Das Einbinden einer OpenStreetmap Karte und der Datenschutz (DSGVO)

Ich habe mir gerade die FAQ (https://www.openstreetmap.de/faq.html) angesehen. Im Bereich “Warum macht ihr das?” steht unter anderem:

OpenStreetMap beendet die Abhängigkeit von den Anbietern proprietärer Daten und setzt dem reinen Konsumieren kreative Aktivität entgegen. Durch die Zusammenarbeit der Projektmitglieder entsteht eine freie Geodatenbank, die weltweit allen Menschen zur Verfügung steht.

Ich glaube hier geht es das Wort Zusammenarbeit. OpenStreetMap möchte zusammen etwas Aufbauen, das zusammen genutzt werden kann. Du kannst hier also mitmachen und mitgestalten. OpenStreetMap macht kein Geld damit. Nur Kartenanbieter die einen Mehrwert bieten, verlangen Geld für Ihre Leistung.

Google Maps bietet mehr Komfort, weil Google Geld mit den Daten die es sammelt verdient. Google hat ein starkes Interesse daran, dass seine Services genutzt werden. Bei Google musst du allerdings Vorgegebenes nutzen und kannst nicht selbst gestalten. Wenn du etwas auf der Karte Google Maps korrigiert, entscheidet Google ob es in Google Maps aufgenommen wird und es gehört Google.

Korrigiert mich, falls ich falsch liege.

Es heißt “OpenStreetMap” :wink: :smiley:

Mir ist noch nicht klar, wo die Server stehen, die die Openstreetmap.DE Karten ausliefern. Wenn ich bisher alles richtig verstanden haben, ist es ein großer Unterschied, ob die Daten in einem Mitgliedstaat der Europäischen Union verarbeitet werden - oder nicht.

Ich habe gelesen, dass diese Server von Strato.de zur Verfügung gestellt werden: https://www.openstreetmap.de/server.html

Strato antwortet mir nicht auf die Frage, wo die Server stehen. Müssen sie ja auch nicht, ich bin keine Kundin. Eigentlich müsste Strato aber eine Vereinbarung über die Auftragsverarbeitung mit Openstreetmap.DE abgeschlossen haben. Aus dieser Vereinbarung müsste der Ort der Server hervorgehen.

Gibt es hier jemanden, der diese Vereinbarung einsehen kann?

UPDATE: Aus diesem Zweig ergibt sich der Serverstandort: https://forum.openstreetmap.org/viewtopic.php?pid=700098#p700098

Wenn es nicht mehr ist … :slight_smile:

Viele Grüße
Astrid

Hallo zusammen,

der Vollständigkeit halber:

Ich habe inzwischen auf tile.openstreetmap.de ein Apache Modul laufen, dass die IP-Adressen für die logfiles nach 24 Bit abschneidet. Der Personenbezug ist dadurch endgültig nicht mehr gegeben.

Und weil es noch Fragen zum Serverstandort gegeben hat:
Der Server steht beim Geoforschungszentrum in Potsdam und wird als colocation betrieben.

Dass man für colocation keine Auftragsdatenverarbeitungsverträge braucht scheint sogar bei Rechtsverdrehern unstrittig zu sein.

Gruss

Sven

Laut Strato haben die “nur” Rechenzentren in Deutschland (Karlsruhe und Frankfurt/Main) und gehört zur deutschen Firma “United Internet”.

Trotzdem weiß ich jetzt immer noch nicht, was ich beim Einbinden einer Karte (Tiles-Server) von OpenStreetMap.org in die Datenschutzerklärung reinschreiben soll. Hier heißt es ungefähr übersetzt, dass der Tile-Server, die OSM API und die Nominatim-Suche einiges aufzeichnet u.a. web-logs. Zusätzlich wird hier und da, keiner weiß wo, Piwik eingesetzt. Dann wird über GEO-DNS noch festgestellt, von wo ich ungefähr meine Anfrage stelle. Dies wird dann an einem Server “in meiner Nähe” mitgeteilt, dass dieser mir möglichst flott die Tiles (Kartenpuzzleteile) ausliefert. Da steht aber nicht wie lange diese (nicht anonymisierten?) web-logs aufgehoben werden, sondern nur warum. Und wenn ich richtig übersetzt habe, dann werden auch meine Suchanfragen für Adressen über Nominatim gespeichert. Ob diese Anfragen auch mit IP-Adressen verknüpft sind und wie lange diese Anfragen aufgehoben werden, kann ich dort auch nicht rauslesen. Nur eines wird versprochen, dass die Daten nicht an Dritte weitergeben werden. Meines Erachtens in Gänze ziemlich belangloses und allgemeines Bla, blah. Ich würde mir etwas genauerer Angaben wünschen, vor allem darüber was von welchem OSMF-Dienst gespeichert wird und wie lange dies dann aufgehoben wird. In die persönlichen Daten reingucken dürfen ja angeblich nur die Systemadmins und bestimmte OSMF-Arbeitsgruppen?!? Eine feine Tabelle aufgeschlüsselt nach Diensten wäre vielleicht ein Anfang… . Verlange ich da zuviel bzw. ist das laut DSGVO gar nicht erfoderlich?

Hast Du eigentlich gelesen was ich geschrieben habe? Strato hat mit dem Tileserver nicht die Bohne zu tun!

Da der Tileserver gar keine persönlichen Daten erhebt brauchst Du gar nichts in die Datenschutzerklärung reinzuschreiben, wenn Du wirklich nur die Tiles enbindest und sonst nichts.

Gruss

Sven

Du beziehst Dich doch auf tile.openstreetmap.DE, oder? Jede IP-basierte Kommunikation (Internet) basiert auf IP-Adressen, dies sind nach überwiegender Meinung (auch bei dynamischer Vergabe durch die Provider) persönliche Daten. Du anonymisierst die 32-bit langen IPv4?-Adressen durch Abschneiden auf 24-Bit, das ist sehr vorbildlich. Mit anderen Worten Dein Web-Log speichert überhaupt keine persönlichen Daten? Bei Hackerangriffen (z.B. DDoS) hast Du dann aber keinerlei Aufzeichnungen über die Quelle des Angriffs. Viele zeichnen und bewahren diese web.logs deshalb wenigstens 7 Tage lang auf, Grund bzw. Zweck i.S.v. Art. 6 Abs. 1 Buchstabe f DSGVO ist die Gefahrenabwehr.

Ich bezog mich aber auf die Tile-Server von ?.tile.openstreetmap.org und deren Datenschutzerklärung. Allerdings muss ich um Entschuldigung bitten, da es in dieser Diskussion reineweg nur um openstreetmap.DE geht (OT). Soll ich lieber einen neuen Diskussionsfaden starten?

Der Meinung bin ich zwar nicht, weil z.B. in den Mobilfunknetzen und Dual-stack lite setups nach außen oft nur noch eine Hand voll öffentlicher IP-Nummern für alle verwendet werden, aber mir ist klar, dass die Juristen behaupten IP-Nummern seien persönliche Daten.

Genau das habe ich doch geschrieben.

DDOS auf Tileserver sind ja eher in Form von Tilescrapern als irgend etwas anderes und da hilft mir die IP-Nummer ohnehin wenig.

Habe ich noch nicht drüber nachgedacht was da gespeichert wird. Das hat aber in diesem thread tatsächlich nichts verloren.

Sven

Ob eine Verkürzung der IP-Adressen auf 24 Bit ausreicht, darf bezweifelt werden. Das ergibt dann ja nur 256 Varianten.

Wir werden alle sterben

@giggls: Ich muss jetzt leider mal blöd aber deutlicher nachfragen. In welcher Funktion stehst Du bei openstreetmap.de? Bist Du (ein) Admin für die OSM.de Tile-Server? Domain-Inhaber von openstreetmap.de ist doch der FOSSGIS e.V., oder? Und in deren Datenschutzerklärung steht unter Punkt 3, dass die Daten im Server-LOG nachträglich geprüft werden können, wenn konkrete Anhaltspunkte für eine rechtswidrige Nutzung bekannt werden. Dazu fallen mir spontan 2 Dinge ein.
1.) Wieso schreibt man nicht gleich rein, dass zwar Server-Logs angelegt werden diese aber vollkommen anonym abgespeichert werden und keine Verknüpfung mit anderen Datenbeständen erfolgt.
2.) Falls die Server-Logs wirklich anonym sind, was will man da dann noch nachträglich prüfen bzw. herausfinden. Der Hostname des zugreifenden Rechners kann da ja kaum hilfreich sein, oder?

Wirklich blöd finde ich - aus der Sicht des Datenschutzes - die Nutzung von Google-Web-Fonts auf openstreetmap.de (Punkt 8 der Datenschutzerklärung). Bei Openstreetmap.de wird nichts gespeichert, aber Google lauscht mal wieder mit. Jetzt mal total überspitzt formuliert: Kann ich da nicht auch gleich Google Maps einbinden?

Punkt 9 der Datenschutzerklärung bezieht sich nun eben doch auf mein Problem. OpenStreetMap.de bindet auch Karten von OpenStreetMap.org ein, nämlich die Tiles von OSM Standard (Mapnik). Damit dürfte doch der FOSSGIS e.V. eigentlich die gleichen Datenschutz-Fragen wie ich an die OSMF haben. Und die letzten beiden Sätze in der Datenschutzerklärung des FOSSGIS e.V. zeigen eigentlich, dass die auch nicht genau wissen was da wo und wie lange gespeichert wird, oder? Und wie bereits von mir erwähnt, finde ich die osm.org - Privacy_Policy einfach etwas sehr oberflächlich, vor allem im Vergleich mit der Datenschutzerklärung von osm.de.

Sterben werden wir deswegen alle nicht, aber man wird doch mal nachfragen dürfen, schon allein aus Interesse… .

Edit: Da in einem anderen Diskussionsfaden vom Online-Treffen des Vorstandes der OSMF am 24. Mai berichtet wurde, habe ich gerade erfahren, dass die DSGVO-Anpassungen noch sehr kontrovers diskutiert werden. Zumindestens sieht das entsprechende GDPR-Entwurfsdokument schon mal viel besser aus, auch wenn da noch einiges fehlt bzw. noch umgesetzt werden muss.

Wenn dir Datenschutzfragen so wichtig sind und du sie alle von uns geklärt haben möchtest, so möchte ich dich hiermit darauf hinweisen, dass dies ein Projekt von Ehrenamtlichen in ihrer Freizeit ist und du bei einem kommerziellen Anbieter von OpenStreetMap-Tiles besser aufgehoben wärst. Da OSM ein Projekt von Ehrenamtlichen ist, dauert bei uns alles ein bisschen länger.

Klar finde ich Datenschutz wichtig, Du nicht?
Nur weil ich ein paar Fragen zum Datenschutz bei Openstreetmap.org habe, soll ich bei einem kommerziellen Anbieter besser aufgehoben sein? Warum? Wäre ich nicht viel besser beraten, wenn ich z.B. einen eigenen Tile-Server aufsetzen würde?
Zudem sind doch hier alle meine Fragen geklärt bzw. im Prozess der Klärung. Ganz im Gegenteil, ich glaube das OSM in Sachen Datenschutz den großen kommerziellen Kartenanbietern weit voraus ist. Nur sollte genau dies noch in eine schöne DSGVO-GDPR-Datenschutzerklärung gegossen werden. OSM muss schließlich keine Daten sammeln und zu Big Data zusammenführen, um damit Geld zu verdienen. Trotzdem müssen und sollten wir uns auch bei OSM Gedanken über den Datenschutz machen. OpenStreetMap schwebt nicht im luftleeren Raum, sondern muss sich genauso an gesetzlichen Vorgaben halten wie alle anderen Kartenanbieter auch. Ganz sicher ist es sehr aufwändig, wenn man aus allen Ecken und Winkeln erstmal alles zusammentragen muss, was bei OSM überall so übertragen und gespeichert wird. Aber ich denke das Ergebnis lohnt sich für OpenStreetMap, als auch für seine Mitstreiter. Etwas mehr Klarkeit in Sachen Umgang mit persönlichen Daten kann doch nun nicht schlecht sein.

Der Tile-Server (singular). Ähm ja, ich habe die Administration sozusagen geerbt.

Wie stelltst Du Dir eigentlich vor, dass sowas in der Praxis läuft? Die meisten Dienste, die der FOSSGIS so anbietet sind Dinge, die Menschen wie ich in ihrer Freizeit machen. FOSS sind in der Regel fast alle mehr oder weniger als Do-ocracy organisiert.

Liest Du eigentlich was ich schreibe? Man kann Tilescraper halt schon noch erkennen sonst könnte ich das Logging in der Tat ganz abschalten.

Was ich wirklich blöd finde sind Menschen die gegenüber freien Projekten eine Erwartungshaltung haben. Ich bin seit über 20 Jahren im FOSS Umfeld unterwegs. Wenn ich dabei eines gelernt habe, dann ist es die Tatsache, dass man Dinge die einem selbst wirklich wichtig sind halt oft auch selbst machen muss.

Konkret:

Der Quellcode von openstreetmap.de ist unter:

https://github.com/fossgis/openstreetmap.de

Ein pull-request, der die Google-Fonts rauslötet wird sicher gern genommen.

Gruss

Sven

Den Pull-Request wird es nie geben. :smiley: :smiley: :smiley: Viel Spaß beim erfolglosen Greppen.

Ähm warum steht das in der Datenschutzerklärung drin, wenn die Seite gar keine Google-Fonts einbindet?

Ich rate: weil fossgis.de die Web Fonts nutzt, openstreetmap.de aber nicht.
Die Datenschutzerklärung auf die von openstreetmap.de verwiesen wird ist ja die auf fossgis.de .

Danke für Eure Antworten. Dann ziehe ich für mich den Schluss, dass es derzeit aus datenschutzrechtlicher Sicht sinnvoller ist, Kacheln von openstreetmap.de einzubinden, als von openstreetmap.org.
Denn…
1.) Es gibt eine ordnungsgemäße Datenschutzerklärung in deutscher Sprache, auf die man in seinen eigenen Datenschutzbestimmungen verweisen kann.
2.) persönliche Daten werden überhaupt nicht aufgezeichnet
Zusatzpunkt: der Server steht in Deutschland

Hallo zusammen,

ich möchte gerne eine Datenschutzerklärung für die Einbindung von Inhalten von openstreetmap.de erstellen. Nach Lektüre dieses Threads und der Datenschutzbestimmungen von openstreetmap.de und openstreetmap.org bin ich zu folgendem Ergebnis gekommen:

Beschreibt dies zumindest ungefähr richtig, was bei der Einbindung von Karteninhalten von openstreetmap.de passiert? Ich erwarte keine rechtlich verbindliche Antwort, wenn aber jemand Fehler findet, wäre das bedauerlich aber wichtig zu wissen und zu verstehen.

Ich frage mal ganz bewusst sehr dumm.
Gesetzt den Fall, die Variante von nurmalkurz ist ok und ich baue sie in meine Datenschutzerklärung ein. Wie verhält sich die Sache, wenn ich eine von mir angepasste bzw. gestaltete Karte von umap in eine Website einbinde. Wenn ich das richtig sehe, läuft die gesamte Kommunikation über umap.openstreetmap.fr. Es werden auf alle Fälle vier Cookies gesetzt und mit Sicherheit auch die üblichen Serverlogfiles erstellt. Eine Datenschutzerklärung, auf die man sich für die eigene Datenschutzerklärung berufen könnte, finde ich da nicht. Derweil binde ich auf der Website deshalb ein Bild der Startkarte mit Quell- und Lizenzangaben ein und bastele dazu einen Button, mit der die eigentliche Karte in ein neues Fenster/Tab geladen werden kann. Im Bereich des Buttuns wird darauf hingewiesen, dass die Karte von umap/Openstreetmap geladen wird und auf die Privacy Policy der OpenStreetMap Foundation mit Link hingewiesen. Wird das der DSGVO gerecht, oder muss ich mehr machen?