WP Go Maps und Datenschutz: Karten überträgen Daten ins Ausland – egal welche Engine

WP Go Maps bindet Karten in WordPress-Websites ein – und überträgt dabei bei jedem Seitenaufruf Daten deiner Besucher an externe Server. Das gilt unabhängig davon, welchen Kartendienst du verwendest: Google Maps, OpenStreetMap oder eine andere Engine. Dein Cookie-Banner muss die Karte blockieren, bis Besucher zustimmen, und deine Datenschutzerklärung braucht einen Eintrag für den jeweiligen Kartendienst.

Überblick

Was ist WP Go Maps?

WP Go Maps (früher WP Google Maps) ist ein WordPress-Plugin von Code Cabin, mit dem du interaktive Karten auf deiner Website einbetten kannst. Du kannst Standortmarkierungen setzen, einen Filialen-Finder einrichten und zwischen verschiedenen Kartendiensten wählen – darunter Google Maps, OpenStreetMap und weitere Anbieter. Das Plugin hat über 300.000 aktive Installationen.

WP Go Maps – DSGVO-Risiko

KriteriumRisikoEinschätzung
Cookies🟡Kein Cookie im Standard. Die optionale Analysefunktion (nur Pro-Version) setzt einen Statistik-Cookie.
Externe Verbindungen🔴Jede Karte baut zwingend externe Verbindungen auf – unabhängig vom gewählten Kartendienst.
Datenschutzerklärung🟡Kein eigener Eintrag nötig, solange keine Analysefunktion aktiv ist. Die eingebundenen Kartendienste brauchen eigene Einträge.
Drittlandtransfer🔴Alle verfügbaren Kartendienste übertragen Daten an Server außerhalb der EU.
Auftragsverarbeitung🟢Kein Vertrag mit Code Cabin nötig. Alle Daten bleiben lokal auf deinem Server.
Benutzereingaben🟢Das Plugin selbst verarbeitet keine Benutzereingaben von Besuchern.

Datenverarbeitung

Was passiert datenschutzrechtlich, wenn eine Karte auf deiner Website lädt?

Sobald jemand eine Seite mit einer WP-Go-Maps-Karte aufruft, baut der Browser deines Besuchers eine direkte Verbindung zum Kartendienst auf – noch bevor irgendjemand mit der Karte interagiert. Dabei werden die IP-Adresse des Besuchers und Browser-Informationen an den externen Kartenserver übertragen. Das ist kein Fehler, sondern technisch notwendig: Karten bestehen aus vielen kleinen Kartenausschnitten, die vom Kartenserver geladen werden. Ohne diese Verbindung gibt es keine Karte.

Das Plugin selbst speichert dabei keine Besucherdaten auf deinem Server. Alle Daten, die bei der Kartenanzeige anfallen, gehen direkt an den jeweiligen Kartendienst – also an Google, OpenStreetMap oder einen anderen Anbieter, den du in den Einstellungen ausgewählt hast. Was diese Anbieter mit den Daten machen, regeln deren eigene Datenschutzregeln.

Wenn du die optionale Analysefunktion (Map Insights) aktivierst (nur in der Pro-Version verfügbar), speichert das Plugin zusätzlich Nutzungsdaten lokal in deiner WordPress-Datenbank – zum Beispiel wie oft eine Karte aufgerufen wurde oder auf welche Marker Besucher geklickt haben.

WP Go Maps und Datenschutz: Datenübertragung zu Google-Servern in den USA (bei Google-Maps-Engine)
Sobald eine Seite mit Karte aufgerufen wird, baut dein Browser eine direkte Verbindung zur gewählten Karten-Engine auf – dein Cookie-Banner muss diese Verbindung blockieren, bis der Besucher zugestimmt hat.

Cookies

Setzt WP Go Maps Cookies auf meiner Website?

WP Go Maps setzt im Standardbetrieb keine Cookies. Wenn du die Analysefunktion „Kartenstatistiken“ (Map Insights) aktivierst – das ist eine optionale Funktion der Pro-Version – setzt das Plugin einen Statistik-Cookie. Dieser Cookie speichert eine zufällig generierte Kennung, damit das Plugin erkennen kann, ob jemand die Karte zum ersten Mal oder erneut besucht. IP-Adressen oder persönliche Daten werden dabei nicht gespeichert.

Obwohl dieser Cookie keine direkt identifizierenden Daten enthält, gilt er als zustimmungspflichtig. Dein Cookie-Banner muss diesen Cookie blockieren, bis der Besucher zustimmt. Die Funktion aktivierst du unter „WP Go Maps → Einstellungen → Erweitert → Verhalten → Kartenstatistiken aktivieren“ (Enable Insights). Solange du diese Funktion nicht aktivierst, sind keine Cookie-Banner-Einträge für WP Go Maps selbst nötig.

Externe Verbindungen

Zu welchen externen Servern verbindet sich WP Go Maps?

WP Go Maps baut zwingend externe Verbindungen auf – eine Karte ohne externe Kartenserver funktioniert nicht. Welcher Server kontaktiert wird, hängt vom gewählten Kartendienst ab. Du wählst den Kartendienst unter „WP Go Maps → Einstellungen → Karten-Engine“ (Map Engine). Folgende Verbindungen entstehen je nach Auswahl:

  • Google Maps: Verbindung zu maps.googleapis.com und maps.gstatic.com
  • OpenStreetMap / Leaflet / Zero Cost: Verbindung zu tile.openstreetmap.org
  • Azure Maps: Verbindung zu Microsoft-Servern
  • Stadia Maps, MapTiler, LocationIQ: Verbindung zu den jeweiligen Servern dieser Anbieter

Alle diese Verbindungen entstehen beim Laden der Seite, ohne dass Besucher die Karte aktiv benutzen. Dein Cookie-Banner muss die Karte blockieren, bis der Besucher zustimmt. Wenn du Google Fonts über das Plugin lädst, entsteht zusätzlich eine Verbindung zu fonts.googleapis.com. Diese lässt sich unter „WP Go Maps → Einstellungen → Verschiedenes → Google Fonts deaktivieren“ (Prevent Google Fonts) abschalten.

WP Go Maps auf deiner Website? DSGVO-Check in 60 Sekunden.

Gib deine Domain ein und sieh sofort, was los ist.

→ Datenschutz-Check starten

Benutzereingaben

Speichert WP Go Maps Eingaben meiner Website-Besucher?

WP Go Maps verarbeitet keine Eingaben von Besuchern direkt. Der Filialen-Finder (Store Locator) nimmt zwar eine Adresseingabe entgegen, schickt diese aber direkt an den gewählten Kartendienst weiter – nicht an Code Cabin und nicht an deinen Server. Das Plugin selbst speichert diese Eingaben nicht.

Drittlandtransfer

Werden Daten deiner Besucher ins Ausland übertragen?

WP Go Maps überträgt bei jeder Kartenanzeige Daten deiner Besucher an Server außerhalb der EU – unabhängig davon, welchen Kartendienst du verwendest. Alle verfügbaren Optionen verursachen einen Datentransfer ins Ausland:

  • Google Maps → USA (Google LLC)
  • Azure Maps → USA (Microsoft)
  • LocationIQ → USA
  • Stadia Maps → USA
  • OpenStreetMap / Leaflet / Zero Cost → Großbritannien (OpenStreetMap Foundation) und über weltweite Server-Netzwerke
  • MapTiler → Schweiz (kein EU-Mitglied)

Es gibt keine Karten-Engine in WP Go Maps, die ausschließlich EU-Server nutzt. Ein Wechsel der Engine ändert nur, welches Land die Daten empfängt – nicht ob Daten das EU-Gebiet verlassen. Deine Datenschutzerklärung muss diesen Datentransfer für den jeweiligen Kartendienst ausweisen.

Auftragsverarbeitung

Muss ich einen Vertrag mit Code Cabin abschließen?

Einen Vertrag mit Code Cabin, dem Hersteller von WP Go Maps, brauchst du nicht. Code Cabin erhält keine Daten deiner Besucher. Alle Kartenmarkierungen und Statistikdaten aus der Analysefunktion liegen ausschließlich in deiner WordPress-Datenbank auf deinem eigenen Server.

Verträge zur Datenverarbeitung brauchst du unter Umständen mit den Kartendiensten, die du in WP Go Maps einbindest – also zum Beispiel mit Google für Google Maps. Diese Verträge schließt du direkt mit dem jeweiligen Anbieter ab, nicht über WP Go Maps.

Datenschutzerklärung

Was muss ich in meiner Datenschutzerklärung zu WP Go Maps schreiben?

WP Go Maps selbst muss nur dann in der Datenschutzerklärung stehen, wenn du die optionale Analysefunktion „Kartenstatistiken“ (Map Insights) aktiviert hast. In diesem Fall setzt das Plugin einen Statistik-Cookie und verarbeitet Nutzungsdaten auf deinem Server.

Wenn die Analysefunktion nicht aktiv ist, braucht WP Go Maps keinen eigenen Eintrag in der Datenschutzerklärung. Die Kartendienste, die du über WP Go Maps einbindest – zum Beispiel Google Maps oder OpenStreetMap – benötigen eigene Einträge in deiner Datenschutzerklärung.

Textvorschlag für deine Datenschutzerklärung

Dieser Textvorschlag gilt nur, wenn du die Analysefunktion „Kartenstatistiken“ aktiviert hast. Er ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.

WP Go Maps – Kartenstatistiken

Auf unserer Website verwenden wir das WordPress-Plugin WP Go Maps von Code Cabin. Wenn die Funktion „Kartenstatistiken“ aktiviert ist, setzt das Plugin beim Aufruf einer Seite mit einer Karte einen Cookie mit einer zufällig generierten Kennung. Damit wird erfasst, ob ein Besucher die Karte zum ersten Mal oder erneut aufruft. IP-Adressen oder persönliche Daten werden dabei nicht gespeichert.

Die erfassten Daten werden ausschließlich in der Datenbank unserer WordPress-Installation gespeichert und nicht an Dritte weitergegeben. Rechtsgrundlage für diese Verarbeitung ist deine Einwilligung. Du kannst deine Einwilligung jederzeit über unseren Cookie-Banner widerrufen. Die Daten werden nach Ablauf des eingestellten Aufbewahrungszeitraums automatisch gelöscht.

Drittanbieter

Mit welchen Diensten lässt sich WP Go Maps verbinden?

WP Go Maps unterstützt verschiedene Kartendienste, die du in den Einstellungen auswählen kannst. Zur Auswahl stehen Google Maps, OpenStreetMap über Leaflet, OpenLayers, Azure Maps von Microsoft, Stadia Maps, MapTiler und LocationIQ. Für Google Maps, Azure Maps, Stadia Maps, MapTiler und LocationIQ benötigst du jeweils einen eigenen API-Schlüssel, den du beim jeweiligen Anbieter beantragst. Die Option „Zero Cost“ nutzt OpenStreetMap-Karten ohne API-Schlüssel.

Als Adressanbieter für die Umwandlung von Adressen in Kartenkoordinaten stehen Google Maps, Azure Maps, Nominatim und LocationIQ zur Verfügung. Diese Auswahl triffst du separat unter den Adressanbieter-Einstellungen.

Das Plugin lässt sich außerdem mit WooCommerce verbinden, um auf der Bestellseite eine Karte zur Adresseingabe anzuzeigen oder Produktstandorte zu markieren. Eine Integration mit Advanced Custom Fields (ACF) ermöglicht es, Kartenmarkierungen aus eigenen Feldern zu befüllen. Für mehrsprachige Websites steht eine Verbindung mit WPML zur Verfügung.

Alternative

Gibt es eine datenschutzfreundlichere Alternative zu WP Go Maps?

Eine datenschutzfreundlichere Alternative zu WP Go Maps gibt es in diesem Funktionsumfang nicht – weil das Problem nicht am Plugin liegt, sondern an Karten als solchen. Jede interaktive Karte auf einer WordPress-Website lädt Kartenkacheln von externen Servern. Dabei werden immer Daten ins Ausland übertragen. Das gilt für alle verbreiteten Karten-Plugins gleichermaßen.

Wer besonders auf Datenschutz achtet, kann innerhalb von WP Go Maps auf die „Zero Cost“-Engine umsteigen, die OpenStreetMap-Kacheln ohne API-Schlüssel lädt. Das ändert nichts am grundsätzlichen Datentransfer ins Ausland, vermeidet aber die Abhängigkeit von Google oder anderen kommerziellen Anbietern.

Fehler

Diese Fehler passieren häufig mit WP Go Maps und dem Datenschutz

Der häufigste Fehler: Die Karte lädt ohne Einwilligung. Viele Cookie-Banner-Plugins erkennen WP Go Maps nicht automatisch oder sind nicht korrekt konfiguriert. Die Karte muss vollständig blockiert sein, bis der Besucher dem jeweiligen Kartendienst zustimmt. Ein grauer Platzhalter mit dem Text „Karte erst nach Zustimmung laden“ reicht nicht – die Verbindung zum externen Kartenserver darf vor der Zustimmung technisch nicht aufgebaut werden.

Ein weiterer verbreiteter Fehler: Die Datenschutzerklärung fehlt oder ist unvollständig. WP Go Maps bindet einen externen Kartendienst ein – der jeweilige Anbieter muss in der Datenschutzerklärung genannt werden, inklusive des Hinweises auf den Datentransfer ins Ausland. Wer den Kartendienst später wechselt, muss die Datenschutzerklärung entsprechend anpassen.

Wer die Pro-Version nutzt: Die Analysefunktion „Kartenstatistiken“ ist standardmäßig deaktiviert. Wenn du sie aktiviert hast und dein Cookie-Banner keinen entsprechenden Eintrag enthält, setzt das Plugin einen Statistik-Cookie ohne Einwilligung. Prüfe nach dem Aktivieren, ob dein Cookie-Banner diesen Cookie erfasst.

DSGVO-Check

So erkennst du, ob WP Go Maps auf deiner Website aktiv ist

Du kannst direkt im Browser prüfen, ob deine Karte korrekt blockiert wird. Öffne eine Seite deiner Website mit einer Karte, ohne deinem Cookie-Banner zuzustimmen. Schau nach, ob die Karte trotzdem lädt. Wenn ja, funktioniert die Blockierung nicht.

Für eine genauere Prüfung öffne die Browser-Entwicklertools (in Chrome oder Firefox: Taste F12, dann „Netzwerk“). Lade die Seite neu und filtere nach folgenden Domains:

  • maps.googleapis.com – erscheint bei aktivierter Google Maps Engine
  • maps.gstatic.com – erscheint bei aktivierter Google Maps Engine
  • tile.openstreetmap.org – erscheint bei OpenStreetMap / Leaflet / Zero Cost
  • fonts.googleapis.com – erscheint wenn Google Fonts nicht deaktiviert sind

Wenn eine dieser Verbindungen vor deiner Zustimmung im Netzwerkprotokoll auftaucht, blockiert dein Cookie-Banner die Karte nicht korrekt.

Schneller geht es mit einem automatischen Datenschutz-Scan: er prüft deine Website direkt und zeigt dir, welche externen Verbindungen ohne Einwilligung aufgebaut werden.

Quellen und weiterführende Links

Dein DSGVO-Ergebnis in 60 Sekunden?

Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.

→ Datenschutz-Check starten

Sofia

Dipl.-Informatikerin, Webentwicklerin seit 2006 und Autorin bei Packt Publishing. Mit datenrein.de helfe ich WordPress-Betreibern, Datenschutz-Probleme zu erkennen und zu lösen – ohne Juristendeutsch und ohne Technik-Kauderwelsch.