Google Maps DSGVO-konform einbetten: So geht es richtig

Praktisch jede Restaurant- oder Praxis-Website zeigt heute eine Google-Karte mit Anfahrtsbeschreibung. Was kaum jemand prüft: Schon das Laden der Karte verschickt personenbezogene Daten in die USA — und ohne Einwilligung verletzt das die DSGVO.

Mit dem kostenlosen DSGVO-Scanner sehen Sie in Sekunden, ob Ihre Website Google-Maps-Skripte ohne Einwilligung lädt.

Was beim Einbetten technisch passiert

Es gibt zwei gängige Wege, Google Maps einzubinden:

• iframe-Einbettung: Code wie <iframe src="https://www.google.com/maps/embed?...">. Der Browser lädt beim Seitenaufruf direkt von Google-Servern.
• JavaScript-API: Ein <script>-Tag bindet die Maps-Bibliothek ein, die dann eine interaktive Karte rendert. Häufig bei aufwendigeren Anwendungen.

Beide Varianten übertragen beim Laden der Seite an Google:

• IP-Adresse und ungefähren Standort des Besuchers
• Browser- und Geräte-Informationen
• Referer-URL (also welche Seite gerade aufgerufen wird)
• Cookies aus früheren Google-Sitzungen, falls vorhanden

Das passiert, bevor der Nutzer überhaupt mit der Karte interagiert. Genau das macht den Embed datenschutzrechtlich heikel.

Die rechtliche Grundlage

Zwei Vorschriften greifen parallel:

• § 25 TDDDG schreibt eine Einwilligung vor, sobald Cookies gesetzt oder Endgeräte-Informationen ausgelesen werden. Maps setzt verschiedene Cookies, sobald die Karte lädt.
• Art. 6 DSGVO verlangt eine Rechtsgrundlage für die Datenverarbeitung. Die IP-Adresse ist nach gefestigter Rechtsprechung ein personenbezogenes Datum.

Eine Berufung auf "berechtigtes Interesse" nach Art. 6 Abs. 1 lit. f DSGVO scheitert in der Regel an der Interessenabwägung. Die Datenschutzkonferenz hat in ihrer Orientierungshilfe für Anbieter digitaler Dienste klargestellt, dass für die Einbindung externer Inhalte mit Tracking-Wirkung in der Regel eine Einwilligung erforderlich ist.

Mehrere Landesbeauftragte haben Maps-Embeds ohne Einwilligung als rechtswidrig eingestuft. Das LG München I hatte bereits 2022 für Google Fonts entschieden, dass die ungefragte Übermittlung der IP-Adresse an Google einen DSGVO-Verstoß darstellt — die Logik gilt für Maps identisch.

Drei rechtssichere Wege

Variante 1: Statische Karte mit Link

Die einfachste und datenschutzfreundlichste Lösung: Sie zeigen ein Bild der Karte (z.B. einen Screenshot oder eine statisch erzeugte Karte) und verlinken auf Google Maps. Erst wenn der Nutzer klickt, verlässt er Ihre Seite — und nur dann erhält Google seine Daten.

Vorteile: keine Einwilligung nötig, keine Cookies, schnelle Ladezeit. Nachteil: keine Interaktivität (kein Zoom, kein Verschieben). Für die meisten Unternehmenswebsites — Anwaltskanzlei, Restaurant, Praxis, Handwerksbetrieb — ist genau das aber ausreichend. Der Besucher will in der Regel wissen, wo Sie sich befinden, und braucht für die eigentliche Navigation ohnehin sein Smartphone, also die native Maps-App.

Statische Karten lassen sich kostenfrei erzeugen, etwa über die Static Maps API von OpenStreetMap oder durch einen einfachen Screenshot. Wer mehr Komfort möchte, kann mit Diensten wie MapSVG oder Mapbox Static Tiles (mit EU-Hosting) ein anklickbares Bild produzieren, das auf Klick auf den jeweiligen Routenplaner verlinkt.

Variante 2: Zwei-Klick-Lösung

Statt der Karte erscheint ein Platzhalter mit einem Hinweis: "Klicken Sie hier, um die Karte zu laden. Dabei werden Daten an Google übertragen." Erst nach dem Klick wird der Maps-Code nachgeladen.

Vor dem Klick passiert technisch nichts — es werden keine Cookies gesetzt, keine IP-Adresse übermittelt. Damit greift weder § 25 TDDDG noch Art. 6 DSGVO.

Für WordPress gibt es Plugins wie Embed Privacy oder Borlabs Cookie, die das automatisch umsetzen. Für individuelle Seiten reichen wenige Zeilen JavaScript, die den Karten-Container erst nach Klick mit dem iframe befüllen.

Variante 3: Cookie-Banner mit eigener Maps-Kategorie

Wer einen Consent-Management-Banner einsetzt, kann Google Maps als eigene Kategorie führen. Vor der Einwilligung wird der Karten-Code nicht ausgeliefert. Wichtig:

• Der iframe-Code darf vor der Einwilligung nicht im HTML stehen — sonst lädt der Browser ihn unabhängig vom Banner.
• "Karten" oder "externe Inhalte" sollten als separate Kategorie auswählbar sein, nicht versteckt in "Marketing".

Welche Anforderungen ein konformer Banner erfüllen muss, beschreibt der Leitfaden Cookie-Banner DSGVO-konform.

Alternativen zu Google Maps

Wer den Einwilligungs-Aufwand vermeiden möchte, kann auf europäische Anbieter wechseln:

• OpenStreetMap als Datenquelle, eingebunden über Leaflet.js. Bei direkter Einbindung der demo-tiles laufen Anfragen an die OSM-Foundation in Großbritannien — kein US-Drittland, aber Drittland nach Brexit.
• MapTiler (Schweiz/Österreich) oder maptoolkit (Österreich) bieten Karten-Tiles in der EU und unterzeichnen Auftragsverarbeitungsverträge.
• Selbst gehostete OSM-Tiles auf eigener Infrastruktur. Aufwendig, aber rechtlich sauberer.
• Mapbox ist US-amerikanisch — hier gelten ähnliche Einwilligungsanforderungen wie bei Google.

Bei den meisten EU-Alternativen entfällt die Drittlandübermittlung. Eine Einwilligung kann trotzdem nötig sein, wenn Cookies gesetzt werden — das ist bei selbst gehosteten OSM-Tiles in der Regel nicht der Fall.

Was in die Datenschutzerklärung gehört

Wenn Google Maps eingebunden ist, muss die Datenschutzerklärung folgende Angaben enthalten:

• Name und Anschrift: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland; Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
• Zweck (Anzeige interaktiver Karten und Anfahrtsinformationen).
• Verarbeitete Daten (IP-Adresse, Geräteinformationen, Cookies, ggf. Standort).
• Rechtsgrundlage (Art. 6 Abs. 1 lit. a DSGVO — Einwilligung).
• Hinweis auf Drittlandübermittlung in die USA und die Grundlage (Data Privacy Framework).
• Hinweis auf die Google-Datenschutzerklärung und die Widerrufsmöglichkeit.

Was die Aufsichtsbehörden konkret sagen

Mehrere deutsche Landesbeauftragte für den Datenschutz haben sich zu Karten-Embeds geäußert. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit weist in seinen Hinweisen zu Webseiten darauf hin, dass interaktive Karten-Dienste regelmäßig eine Einwilligung benötigen, sobald sie beim Seitenaufruf Verbindungen zu Drittanbietern aufbauen. Der LfDI Baden-Württemberg argumentiert in seinen FAQ zu Cookies und Tracking ähnlich: Externe Inhalte, die personenbezogene Daten an Anbieter in den USA übermitteln, sind ohne Einwilligung nicht zulässig.

In der Praxis prüfen Aufsichtsbehörden im Beschwerdefall mit den Browser-Entwicklertools, wann genau die ersten Anfragen an maps.googleapis.com ausgehen. Wird die Anfrage vor der Banner-Interaktion gesendet, gilt der Verstoß als nachgewiesen.

Checkliste für die heutige Prüfung

1. Lädt die Seite Maps-Skripte ohne Einwilligung? Browser-Entwicklertools öffnen (F12), Network-Tab, Filter "maps.googleapis" oder "google.com/maps".
2. Steht ein Maps-Abschnitt in der Datenschutzerklärung?
3. Ist eine eigene Banner-Kategorie für Karten vorgesehen — oder wird Maps erst nach Klick geladen?
4. Werden eingebundene Karten vor der Einwilligung tatsächlich blockiert?

Wenn eine vollständige Migration zu einem EU-Anbieter zu aufwendig ist, ist die Zwei-Klick-Lösung in 90 Prozent der Fälle der schnellste Ausweg. Sie ist technisch einfach umzusetzen, kostet keine zusätzliche Lizenz, und sie ist eine der wenigen Konstellationen, die selbst eine pauschale Beschwerde durch eine Datenschutz-NGO weitgehend entkräftet — weil vor dem Klick technisch nichts passiert, kann auch nichts beanstandet werden.

Ähnlich wie bei der externen Einbindung von Google Fonts ist Google Maps eine der häufigsten Quellen für versehentliche DSGVO-Verstöße. Der kostenlose DSGVO-Scanner erkennt beide.