Das Einbinden einer OpenStreetmap Karte und der Datenschutz (DSGVO)

Unser Papier ist eher eine Zusammenfassung der Rechtslage wie wir (LWG) es sehen und was wir meinen in groben Zügen für Konsequenzen daraus zu ziehen sind.

Die konkrete Umsetzung kommt jetzt, zum Teil technisch, da ist de facto Frederik federführend, zum Teil wieder mal Policies und Nutzungsbedingungen anpassen (das gilt sinngemäss natürlich für von Dritten betrieben Dienste).

Simon

Auch so kann man sagen, dass man an der Nutzung seines unterstützten Projektes kein Interesse hat.

Ist doch eine interessante Frage, wie viele Leute wegen des DSGVO von OSM und anderen KArtenanbietern weg zu google wechseln, weil es nur für googlemaps eine Billiglösung für die Datenschutzerklärung gibt? Jetzt verstanden.

Wenn die “Billiglösung” die ist, die ich vermute, dann macht sie a) Aussagen über googles Verwendung von IP-Adressen die nicht von google stammen und auch nicht überprüfbar sind, und ist b) technisch und sachlich falsch.

Wir haben vor, sowohl eine FAQ zum Thema zu machen wie auch ein Vorschlag was man vernünftigerweise in seine Datenschutzerklärung reinschreibt. Wie ich schon darauf hingewiesen habe, hat man das Problem, mit jeder JS Library die man nicht selbst hostet auch, beliebte sind z.B. von Facebook und google und … und …, einfach mit ein paar falschen Sätzchen zu gmaps ist es nicht getan.

Und wieder müssen wir unterscheiden zwischen Datenbank und Kartendienst. Denn deine Datenschutzerklärung wird natürlich auch davon abhängen, von wem du die Kacheln beziehst. OSM als Geodatenbank hat daher hier nichts beizutragen, aber OSM als Anbieter der osm-carto-Mapnik-Kacheln schon eher.

–ks

@SimonPoole: Da bin ich ganz Deiner Meinung. In nicht wenigen Datenschutzerklärungen auf verschiedensten Internetseiten liest man derzeit wirklich viel Müll. Es kann doch nicht Sinn und Zweck der DSGVO sein, dass das Kleingedruckte auf jeder Homepage explodiert, sondern das hoffentlich die Datenverarbeitung und Weitergabe (von persönlichen Daten) auf das Nötigste beschränkt wird. Dazu ist es aber nunmal erforderlich sich mit der eigenen Homepage und dessen Plugins, Scripten, etc. zu beschäftigen und diese kritisch zu betrachten, statt einfach irgendwelche DSGVO-Datenschutzgeneratoren anzuwerfen, die bestenfalls aussagen, dass meine persönlichen Daten zu den Seiten x,y,z abfließen. Was dort dann passiert bleibt jedoch meistens unklar.
Nicht erst seit der DSGVO bin ich der Meinung, dass aus Datenschutzgründen eine OSM-Karte einer Google- oder Bing-Karte auf der eigenen Homepage vorzuziehen ist. OpenStreetMap ist mir bislang nicht als Verarbeiter von persönlichen Daten bekannt, bei anderen Anbietern kann man sich nicht so sicher sein (Google, Bing, Mapbox, Here, etc.)?! Trotzdem würde ich gerne eindeutig wissen wollen, wie lange welche persönlichen Daten von und bei den OSM-Tileservern gespeichert werden, wenn man sich dort eine Karte anguckt. Dabei ist es mir vollkommen wurst, ob ich mich direkt auf openstreetmap.org begebe oder ein Karten-Plugin auf irgendeiner Homepage betrachte.

Jeder Dienst muss noch sowieso seine eigene Datenschutzerklärung besitzen. Und wenn ich ein Plugin, Script, etc. von diesem Dienst auf meiner Homepage einbinde, dann muss ich auf die entsprechende Datenschutzerklärung verweisen dürfen. Es geht gar nicht anders, oder soll jeder Scriptnutzer seine eigene Datenschutzerklärung für diese Dienste “erfinden” und dann natürlich auch ständig an die Änderungen der Drittanbieter anpassen? Mit anderen Worten, ich werde auf meiner Homepage darauf hinweisen, dass ich Karten von OpenStreetMap verwende und dann auf die OSM-Privacy-Regeln verweisen. Allerdings hoffe ich da noch auf eine eingedeutschte Version… . Allerdings ist mir auch klar, dass weltweite Diensteanbieter die Datenschutzerklärung nicht in allen Sprachen anbieten können. Da sehe ich dann wieder ein kleines Problem für meine Datenschutzerklärung, den diese soll leicht verständlich sein. Wie kann ich da guten Gewissens auf eine Datenschutzerklärung eines Drittanbieters in einer anderen Sprache verweisen? Aber wo tappt man da eher in eine rechtliche Falle? Abgepinselte und steinalte Datenschutzerklärung auf der eigenen Homepage vs. Link zur aktuellen Datenschutzerklärung in einer anderen Sprache? Dank der Rechtsunsicherheit werde ich wohl Variante 2 riskieren :sunglasses:. Es sei denn es gibt da schon eindeutige Rechtsnormen.

Ich wurde auch von einem Webseiten-Betreiber auf die DSGVO und OSM verwiesen, wie OSM es lösen will:

Wie sieht es z.B. mit den Hintergrundkarten aus, die manche verwenden (Dresden) oder Rostock mit Karten aus Daten von OSM.

Das Internet ist für manche leider immer noch Neuland. :wink: Wer sich ernsthaft Sorgen macht, weil seine IP-Adresse irgendwohin übermittelt wird, sollte dem Internet fernbleiben. Ebenso bei Cookies. Das WWW funktioniert heutzutage nunmal nicht mehr stateless, weshalb Cookies notwendig sind.

Bei der browserbasierten Lokalisierung muss man zuvor zustimmen (es kommt ein Popup im Browser). Im Desktop-Bereich wird die Position eh nur aus der IP-Adresse bestimmt.

Ich stehe vor der selben Fragestellung wie der OP.

Um eine Datenschutzerklärung formulieren zu können für eine Website die OSM-Kacheln einbindet, muss man tatsächlich wissen, was genau beim Abruf der Kacheln geschieht, ob der/die Server innerhalb der EU oder außerhalb stehen und vor allem, ob die IP-Adressen vor der Speicherung pseudonymisiert werden.

Die Frage, ob das Interesse des Serverbetreibers (im konkreten Fall ging es um Webseiten des Bundes) am Schutz vor Angreifern das Interesse des Nutzers am Schutz seiner personenbezogenen Daten, und darum handelt es sich auch bei dynamischen IP-Adressen, hat bereits den BGH beschäftigt:

https://www.tagesschau.de/ausland/ip-adressen-urteil-101.html

Das Ergebnis ist übrigens interessant, denn die allermeisten Seiten des Bundes speichern IP-Adressen ihrer Besucher inzwischen überhaupt nicht mehr.

Da ein Webseitenbetreiber, der Material von OSM-Servern einbindet, für nicht-datenschutzkonformen Umgang mit den IP-Adressen verantwortlich gemacht werden kann, sehe ich die Frage nach zumindest einer Erklärung, ob IP-Adressen gespeichert werden, und zu welchem Zweck, durchaus als berechtigt.

Sogar selbst gehostete Tracking-Lösungen wie Piwik/Matomo bieten dies an:

https://matomo.org/blog/2018/04/how-to-make-matomo-gdpr-compliant-in-12-steps/

Die OSMF hat eine FAQ, die Datenschutzfragen von Webseitenbetreibern beantwortet, die ihre Dienste einbinden.

Wem das nicht gut genug ist, muss eben Geld in die Hand nehmen und zu einem kommerziellen Anbieter wechseln. Einem geschenkten Gaul schaut man nichts in Maul und die Produktion von Tiles ist nicht billig.

Nur bevor hier Missverständnisse aufkommen: Das Cookie “_osm_location” enthält nicht den Nutzerstandort, sondern nur die zuletzt angeschaute Kartenposition. Es wird nicht auf dem Server gespeichert. Es unterscheidet sich durch nichts von der Übergabe einer Koordinate im URL.

Bye
Frederik

Die OSMF hat(te) eine -noch unveröffentliche- FAQ.

AFAIK ist es in Deutschland zulässig, Verträge in anderer Sprache zu schließen, jedenfalls waren die Contributor Terms denen man 2012 zustimmen musste, auf Englisch (es gab nur eine informelle Übersetzung, rechtlich maßgeblich war die englische Version). Die Italiener hatten eine offizielle Übersetzung, weil dort die englische Version nicht gegolten hätte.

Es könnte natürlich auch sein, dass die Zustimmung der Deutschen zu den CT gar nicht wirksam war, weil das dort verwendete Englisch juristisch und „kompliziert“ war, sofern man dieser evtl. vergleichbaren Entscheidung des Kammergerichts Berlin zu Whatsapp AGB folgt: s.z.B. https://www.basicthinking.de/blog/2016/06/06/whatsapp-agb-deutsch/ insbesondere scheint dort eine Rolle gespielt zu haben, dass sich Whatsapp an Nutzer in Deutschland richtet (das scheinen sie daraus abzuleiten, dass die App in deutscher Sprache angeboten wird und in deutschen Appstores angeboten wird)

Eben über Twitter gerauscht: https://blog.openstreetmap.org/2018/05/14/preparing-for-the-gdpr/

Hat denn irgendwer, der QA-Tools für OSM bereitstellt (wambacher, Geofabrik, …), in dieser Hinsicht etwas gemacht was ich mir abschauen könnte?

Alle Seiten, die direkt eine Karte laden, haben ja mindestens das Problem, dass sofort Cookies übertragen werden, ohne “Zustimmung” oder “Aufklärung” des Abrufenden. Ein entsprechender Umbau einer solchen Seite bedeutet ja u.U. einen nicht unerheblichen Aufwand.

Ich möchte ungern in den Mühlen des LG Hamburg (oder eines anderen) landen - vorher schalte ich OSMSuspects! am 24sten ab.

Gruß, Frank

Nö, noch nicht richtig. Bin aber dran.

Warte auf ne Seite, wo ich mir das abschauen kann :wink:

Gruss
walter

Das wäre verdammt schade :frowning: – ich verstehe aber Deine Entscheidung. Hoffentlich wird es früher oder später möglich sein, es wieder anzuschalten, etwa wenn „abschaubare“ Lösungen vorliegen? :wink:

Hi,

hab mal die erste Version für meine Joomla!-Website erstellt: https://wambachers-osm.website/index.php/datenschutz

Hab dafür diesen Online-Generator verwendet und dabei einiges leicht verändert.

Das “Besondere” an meinem Joomla!-Auftritt ist, dass ich (derzeit) keinerlei personenbezogene Daten erfasse, da dort für Benutzer keine Registrierung und auch kein Login nötig/möglich ist.

Werbung (hier Marketing genannt) mach ich auch nicht, hab den Abschnitt allerdings drin gelassen.

Für meine auf OSM basierenden Webseiten muss ich das natürlich anders machen. Da werden Daten von OSM und Tiles von OSM bzw anderen Anbietern verwendet, wofür es aber hoffentlich bald bei OSM einen vernünftigen Text gibt.

Zudem erwarte ich bei der Boundaries Map zwingend eine Registrierung (derzeit mit OAuth), wenn der User Grenzdaten per Export herunterladen will. Das macht das Ganze noch etwas schwieriger.

Gruss
walter

ps: ist das ok, wenn alle DS-Erklärungen nur in deutsch sind, oder werden mehrsprachige Versionen vom Gesetzgeber verlangt?

Danke für’s Teilen!

Interessant ist, wie „juristisch“ das Ergebnis aussieht. Ich hatte mich vor ein paar Tagen durch die kostenlose Variante dieses Datenschutzerklärungs-Generators geklickt (die jetzt interessanterweise „[w]egen Wartungsarbeiten“ „nicht erreichbar“ ist – da gibt es gerade nur noch die kostenpflichtige Version). Das Ergebnis war viel schlichter und bescheidener, hatte aber immerhin den Vorteil, verständlich zu sein. War nicht eine der Anforderungen an die Datenschutzerklärung, dass sie für Laien verständlich sein muss? Das Ergebnis des hier verwendeten Generators sieht viel professioneller und juristisch echter aus – aber ob das ein Laie auch versteht? :wink:

PS: Nicht missverstehen! Ich will niemanden kritisieren, sondern feststellen, dass offenbar auch die Damen und Herren Rechtsanwälte sich so eine Datenschutzerklärung sehr unterschiedlich vorstellen. Das spricht dafür, wie groß die Unsicherheit ist …

Der Autor arbeitet - angeblich - permanent an der Software. Ich werde gelegentlich nachsehen, ob sich was getan hat.

ansonsten: Wer am 25. garnix hat, bekommt wohl eher Probleme. Die Haie warten sicher schon.

Gruss
walter

Ich wollte Dich auch keineswegs kritisieren – ich war nur erstaunt, was für unterschiedliche Dinge die Juristen produzieren. :wink:

Absolut. Das Wichtigste scheint mir (nach Lektüre div. Artikel und einem Blick in div. Datenschutzerklärungen) auch zu sein, dass man überhaupt eine Datenschutzerklärung hat, die halbwegs vernünftig aussieht und die wichtigsten Daten nennt, die beim „Gebrauch“ einer Website erhoben werden …