x

Re: OSM DSGVO-konform und ohne Einwilligung nutzen

Geschrieben von Spiekerooger (Gast) am 27. Juli 2022 20:17:54: [flux]

Als Antwort auf: OSM DSGVO-konform und ohne Einwilligung nutzen geschrieben von neoman666 (Gast) am 26. Juli 2022 07:26:

Nach meiner Rechtsauffassung musst Du - idealerweise in Deiner eigenen Datenschutzerklärung - darauf aufmerksam machen, dass Du Dienste von OpenStreetMap nutzt und dabei auf die dortige Datenschutzerklärung verweisen (wenn Du openstreetmap.de nutzt, wäre das https://www.fossgis.de/datenschutzerkl%C3%A4rung/ ). Das wars.

Das klingt aber - zumindest für Deutschland - leider etwas zu einfach gedacht.

Daher hole ich doch mal weiter aus:

Die Tiles von der OSMF (also jene unter ...tile.openstreetmap.org) sind nicht DSGVO-konform einsetzbar, da a) ein wirksamer Datenschutz bei der OSMF fehlt, ebenso fehlt Dir dann b) eine Auftragsdatenverarbeitung und c) sie über ein CDN eines amerikanischen Unternehmens (Fastly) ausgeliefert werden.

Die Tiles von FOSSGIS (also unter tile.openstreetmap.de) können auch nicht DSGVO-konform eingesetzt werden, da die Datenschutzerklärung unzureichend ist und der FOSSGIS bestimmt auch keine Lust hat, eine Auftragsdatenverarbeitung mit Dir abzuschließen. Insgesamt scheint ein gesetzeskonformer Datenschutz für Dritte beim FOSSGIS auch - salopp gesagt - unter den Bereich "eigentlich nicht machbar" zu fallen, siehe z.B. https://forum.openstreetmap.org/viewtopic.php?id=76010 (was für so einen kleinen Verein, der auf wenigen Schultern ruht, auch nachvollziehbar ist). Zudem können die Tiles vom FOSSGIS auch nicht im z.B. kommerziellen Bereich oder für stärkere Nutzung eingesetzt werden (auch wenn die dazugehörige Unterseite, auf der dies erläutert ist, beim kürzlich erfolgten Umbau der www.openstreetmap.de Seite auf ein responsive Design anscheinend verloren gegangen ist, eine Kopie ist aber hier zu finden: https://web.archive.org/web/20211121095 … style.html ).

Hinsichtlich des Datenschutzes gilt das gleiche in Bezug auf den Französischen LC und deren Tiles unter tile.openstreetmap.fr.

Blieben einige kommerzielle Anbieter, von denen jedoch nicht wenige ihre Tiles über Cloudflare ausliefern (auch in DE), damit wieder direkt über ein amerikanische Unternehmen und damit selbst bei vorgeblicher Datenschutzerklärung und DPA (data processing agreement - Auftragsdatenverarbeitungsvereinbarung) unzureichend. Schrems II und (bald bestimmt) Schrems III lässt grüßen.

D.h. bei all diesen Lösungen müsstest Du ein dummes Consent-Tool davorpacken oder eben einen Proxy über den eigenen Server verwenden, wobei da dann natürlich selbst darauf zu achten ist, dass keine Daten der Besucher über den Proxy zum Tile-Anbieter weitergeben werden und wie und welche Daten der Besucher wie verarbeitet oder - viel besser - nicht verarbeitet werden.