Google Maps und die DSGVO

Spätestens dann, wenn zum Online-Shop auf ein stationäres Ladengeschäft oder ein Showroom gehört, ist auf der Shop-Seite eine Anfahrtsbeschreibung sinnvoll. Google Maps ist hier die ideale Lösung, die allerdings im Zusammenhang mit der DSGVO einige Anforderungen mit sich bringt.

Einbindung nur mit Programmschnittstelle

Die Einbindung der Google Anfahrtsskizze per Direkteinbindung ist ebenso wenig rechtssicher wie ein Screenshot. Ersteres macht Probleme durch die Datenübergabe, die zweite Lösung kollidiert mit dem Urheberrecht. Eine gangbare Lösung für den DSGVO-konformen Einsatz bietet die Google Maps API. Bestandteil der Nutzungsbedingungen für den Dienst ist ein Joint Control Contract (nur auf Englisch), in dem die Verantwortlichkeit zwischen Google und dem Webseitenbetreiber geregelt ist.

Die Google Maps API

Mit der Programmierschnittstelle Google Maps API können Online-Shop-Betreiber kostenlos eine Google Maps Karte auf ihrer Webseite bereitstellen. Die Karte wird beim Aufruf der Seite vom Nutzer heruntergeladen werden. Dazu wird Google die IP-Adresse des Nutzers übermittelt – und hier fangen die Schwierigkeiten an, denn diese gehört zu den personenbezogenen Daten, die laut DSGVO verarbeitet werden müssen. Google legt außerdem nicht offen, welche Nutzerdaten durch die API weiterhin erhoben werden.

Der Joint Control Contract (JCC) und die DSGVO

Der Join Control Contract ist ein Vertrag, der zwischen mehreren Parteien geschlossen wird, die gemeinsam für eine Datenverarbeitung verantwortlich sind, das heißt, die Verantwortung ist auf mehrere Parteien verteilt. Wann diese Form der Verantwortlichkeit vorliegt, ist in der DSGVO, Art. 26 geregelt. Entscheidend dafür ist, dass sich die gemeinsam Verantwortlichen die Mittel der Verarbeitung (Hard- und Software) teilen und auch dieselben Interessen verfolgen. Bezogen auf die Google API ist der Zweck der Verarbeitung die Darstellung der Karte auf der Webseite, das Mittel der Verarbeitung stellt die API dar.

Noch niciht vollständig geklärt ist, ob Googles JCC auch wirklich den Vorgaben aus der DSGVO entspricht. Grundstzlich ist jedoch eher davon auszugehen, dass sich die Aufsichtsbehörden an Google wenden und eine Nachbesserung des Vertrags fordern als dass die Seitenbetreiber selbst zur Verantwortung gezogen werden.

Quelle: diercks-digital-recht.de