Das Einbinden einer OpenStreetmap Karte und der Datenschutz (DSGVO)

Hat diese Frage nicht giggls in Post #12 für openstreetmap.de beantwortet → Die IP (bei der es ja auch noch streitig ist ob sie personenbezogen ist …) wird 10 Wochen gespeichert und sie wird nur für Sicherheitsfragen gespeichert?

Thomas Schwenke hat hier schon etwas erarbeitet: https://datenschutz-generator.de/
Der Vorschlag ist:

OpenStreetMap
Wir binden die Landkarten des Dienstes “OpenStreetMap” ein (https://www.openstreetmap.de), die auf Grundlage der Open Data Commons Open Database Lizenz (ODbL) durch die OpenStreetMap Foundation (OSMF) angeboten werden. Datenschutzerklärung: https://wiki.openstreetmap.org/wiki/Privacy_Policy —). Nach unserer Kenntnis werden die Daten der Nutzer durch OpenStreetMap ausschließlich zu Zwecken der Darstellung der Kartenfunktionen und Zwischenspeicherung der gewählten Einstellungen verwendet. Zu diesen Daten können insbesondere IP-Adressen und Standortdaten der Nutzer gehören, die jedoch nicht ohne deren Einwilligung (im Regelfall im Rahmen der Einstellungen ihrer Mobilgeräte vollzogen), erhoben werden. Die Daten können in den USA verarbeitet werden. Weitere Informationen können Sie der Datenschutzerklärung von OpenStreetMap entnehmen: https://wiki.openstreetmap.org/wiki/Privacy_Policy.
Erstellt mit Datenschutz-Generator.de von RA Dr Thomas Schwenke


Schon ich mit meinem Halbwissen lese hier Falsches heraus. Es beginnt damit, dass DE und ORG als das Gleiche behandelt werden. Wahrscheinlich wird hier auch wieder Datenbank und Kartenanbieter vermischt.

Liege ich richtig, ist auch der Text falsch? Liegen die DE Kacheln alle in Deutschland bei Strato.de (Auf https://www.openstreetmap.de/server.html steht das Strato.de Server genutzt werden. Ich habe Strato angefragt, ob die DE Server alle in Deutschland oder Europa stehen - ich habe allerdings noch keine Antwort …).
Falls ich richtig liege, sollte man Herrn Schwenke einmal auf diesen Forums-Zweig hinweisen?

Auf jeden Fall. Wie ich schon weiter oben angedeutet habe, arbeitet er derzeit an der Datenschutzerklärung und da ist wohl ein OSM-Passus hinzugekommen.

Allerdings kann sich Herr Schwenke nun wirklich nicht mit den Feinheiten - und Gemeinheiten - von OSM auskennen.

Als rechtlich ziemlich Unbedarfter kann ich ihm sicher nicht weiterhelfen.

Gruss
walter

Ich habe mir gerade die FAQ (https://www.openstreetmap.de/faq.html) angesehen. Im Bereich “Warum macht ihr das?” steht unter anderem:

OpenStreetMap beendet die Abhängigkeit von den Anbietern proprietärer Daten und setzt dem reinen Konsumieren kreative Aktivität entgegen. Durch die Zusammenarbeit der Projektmitglieder entsteht eine freie Geodatenbank, die weltweit allen Menschen zur Verfügung steht.

Ich glaube hier geht es das Wort Zusammenarbeit. OpenStreetMap möchte zusammen etwas Aufbauen, das zusammen genutzt werden kann. Du kannst hier also mitmachen und mitgestalten. OpenStreetMap macht kein Geld damit. Nur Kartenanbieter die einen Mehrwert bieten, verlangen Geld für Ihre Leistung.

Google Maps bietet mehr Komfort, weil Google Geld mit den Daten die es sammelt verdient. Google hat ein starkes Interesse daran, dass seine Services genutzt werden. Bei Google musst du allerdings Vorgegebenes nutzen und kannst nicht selbst gestalten. Wenn du etwas auf der Karte Google Maps korrigiert, entscheidet Google ob es in Google Maps aufgenommen wird und es gehört Google.

Korrigiert mich, falls ich falsch liege.

Es heißt “OpenStreetMap” :wink: :smiley:

Mir ist noch nicht klar, wo die Server stehen, die die Openstreetmap.DE Karten ausliefern. Wenn ich bisher alles richtig verstanden haben, ist es ein großer Unterschied, ob die Daten in einem Mitgliedstaat der Europäischen Union verarbeitet werden - oder nicht.

Ich habe gelesen, dass diese Server von Strato.de zur Verfügung gestellt werden: https://www.openstreetmap.de/server.html

Strato antwortet mir nicht auf die Frage, wo die Server stehen. Müssen sie ja auch nicht, ich bin keine Kundin. Eigentlich müsste Strato aber eine Vereinbarung über die Auftragsverarbeitung mit Openstreetmap.DE abgeschlossen haben. Aus dieser Vereinbarung müsste der Ort der Server hervorgehen.

Gibt es hier jemanden, der diese Vereinbarung einsehen kann?

UPDATE: Aus diesem Zweig ergibt sich der Serverstandort: https://forum.openstreetmap.org/viewtopic.php?pid=700098#p700098

Wenn es nicht mehr ist … :slight_smile:

Viele Grüße
Astrid

Hallo zusammen,

der Vollständigkeit halber:

Ich habe inzwischen auf tile.openstreetmap.de ein Apache Modul laufen, dass die IP-Adressen für die logfiles nach 24 Bit abschneidet. Der Personenbezug ist dadurch endgültig nicht mehr gegeben.

Und weil es noch Fragen zum Serverstandort gegeben hat:
Der Server steht beim Geoforschungszentrum in Potsdam und wird als colocation betrieben.

Dass man für colocation keine Auftragsdatenverarbeitungsverträge braucht scheint sogar bei Rechtsverdrehern unstrittig zu sein.

Gruss

Sven

Laut Strato haben die “nur” Rechenzentren in Deutschland (Karlsruhe und Frankfurt/Main) und gehört zur deutschen Firma “United Internet”.

Trotzdem weiß ich jetzt immer noch nicht, was ich beim Einbinden einer Karte (Tiles-Server) von OpenStreetMap.org in die Datenschutzerklärung reinschreiben soll. Hier heißt es ungefähr übersetzt, dass der Tile-Server, die OSM API und die Nominatim-Suche einiges aufzeichnet u.a. web-logs. Zusätzlich wird hier und da, keiner weiß wo, Piwik eingesetzt. Dann wird über GEO-DNS noch festgestellt, von wo ich ungefähr meine Anfrage stelle. Dies wird dann an einem Server “in meiner Nähe” mitgeteilt, dass dieser mir möglichst flott die Tiles (Kartenpuzzleteile) ausliefert. Da steht aber nicht wie lange diese (nicht anonymisierten?) web-logs aufgehoben werden, sondern nur warum. Und wenn ich richtig übersetzt habe, dann werden auch meine Suchanfragen für Adressen über Nominatim gespeichert. Ob diese Anfragen auch mit IP-Adressen verknüpft sind und wie lange diese Anfragen aufgehoben werden, kann ich dort auch nicht rauslesen. Nur eines wird versprochen, dass die Daten nicht an Dritte weitergeben werden. Meines Erachtens in Gänze ziemlich belangloses und allgemeines Bla, blah. Ich würde mir etwas genauerer Angaben wünschen, vor allem darüber was von welchem OSMF-Dienst gespeichert wird und wie lange dies dann aufgehoben wird. In die persönlichen Daten reingucken dürfen ja angeblich nur die Systemadmins und bestimmte OSMF-Arbeitsgruppen?!? Eine feine Tabelle aufgeschlüsselt nach Diensten wäre vielleicht ein Anfang… . Verlange ich da zuviel bzw. ist das laut DSGVO gar nicht erfoderlich?

Hast Du eigentlich gelesen was ich geschrieben habe? Strato hat mit dem Tileserver nicht die Bohne zu tun!

Da der Tileserver gar keine persönlichen Daten erhebt brauchst Du gar nichts in die Datenschutzerklärung reinzuschreiben, wenn Du wirklich nur die Tiles enbindest und sonst nichts.

Gruss

Sven

Du beziehst Dich doch auf tile.openstreetmap.DE, oder? Jede IP-basierte Kommunikation (Internet) basiert auf IP-Adressen, dies sind nach überwiegender Meinung (auch bei dynamischer Vergabe durch die Provider) persönliche Daten. Du anonymisierst die 32-bit langen IPv4?-Adressen durch Abschneiden auf 24-Bit, das ist sehr vorbildlich. Mit anderen Worten Dein Web-Log speichert überhaupt keine persönlichen Daten? Bei Hackerangriffen (z.B. DDoS) hast Du dann aber keinerlei Aufzeichnungen über die Quelle des Angriffs. Viele zeichnen und bewahren diese web.logs deshalb wenigstens 7 Tage lang auf, Grund bzw. Zweck i.S.v. Art. 6 Abs. 1 Buchstabe f DSGVO ist die Gefahrenabwehr.

Ich bezog mich aber auf die Tile-Server von ?.tile.openstreetmap.org und deren Datenschutzerklärung. Allerdings muss ich um Entschuldigung bitten, da es in dieser Diskussion reineweg nur um openstreetmap.DE geht (OT). Soll ich lieber einen neuen Diskussionsfaden starten?

Der Meinung bin ich zwar nicht, weil z.B. in den Mobilfunknetzen und Dual-stack lite setups nach außen oft nur noch eine Hand voll öffentlicher IP-Nummern für alle verwendet werden, aber mir ist klar, dass die Juristen behaupten IP-Nummern seien persönliche Daten.

Genau das habe ich doch geschrieben.

DDOS auf Tileserver sind ja eher in Form von Tilescrapern als irgend etwas anderes und da hilft mir die IP-Nummer ohnehin wenig.

Habe ich noch nicht drüber nachgedacht was da gespeichert wird. Das hat aber in diesem thread tatsächlich nichts verloren.

Sven

Ob eine Verkürzung der IP-Adressen auf 24 Bit ausreicht, darf bezweifelt werden. Das ergibt dann ja nur 256 Varianten.

Wir werden alle sterben

@giggls: Ich muss jetzt leider mal blöd aber deutlicher nachfragen. In welcher Funktion stehst Du bei openstreetmap.de? Bist Du (ein) Admin für die OSM.de Tile-Server? Domain-Inhaber von openstreetmap.de ist doch der FOSSGIS e.V., oder? Und in deren Datenschutzerklärung steht unter Punkt 3, dass die Daten im Server-LOG nachträglich geprüft werden können, wenn konkrete Anhaltspunkte für eine rechtswidrige Nutzung bekannt werden. Dazu fallen mir spontan 2 Dinge ein.
1.) Wieso schreibt man nicht gleich rein, dass zwar Server-Logs angelegt werden diese aber vollkommen anonym abgespeichert werden und keine Verknüpfung mit anderen Datenbeständen erfolgt.
2.) Falls die Server-Logs wirklich anonym sind, was will man da dann noch nachträglich prüfen bzw. herausfinden. Der Hostname des zugreifenden Rechners kann da ja kaum hilfreich sein, oder?

Wirklich blöd finde ich - aus der Sicht des Datenschutzes - die Nutzung von Google-Web-Fonts auf openstreetmap.de (Punkt 8 der Datenschutzerklärung). Bei Openstreetmap.de wird nichts gespeichert, aber Google lauscht mal wieder mit. Jetzt mal total überspitzt formuliert: Kann ich da nicht auch gleich Google Maps einbinden?

Punkt 9 der Datenschutzerklärung bezieht sich nun eben doch auf mein Problem. OpenStreetMap.de bindet auch Karten von OpenStreetMap.org ein, nämlich die Tiles von OSM Standard (Mapnik). Damit dürfte doch der FOSSGIS e.V. eigentlich die gleichen Datenschutz-Fragen wie ich an die OSMF haben. Und die letzten beiden Sätze in der Datenschutzerklärung des FOSSGIS e.V. zeigen eigentlich, dass die auch nicht genau wissen was da wo und wie lange gespeichert wird, oder? Und wie bereits von mir erwähnt, finde ich die osm.org - Privacy_Policy einfach etwas sehr oberflächlich, vor allem im Vergleich mit der Datenschutzerklärung von osm.de.

Sterben werden wir deswegen alle nicht, aber man wird doch mal nachfragen dürfen, schon allein aus Interesse… .

Edit: Da in einem anderen Diskussionsfaden vom Online-Treffen des Vorstandes der OSMF am 24. Mai berichtet wurde, habe ich gerade erfahren, dass die DSGVO-Anpassungen noch sehr kontrovers diskutiert werden. Zumindestens sieht das entsprechende GDPR-Entwurfsdokument schon mal viel besser aus, auch wenn da noch einiges fehlt bzw. noch umgesetzt werden muss.

Wenn dir Datenschutzfragen so wichtig sind und du sie alle von uns geklärt haben möchtest, so möchte ich dich hiermit darauf hinweisen, dass dies ein Projekt von Ehrenamtlichen in ihrer Freizeit ist und du bei einem kommerziellen Anbieter von OpenStreetMap-Tiles besser aufgehoben wärst. Da OSM ein Projekt von Ehrenamtlichen ist, dauert bei uns alles ein bisschen länger.

Klar finde ich Datenschutz wichtig, Du nicht?
Nur weil ich ein paar Fragen zum Datenschutz bei Openstreetmap.org habe, soll ich bei einem kommerziellen Anbieter besser aufgehoben sein? Warum? Wäre ich nicht viel besser beraten, wenn ich z.B. einen eigenen Tile-Server aufsetzen würde?
Zudem sind doch hier alle meine Fragen geklärt bzw. im Prozess der Klärung. Ganz im Gegenteil, ich glaube das OSM in Sachen Datenschutz den großen kommerziellen Kartenanbietern weit voraus ist. Nur sollte genau dies noch in eine schöne DSGVO-GDPR-Datenschutzerklärung gegossen werden. OSM muss schließlich keine Daten sammeln und zu Big Data zusammenführen, um damit Geld zu verdienen. Trotzdem müssen und sollten wir uns auch bei OSM Gedanken über den Datenschutz machen. OpenStreetMap schwebt nicht im luftleeren Raum, sondern muss sich genauso an gesetzlichen Vorgaben halten wie alle anderen Kartenanbieter auch. Ganz sicher ist es sehr aufwändig, wenn man aus allen Ecken und Winkeln erstmal alles zusammentragen muss, was bei OSM überall so übertragen und gespeichert wird. Aber ich denke das Ergebnis lohnt sich für OpenStreetMap, als auch für seine Mitstreiter. Etwas mehr Klarkeit in Sachen Umgang mit persönlichen Daten kann doch nun nicht schlecht sein.

Der Tile-Server (singular). Ähm ja, ich habe die Administration sozusagen geerbt.

Wie stelltst Du Dir eigentlich vor, dass sowas in der Praxis läuft? Die meisten Dienste, die der FOSSGIS so anbietet sind Dinge, die Menschen wie ich in ihrer Freizeit machen. FOSS sind in der Regel fast alle mehr oder weniger als Do-ocracy organisiert.

Liest Du eigentlich was ich schreibe? Man kann Tilescraper halt schon noch erkennen sonst könnte ich das Logging in der Tat ganz abschalten.

Was ich wirklich blöd finde sind Menschen die gegenüber freien Projekten eine Erwartungshaltung haben. Ich bin seit über 20 Jahren im FOSS Umfeld unterwegs. Wenn ich dabei eines gelernt habe, dann ist es die Tatsache, dass man Dinge die einem selbst wirklich wichtig sind halt oft auch selbst machen muss.

Konkret:

Der Quellcode von openstreetmap.de ist unter:

https://github.com/fossgis/openstreetmap.de

Ein pull-request, der die Google-Fonts rauslötet wird sicher gern genommen.

Gruss

Sven

Den Pull-Request wird es nie geben. :smiley: :smiley: :smiley: Viel Spaß beim erfolglosen Greppen.

Ähm warum steht das in der Datenschutzerklärung drin, wenn die Seite gar keine Google-Fonts einbindet?

Ich rate: weil fossgis.de die Web Fonts nutzt, openstreetmap.de aber nicht.
Die Datenschutzerklärung auf die von openstreetmap.de verwiesen wird ist ja die auf fossgis.de .