Google Maps auf der eigenen Website ist praktisch – aber datenschutzrechtlich eine der aufwändigeren Baustellen. Sobald die Karte geladen wird, setzt Google einen Marketing-Cookie und überträgt Besucherdaten in die USA. Das passiert automatisch beim Seitenaufruf, noch bevor ein Besucher irgendetwas angeklickt hat. Website-Betreiber müssen deshalb ihre Einbindung anpassen und ihren Cookie-Banner korrekt konfigurieren.
Überblick
Was ist Google Maps?
Google Maps ist ein Online-Kartendienst von Google, den Website-Betreiber als eingebettete Karte auf ihrer Seite einbinden können. Er wird meistens genutzt, um den eigenen Standort oder Anfahrtswege zu zeigen. Die Karte erscheint als interaktiver Kartenausschnitt direkt auf der Seite – Besucher können darin zoomen, verschieben und Routen berechnen lassen.
Google Maps – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🔴 | Setzt den Marketing-Cookie NID – zustimmungspflichtig. |
| Externe Verbindungen | 🔴 | Verbindung zu Google-Servern beim Seitenaufruf – Cookie-Banner erforderlich. |
| Datenschutzerklärung | 🔴 | Eintrag in der Datenschutzerklärung notwendig. |
| Drittlandtransfer | 🔴 | Datenübertragung in die USA. |
| Auftragsverarbeitung | 🟡 | Vertragssituation zwischen Website-Betreiber und Google ist nicht eindeutig geklärt. |
| Benutzereingaben | 🟢 | Keine eigenen Benutzereingaben über den Website-Betreiber. |
Datenverarbeitung
Was passiert im Hintergrund, wenn Google Maps geladen wird?
Sobald eine Seite mit eingebetteter Google-Maps-Karte aufgerufen wird, baut der Browser des Besuchers automatisch eine Verbindung zu Google-Servern auf. In diesem Moment überträgt Google die IP-Adresse des Besuchers und weitere Browserinformationen.
Zusätzlich setzt Google einen Cookie im Browser, der den Besucher identifiziert. Das alles passiert noch bevor der Besucher irgendetwas geklickt hat – allein durch das Laden der Seite.
Das Besondere an Google Maps im Vergleich zu anderen eingebetteten Inhalten: Google nutzt die dabei gesammelten Daten nicht nur, um die Karte anzuzeigen, sondern auch zur Werbepersonalisierung in anderen Google-Produkten. Die Karte ist damit aus datenschutzrechtlicher Sicht kein neutrales Anzeigewerkzeug, sondern ein Tracker.
Die Daten werden auf Google-Servern in den USA verarbeitet. Als Betreiber der Website bist du dafür verantwortlich, dass diese Datenübertragung nur mit Zustimmung der Besucher stattfindet.
Cookies
Welche Cookies setzt Google Maps?
Google Maps setzt den Cookie NID. Dieser Cookie hat eine Laufzeit von bis zu zwei Jahren und wird von Google laut eigener Dokumentation eingesetzt, um Werbung in Google-Produkten zu personalisieren. Er speichert eine individuelle Kennung, mit der Google den Browser des Besuchers wiedererkennen kann – auch über verschiedene Websites hinweg.
Dieser Cookie ist zustimmungspflichtig. Er gehört in die Kategorie Marketing, weil er zur Werbepersonalisierung eingesetzt wird und keine technisch notwendige Funktion für den Betrieb der Karte hat. Dein Cookie-Banner muss diesen Cookie blockieren, bis der Besucher zustimmt. Das bedeutet in der Praxis: Die Karte selbst darf erst geladen werden, nachdem der Besucher dem Marketing-Cookie zugestimmt hat.
Externe Verbindungen
Baut Google Maps Verbindungen zu externen Servern auf?
Google Maps baut beim Laden der Seite Verbindungen zu mehreren Google-Servern auf. Die folgenden Domains werden dabei kontaktiert:
maps.googleapis.com– hier läuft die eigentliche Karten-Schnittstellemaps.gstatic.com– hier werden Kartenkacheln und Skripte geladenwww.google.com/maps– die eingebettete Karte selbstplaces.googleapis.com– wird aufgerufen, wenn die Places-Funktion aktiv ist
Alle diese Verbindungen entstehen beim Seitenaufruf – ohne dass der Besucher etwas tun muss. Sie sind nicht zwingend für den Betrieb der Website notwendig. Dein Cookie-Banner muss diese Verbindung blockieren, bis der Besucher zustimmt. Solange die Karte nicht aktiv entsperrt wird, darf sie nicht geladen werden.
Es gibt keine Einstellung in Google Maps selbst, mit der sich dieser automatische Verbindungsaufbau abschalten lässt. Die einzige Möglichkeit ist die Einbindung über ein Cookie-Banner-Plugin, das die Karte als blockierten Inhalt behandelt und erst nach Zustimmung lädt.
Nutzt du Google Maps auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um Google Maps gibt.
Benutzereingaben
Werden Benutzerdaten über Google Maps an dich übertragen?
Google Maps in der eingebetteten Version nimmt keine Eingaben entgegen, die der Website-Betreiber verarbeitet. Besucher können zwar innerhalb der Karte zoomen oder Routen berechnen lassen – das passiert aber direkt zwischen Browser und Google, nicht über deinen Server. Du erhältst dabei keine Daten.
Drittlandtransfer
Werden Daten von Besuchern in die USA übertragen?
Google Maps überträgt Besucherdaten in die USA. Obwohl Google Maps von Google Ireland Limited betrieben wird, gehört der Dienst zum US-Konzern Google LLC mit Sitz in Kalifornien. IP-Adressen und Nutzungsdaten der Besucher können auf US-amerikanischen Servern verarbeitet werden.
Seit 2023 existiert ein Abkommen zwischen der EU und den USA, das solche Datenübertragungen unter bestimmten Bedingungen erlaubt. Google ist unter diesem Abkommen zertifiziert. Das ändert aber nichts daran, dass du in deiner Datenschutzerklärung auf diese Übertragung hinweisen musst – und dass die Übertragung erst nach Zustimmung im Cookie-Banner stattfinden darf.
Auftragsverarbeitung
Brauche ich einen Vertrag mit Google für die Nutzung von Google Maps?
Ob und wie ein Vertrag mit Google für die Einbindung von Google Maps abgeschlossen werden muss, lässt sich leider nicht eindeutig beantworten. Google positioniert sich bei Maps als eigenständiger Verantwortlicher für die Daten der Besucher – nicht als Dienstleister, der Daten in deinem Auftrag verarbeitet. Das bedeutet: Google und du tragt jeweils eigene Verantwortung für die Daten, die über die Karte verarbeitet werden.
Einige Datenschutz-Quellen, wie e-recht24.de, empfehlen trotzdem, in der Google Cloud Console die Datenverarbeitungsbedingungen von Google zu akzeptieren. Andere Quellen stellen fest, dass für die kostenlose Nutzung von Google-Diensten außerhalb von Google Workspace kein klassischer Auftragsverarbeitungsvertrag verfügbar ist.
Da diese Frage nicht eindeutig geklärt ist, empfiehlt es sich, im Zweifelsfall rechtlichen Rat einzuholen – besonders wenn Google Maps auf einer gewerblichen Website eingesetzt wird.
Datenschutzerklärung
Muss Google Maps in die Datenschutzerklärung?
Google Maps muss in die Datenschutzerklärung, weil durch die Einbindung Marketing-Cookies gesetzt werden, Daten in die USA übertragen werden und die IP-Adresse der Besucher an Google weitergegeben wird. Für den Eintrag brauchst du folgende Angaben:
- Zweck: Darstellung einer interaktiven Karte auf der Website
- Rechtsgrundlage: Einwilligung
- Empfänger: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
- Drittlandtransfer: Daten können in die USA übertragen werden; Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert
- Speicherdauer: Der Cookie NID wird bis zu 2 Jahre gespeichert
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
Google Maps – interaktive Karte
Diese Website nutzt Google Maps zur Darstellung interaktiver Karten. Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Beim Laden einer Seite mit eingebetteter Karte baut dein Browser eine Verbindung zu Servern von Google auf. Dabei werden deine IP-Adresse und Informationen über deinen Browser an Google übertragen. Google setzt außerdem den Cookie NID mit einer Laufzeit von bis zu zwei Jahren, der zur Personalisierung von Werbung in Google-Produkten genutzt wird.
Die Einbindung von Google Maps erfolgt auf Grundlage deiner Einwilligung. Du kannst deine Einwilligung jederzeit über den Cookie-Banner auf dieser Website widerrufen. Die Daten können in die USA übertragen werden; Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert. Weitere Informationen findest du in der Datenschutzerklärung von Google unter https://policies.google.com/privacy.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu Google Maps?
Wer Google Maps auf seiner Website ersetzen möchte, kann auf OpenStreetMap umsteigen. OpenStreetMap ist ein offenes Kartenprojekt, das keine Marketing-Cookies setzt und keine Daten in die USA überträgt. Für WordPress gibt es dafür das Plugin OSM – OpenStreetMap, das direkt im WordPress-Plugin-Verzeichnis verfügbar ist und ohne technische Vorkenntnisse installiert werden kann.
Der Funktionsumfang für den typischen Anwendungsfall – eine Standortkarte auf der Kontaktseite – wird von OpenStreetMap vollständig abgedeckt. Wer komplexe Funktionen wie Routenplaner, Echtzeit-Verkehrsdaten oder Street View benötigt, findet diese bei OpenStreetMap nicht.
Auch bei OpenStreetMap werden beim Laden der Karte IP-Adressen an die Server der OpenStreetMap Foundation übertragen – ein Hinweis in der Datenschutzerklärung ist also trotzdem erforderlich, aber der Aufwand ist deutlich geringer als bei Google Maps.
Fehler
Typische Fehler bei der Einbindung von Google Maps
Der häufigste Fehler: Google Maps ist direkt im HTML der Seite eingebettet, ohne dass ein Cookie-Banner die Karte blockiert. In diesem Fall lädt die Karte bei jedem Seitenaufruf sofort – und damit werden der Marketing-Cookie gesetzt und Daten an Google übertragen, noch bevor der Besucher zustimmen kann. Das ist ein echter Verstoß, kein theoretischer.
Ein weiterer verbreiteter Fehler: Der Cookie-Banner ist zwar vorhanden, aber Google Maps wurde dort nicht als blockierter Inhalt eingetragen. Das Cookie-Banner-Plugin weiß dann nichts von der Karte und blockiert sie nicht. Das Ergebnis ist dasselbe: Die Karte lädt trotzdem ungeblockt.
Außerdem vergessen viele Website-Betreiber den Datenschutzerklärungseintrag. Die Karte ist zwar im Cookie-Banner konfiguriert, aber in der Datenschutzerklärung fehlt jeder Hinweis auf Google Maps, den NID-Cookie und die Datenübertragung in die USA. Beides – Cookie-Banner und Datenschutzerklärung – muss stimmen.
DSGVO-Check
Wie erkennst du, ob Google Maps auf deiner Website aktiv ist?
Du kannst direkt im Browser prüfen, ob Google Maps auf deiner Website Verbindungen aufbaut oder Cookies setzt. Öffne deine Website in einem Browserfenster und schau im Entwicklerwerkzeug unter „Netzwerk“ nach, ob Anfragen an folgende Domains gesendet werden:
maps.googleapis.commaps.gstatic.comwww.google.com/mapsplaces.googleapis.com
Wenn eine dieser Domains erscheint, noch bevor du im Cookie-Banner zugestimmt hast, lädt deine Website Google Maps ungeblockt. Du kannst außerdem in den gespeicherten Cookies deines Browsers nach dem Cookie-Namen NID suchen. Wenn dieser Cookie vorhanden ist, obwohl du noch keine Zustimmung gegeben hast, ist die Einbindung nicht korrekt konfiguriert.
Ein automatischer Datenschutz-Scan prüft beides schnell und zuverlässig für dich.
Quellen und weiterführende Links
- Google Maps – offizielle Website
- Google Maps Embed API – offizielle Dokumentation
- Google Maps Platform – DSGVO-Informationen
- OSM – OpenStreetMap WordPress-Plugin
Hast du Google Maps auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um Google Maps gibt – zusammen mit allen anderen Plugins und Diensten, die bei dir aktiv sind.