, die ich vermute, dann macht sie a) Aussagen über googles Verwendung von IP-Adressen die nicht von google stammen und auch nicht überprüfbar sind, und ist b) technisch und sachlich falsch.

Wir haben vor, sowohl eine FAQ zum Thema zu machen wie auch ein Vorschlag was man vernünftigerweise in seine Datenschutzerklärung reinschreibt. Wie ich schon darauf hingewiesen habe, hat man das Problem, mit jeder JS Library die man nicht selbst hostet auch, beliebte sind z.B. von Facebook und google und … und …, einfach mit ein paar falschen Sätzchen zu gmaps ist es nicht getan.

Und wieder müssen wir unterscheiden zwischen Datenbank und Kartendienst. Denn deine Datenschutzerklärung wird natürlich auch davon abhängen, von wem du die Kacheln beziehst. OSM als Geodatenbank hat daher hier nichts beizutragen, aber OSM als Anbieter der osm-carto-Mapnik-Kacheln schon eher.

–ks

@SimonPoole: Da bin ich ganz Deiner Meinung. In nicht wenigen Datenschutzerklärungen auf verschiedensten Internetseiten liest man derzeit wirklich viel Müll. Es kann doch nicht Sinn und Zweck der DSGVO sein, dass das Kleingedruckte auf jeder Homepage explodiert, sondern das hoffentlich die Datenverarbeitung und Weitergabe (von persönlichen Daten) auf das Nötigste beschränkt wird. Dazu ist es aber nunmal erforderlich sich mit der eigenen Homepage und dessen Plugins, Scripten, etc. zu beschäftigen und diese kritisch zu betrachten, statt einfach irgendwelche DSGVO-Datenschutzgeneratoren anzuwerfen, die bestenfalls aussagen, dass meine persönlichen Daten zu den Seiten x,y,z abfließen. Was dort dann passiert bleibt jedoch meistens unklar.
Nicht erst seit der DSGVO bin ich der Meinung, dass aus Datenschutzgründen eine OSM-Karte einer Google- oder Bing-Karte auf der eigenen Homepage vorzuziehen ist. OpenStreetMap ist mir bislang nicht als Verarbeiter von persönlichen Daten bekannt, bei anderen Anbietern kann man sich nicht so sicher sein (Google, Bing, Mapbox, Here, etc.)?! Trotzdem würde ich gerne eindeutig wissen wollen, wie lange welche persönlichen Daten von und bei den OSM-Tileservern gespeichert werden, wenn man sich dort eine Karte anguckt. Dabei ist es mir vollkommen wurst, ob ich mich direkt auf openstreetmap.org begebe oder ein Karten-Plugin auf irgendeiner Homepage betrachte.

Jeder Dienst muss noch sowieso seine eigene Datenschutzerklärung besitzen. Und wenn ich ein Plugin, Script, etc. von diesem Dienst auf meiner Homepage einbinde, dann muss ich auf die entsprechende Datenschutzerklärung verweisen dürfen. Es geht gar nicht anders, oder soll jeder Scriptnutzer seine eigene Datenschutzerklärung für diese Dienste “erfinden” und dann natürlich auch ständig an die Änderungen der Drittanbieter anpassen? Mit anderen Worten, ich werde auf meiner Homepage darauf hinweisen, dass ich Karten von OpenStreetMap verwende und dann auf die OSM-Privacy-Regeln verweisen. Allerdings hoffe ich da noch auf eine eingedeutschte Version… . Allerdings ist mir auch klar, dass weltweite Diensteanbieter die Datenschutzerklärung nicht in allen Sprachen anbieten können. Da sehe ich dann wieder ein kleines Problem für meine Datenschutzerklärung, den diese soll leicht verständlich sein. Wie kann ich da guten Gewissens auf eine Datenschutzerklärung eines Drittanbieters in einer anderen Sprache verweisen? Aber wo tappt man da eher in eine rechtliche Falle? Abgepinselte und steinalte Datenschutzerklärung auf der eigenen Homepage vs. Link zur aktuellen Datenschutzerklärung in einer anderen Sprache? Dank der Rechtsunsicherheit werde ich wohl Variante 2 riskieren :sunglasses:. Es sei denn es gibt da schon eindeutige Rechtsnormen.

Ich wurde auch von einem Webseiten-Betreiber auf die DSGVO und OSM verwiesen, wie OSM es lösen will:

Wie sieht es z.B. mit den Hintergrundkarten aus, die manche verwenden (Dresden) oder Rostock mit Karten aus Daten von OSM.

Das Internet ist für manche leider immer noch Neuland. :wink: Wer sich ernsthaft Sorgen macht, weil seine IP-Adresse irgendwohin übermittelt wird, sollte dem Internet fernbleiben. Ebenso bei Cookies. Das WWW funktioniert heutzutage nunmal nicht mehr stateless, weshalb Cookies notwendig sind.

Bei der browserbasierten Lokalisierung muss man zuvor zustimmen (es kommt ein Popup im Browser). Im Desktop-Bereich wird die Position eh nur aus der IP-Adresse bestimmt.

Ich stehe vor der selben Fragestellung wie der OP.

Um eine Datenschutzerklärung formulieren zu können für eine Website die OSM-Kacheln einbindet, muss man tatsächlich wissen, was genau beim Abruf der Kacheln geschieht, ob der/die Server innerhalb der EU oder außerhalb stehen und vor allem, ob die IP-Adressen vor der Speicherung pseudonymisiert werden.

Die Frage, ob das Interesse des Serverbetreibers (im konkreten Fall ging es um Webseiten des Bundes) am Schutz vor Angreifern das Interesse des Nutzers am Schutz seiner personenbezogenen Daten, und darum handelt es sich auch bei dynamischen IP-Adressen, hat bereits den BGH beschäftigt:

https://www.tagesschau.de/ausland/ip-adressen-urteil-101.html

Das Ergebnis ist übrigens interessant, denn die allermeisten Seiten des Bundes speichern IP-Adressen ihrer Besucher inzwischen überhaupt nicht mehr.

Da ein Webseitenbetreiber, der Material von OSM-Servern einbindet, für nicht-datenschutzkonformen Umgang mit den IP-Adressen verantwortlich gemacht werden kann, sehe ich die Frage nach zumindest einer Erklärung, ob IP-Adressen gespeichert werden, und zu welchem Zweck, durchaus als berechtigt.

Sogar selbst gehostete Tracking-Lösungen wie Piwik/Matomo bieten dies an:

https://matomo.org/blog/2018/04/how-to-make-matomo-gdpr-compliant-in-12-steps/

Die OSMF hat eine FAQ, die Datenschutzfragen von Webseitenbetreibern beantwortet, die ihre Dienste einbinden.

Wem das nicht gut genug ist, muss eben Geld in die Hand nehmen und zu einem kommerziellen Anbieter wechseln. Einem geschenkten Gaul schaut man nichts in Maul und die Produktion von Tiles ist nicht billig.