In Sachen DSGVO meint man eher nur schlechte Nachrichten zu hören. Heute haben wir aber gute. Jedenfalls, wenn Sie auf Ihrer Webseite eine Google Maps Karte eingebunden haben. Google hat sich bezüglich seines Kartendienstes nun der DSGVO angenommen und eine (halbwegs schöne) Lösung für den DSGVO-konformen Einsatz der Google Maps API geschaffen.
Was ist die Google Maps API und welche Daten werden hierbei verarbeitet?
Die Google Maps API ermöglicht es Ihnen als Webseitenbetreiber kostenlos und einfach eine Google Maps Karte auf der eigenen Homepage darzustellen.
Da die Karten von Google Maps auf Googles eigenen Servern liegen, müssen die Karteninhalte beim Aufruf Ihrer Webseite durch den Nutzer (bzw. automatisch durch dessen Browser) bei Google heruntergeladen werden. Für diese Verbindung erhält Google die IP-Adresse des Nutzers und diese ist seit der DSGVO nunmehr unumstritten auch ein personenbezogenes Datum, das im Sinne der DSGVO verarbeitet werden muss.
Welche Nutzerdaten die Google Maps API noch erhebt und verarbeitet (z.B. Standortdaten und sonstige Informationen über das Nutzerendgerät u.a.), wird seitens Google bislang nicht offengelegt. Die Datenschutzerklärung von Google erläutert nicht, welche Daten explizit von der Google Maps API erhoben werden. Und diesbezügliche Anfragen im Google Maps Hilfeforum bleiben bislang unbeantwortet, vgl. hier. Doch dies nur am Rande. Gehen wir zunächst im Guten einfach davon aus, dass nur die IP-Adresse verarbeitet wird.
Bisherige Rechtslage bei der Nutzung der Google Maps API
Bis dato war unklar, wie die Verarbeitung von Daten durch die Google Maps API DSGVO-konform umgesetzt werden kann. Hier wurden verschiedene Auffassungen vertreten. Wer hier ganz sichergehen wollte, musste auf andere Kartendienste wie bspw. OpenStreetMap ausweichen.
Google ergänzt die Nutzungsbedingungen der Google Maps API um einen Joint Control Contract
Nun hat hat Google seine Nutzungsbedingungen für die Google Maps API aktualisiert. Bestandteil der Nutzungsbedingungen ist nun auch ein Vertrag über die gemeinsame Verantwortlichkeit (sog. Joint Control Contract – kurz JCC) zwischen Google und den Webseitenbetreibern. (Den Vertrag können Sie hier einsehen. Er ist leider nur auf Englisch verfügbar.)
Was ist ein Joint Control Contract?
Ein Joint Control Contract ist ein Vertrag zwischen mehreren Stellen, die gemeinsam für eine Datenverarbeitung verantwortlich sind (gemeinsam verantwortlich – joint control).
Nun muss man zunächst fragen, was eine gemeinsame Verantwortung ist:
Gegenüber der alleinigen Verantwortlichkeit sind nun mehrere Stellen gemeinsam für eine Datenverarbeitung verantwortlich, d.h. die Verantwortung verteilt auf diese mehreren Stellen.
Wann eine gemeinsame Verantwortlichkeit vorliegt, das macht das Gesetz nach Art. 26 DSGVO von den gemeinsamen Zwecken und Mitteln der Verarbeitung abhängig. Einfach ausgedrückt: Zur Datenverarbeitung teilen sich die gemeinsam Verantwortlichen nicht nur dieselbe Hardware/Software (Mittel der Verarbeitung), sondern verfolgen hierbei auch dieselben Interessen (Zwecke der Verarbeitung). Beispiel: Nutzen Sie wie viele andere Kunden ein SaaS-Produkt, sind nicht gleich alle Kunden gemeinsam Verantwortliche, da jeder unterschiedliche Zwecke verfolgt. Anders liegt es beispielsweise bei mehreren Konzernunternehmen, die Kundendaten im konzerneigenen CRM-System verwalten. Diese können gemeinsame Verantwortliche im Sinne des Art. 26 DSGVO sein. Nach einer Entscheidung des EuGH – C210/16 – am 05. Juni 2018 besteht sogar zwischen Seitenbetreibern einer Facebook Fanpage und Facebook eine gemeinsame Verantwortlichkeit (Frau Rechtsanwältin Nina Diercks hat zu dem Urteil in diesem Blogbeitrag berichtet.).
Von den gemeinsam Verantwortlichen verlangt das Gesetz nun, dass diese in einer Vereinbarung die jeweiligen Pflichten eines Verantwortlichen untereinander aufteilen. Und diese Vereinbarung nennt man den Vertrag über die gemeinsame Verantwortlichkeit, Joint Control Contract (kurz JCC) oder auch Joint Controllership Agreement.
Im Fall der Google Maps API liegt es so: Der Zweck der Verarbeitung ist die Darstellung der Karte auf der Webseite und das Mittel der Verarbeitung ist die API selbst. Damit ist der Webseitenbetreiber sowie Google gemeinsam verantwortlich für die im Rahmen der Google Maps API verarbeiteten Daten.
Entspricht der JCC von Google den Anforderungen von Art. 26 DSGVO?
Zugegeben, der Joint Control Contract von Google ist sehr simpel gestaltet. Nach Ziffer 4.1 (a) bis (c) tragen sowohl Sie als Webseitenbetreiber als auch Google schlicht alle Rechte und Pflichten gleichermaßen selbst. Das erscheint nicht ganz so „gemeinsam“, wie sich das der Gesetzgeber gedacht haben mag. Aus der Sicht der Webseitenbetreiber kann jedoch argumentiert werden, dass der Vertrag die wesentlichen Elemente enthält, die das Gesetz verlangt. Zudem soll der Vertrag soll die tatsächliche Beziehung der Vertragsparteien widerspiegeln. Und weder sind Sie als Webseitenbetreiber noch ist Google (als Anbieter der kostenlosen Maps API) daran interessiert, sich mit dem JCC mehr als nötig wechselseitig zu verpflichten. Und letztlich ist auch zu berücksichtigen, dass es „nur“ um die Verarbeitung von ohnehin pseudonymen IP-Adressen geht, die zur Darstellung der Karteninhalte zudem technisch zwingend erforderlich sind.
Ob der Joint Control Contract auch künftigen aufsichtsbehördlichen Einschätzungen genügen wird, lässt sich an dieser Stelle noch nicht prognostizieren. Um ehrlich zu sein, ist dies wohl fraglich. Doch ähnlich wie bei den Facebook-Seiten werden die Aufsichtsbehörden kaum unmittelbar gegen die einzelnen Seitenbetreiber vorgehen, sondern sich in erster Linie an Google wenden und Nachbesserungen an dem JCC verlangen.
Was sollten Sie jetzt tun?
Sofern Sie die Google Maps API auf Ihrer Webseite verwenden, müssen Sie, um den Joint Control Contract mit Google zu schließen, nichts weiter tun, als den Nutzungsbedingungen für die Google Maps API zuzustimmen. Denn der Joint Control Contract ist ein Bestandteil der Nutzungsbedingungen. (Die Nutzungsbedingungen finden Sie hier. Der JCC wird dort nach Ziffer 4.5.2. einbezogen.)
Im Übrigen sollten Sie noch folgende Änderungen in Ihrem Verzeichnis von Verarbeitungstätigkeiten sowie in Ihrer IDV Webseite (Informationen zur Datenverarbeitung bzw. Datenschutzerklärung) vornehmen:
Anpassungen in Ihrem Verzeichnis für Verarbeitungstätigkeiten:
- Achten Sie darauf, dass bei den „Empfängern von Daten“ im Bereich Ihrer Webseite angegeben ist: Google Maps, Google LLC
- Im Abschnitt „Übermittlung von personenbezogenen Daten an ein Drittland oder eine internationale Organisation“ sollten Sie hinsichtlich Ihrer Webseite folgendes aufnehmen bzw. anpassen:
Google Maps, Google LLC.
Auf der Webseite ist Google Maps über eine API eingebunden, um geographische Informationen visuell darzustellen. Zur Darstellung der Karte ist die Verarbeitung der IP-Adresse durch Google LLC. zwingend erforderlich.
Google LLC. ist Privacy Shield zertifiziert. Die Zusammenarbeit mit Google LLC in datenschutzrechtlicher Hinsicht erfolgt auf der Grundlage eines abgeschlossenen Vertrags über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO, abrufbar unter https://privacy.google.com/intl/de/businesses/mapscontrollerterms/.
Im Übrigen tritt der Nutzer durch die Nutzung von Google Maps unmittelbar mit Google in ein Nutzungsverhältnis.
Anpassungen in den Informationen zur Datenverarbeitung (auch Datenschutzerklärung) zu Ihrer Webseite
Ihre Informationen zur Datenverarbeitung auf Ihrer Webseite (auch Datenschutzerklärung genannt) sollten im Abschnitt „Umfang und Zweck der Datenerhebung und –speicherung“ bzgl. Google Maps wie folgt ergänzt werden:
Google Maps
Damit Sie uns leichter finden können, haben wir in unsere Webseite Kartenmaterial des Dienstes Google Maps von Google LLC über eine API eingebunden. Um die Inhalte in Ihrem Browser darstellen zu können, muss Google Ihre IP-Adresse erhalten, denn sonst könnte Ihnen Google diese eingebundenen Inhalte nicht liefern.
Die Rechtsgrundlage dieser Datenverarbeitung ist Art. 6 Abs. 1 b) DSGVO, da die IP-Adresse benötigt wird, um Ihnen die Inhalte liefern zu können. Bei dieser Verarbeitung erfolgt unsere Zusammenarbeit mit Google auf Grundlage eines Vertrags über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO, der hier abgerufen werden kann.
Weitere Informationen zur Datenverarbeitung durch Google finden Sie in den Datenschutzrichtlinien von Google unter https://www.google.de/intl/de/policies/privacy/.
Update – 13.08.2018 –
Klarstellend ist zu ergänzen: Der JCC von Google ist keine Reaktion auf das Urteil des EuGH zur Facebook-Fanpage vom 05.06.2018, da der JCC schon früher veröffentlicht wurde. (Eine erste Veröffentlichung ist auf den Oktober 2017 datiert. Die Einbeziehung in die Nutzungsbedingungen erfolgte hiernach offenbar am 01.05.2018.)
Zur Diskussion auf Twitter mit Dr. @MalteEngeler dazu, ob der Vertrag tatsächlich als JCC eingeordnet werden kann, vgl. diesen Twitter-Thread.
Hallo,
dieser „Contract“ ist ein gesetzlich nicht vorgeschriebener Controller-Controller Vertrag, aber kein sog. „Joint Controller“ Vertrag nach Art. 26 DSGVO.
Nach dem Google Text soll es zwei Verantwortliche geben, jedoch wird weder die sprachliche Verwendung „Joint“ auch nur einmal benutzt, noch werden die Anforderungen aus insbesondere Art. 26 Abs. 1 S. 2 DSGVO erfüllt. So ist bspw. nicht festgelegt, wer für die Betroffenenrechte verantwortlich ist.
Happy to discuss.
Guten Morgen!
Es ist richtig, dass der Vertrag an keiner Stelle von einer gemeinsamen Verantwortlichkeit spricht, was für die rechtlichen Einordnung als JCC jedoch nicht hinderlich ist. Webseitenbetreiber und Google erfüllen die Anforderungen einer gemeinsamen Verantwortlichkeit aus Art. 26 DSGVO durch die gemeinsamen Zwecke und Mittel der Verarbeitung der IP-Adresse des Nutzers. Und der Vertrag trifft nach Ziffer 4.1 sehr wohl Regelungen zur die Verteilung von Verantwortlichkeiten (beide erfüllen die Pflichten eines Verantwortlichen jeweils selbst). Daher sind die Verantwortlichen beide nach Ziff. 4.1 (c) jeweils Anlaufstelle für die Rechte der Betroffenen.
Herzliche Grüße
Hallo Frau Dierks
Sehr spannend, vielen Dank für den Beitrag. Mir fällt in diesem Zusammenhang langsam auf wie oft von ADVs gesprochen wird, aber selten von JCC. Könnte es sein, dass hier oft fälschlicherweise Verträge basierend auf Art. 26 statt 28. vereinbart werden?
Wie sieht es denn eigentlich bei Google Fonts aus? Ich finde hier keine Möglichkeit mit Google Verträge zu schliessen, ist das noch Grauzone?
Hallo Herr von Allmen,
dass die Zahl der Auftragsverarbeitungsverträge die der Joint Control Contracts überwiegt, liegt an der Natur dieser unterschiedlichen Verarbeitungsbeziehungen. Getreu dem Grundsatz „Vertrauen ist gut, Kontrolle ist besser“ wird eine alleinige Verantwortlichkeit einer gemeinsamen vorgezogen.
Ob Datenverarbeitungen fälschlicherweise als Auftragsverarbeitung statt als gemeinsame Verantwortlichkeit eingeordnet werden, das muss im Einzelfall geprüft werden. Da derzeit viele Verantwortliche noch immer fieberhaft an der Umsetzung der DSGVO arbeiten und in dem Zusammenhang mit einer Vielzahl an Dienstleistern und Dritten Verträge schließen müssen, wird hier nach meiner Erfahrung mit einem noch eher groben Maß gemessen.
Doch das (mehr oder weniger) überraschende Urteil des EuGH zur Facebook-Fanpage zeigt, dass das Institut der gemeinsamen Verantwortlichkeit von vielen unterschätzt wurde.
Bei den Google Fonts hat Google nach meinem Kenntnisstand noch keinen vergleichbaren Vertrag in die Nutzungsbedingungen aufgenommen. Ich würde das begrüßen. Aber bis dahin kann nur dazu geraten werden, die Fonts von Google lokal zu hosten.
Herzliche Grüße
Sehr geehrter Frau Dierks,
vielen Dank für die interessante Darstellung.
Ich finde die Rechtsgrundlage gemäß Art. 6 Abs. 1 b als Legitimation für die Übertragung der IP meiner Webseiten-Besucher charmant, frage mich aber, ob die Verpflichtung zur Akzeptanz der Nutzungsbedingungen ausreicht, um über eine vertrage Grundlage zu sprechen.
Auch wenn ich diesen Vertrag mit Google habe, rechtfertigt das dann wirklich die Übertragung der IP meiner Webseitenbesucher an Google? Schließlich gäbe es ja alternative Kartendienste innerhalb der EU. Und ich kann ja nicht vor der Datenübertragung informieren, sondern sobald der Nutzer die Datenschutzerklärung aufruft, hat Google ja bereits die IP im Zweifelsfall erhalten.
Wie sehen Sie das? Über eine kurze Stellungnahme wäre ich sehr dankbar.
Sehr geehrte Frau Spieker,
nein, die Nutzungsbedingungen oder der JCC, welche zwischen Ihnen als Seitenbetreiber und der Google LLC zustande kommen, sind nicht geeignet, die hier dargestellte Verarbeitung der IP-Adressen zu legitimieren.
Die oben im Artikel genannte Rechtsgrundlage des Art. 6 Abs. 1 lit. b DSGVO bezieht sich auf das Rechtsverhältnis zwischen den Besuchern der Webseite und dem Seitenbetreiber bzw. dritten Inhalteanbietern (z.B. Google Maps). Sie fragen sich nun wahrscheinlich, wie ein solches Rechtsverhältnis zustande kommt. Dazu muss ich etwas weiter ausholen:
Denn die Frage, auf welcher Rechtsgrundlage die IP-Adressen, die zur Darstellung einer Webseite durch den Webserver zwingend verarbeitet werden müssen, verarbeitet werden, ist bis dato noch nicht letztendlich geklärt.
Teilweise wird vertreten, dass diese Datenverarbeitung auf der Basis von Art. 6 Abs. 1 lit. f DSGVO erfolgt. [Jedenfalls hinsichtlich der vorübergehenden Speicherung der IP-Adressen zwecks Vorbeugung von missbräuchlichen Nutzungen (Stichwort „DDoS-Attacken“) mag es zutreffen, dass die berechtigten Interessen des Seitenbetreibers überwiegen (vgl. Erwägungsgrund 47 DSGVO).] Wird die IP-Adresse jedoch zwecks Darstellung der Webseite selbst (kurzfristig) verarbeitet – auf dieser Verarbeitung basiert letztlich jede Internetverbindung, bzw. also das Internet selbst – ist eine Abwägung der widerstreitenden Interessen iSd. Art. 6 Abs. 1 lit. f DSGVO meiner Meinung nach unstatthaft. Denn die Verarbeitung erfolgt nicht primär aufgrund von berechtigten Interessen des Seitenbetreibers, sondern auch bzw. sogar maßgeblich im Interesse des Besuchers, der den Verbindungsaufbau und den Webseitenabruf ja gerade selbst initiiert und damit über das „Ob“ der Verarbeitung selbst entscheidet.
Aus dem Grund basiert die besagte Verarbeitung der IP-Adresse nach meinem Dafürhalten auf einem vertragsähnlichen Nutzungsverhältnis zwischen Seitenbetreiber und Besucher, sodass die Rechtsgrundlage des Art. 6 Abs. 1 lit. b DSGVO einschlägig ist.
Lange Rede kurzer Sinn: Sofern der Besucher einer Webseite Inhalte von einem Webserver abruft, wird die dabei technisch zum Seitenabruf erforderliche IP-Adresse auf der Grundlage eines vertragsähnlichen Nutzungsverhältnisses verarbeitet. Rechtsgrundlage ist damit Art. 6 Abs. 1 lit. b DSGVO.
Abgesehen davon haben Sie natürlich Recht, dass es technisch nicht möglich ist, den Betroffenen schon in dem Moment, in dem er sich für den Besuch einer Webseite entscheidet, über die damit verbundene Datenverarbeitung zu informieren. Doch diesem Problem können Sie nicht durch das Ausweichen auf andere Kartendienste in der EU umgehen. Denn wie oben dargestellt erfolgt die Verarbeitung der IP-Adresse bei jeder Internetverbindung zu einem Webserver, sei es Ihr eigener oder der eines alternativen Kartendienstes.
Ich hoffe Ihnen damit weitergeholfen zu haben.
Herzliche Grüße