Google Maps und DSGVO: Lässt sich eine Karte konform einbinden?

Eine direkt eingebettete Google-Maps-Karte lädt beim Aufruf deiner Seite Inhalte von Google-Servern — und überträgt dabei die IP-Adresse deiner Besucher an Google, bevor jemand zugestimmt hat. Das gilt als datenschutzrechtlich heikel und sollte geprüft werden. Verboten ist eine Karte nicht; entscheidend ist, ob sie erst nach einer Einwilligung lädt. Die gute Nachricht: Es gibt mehrere saubere Wege, eine Karte einzubinden.

  • Erkennt direkte Maps-Einbettungen automatisch
  • Prüft auf vorhandenes Consent-Management
  • Sofort-Report
  • Server in Deutschland 🇩🇪

Lädt deine Seite Google Maps ohne Consent-Wrapper? Jetzt prüfen

URL eingeben — in unter 60 Sekunden siehst du, ob deine Website eine Google-Maps-Karte direkt einbettet (maps.google / maps.googleapis) und ob ein Consent-Management-Tool erkannt wird. Kostenlos und ohne Registrierung.

Warum die direkte Maps-Einbindung datenschutzrechtlich heikel ist

Google Maps ist auf Kontakt- und Standortseiten allgegenwärtig: Ein Geschäft zeigt seine Adresse, eine Praxis ihren Standort, ein Restaurant den Weg zur Tür. Der Standard-Weg, den viele Website-Baukästen und Anleitungen vorschlagen, bettet die Karte über einen iframe direkt von maps.google.com oder maps.googleapis.com ein. Das ist bequem — hat aber eine technische Konsequenz.

Damit der Browser die Karte anzeigen kann, baut er beim Laden der Seite eine Verbindung zu Google auf. Dabei wird die IP-Adresse des Besuchers an Google übertragen, zusammen mit weiteren Geräte- und Standortinformationen. Diese Server stehen teils in den USA. Die IP-Adresse gilt nach ständiger Rechtsprechung als personenbezogenes Datum. Es handelt sich also um eine Übermittlung personenbezogener Daten an einen Dritten in einem Drittland — und das passiert, bevor der Besucher überhaupt mit einem Cookie-Banner interagieren konnte.

Rechtlich berühren sich hier zwei Punkte. Erstens § 25 TDDDG (das frühere TTDSG, 2024 umbenannt): Der Zugriff auf Informationen im Endgerät des Nutzers und das Speichern darauf sind nur mit dessen vorheriger Einwilligung zulässig, sofern sie nicht technisch unbedingt erforderlich sind. Eine Karte ist in der Regel nicht unbedingt erforderlich. Zweitens die Übermittlung der IP-Adresse an einen US-Anbieter, die unter dem Aspekt der Drittlandübermittlung nach Art. 44 DSGVO betrachtet wird — derselbe rechtliche Bezugspunkt, den auch der DSGVO Risk Checker zu diesem Punkt nennt.

Wichtig zur Einordnung, ohne zu übertreiben: Das ist kein automatischer „Verstoß", sondern ein Punkt, der geprüft werden sollte und der problematisch sein kann. Seit 2023 besteht das EU-US Data Privacy Framework, unter dem Google zertifiziert ist, was die Lage zum Drittlandtransfer entspannt hat. Die ungefragte Übertragung der Besucher-IP beim Seitenaufruf bleibt aber ein heikler Punkt, den Datenschutzbehörden im Blick haben. Da die Korrektur unkompliziert ist, lohnt es sich, die direkte Einbindung gar nicht erst stehen zu lassen.

Bettet deine Seite Maps direkt ein? So prüfst du es

Bevor du etwas änderst, solltest du wissen, ob deine Seite überhaupt betroffen ist. Zwei einfache Wege, das selbst zu prüfen:

1. Quelltext durchsuchen

Öffne deine Seite und schau dir den Quelltext an (Rechtsklick → „Seitenquelltext anzeigen" oder Strg+U). Suche mit Strg+F nach maps.google oder maps.googleapis. Findest du einen <iframe> mit einer solchen src, bettet deine Seite eine Karte direkt ein.

2. Netzwerk-Analyse in den Entwicklertools

Drücke F12, wechsle auf den Reiter Netzwerk (Network), lade die Seite neu und filtere nach maps.google oder googleapis. Jede Anfrage, die hier bereits beim Laden der Seite — vor jeder Zustimmung — erscheint, ist ein direkter Aufruf an Google.

Wer es nicht manuell machen will: Der DSGVO Risk Checker übernimmt beide Prüfungen automatisch. Ehrlich zum Umfang — er zeigt, ob ein Maps-iframe direkt (ohne Consent-Wrapper) lädt und ob ein Consent-Management-Tool erkannt wird. Findet er eine direkte Einbettung ohne Consent-Wrapper, gibt er dazu einen Warnhinweis mit Einordnung und Lösungsweg aus. Einen vollständigen Audit jedes einzelnen Datenflusses führt der Checker nicht durch — er ist der schnelle Einstieg, nicht das juristische Schlusswort.

Sicher gehen statt raten

Gib deine URL ein — der Checker durchsucht Quelltext und Netzwerk-Anfragen nach direkten Maps-Einbettungen und gleicht das mit dem Vorhandensein eines Consent-Tools ab.

Die Lösungen: Klick-zum-Laden, OpenStreetMap, Static Maps

Eine Karte lässt sich datenschutzfreundlich einbinden — der Schlüssel ist, dass keine Verbindung zu Google entsteht, bevor der Besucher zugestimmt hat. Dafür gibt es mehrere bewährte Wege, die sich auch kombinieren lassen:

1. Klick-zum-Laden-Wrapper (Two-Click-Lösung)

Statt der echten Karte zeigt die Seite zunächst nur ein Vorschaubild oder eine Hinweisfläche. Erst wenn der Besucher aktiv klickt und damit zustimmt, wird der Google-Maps-iframe nachgeladen. So findet vor der Einwilligung keine Verbindung zu Google statt — die IP-Übertragung erfolgt erst nach der bewussten Entscheidung des Besuchers. Das ist der direkteste Weg, Google Maps weiter zu nutzen und trotzdem die Einwilligung sauber abzubilden.

2. OpenStreetMap / Leaflet als neutrale Alternative

Wer auf Google verzichten kann, bindet eine Karte über OpenStreetMap ein — häufig mit der freien JavaScript-Bibliothek Leaflet. Das Kartenmaterial stammt aus einem offenen Projekt, und je nach gewähltem Tile-Server lässt sich die Lösung datenschutzfreundlich betreiben. Für viele Kontaktseiten reicht eine OpenStreetMap-Karte vollkommen aus und vermeidet den Datenabfluss zu Google von vornherein.

3. Statisches Kartenbild (Static Maps)

Oft braucht eine Kontaktseite gar keine interaktive Karte, sondern nur ein Bild des Standorts. Ein statisches Kartenbild ist ein einfaches Bild ohne Live-Verbindung — du hinterlegst es mit einem Link, der den Besucher bei Bedarf zur vollständigen Karte führt. Erst dieser bewusste Klick stellt eine Verbindung her. Das deckt den häufigsten Anwendungsfall — „zeig mir, wo ihr seid" — ohne ungefragten Datenabfluss ab.

4. CMP-Integration über „Externe Medien"

Setzt du bereits eine Consent-Management-Platform ein, ordnest du Google Maps der Kategorie „Externe Medien" zu. Die Karte wird dann erst geladen, wenn der Besucher dieser Kategorie zugestimmt hat. Wichtig ist, dass die CMP den iframe tatsächlich bis zur Zustimmung zurückhält und ihn nicht nur nachträglich „abdeckt".

Ein Hinweis zur Klarstellung im Sinne der Ehrlichkeit: Der DSGVO Risk Checker findet, ob eine Karte direkt ohne Consent-Wrapper eingebettet ist, und ordnet das ein — er baut weder einen Klick-Wrapper noch tauscht er deine Karte gegen OpenStreetMap aus. Die Umstellung nimmst du oder dein Webentwickler vor. Genau dafür ist der Befund da: damit du weißt, wo du ansetzen musst. Den Gesamtüberblick liefert der vollständige DSGVO Check.

Google Maps DSGVO-konform einbinden — Schritt für Schritt

Unabhängig davon, für welche Lösung du dich entscheidest, läuft die konforme Umstellung in der Regel nach demselben Muster ab:

  1. Bestehende Einbettungen finden — durchsuche deinen Quellcode nach maps.google beziehungsweise maps.googleapis und notiere jede Stelle, an der eine Karte direkt geladen wird.
  2. Lösung wählen — Klick-zum-Laden-Wrapper, wenn es Google Maps bleiben soll; OpenStreetMap/Leaflet oder ein statisches Bild, wenn du den Datenabfluss ganz vermeiden willst.
  3. Direkten iframe ersetzen — den bisherigen Direkt-iframe entfernen und durch den gewählten Mechanismus ersetzen, sodass vor der Zustimmung keine Verbindung zu Google entsteht.
  4. Datenschutzerklärung ergänzen — wenn weiterhin Google Maps zum Einsatz kommt, gehört der Dienst transparent in die Datenschutzerklärung.
  5. Ergebnis prüfen — im Netzwerk-Tab darf beim ersten Seitenaufruf keine Anfrage an maps.google oder googleapis mehr erscheinen, bevor der Besucher geklickt hat.

Dasselbe Grundprinzip betrifft übrigens auch andere extern eingebundene Dienste. Verwandt sind etwa eingebettete YouTube-Videos, der Google Tag Manager und direkt geladene Google Fonts — in allen Fällen geht es darum, dass keine personenbezogenen Daten ungefragt an einen Drittserver abfließen.

Was der DSGVO Risk Checker bei Maps prüft

Damit du weißt, was du bekommst — ohne Übertreibung: Der Checker durchsucht den HTML-Quelltext und die tatsächlichen Netzwerk-Anfragen deiner Seite nach direkten Google-Maps-Einbettungen (maps.google, maps.googleapis oder google.com/maps). Das Ergebnis gleicht er mit dem Vorhandensein eines Consent-Tools ab. Findet er eine direkte Einbettung ohne Consent-Wrapper, gibt er einen Warnhinweis aus, ordnet ihn rechtlich ein (Art. 6 und Art. 44 DSGVO) und nennt die Lösungswege. Findet er keine direkt eingebettete Karte, gilt dieser Prüfpunkt als bestanden.

Was der Checker bewusst nicht behauptet: Er entscheidet nicht, ob die Einbindung in deinem Fall „rechtswidrig" ist, und er führt keinen vollständigen Audit jedes einzelnen Datenflusses durch. Er zeigt die Fakten — Karte direkt eingebettet ja/nein, Consent-Management ja/nein — und überlässt die rechtliche Bewertung dir und gegebenenfalls deinem Anwalt. Google Maps ist dabei nur einer von über 60 technischen Prüfpunkten. Du bekommst einen priorisierten Überblick, was auf deiner Seite Aufmerksamkeit verdient und in welcher Reihenfolge.

Prüfe kostenlos, ob Maps ohne Consent-Wrapper lädt

Kostenloser Scan, kein Konto nötig, sofortiges Ergebnis.

  • Erkennt direkte Google-Maps-Einbettungen automatisch
  • Gleicht die Karte mit vorhandenem Consent-Management ab
  • Rechtliche Einordnung statt nur „Fehler gefunden"
  • Konkrete Lösungswege: Klick-zum-Laden, OpenStreetMap, Static Maps
  • 60+ weitere DSGVO-Prüfpunkte inklusive
  • Server in Deutschland — keine Speicherung deiner Inhalte

Häufige Fragen

Ist Google Maps auf einer Website verboten?

Nein, Google Maps ist nicht pauschal verboten. Datenschutzrechtlich heikel ist die direkte Einbettung über einen iframe von maps.google.com oder maps.googleapis.com, weil dabei schon beim Laden der Seite die IP-Adresse und weitere Daten der Besucher an Google übertragen werden — bevor jemand zugestimmt hat. Mit einem Klick-zum-Laden-Wrapper, einer Consent-Lösung oder einer statischen Alternative lässt sich eine Karte datenschutzfreundlich einbinden.

Brauche ich für Google Maps eine Einwilligung?

Für eine direkt eingebettete Google-Maps-Karte sollte vor dem Laden eine Einwilligung eingeholt werden. Beim Laden werden Informationen vom Endgerät des Besuchers abgerufen und übertragen; § 25 TDDDG verlangt dafür grundsätzlich die vorherige Einwilligung, sofern es nicht technisch unbedingt erforderlich ist. Eine Karte ist in der Regel nicht unbedingt erforderlich. Hinzu kommt die Übermittlung der IP-Adresse an Google (Art. 44 DSGVO, Drittlandübermittlung). Lädt die Karte erst nach einem Klick des Besuchers, ist die Einwilligung sauber dokumentiert.

Welche datenschutzfreundliche Alternative gibt es zu Google Maps?

Die bekannteste neutrale Alternative ist OpenStreetMap, häufig eingebunden über die JavaScript-Bibliothek Leaflet. Das Kartenmaterial stammt aus einem offenen Projekt, und je nach gewähltem Tile-Server lässt sich die Lösung datenschutzfreundlich betreiben. Eine weitere Option ist ein statisches Kartenbild: ein einfaches Bild der Karte, das keine Live-Verbindung zu Google aufbaut, mit einem Link, der bei Bedarf zur vollständigen Karte führt.

Was ist ein Klick-zum-Laden-Wrapper für Google Maps?

Ein Klick-zum-Laden-Wrapper (auch Two-Click-Lösung) zeigt zunächst nur ein Vorschaubild oder eine Hinweisfläche statt der echten Karte. Erst wenn der Besucher aktiv darauf klickt und damit zustimmt, wird der Google-Maps-iframe nachgeladen. So findet vor der Einwilligung keine Verbindung zu Google statt — die IP-Übertragung erfolgt erst, nachdem der Besucher bewusst entschieden hat.

Reicht ein Cookie-Banner aus, damit Google Maps konform ist?

Ein Banner allein genügt nicht automatisch. Entscheidend ist, dass die Karte tatsächlich erst nach der Einwilligung geladen wird. Bindet die Seite Maps weiterhin direkt ein, während der Banner nur darüber informiert, wird die IP bereits beim Seitenaufruf übertragen. Der Banner muss mit einem echten Consent-Mechanismus verbunden sein, der den Maps-iframe bis zur Zustimmung zurückhält — etwa über die Kategorie „Externe Medien“ einer Consent-Management-Platform.

Was prüft der DSGVO Risk Checker bei Google Maps genau?

Der Checker durchsucht Quelltext und Netzwerk-Anfragen deiner Seite nach direkten Google-Maps-Einbettungen (maps.google, maps.googleapis oder google.com/maps) und gleicht das mit dem Vorhandensein eines Consent-Tools ab. Wird eine direkte Einbettung ohne Consent-Wrapper gefunden, gibt er einen Warnhinweis mit rechtlicher Einordnung und Lösungswegen aus. Einen vollständigen Audit jedes einzelnen Datenflusses führt er nicht durch — er zeigt, ob eine Karte direkt eingebettet ist und ob ein Consent-Management vorhanden ist.

Verwandte Themen

Pillar: vollständiger DSGVO Check → Verwandt: Google Fonts und DSGVO — abmahnbar? → Verwandt: YouTube einbetten und DSGVO → Verwandt: Google Tag Manager und DSGVO → Verwandt: Google Analytics und DSGVO →