Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Apple MapKit JS ist das offizielle JavaScript-SDK, mit dem eine Website Apple Maps interaktiv einbettet, inklusive Kacheln, Geocoding, Suche und Routing, authentifiziert über einen JWT aus Ihrem Apple-Developer-Konto.
Apple MapKit JS ist die JavaScript-Implementierung von Apples Karten-SDK. Es spiegelt das native MapKit-API aus iOS und macOS und ermöglicht Webentwicklern, Apple Maps mit interaktiven Kacheln, Suche, Geocoding, Routen und Overlays einzubetten. Apple positioniert den Dienst als datenschutzorientierte Alternative zu Google Maps und Mapbox, mit einem kostenlosen Monatskontingent für die meisten Websites.
Aufrufe werden mit einem kurzlebigen JSON Web Token authentifiziert, der mit einem privaten Schlüssel aus Ihrem Apple-Developer-Account signiert wird. Der JWT geht an mapkit.init. Das SDK lädt Kacheln von cdn.apple-mapkit.com, holt Suchergebnisse und Routen von api.apple-mapkit.com und rendert die Karte. MapKit JS verlangt keine Apple-ID-Anmeldung der Nutzer.
Apple MapKit JS ist auf der Hostseite weitgehend cookielos. Die Apple-Server erhalten jedoch IP, User Agent, JWT (mit Team-ID und Origin), Kachelkoordinaten, Suchanfrage und Routenkoordinaten. Wird die Geolocation-API genutzt, können nach ausdrücklicher Zustimmung präzise GPS-Koordinaten an Apple übermittelt werden.
IP und Geolocation sind personenbezogene Daten. Auch ohne Drittanbieter-Cookies lädt das SDK Skripte von Apple, was als Zugriff auf das Endgerät über das unbedingt Erforderliche hinaus gilt. EU-Aufsichtsbehörden verlangen in der Regel eine vorherige Einwilligung für solche Embeds. Apple agiert zusätzlich als unabhängig Verantwortlicher für Service-Verbesserung, neben der Auftragsverarbeiter-Rolle für die angefragte Karte.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Apple Inc ist ein US-Unternehmen und betreibt Apple Maps Server mit Infrastruktur in EU und USA. Übermittlungen sind durch das EU-US Data Privacy Framework (Apple ist zertifiziert) und durch Standardvertragsklauseln abgedeckt. Dokumentieren Sie den Transfer im Verarbeitungsverzeichnis.
Nutzen Sie einen klickbaren Platzhalter, der Apple Maps, Apple Inc und den US-Transfer benennt. Blockieren Sie das Laden von mapkit.js standardmäßig in der CMP. Generieren Sie kurzlebige JWTs serverseitig, betten Sie keine langlebigen Secrets in die Seite ein und beschränken Sie den Origin-Claim auf Ihre Domains. Erwähnen Sie Apple Maps in der Datenschutzerklärung mit Datenkategorien und Transfermechanismus.
Websites using Apple MapKit JS must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA wird empfohlen auf Consumer-Flows, die MapKit JS mit präziser Geolocation kombinieren, insbesondere wenn die Karte auf jeder Seite geladen wird. Dokumentieren Sie die JWT-Kette, die Speicherung von Suchanfragen bei Apple, den Transfermechanismus und die Option eines datenschutzfreundlicheren Fallback-Maps.
Sample consent text
Wir binden Apple Maps (MapKit JS) ein, um Orte und Routen anzuzeigen. Die Karte wird von Apple geladen und verarbeitet Ihre IP und ungefähre Position auf Apple-Servern in der EU und den USA. Wir aktivieren sie erst nach Ihrer Zustimmung zur Kategorie Karten und Einbettungen.
Third-party domains contacted
cdn.apple-mapkit.comapi.apple-mapkit.comsat-cdn.apple-mapkit.commaps.apple.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| mk_token | localStorage | Session | Caches the developer issued JSON Web Token used to authenticate MapKit JS calls during the page session. |
| mk_locale | localStorage | 30 days | Stores the resolved locale and unit preferences used by MapKit JS to localise tiles and search results. |
Apple MapKit JS verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.
MapKit JS ist auf der Hostseite weitgehend cookielos, was es für datenschutzbewusste Websites attraktiv macht. Apple-Server erhalten dennoch technische Metadaten wie IP, User Agent, JWT-Claims und Suchanfragen bei jedem Kachel- oder API-Aufruf.
In den meisten Fällen ja. Das Laden von Skripten von cdn.apple-mapkit.com geht über das unbedingt Erforderliche hinaus, IP und Anfragen werden von einem US-Anbieter verarbeitet. EU-Aufsichtsbehörden verlangen in der Regel eine vorherige Einwilligung für eingebettete Karten.
Die sicherste Grundlage ist die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Berechtigtes Interesse kommt nur in Frage, wenn die Karte zwingend zur Erfüllung des Nutzerwunsches dient (z. B. Lieferadressen-Wähler), mit dokumentierter Abwägung.
Apple Maps Server wird weltweit von Apple Inc betrieben, mit EU- und US-Präsenz. Übermittlungen stützen sich auf das EU-US Data Privacy Framework und auf Standardvertragsklauseln. Ein Transfer Impact Assessment ist empfohlen.
Eine DSFA wird empfohlen, wenn MapKit JS mit präziser Geolocation, in Consumer-Flows in großem Umfang oder mit weiterem Tracking kombiniert wird. Dokumentieren Sie JWT-Kette, übermittelte Daten und Auswirkungen auf die Datenminimierung.
Nutzen Sie einen klickbaren Platzhalter, schalten Sie mapkit.js im CMP einwilligungspflichtig, generieren Sie kurzlebige JWTs serverseitig, beschränken Sie den Origin-Claim auf Ihre Domains und nennen Sie Apple Maps in der Datenschutzerklärung. Halten Sie eine statische Fallback-Karte bereit.
Alternativen: Google Maps, Mapbox, MapTiler, HERE Maps, Leaflet mit OpenStreetMap oder protomaps für vollständig selbst gehostete Vektorkacheln. MapTiler und protomaps unterstützen striktes EU-Hosting und passen oft besser zu europäischen Zielgruppen.
Listen Sie Apple MapKit JS auch ohne Drittanbieter-Cookies als Drittanbieter-Embed. Erklären Sie, dass IP und Suchanfragen von Apple in EU und USA verarbeitet werden, beschreiben Sie den JWT-Mechanismus und verlinken Sie die Apple-Datenschutzerklärung.