Da könnte ich technisch theoretisch mit Dir mitgehen, weil ein Besucher theoretisch ja Javascript (siehe oben: Leaflet) deaktivieren könnte oder grundsätzlich mit einer IP-Whitelist arbeiten könnte, aber dies wird - zumindest in DE - unter Juristen inzw. zunehmend anders gesehen, siehe z.B. https://www.gesetze-bayern.de/Content/Document/Y-300-Z-GRURRS-B-2022-N-612, da heißt es: “, indem die Beklagte die dynamische IP-Adresse an Google weiterleitete, als der Kläger die Webseite der Beklagten aufrief.” D.h. das JS in der Webseite, wodurch Inhalte von Dritter Seite geladen werden, fällt unter die Verantwortung des Webseitenbetreibers und damit letztlich die Datenübertragung zur Drittstelle.
D.h. - auch wenn die GDPR in einigen europäischen Ländern weit weniger strikt ausgelegt wird als die DSGVO als Ableitung in DE - und unter anderem auch unsere Öffentlich-Rechtlichen hier in DE mit ihren Justiziaren und Datenschutzbeauftragten noch zu gegensätzlichen Deutungen der DSGVO in Hinblick der Problematik “Einbindung fremder Inhalte über Javascript”, insb. bei Abrufen aus amerikanischer Hand (ndr: ohne Consent, radiobremen mit Consent - sind nur ca. 100km entfernt) - ist bei der Richtung, die die Rechtsprechung in DE einnimmt, davon auszugehen, dass durch Einbindung über JS ein “zueigenmachen” stattfindet und daher der Webseitenbetreiber für die über JS initierte Verbindung zum Drittdatenanbieter verantwortlich gemacht wird (der Webseitenbetreiber könnte ja auch das JS nicht einbinden oder eben Daten/Fotos/jQuery/Karten etc. selber hosten). D.h. wenn Du über JS oder anderswie (externe CSS Dateien, img src etc.) Inhalte Dritter einbettest, egal ob Fonts, Fotos, Karte, Jquery oder was auch immer, brauchst Du entweder einen ordentlichen Anbieter mit DPA etc. oder ein Consent-Tool mit ausreichender Erklärung.
Denn Du als Webseitenbetreiber hast letztlich dafür Sorge zu tragen, dass bei Ausführung des von Dir bereitgestellten JS (oder anderer Technik), wodurch Datenverbindungen zu Drittanbietern entstehen können, diese Drittanbieter komplett datenschutzkonform handeln - und dies geht nur über die Absicherung einer DPA. Wir sind ja in DE in der besonderen Lage, dass bereits die IP-Adresse als personenbeziehbares Datum betrachtet wird.
Sobald also ein amerikanischer Anbieter in der Kette steckt, wie z.B. AWS,GCC,Azure oder Cloudflare, ist es praktisch nicht rechtssicher nutzbar. Die immer wieder neuen Versuche zw. EU und USA sind faktisch alle schwebend unwirksam, da es schlicht nicht möglich ist, eine Vereinbarung zu treffen, die gleichzeitig die Datenmündigkeit der EU Bürger beschützt und andererseits amerikanischen Gesetzen wie dem Cloud Act etc. gerecht wird. Schrems I und Schrems II haben das bewiesen, die neuerlichen EU-Bemühungen werden nur im gleichen Ergebnis bei Schrems III etc. münden. Dauert wieder ein paar Jahre, aber dann geht es von vorne los.
Und solange ein EU-Anbieter in der Kette steckt, ohne das ein amerikanischer mit drinsteckt, brauchst Du die DPA, um nachweisen zu können, dass die von Dir eingebundenen Drittdienste datenschutzkonform im Sinne der GDPR arbeiten - nur damit wäre ein Consent-Tool zu umgehen, wenn die Abwägung der Notwendigkeit des datenschutzkonformen Drittdienstes (also z.B. Karte) zur Erbringung Deines eigenen Dienstes (Webseite) erforderlich wäre. D.h. entweder durch einen - richtig datenschutzkonform konfigurierten Proxy - umgehen oder einen dafür geeigneten Anbieter haben.