Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

CARTO Data Observatory

Was macht CARTO Data Observatory?

Das CARTO Data Observatory ist ein Marktplatz für Geodaten und ein Anreicherungsdienst innerhalb der CARTO Plattform. Analysten abonnieren kuratierte Datasets (Demografie, POI, Mobilität, Wetter) und verknüpfen sie per SQL direkt in ihrem Cloud Data Warehouse.

Was das Data Observatory leistet

Das CARTO Data Observatory ist ein Katalog und eine Lieferebene für Geodaten innerhalb der CARTO Plattform. Nutzer durchsuchen Hunderte kuratierter Datasets aus Demografie, POI, Mobilität, Immobilien, Wetter und Verwaltungsgrenzen, abonnieren sie und führen räumliche Joins direkt in ihrem Cloud Warehouse aus (BigQuery, Snowflake, Redshift, Databricks). Daten fließen serverseitig über CARTO APIs, ohne den Warehouse Perimeter des Kunden zu verlassen. Das macht das Observatory zu einem Back Office Analytics Werkzeug. Nur die CARTO Marketing Site und die Plattform UI laden klassische Cookies.

Cookies und erfasste Daten

Auf der CARTO Website und der Plattform UI werden Cookies für Authentifizierung (Session, CSRF), Produkt Analytics (Mixpanel oder Amplitude), Support Chat (Intercom) und Marketing der Public Site (Google Analytics 4, HubSpot, LinkedIn Insight Tag) gesetzt. Im Observatory selbst werden überwiegend aggregierte Daten ausgetauscht, keine personenbezogenen. Personendaten erscheinen nur in Account Profilen, Abrechnung, Support Tickets und Audit Logs der Subskriptionen.

DSGVO und ePrivacy Pflichten

Für zahlende Kunden ist die Rechtsgrundlage Vertragserfüllung nach Art. 6(1)(b) DSGVO. Strikt notwendige Session Cookies sind nach § 25 TTDSG einwilligungsfrei. Marketing , Analytics und Support Cookies auf carto.com und Dashboards benötigen vorherige, freiwillige, spezifische, informierte und eindeutige Einwilligung. CARTO ist Auftragsverarbeiter für Kundendaten und Verantwortlicher für die Marketing Site. Kunden zeichnen den AVV und prüfen die Sub Processor Liste.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Datasets, Lizenzen, personenbezogene Daten

Die meisten Datasets sind nach Verwaltungseinheiten (NUTS, Postleitzahlen, Hexagone, Zensusblöcke) aggregiert und enthalten keine direkt identifizierenden Daten. Einige Mobility , Telco oder Geomarketing Datasets stammen jedoch aus personenbezogenen Daten und unterliegen speziellen Lizenzen. Kunden lesen jede Lizenz, identifizieren personenbezogene Quellen und dokumentieren die Rechtsgrundlage für Joins, insbesondere mit Kundenkennungen.

Internationale Datentransfers

CARTO operiert aus Spanien und den USA und nutzt AWS und Google Cloud. EU Kunden können EU only Deployments der Plattform anfragen, jedoch erfolgen Support und Corporate Funktionen über US Teams und Tools. Übermittlungen stützen sich auf SCCs, das EU US Data Privacy Framework bei zertifizierten Partnern und ergänzende Maßnahmen (Verschlüsselung, Zugriffskontrolle). Ein Transfer Impact Assessment für operative Metadaten ist Pflicht.

Praktische Compliance Schritte

Unterzeichnen Sie den CARTO AVV, hinterlegen Sie SCC und DPF Dokumente und wählen Sie die EU Region für sensible Deployments. Aktivieren Sie SSO, rollenbasierte Berechtigungen und Audit Logs. Schalten Sie Analytics und Chat Cookies auf carto.com nur nach Einwilligung frei. Lesen Sie jede Observatory Lizenz, dokumentieren Sie die Rechtsgrundlage für Joins mit personenbezogenen Daten und passen Sie die Speicherdauern an interne Vorgaben an.

GDPR consent category

Analytik

Websites using CARTO Data Observatory must obtain user consent under GDPR regulations.

Legal basisArticle 6(1)(b) GDPR contract performance for paid CARTO subscriptions, Article 6(1)(f) legitimate interest for security logs, and Article 6(1)(a) consent for non essential cookies on the marketing site under Article 5(3) ePrivacy.

Risk levellow

Applicable regulationsGDPR, ePrivacy Directive, EU US Data Privacy Framework, UK GDPR, LOPDGDD (Spain), Loi Informatique et Libertés, BDSG/TTDSG, Codice Privacy, plus dataset specific terms (e.g. Eurostat, INE, OpenStreetMap licences).

DPIA considerations

Eine vollständige DSFA ist meist entbehrlich, da das Observatory überwiegend aggregierte Geodaten serverseitig liefert. Sie wird empfohlen, sobald Kunden Datasets mit personenbezogenen Daten von EU Bürgern in größerem Umfang verknüpfen, vor allem Mobility , Telco oder feingranulare Soziodemografie. BfDI und EDSA stufen großflächige Geo Analysen als DSFA pflichtig ein.

Sample consent text

Wir nutzen CARTO und das Data Observatory zur Anreicherung unserer Analysen mit kuratierten Geodaten. Strikt notwendige Cookies sichern Ihre Sitzung. Analytics , Marketing und Chat Cookies werden nur mit Ihrer Einwilligung gesetzt und sind jederzeit anpassbar.

Technical details

Tracking methodServer-side geospatial data marketplace and enrichment API integrated with cloud data warehouses (BigQuery, Snowflake, Redshift, Databricks). Customer SQL workloads call CARTO endpoints to subscribe to or join curated geospatial datasets. The CARTO website itself loads marketing analytics, support widgets, and product cookies on authenticated dashboards.

Server locationSpain (Madrid) and the United States (AWS us-east-1, Google Cloud us-central1) operated by CARTO. European customers can opt for an EU region for the platform tenant.

Data transferred outside the EUAccount metadata, dashboard usage, and dataset subscription logs may be processed in the United States. Geospatial datasets themselves are typically aggregate or anonymous. Transfers rely on Standard Contractual Clauses and the EU US Data Privacy Framework certification of CARTO sub-processors.

Third-party domains contacted

carto.comapp.carto.comauth.carto.comdata.carto.comgoogleapis.comamazonaws.com

Cookies placed

Name	Type	Duration	Purpose
carto_session	first_party	Session	Authenticated session cookie for the CARTO platform UI.
carto_csrf	first_party	Session	Cross site request forgery protection token for the CARTO web application.
_ga	third_party	2 years	Google Analytics 4 measurement on the CARTO marketing website (loaded only after consent).
intercom-id	third_party	9 months	Identifies returning users in the Intercom support widget on the CARTO website.

CARTO Data Observatory erhebt Analyse-Daten — Sie benötigen rechtlich ein Cookie-Banner. Testen Sie FlowConsent kostenlos.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Setzt das Data Observatory Cookies bei meinen Besuchern?

Nein. Das Observatory liefert Daten serverseitig in Ihr Data Warehouse. Cookies werden nur auf der CARTO Marketing Site und in der Plattform UI für Ihre Analysten gesetzt.

Brauche ich eine Einwilligung für Dataset Abfragen?

Authentifizierte Session Cookies sind strikt notwendig. Analytics , Marketing und Support Cookies auf der Marketing Site oder in Dashboards benötigen vorherige Einwilligung nach § 25 TTDSG.

Welche DSGVO Rechtsgrundlage gilt?

Vertragserfüllung Art. 6(1)(b) für das Abonnement, berechtigtes Interesse 6(1)(f) für Sicherheitslogs und Einwilligung 6(1)(a) für nicht essenzielle Cookies.

Werden Daten in die USA übertragen?

Ja. Account Metadaten und Support Daten werden teilweise in den USA verarbeitet. Übermittlungen stützen sich auf SCCs und DPF Zertifizierungen der CARTO Sub Processors. Sensible Deployments lassen sich an die EU Region binden.

Brauche ich eine DSFA?

Für aggregierte Datasets meist nicht. Sie wird empfohlen, wenn Sie Mobility , Telco oder feinkörnige soziodemografische Daten mit personenbezogenen Daten verknüpfen.

Wie setze ich CARTO sicher ein?

Aktivieren Sie SSO, MFA, rollenbasierte Berechtigungen und Audit Logs. Wählen Sie die EU Region, verschlüsseln Sie Warehouse Credentials und prüfen Sie SOC 2 / ISO 27001 Berichte jährlich.

Gibt es EU gehostete Alternativen?

Ja. CARTO kann selbst in EU Regionen ausgerollt werden. Alternativen sind Mapbox (mit EU Optionen), HERE Technologies oder Open Source Stacks (Geoserver, PostGIS) in der EU, mit kleinerem Datenkatalog.

Wie beschreibe ich das Observatory in der Datenschutzerklärung?

Nennen Sie CARTO als Auftragsverarbeiter, beschreiben Sie UI, Katalog, Lieferweg ins Warehouse, EU US Transfers und Schutzmaßnahmen (SCCs, DPF, EU Region, Verschlüsselung). Verlinken Sie Datenschutzerklärung und AVV.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note