Ich stehe vor der selben Fragestellung wie der OP.
Um eine Datenschutzerklärung formulieren zu können für eine Website die OSM-Kacheln einbindet, muss man tatsächlich wissen, was genau beim Abruf der Kacheln geschieht, ob der/die Server innerhalb der EU oder außerhalb stehen und vor allem, ob die IP-Adressen vor der Speicherung pseudonymisiert werden.
Die Frage, ob das Interesse des Serverbetreibers (im konkreten Fall ging es um Webseiten des Bundes) am Schutz vor Angreifern das Interesse des Nutzers am Schutz seiner personenbezogenen Daten, und darum handelt es sich auch bei dynamischen IP-Adressen, hat bereits den BGH beschäftigt:
Das Ergebnis ist übrigens interessant, denn die allermeisten Seiten des Bundes speichern IP-Adressen ihrer Besucher inzwischen überhaupt nicht mehr.
Da ein Webseitenbetreiber, der Material von OSM-Servern einbindet, für nicht-datenschutzkonformen Umgang mit den IP-Adressen verantwortlich gemacht werden kann, sehe ich die Frage nach zumindest einer Erklärung, ob IP-Adressen gespeichert werden, und zu welchem Zweck, durchaus als berechtigt.
Sogar selbst gehostete Tracking-Lösungen wie Piwik/Matomo bieten dies an:
Die OSMF hat eine FAQ, die Datenschutzfragen von Webseitenbetreibern beantwortet, die ihre Dienste einbinden.
Wem das nicht gut genug ist, muss eben Geld in die Hand nehmen und zu einem kommerziellen Anbieter wechseln. Einem geschenkten Gaul schaut man nichts in Maul und die Produktion von Tiles ist nicht billig.
Nur bevor hier Missverständnisse aufkommen: Das Cookie “_osm_location” enthält nicht den Nutzerstandort, sondern nur die zuletzt angeschaute Kartenposition. Es wird nicht auf dem Server gespeichert. Es unterscheidet sich durch nichts von der Übergabe einer Koordinate im URL.
AFAIK ist es in Deutschland zulässig, Verträge in anderer Sprache zu schließen, jedenfalls waren die Contributor Terms denen man 2012 zustimmen musste, auf Englisch (es gab nur eine informelle Übersetzung, rechtlich maßgeblich war die englische Version). Die Italiener hatten eine offizielle Übersetzung, weil dort die englische Version nicht gegolten hätte.
Es könnte natürlich auch sein, dass die Zustimmung der Deutschen zu den CT gar nicht wirksam war, weil das dort verwendete Englisch juristisch und „kompliziert“ war, sofern man dieser evtl. vergleichbaren Entscheidung des Kammergerichts Berlin zu Whatsapp AGB folgt: s.z.B. https://www.basicthinking.de/blog/2016/06/06/whatsapp-agb-deutsch/ insbesondere scheint dort eine Rolle gespielt zu haben, dass sich Whatsapp an Nutzer in Deutschland richtet (das scheinen sie daraus abzuleiten, dass die App in deutscher Sprache angeboten wird und in deutschen Appstores angeboten wird)
Hat denn irgendwer, der QA-Tools für OSM bereitstellt (wambacher, Geofabrik, …), in dieser Hinsicht etwas gemacht was ich mir abschauen könnte?
Alle Seiten, die direkt eine Karte laden, haben ja mindestens das Problem, dass sofort Cookies übertragen werden, ohne “Zustimmung” oder “Aufklärung” des Abrufenden. Ein entsprechender Umbau einer solchen Seite bedeutet ja u.U. einen nicht unerheblichen Aufwand.
Ich möchte ungern in den Mühlen des LG Hamburg (oder eines anderen) landen - vorher schalte ich OSMSuspects! am 24sten ab.
Das wäre verdammt schade – ich verstehe aber Deine Entscheidung. Hoffentlich wird es früher oder später möglich sein, es wieder anzuschalten, etwa wenn „abschaubare“ Lösungen vorliegen?
Hab dafür diesen Online-Generator verwendet und dabei einiges leicht verändert.
Das “Besondere” an meinem Joomla!-Auftritt ist, dass ich (derzeit) keinerlei personenbezogene Daten erfasse, da dort für Benutzer keine Registrierung und auch kein Login nötig/möglich ist.
Werbung (hier Marketing genannt) mach ich auch nicht, hab den Abschnitt allerdings drin gelassen.
Für meine auf OSM basierenden Webseiten muss ich das natürlich anders machen. Da werden Daten von OSM und Tiles von OSM bzw anderen Anbietern verwendet, wofür es aber hoffentlich bald bei OSM einen vernünftigen Text gibt.
Zudem erwarte ich bei der Boundaries Map zwingend eine Registrierung (derzeit mit OAuth), wenn der User Grenzdaten per Export herunterladen will. Das macht das Ganze noch etwas schwieriger.
Gruss
walter
ps: ist das ok, wenn alle DS-Erklärungen nur in deutsch sind, oder werden mehrsprachige Versionen vom Gesetzgeber verlangt?
Interessant ist, wie „juristisch“ das Ergebnis aussieht. Ich hatte mich vor ein paar Tagen durch die kostenlose Variante dieses Datenschutzerklärungs-Generators geklickt (die jetzt interessanterweise „[w]egen Wartungsarbeiten“ „nicht erreichbar“ ist – da gibt es gerade nur noch die kostenpflichtige Version). Das Ergebnis war viel schlichter und bescheidener, hatte aber immerhin den Vorteil, verständlich zu sein. War nicht eine der Anforderungen an die Datenschutzerklärung, dass sie für Laien verständlich sein muss? Das Ergebnis des hier verwendeten Generators sieht viel professioneller und juristisch echter aus – aber ob das ein Laie auch versteht?
PS: Nicht missverstehen! Ich will niemanden kritisieren, sondern feststellen, dass offenbar auch die Damen und Herren Rechtsanwälte sich so eine Datenschutzerklärung sehr unterschiedlich vorstellen. Das spricht dafür, wie groß die Unsicherheit ist …
Ich wollte Dich auch keineswegs kritisieren – ich war nur erstaunt, was für unterschiedliche Dinge die Juristen produzieren.
Absolut. Das Wichtigste scheint mir (nach Lektüre div. Artikel und einem Blick in div. Datenschutzerklärungen) auch zu sein, dass man überhaupt eine Datenschutzerklärung hat, die halbwegs vernünftig aussieht und die wichtigsten Daten nennt, die beim „Gebrauch“ einer Website erhoben werden …
Ganz besonders lustig finde ich die Verpflichtung, jedem Nutzer jederzeit Auskunft über die von ihm gespeicherten personenbezogenen Daten zu geben. „Hallo, ich bin Hans Eimer und war vor zwei oder drei Wochen mal auf Ihrer Website. Können Sie mir bitte vollständig ausgedruckt zusenden, was Sie alles über mich gespeichert haben?“ Jo, alles klar
Hat diese Frage nicht giggls in Post #12 für openstreetmap.de beantwortet → Die IP (bei der es ja auch noch streitig ist ob sie personenbezogen ist …) wird 10 Wochen gespeichert und sie wird nur für Sicherheitsfragen gespeichert?