Das Einbinden einer OpenStreetmap Karte und der Datenschutz (DSGVO)

Dir ist aber kontextbezogen schon klar, dass sich meine Aussage nicht an ein Fachpublikum richtete, und dass eine vollständigere Differenzierung dieser zugegebenermaßen verallgemeinernden Aussage möglicherweise den Irritationspegel weiter hätte ansteigen lassen, den sie einklich senken sollte :smiley:

–ks

Es scheint sich generell die Meinung durchzusetzen, dass eine explizite Einwilligung einzuholen eine ganz schlechte Idee ist (d.h. anstatt auf legitimes Interesse verweisen).

Das kannst du schon wenn du über den Dienst einen Vertrag abschliesst.

Wir sind daran das zu dokumentieren.

Am besten schon, ja.

Vielen Dank an alle für die hilfreichen Antworten.

Ist diese Dokumentation schon öffentlich?

@aselnigu: Laut Wochennotiz Nr. 405 (siehe Lizenzen) dürfte es dieses Dokument sein.

@SimonPoole: Vielen Dank für die Ausführungen. Allerdings stelle ich mir (nicht nur bei OSM) die Frage, ob es in Deutschland rechtlich zulässig ist, einfach auf eine englischsprachige Datenschutzerklärung zu verweisen. Schließlich ist nicht jeder Deutsche der englischen Sprache mächtig. Ich denke dabei an englischsprachige AGB’s von amerikanischen Firmen, welche Dienstleistungen (auch) in Deutschland anbieten. Ich meine gelesen zu haben, dass dies nicht rechtens sei. Nun sind AGB’s und Datenschutzerklärungen durchaus verschiedene Dinge. Allerdings sollten doch beide Sachverhalte für Otto-Normalbürger verständlich sein, d.h. ganz ohne juristisch geschultes Übersetzungsbüro? Oder schieße ich hier gedanklich über das Ziel hinaus?

@fireball2 @SimonPoole
Wenn ich es richtig sehe ist die Verlinkte PDF (https://wiki.openstreetmap.org/w/images/8/88/GDPR_Position_Paper.pdf) nur als Vorschlag für eine deutsche Umsetzung zu sehen, oder? Openstreetmap.de ist ja ein eigener Server und nicht mit dem Openstreetmap.org (der zum Beispiel Cookies setzt - qos_token) gleich zu setzten.

Ich vermute mal hier bin ich einigermaßen richtig. Eigentlich habe ich mir überlegt googlemaps rauszuschmeißen und OpenStreetMap einzubinden. Aber ich finde keinen Datenschutzerklärungsgenerator oder Textbausteine für Datenschutzerklärungen bezüglich OSM . Für google gibt es so etwas, also bleibt es bei google.

Wenn ich jetzt nicht zu blöd zum Suchen bin, sollte sich OSM etwas einfallen lassen, um diesen “Nachteil” auszugleichen.

Es liegt wohl kaum im Aufgabenbereich von OSM dir eine Datenschutzerklärung zu erstellen.

Unser Papier ist eher eine Zusammenfassung der Rechtslage wie wir (LWG) es sehen und was wir meinen in groben Zügen für Konsequenzen daraus zu ziehen sind.

Die konkrete Umsetzung kommt jetzt, zum Teil technisch, da ist de facto Frederik federführend, zum Teil wieder mal Policies und Nutzungsbedingungen anpassen (das gilt sinngemäss natürlich für von Dritten betrieben Dienste).

Simon

Auch so kann man sagen, dass man an der Nutzung seines unterstützten Projektes kein Interesse hat.

Ist doch eine interessante Frage, wie viele Leute wegen des DSGVO von OSM und anderen KArtenanbietern weg zu google wechseln, weil es nur für googlemaps eine Billiglösung für die Datenschutzerklärung gibt? Jetzt verstanden.

Wenn die “Billiglösung” die ist, die ich vermute, dann macht sie a) Aussagen über googles Verwendung von IP-Adressen die nicht von google stammen und auch nicht überprüfbar sind, und ist b) technisch und sachlich falsch.

Wir haben vor, sowohl eine FAQ zum Thema zu machen wie auch ein Vorschlag was man vernünftigerweise in seine Datenschutzerklärung reinschreibt. Wie ich schon darauf hingewiesen habe, hat man das Problem, mit jeder JS Library die man nicht selbst hostet auch, beliebte sind z.B. von Facebook und google und … und …, einfach mit ein paar falschen Sätzchen zu gmaps ist es nicht getan.

Und wieder müssen wir unterscheiden zwischen Datenbank und Kartendienst. Denn deine Datenschutzerklärung wird natürlich auch davon abhängen, von wem du die Kacheln beziehst. OSM als Geodatenbank hat daher hier nichts beizutragen, aber OSM als Anbieter der osm-carto-Mapnik-Kacheln schon eher.

–ks

@SimonPoole: Da bin ich ganz Deiner Meinung. In nicht wenigen Datenschutzerklärungen auf verschiedensten Internetseiten liest man derzeit wirklich viel Müll. Es kann doch nicht Sinn und Zweck der DSGVO sein, dass das Kleingedruckte auf jeder Homepage explodiert, sondern das hoffentlich die Datenverarbeitung und Weitergabe (von persönlichen Daten) auf das Nötigste beschränkt wird. Dazu ist es aber nunmal erforderlich sich mit der eigenen Homepage und dessen Plugins, Scripten, etc. zu beschäftigen und diese kritisch zu betrachten, statt einfach irgendwelche DSGVO-Datenschutzgeneratoren anzuwerfen, die bestenfalls aussagen, dass meine persönlichen Daten zu den Seiten x,y,z abfließen. Was dort dann passiert bleibt jedoch meistens unklar.
Nicht erst seit der DSGVO bin ich der Meinung, dass aus Datenschutzgründen eine OSM-Karte einer Google- oder Bing-Karte auf der eigenen Homepage vorzuziehen ist. OpenStreetMap ist mir bislang nicht als Verarbeiter von persönlichen Daten bekannt, bei anderen Anbietern kann man sich nicht so sicher sein (Google, Bing, Mapbox, Here, etc.)?! Trotzdem würde ich gerne eindeutig wissen wollen, wie lange welche persönlichen Daten von und bei den OSM-Tileservern gespeichert werden, wenn man sich dort eine Karte anguckt. Dabei ist es mir vollkommen wurst, ob ich mich direkt auf openstreetmap.org begebe oder ein Karten-Plugin auf irgendeiner Homepage betrachte.

Jeder Dienst muss noch sowieso seine eigene Datenschutzerklärung besitzen. Und wenn ich ein Plugin, Script, etc. von diesem Dienst auf meiner Homepage einbinde, dann muss ich auf die entsprechende Datenschutzerklärung verweisen dürfen. Es geht gar nicht anders, oder soll jeder Scriptnutzer seine eigene Datenschutzerklärung für diese Dienste “erfinden” und dann natürlich auch ständig an die Änderungen der Drittanbieter anpassen? Mit anderen Worten, ich werde auf meiner Homepage darauf hinweisen, dass ich Karten von OpenStreetMap verwende und dann auf die OSM-Privacy-Regeln verweisen. Allerdings hoffe ich da noch auf eine eingedeutschte Version… . Allerdings ist mir auch klar, dass weltweite Diensteanbieter die Datenschutzerklärung nicht in allen Sprachen anbieten können. Da sehe ich dann wieder ein kleines Problem für meine Datenschutzerklärung, den diese soll leicht verständlich sein. Wie kann ich da guten Gewissens auf eine Datenschutzerklärung eines Drittanbieters in einer anderen Sprache verweisen? Aber wo tappt man da eher in eine rechtliche Falle? Abgepinselte und steinalte Datenschutzerklärung auf der eigenen Homepage vs. Link zur aktuellen Datenschutzerklärung in einer anderen Sprache? Dank der Rechtsunsicherheit werde ich wohl Variante 2 riskieren :sunglasses:. Es sei denn es gibt da schon eindeutige Rechtsnormen.

Ich wurde auch von einem Webseiten-Betreiber auf die DSGVO und OSM verwiesen, wie OSM es lösen will:

Wie sieht es z.B. mit den Hintergrundkarten aus, die manche verwenden (Dresden) oder Rostock mit Karten aus Daten von OSM.

Das Internet ist für manche leider immer noch Neuland. :wink: Wer sich ernsthaft Sorgen macht, weil seine IP-Adresse irgendwohin übermittelt wird, sollte dem Internet fernbleiben. Ebenso bei Cookies. Das WWW funktioniert heutzutage nunmal nicht mehr stateless, weshalb Cookies notwendig sind.

Bei der browserbasierten Lokalisierung muss man zuvor zustimmen (es kommt ein Popup im Browser). Im Desktop-Bereich wird die Position eh nur aus der IP-Adresse bestimmt.

Ich stehe vor der selben Fragestellung wie der OP.

Um eine Datenschutzerklärung formulieren zu können für eine Website die OSM-Kacheln einbindet, muss man tatsächlich wissen, was genau beim Abruf der Kacheln geschieht, ob der/die Server innerhalb der EU oder außerhalb stehen und vor allem, ob die IP-Adressen vor der Speicherung pseudonymisiert werden.

Die Frage, ob das Interesse des Serverbetreibers (im konkreten Fall ging es um Webseiten des Bundes) am Schutz vor Angreifern das Interesse des Nutzers am Schutz seiner personenbezogenen Daten, und darum handelt es sich auch bei dynamischen IP-Adressen, hat bereits den BGH beschäftigt:

https://www.tagesschau.de/ausland/ip-adressen-urteil-101.html

Das Ergebnis ist übrigens interessant, denn die allermeisten Seiten des Bundes speichern IP-Adressen ihrer Besucher inzwischen überhaupt nicht mehr.

Da ein Webseitenbetreiber, der Material von OSM-Servern einbindet, für nicht-datenschutzkonformen Umgang mit den IP-Adressen verantwortlich gemacht werden kann, sehe ich die Frage nach zumindest einer Erklärung, ob IP-Adressen gespeichert werden, und zu welchem Zweck, durchaus als berechtigt.

Sogar selbst gehostete Tracking-Lösungen wie Piwik/Matomo bieten dies an:

https://matomo.org/blog/2018/04/how-to-make-matomo-gdpr-compliant-in-12-steps/

Die OSMF hat eine FAQ, die Datenschutzfragen von Webseitenbetreibern beantwortet, die ihre Dienste einbinden.

Wem das nicht gut genug ist, muss eben Geld in die Hand nehmen und zu einem kommerziellen Anbieter wechseln. Einem geschenkten Gaul schaut man nichts in Maul und die Produktion von Tiles ist nicht billig.

Nur bevor hier Missverständnisse aufkommen: Das Cookie “_osm_location” enthält nicht den Nutzerstandort, sondern nur die zuletzt angeschaute Kartenposition. Es wird nicht auf dem Server gespeichert. Es unterscheidet sich durch nichts von der Übergabe einer Koordinate im URL.

Bye
Frederik

Die OSMF hat(te) eine -noch unveröffentliche- FAQ.

AFAIK ist es in Deutschland zulässig, Verträge in anderer Sprache zu schließen, jedenfalls waren die Contributor Terms denen man 2012 zustimmen musste, auf Englisch (es gab nur eine informelle Übersetzung, rechtlich maßgeblich war die englische Version). Die Italiener hatten eine offizielle Übersetzung, weil dort die englische Version nicht gegolten hätte.

Es könnte natürlich auch sein, dass die Zustimmung der Deutschen zu den CT gar nicht wirksam war, weil das dort verwendete Englisch juristisch und „kompliziert“ war, sofern man dieser evtl. vergleichbaren Entscheidung des Kammergerichts Berlin zu Whatsapp AGB folgt: s.z.B. https://www.basicthinking.de/blog/2016/06/06/whatsapp-agb-deutsch/ insbesondere scheint dort eine Rolle gespielt zu haben, dass sich Whatsapp an Nutzer in Deutschland richtet (das scheinen sie daraus abzuleiten, dass die App in deutscher Sprache angeboten wird und in deutschen Appstores angeboten wird)

Eben über Twitter gerauscht: https://blog.openstreetmap.org/2018/05/14/preparing-for-the-gdpr/