Zum Inhalt springen
Kostenlose Empfehlung

Eingebettete Karten leaken Daten beim ersten Seitenaufruf

von Manuel Peter · Recht & Datenschutz-Redaktion

Zuletzt aktualisiert: · 7 Min. Lesezeit

Vergleich zwischen eingebetteter dynamischer Karte und verlinkter statischer Kartengrafik auf einer Website
Inhaltsverzeichnis

Eingebettete Karten auf Websites sind bequem, bergen aber datenschutzrechtliche Fallstricke und technische Nachteile. Bereits beim Seitenaufruf werden Verbindungen zu Kartendiensten aufgebaut, die personenbezogene Daten übermitteln können. Die Risiken lassen sich durch bewusste Entscheidungen minimieren – oft genügt bereits eine verlinkte statische Karte statt einer dynamischen Einbettung.

Was passiert technisch beim Einbetten einer Karte

Wer eine Google Maps-Karte oder einen anderen Kartendienst per iFrame oder JavaScript einbindet, öffnet ein Tor zu externen Servern. Beim Laden der Seite stellt der Browser des Besuchers automatisch Verbindungen zu den Servern des Kartendienstanbieters her. Dabei können übertragen werden: die IP-Adresse des Nutzers, Informationen zum verwendeten Browser und Betriebssystem, der Referrer (also die Seite, von der aus die Anfrage kommt) sowie Spracheinstellungen. Bei eingeloggten Nutzern können zudem Cookies und weitere Identifikatoren mitgesendet werden, die ein Profiling ermöglichen.

Der entscheidende Punkt: Diese Datenübertragung erfolgt bereits beim Seitenaufruf, nicht erst wenn der Nutzer mit der Karte interagiert. Das ist kein Detail, sondern die zentrale rechtliche Schwachstelle. Denn nach der DSGVO bedarf die Verarbeitung personenbezogener Daten grundsätzlich einer Rechtsgrundlage – und die fehlt hier zunächst.

Datenschutzrechtliche Pflichten im Überblick

Die Einbettung externer Inhalte unterfällt demselben datenschutzrechtlichen Regime wie eingebettete Videos, Social-Media-Widgets oder externe Schriftarten. Der Websitebetreiber ist für die Datenverarbeitung mitverantwortlich, auch wenn der eigentliche Dienst von einem anderen Unternehmen erbracht wird.

Das bedeutet konkret: Es muss eine Rechtsgrundlage für die Datenübertragung vorliegen. Zudem gilt das Transparenzgebot – die betroffenen Personen müssen informiert werden, was mit ihren Daten geschieht. Ein vollständiges Datenschutzhinweis bei Kontaktformularen ist daher unerlässlich, auch wenn die Karte nur ergänzend zum eigentlichen Angebot dient.

Für Auftragsverarbeitung greift ein besonderer Modus: Werden personenbezogene Daten im Auftrag verarbeitet, muss ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen werden. Bei reinem Embedding über öffentliche Schnittstellen ist dies jedoch oft nicht gegeben – die Kartendienste agieren dann als eigenverantwortliche Stellen, was die Situation für den Websitebetreiber nicht einfacher macht.

Wann berechtigte Interessen ausreichen und wann nicht

Die Rechtsgrundlage "berechtigtes Interesse" nach Art. 6 Abs. 1 lit. f DSGVO wird von vielen Betreibern zu schnell herangezogen. Sie erfordert eine Interessenabwägung, bei der die Interessen des Betroffenen an Datenschutz gegen die berechtigten Interessen des Verantwortlichen gewogen werden müssen.

Für eingebettete Karten ist diese Abwägung problematisch. Das Interesse des Websitebetreibers an einer ansprechenden Darstellung seines Standorts ist zwar nachvollziehbar. Es steht jedoch dem schutzwürdigen Interesse des Nutzers gegenüber, seine Surf-Gewohnheiten nicht ohne Einwilligung nachvollziehbar zu machen. Insbesondere bei Kartendiensten, die umfassendes Nutzerverhalten erfassen und mit anderen Datenquellen verknüpfen, wie es bei großen kommerziellen Anbietern der Fall ist, überwiegt regelmäßig das Interesse des Betroffenen.

Die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ist daher der sicherere Weg. Sie muss freiwillig, für einen bestimmten Zweck, informiert und unmissverständlich erfolgen. Ein vorab gesetzter Haken in einer Cookie-Banner-Einstellung genügt nicht. Der Nutzer muss aktiv zustimmen, bevor die Karte geladen wird – was technisch eine Zwei-Klick-Lösung erfordert.

Typische Implementierungsfehler und deren Konsequenzen

Die Praxis zeigt wiederkehrende Muster, die das Risiko erhöhen:

Vorab-Laden ohne Zustimmung: Viele Agenturen binden Karten direkt ein und ergänzen erst nachträglich ein Cookie-Banner. Die Datenübertragung erfolgt jedoch bereits vor jeder Interaktion. Das ist datenschutzrechtlich der gravierendste Fehler.

Falsche oder fehlende Auftragsverarbeitungsverträge: Wer glaubt, mit einem Standardvertrag alle Pflichten erfüllt zu haben, ohne die tatsächliche Datenflüsse zu analysieren, unterschätzt die Mitverantwortung.

Unvollständige Datenschutzerklärungen: Die bloße Erwähnung "Wir nutzen Google Maps" reicht nicht. Es müssen Zweck, Rechtsgrundlage, Speicherdauer und Empfänger benannt werden.

Keine technische Absicherung: Selbst mit Einwilligung sollte verhindert werden, dass bei verweigerter Zustimmung die Karte dennoch im Hintergrund lädt. Das erfordert eine technische Steuerung, die viele Standardlösungen nicht bieten.

Die Konsequenzen reichen von Abmahnungen über behördliche Prüfungen bis hin zu Reputationsverlusten. Die Haftung trägt grundsätzlich der Websitebetreiber, auch wenn die technische Umsetzung durch eine Agentur erfolgte. Die Prüfung der rechtlichen Grundlagen bei digitalen Formularen zeigt: Wer bei einem Element die Pflichten vernachlässigt, riskiert ein Schiefbild für die gesamte Website.

Technische Alternativen mit weniger Datentransfer

Die zentrale Erkenntnis lautet: Dynamische Karten sind selten zwingend erforderlich. Mehrere Alternativen reduzieren den Datentransfer erheblich:

Verlinkte statische Karten: Ein Screenshot oder eine selbst erstellte Kartengrafik, die auf den Kartendienst verlinkt, bietet denselben Informationsgehalt. Der Nutzer entscheidet aktiv, ob er den externen Dienst nutzen möchte. Keine automatische Datenübertragung, keine Einwilligung erforderlich.

Selbstgehostete Kartenlösungen: Auf Basis von OpenStreetMap-Daten lassen sich Karten eigenständig hosten. Der Datentransfer bleibt im eigenen Verantwortungsbereich. Der Aufwand ist höher, die Kontrolle jedoch vollständig.

Serverseitige Kartenintegration: Statt clientseitigem Embedding kann die Karte serverseitig gerendert und als Bild ausgeliefert werden. Der Nutzer sieht eine Karte, der Browser kommuniziert jedoch nicht direkt mit dem Kartendienst.

Adressblock mit strukturierten Daten: Eine gut formatierte Adresse mit eingebetteten Schema.org-Markups ermöglicht es Nutzern, mit einem Klick ihre bevorzugte Kartenanwendung zu öffnen. Für die meisten Anwendungsfälle ist das ausreichend.

Bei der Entscheidung für das passende Content-Management-System sollte die Flexibilität bei solchen Integrationsfragen ein Kriterium sein – nicht alle Systeme erlauben die technisch saubere Trennung von Einwilligung und Inhaltsausspielung gleichermaßen.

Barrierefreiheit: Was bei Karten oft fehlt

Eingebettete Karten sind aus Sicht der Barrierefreiheit problematisch. Sie werden von Screenreadern oft nicht vollständig erfasst, die Bedienelemente sind für tastaturgesteuerte Nutzer schwer erreichbar, und Kontrastverhältnisse entsprechen selten den Anforderungen der WCAG.

Zudem verursachen sie zusätzliche Ladezeiten, die insbesondere bei mobiler Nutzung die Bedienbarkeit beeinträchtigen. Die Seite wird langsamer, der Fokus der Tastaturnavigation verliert sich in der Kartenoberfläche, und Nutzer mit kognitiven Einschränkungen werden durch die visuelle Komplexität überfordert.

Eine barrierefreie Alternative ist der strukturierte Adressblock mit erklärendem Text zur Erreichbarkeit. Wer dennoch auf eine Karte setzt, muss ein gleichwertiges textbasiertes Angebot bereitstellen – was den Implementierungsaufwand deutlich erhöht.

Praktische Entscheidungshilfe für Unternehmer

Die Entscheidung für oder gegen eine eingebettete Karte sollte sich an drei Fragen orientieren:

Braucht der Nutzer die interaktive Karte vor Ort? Bei einer einfachen Standortanzeige ist die Antwort meist nein. Bei Routenplanung mit mehreren Zwischenstopps kann eine Karte sinnvoll sein.

Kann die Einwilligung technisch sauber eingeholt werden? Ein halbherziges Cookie-Banner, das die Karte dennoch lädt, ist schlimmer als gar keine Lösung.

Was ist der Plan B bei verweigerter Einwilligung? Wer keine überzeugende Alternative zur Karte hat, sollte die Einbettung überdenken.

Die bewusste Abwägung zwischen Nutzerkomfort und Datensparsamkeit führt oft zu schlankeren, rechtlich robusteren Websites. Die Frage ist nicht, wie man Karten rechtskonform einbindet, sondern ob die Einbindung den Mehrwert rechtfertigt, den sie gegenüber einfachen Alternativen bietet.

Wer bei der Umsetzung unsicher ist, findet in der Ratgeber-Übersicht weitere Orientierungshilfen zu datenschutzkonformen Website-Elementen. Bei komplexeren Fragestellungen empfiehlt sich eine individuelle Prüfung durch spezialisierte Berater – hier lässt sich eine passende Unterstützung anfragen.

Du willst dein Projekt umsetzen lassen?

Kostenlose Empfehlung holen Zurück zum Magazin

Empfohlene Beiträge

Datenschutz, Recht & Website-Risiken Chatbot-Datenschutz: Deine Haftung auf fremder Infrastruktur Chatbots auf Unternehmenswebsites verarbeiten personenbezogene Daten auf fremder Infrastruktur, ohne dass Betreiber die Datenflüsse stets nachvollziehen können. Die datenschutzrechtliche Verantwortung bleibt jedoch beim Website-Betreiber. Datenschutz, Recht & Website-Risiken Bewerbungsformulare: Datenschutz-Compliance in Technik und Prozess sicherstellen Bewerbungsformulare unterliegen strengen Datenschutzregeln. Unternehmer müssen Technik, Prozesskette und Löschfristen compliant gestalten. Datenschutz, Recht & Website-Risiken Website-Fotos richtig absichern vor Abmahngefahr Website-Bilder sind eine der häufigsten Quellen für Abmahnungen bei Unternehmen. Je nach Bildquelle – Eigenfotos, Stockfotos oder KI-generierte Bilder – gelten unterschiedliche Regelungen, die systematisch geprüft werden müssen. Design, UX & Nutzervertrauen Vage Buttons kosten Conversions – klare Sprache bringt Vertrauen Vage beschriftete Call-to-Action-Buttons kosten mehr Conversions als die meisten Unternehmer vermuten. Klare Button-Sprache ist keine Frage der Ästhetik, sondern eine Vertrauensarbeit auf kleinstem Raum.