HINWEIS: Aktualisierte Frage ganz am Ende des Beitrags
Hallo in die Runde,
ich skizziere kurz den Fall und im Anschluss gibt es die Frage:
- wir sind ein größeres, deutsches Unternehmen mit verschiedenen Bereichen
- Datenschutzbeauftragte benannt
- ich bin für unser Webhosting (mehrere betriebene Internetseiten) zuständig und in ständiger Abstimmung mit DSB
- Cookie-Einwilligung mit CCM19, Google Fonts nur selbstgehostet, sonstige extern eingebundene Dienste klar definiert und im Einwilligungsbanner separat und initial deaktiviert vorhanden
Neue Anforderung: eine leicht zu pflegende Landkarte mit diversen Standort-Pins
Google Maps haben wir direkt abgewählt und möchten stattdessen auf OpenStreetMaps setzen.
Hinweis vorab: Cookies werden durch die gleich genannten Dienste, primär OpenStreetMaps, keine gesetzt.
Es wird in den Fragen generell nur um die Thematik der Übermittlung der IP-Adresse des Seitenbesuchers gehen.
Aktueller Stand:
- Kartenplugin (Wordpress) integriert, Pflege wie gewünscht durch entsprechende Mitarbeiter möglich
- zu ladende Javascripte, um die Karte darzustellen (Leaflet, OpenStreetMaps) lokal eingebunden
- die Karte ist nur auf einer bestimmten Unterseite der Internetseite vorhanden, die eingebundenen Javascripte werden aber global geladen, ihr Code allerdings nicht ausgeführt (passiert nur, wenn auf der aktuell aufgerufenen Unterseite eine Karte vorhanden ist)
Innerhalb der Javascripte ist die Code-Logik enthalten, die - sobald eine Karte vorhanden ist - basierend auf den geflegten Daten Anfragen an leaflet sowie openstreetmap-org sendet, die Grafiken der Landkarte lädt, die Pins lt. Koordinaten platziert usw.
Nun die Frage (1):
Da technisch bedingt (so funktioniert das Internet ja nun einmal … Daten werden untereinander verknüpft oder eingebunden) die IP-Adresse des Seitenbesuchers zwangsläufig an die Server von leaflet und OpenStreetMaps.org gesendet wird, wenn Kartengrafiken abgerufen werden, besteht die Notwendigkeit, einer vorherigen Einwilligung durch den Seitenbesucher, ja oder nein?
Aus meiner Sicht haben wir das maximal mögliche getan, ohne Arbeitsprozesse völlig über den Haufen werfen zu müssen.
Technisch ist es dauerhaft nicht möglich, die Karte auf der Internetseite zu blockieren und an eine Einwilligung zu Knüpfen.
Frage (2):
Strukturbedingt durch das Pluginsystem und den generellen Aufbau von Wordpress werden die Javascripte unabhängig von der Nutzung einer Karte eingebunden (wie geschrieben, lokal und ohne Ausführen von Code). Müssen diese blockiert werden, bis Zustimmung erfolgt ist?
Frage (3):
Wie ist es mit aktueller Rechtssprechung möglich, eine OpenStreetMap-Karte (Google fällt wie gesagt generell aus) überhaupt korrekt einzubinden und gleichzeitig die Pflege handhabbar und praktikabel zu machen.
Meine bisherige Lösung: Statt Karte eine filterbare Tabelle, aber die Anforderungen haben sich - vor allem im Bezug auf die Zielgruppe - geändert und eine Karte soll her.
Hinweis: Die Karte ist bisher nicht öffentlich verfügbar, bis die rechtliche Situation klar ist.
Aktualisierung:
Wir können sicherstellen, dass Kartendaten (Grafiken) nur von einem Server mit Standort Deutschland geladen werden, ist es dann möglich, dies ohne konkrete Einwilligung zu tun?
Beispiel: www|bund-hamburg.de/service/datenschutzhinweis/ (Abschnitt IV, Punkt 4). Hier wird sich auf Grund der Benutzbarkeit der Seite auf berechtigtes Interesse berufen. Ist dies zulässig?
Zitat: "Wir stützen den Einsatz der vorgenannten Tools auf Art. 6 Abs. 1 Buchst. f) DSGVO: die Datenverarbeitung erfolgt zur Verbesserung der Nutzerfreundlichkeit auf unserer Webseite und liegt daher in unserem berechtigten Interesse. "