blueredix logo
SCAN Schwachstellenscans auf Abruf ab 149 €
high gdpr-google-maps-embedded

Google Maps ohne Consent-Gate eingebunden

Ein Live-Google-Maps-iframe schickt Besucher-IPs ohne Einwilligung an Google. Setzen Sie auf einen Klick-zum-Laden-Platzhalter oder die Maps-Static-API für einfache Ortsanzeigen.

Worum es geht

Ihre Seite bindet Google Maps auf die übliche Art ein:

<iframe src="https://www.google.com/maps/embed?pb=...">…</iframe>

Oder lädt die JavaScript-API. Beide Varianten übertragen IP-Adresse, User-Agent und die einbettende Seite an Google, sobald die Seite geparst wird. Die Mechanik entspricht Google Fonts. Einwilligung ist erforderlich.

Warum das wichtig ist

Die rechtliche Analyse entspricht dem Google-Fonts-Befund, und deutsche Gerichte haben für Maps in dieselbe Richtung entschieden.

  • LG Frankfurt am Main, 2-03 O 15/22 (Dezember 2022) hat dem Betreiber das Einbetten ohne Einwilligung untersagt.
  • Mehrere Abmahnverfahren 2023–2025 durch Wettbewerbsverbände und einzelne Betroffene.

Maps ist zudem deutlich “schwerer” als Fonts. Ein typisches Maps-iframe lädt mehrere Megabyte JavaScript, setzt mehrere Cookies und hält eine persistente Verbindung, solange die Seite offen ist. Die Datenexposition pro Besuch ist entsprechend größer.

So beheben Sie das

Für den typischen “Hier finden Sie uns”-Anwendungsfall auf einer Kontaktseite gibt es drei gute Optionen.

Variante A: Klick-zum-Laden-Platzhalter (beste UX, voller Funktionsumfang)

Das iframe durch ein statisches Bild ersetzen, das anbietet “klicken, um die interaktive Karte zu laden”. Beim Klick das iframe einsetzen. Die meisten Consent-Plattformen haben einen Maps-Wrapper, der das in einer einzelnen Einstellung erledigt. Für reines HTML:

<div id="map-placeholder">
  <img src="/images/map-static.png" alt="Karte mit unserem Standort">
  <button onclick="loadMap()">Interaktive Karte anzeigen</button>
</div>
<script>
function loadMap() {
  document.getElementById('map-placeholder').innerHTML =
    '<iframe src="https://www.google.com/maps/embed?…"></iframe>';
}
</script>

Variante B: Maps-Static-API-Bild (einfacher, einwilligungsfrei)

Für einen festen Marker an einem festen Ort ein einzelnes PNG zur Build-Zeit über die Google Maps Static API erzeugen und als reguläres Bild von Ihrem eigenen Server ausliefern. Der Browser der Besucherin spricht nie mit Google. Die kostenfreie Stufe deckt 28.000 Requests pro Monat ab, was für eine KMU-Webseite mehr als ausreichend ist.

Variante C: OpenStreetMap (kein Google involviert)

Leaflet plus OpenStreetMap selbst hosten. Volle Interaktivität, keine Drittanbieter-Frage, keine Abmahn-Exposition. Etwas mehr Setup-Aufwand als Maps, aber gut dokumentiert.

Einige deutsche Bundesländer bieten zudem eigene Karten-Dienste (meist als “AdminMap” bezeichnet) als Alternative.

Mehr dazu