Datenschutz bei Google Analytics 4

IP anonymisierung

Bei Universal Analytics musste die IP-Anonymisierung manuell eingerichtet werden. Laut Google “erfolgt die Anonymisierung, bevor die Daten überhaupt in einem Rechenzentrum oder auf einem Server gespeichert werden”. Da die Daten an Server in den USA gesendet wurden, mussten diese Informationen anonymisiert werden, um die Vorschriften zu erfüllen. Mit dem vollen Inkrafttreten der GDPR in EU werden nun strengere Maßnahmen eingeführt. Mit GA4 erfolgt die IP-Anonymisierung automatisch. Die neuere Version von Analytics protokolliert oder speichert keine IP-Adressen. Sie verwendet lediglich die Adresse zum Zeitpunkt der Erfassung, um Standortinformationen zu ermitteln. Und wenn die Metadaten zeigen, dass die gesammelten Daten von Geräten aus der EU stammen, werden sie auf EU-Servern gespeichert. Wenn die IP-Adresse anonymisiert wird, gilt sie nicht mehr als PII (personally identifiable information).

Und so funktioniert es:

Was passiert ist, dass die letzten drei Ziffern der IP-Adresse des Besuchers durch 0 ersetzt, wodurch die IP-Adresse (teilweise) anonymisiert und erst dann auf den Google-Analytics-Servern in den USA gespeichert wird.

Angenommen, Sie surfen auf einer Website aus der EU. Ihre IP-Adresse wird zwar an US-Server weitergeleitet, aber nicht gespeichert. Sie erreicht die GA-Server, wird anonymisiert und dann gespeichert. Sie können sich vorstellen, warum das ein Problem sein könnte. Die tatsächliche IP-Adresse des Besuchers wird immer noch an Server außerhalb der EU gesendet, aber nicht gespeichert, bevor die Anonymisierung erfolgt. Um jedoch eine echte IP-Anonymisierung zu gewährleisten, sollten Sie einen Schritt weiter gehen und Google Tag Manager Server Side Tagging einrichten. Wir werden nicht in die technischen Details der Einrichtung des serverseitigen GTM-Containers eintauchen, aber wir werden kurz erklären, was das ist.

Statt die Daten Ihrer Website direkt an die GA-Server zu senden, senden Sie diese Daten zunächst an einen GTM-Container auf einem von Ihnen gehosteten Server (aus GDPR-Gründen sollte sich der Server in der EU befinden). Dann wird die IP-Adresse des Besuchers an den serverseitigen Container gesendet, und die IP-Anonymisierung erfolgt dort. Die GA-Server in den USA erhalten also nicht die echte IP-Adresse, sondern die anonymisierte.

Google Consent Mode

Wie bereits erwähnt, ist die GDPR in vollem Umfang in Kraft, was bedeutet, dass die Menge der von Unternehmen gesammelten Daten erheblich zurückgehen wird, da nichts verfolgt werden sollte, falls ein Besucher keine Erlaubnis erteilt oder keine entsprechenden Cookies akzeptiert hat. Mit der Einrichtung des Zustimmungsmodus haben Sie jedoch die Möglichkeit, einen Teil dieser fehlenden Daten als vollständig anonymisierte Daten für GA4, Google Ads und BigQuery wiederherzustellen. Es ist zu beachten, dass diese Daten nicht über Cookies gesendet werden, und dass tatsächlich keine Cookies verwendet werden, um Daten an Server zu senden. Die Daten werden in Form von “kleinen Nachrichtenbeacons” vorliegen, die sehr grundlegende Informationen und einige Events (pageview, Klick-Events, falls sie vorkommen, ohne personenbezogene Daten) enthalten. Dies scheint eine “Grauzone” in Bezug auf die Einhaltung der DSGVO zu sein. Technisch gesehen gilt die Datenschutz-Grundverordnung nicht für vollständig anonymisierte Daten. Es kann jedoch argumentiert werden, dass selbst wenn Sie anonyme Daten an die Google-Analytics-Server senden, diese “zusammengefügt” werden können, um zu versuchen, die Person zu identifizieren. Diese anonymisierten Daten helfen Googles Algorithmus für machine learning bei der Konversionsmodellierung (der Algorithmus kann dann z. B. Konversionen besser den Google-Anzeigen zuordnen). Wie funktioniert das also?

Standardmäßig gibt es Tags mit vorgefertigten, also  built in Zustimmungschecks (GA4-Konfigurations-Tags und GA4-Event-Tags sind zum Beispiel enthalten). Diese Tags ändern ihr Verhalten, je nachdem, wie der Nutzer die Einwilligung erteilt hat. Wie in der folgenden Abbildung zu sehen ist, gibt es zwei Zustimmungsprüfungen. Ad_storage und analytics_storage, was im Klartext Marketing- bzw. Statistik-Cookies bedeutet. Tags mit diesen built-in Checks warten also auf die Zustimmung des Nutzers. Abhängig davon werden die entsprechenden Tags entweder ausgelöst oder nicht.

Wir werden in diesem Artikel nicht auf die technische Einrichtung des Zustimmungsmodus eingehen, wollten diesen Aspekt aber so deutlich wie möglich dargelegt haben. Damit der Google Tag Manager die Einwilligungsentscheidung des Nutzers verstehen und lesen kann, müssen Sie auf Ihrer Website also bereits eine CMP konfiguriert haben.

CMP

CMP steht für “Consent Management Platform”. Wenn Sie sich in der EU befinden und zum ersten Mal eine Website aufrufen, sollten Sie sofort ein “Cookie-Einwilligungsbanner” sehen, in dem Sie angeben, ob Sie der Website erlauben, alle Cookies, einige Cookies oder keine zu verfolgen. Dieses Banner wird über eine CMP konfiguriert. Als Sie etwa das erste Mal auf unsere Website kamen, wurden Sie mit diesem Cookie-Banner begrüßt.

Viele CMPs haben Integrationen mit Zustimmungsmodus in ihr Produkt eingebaut. GTM muss die Zustimmungsentscheidung des Besuchers erhalten, um das Verhalten der eingerichteten Tags zu regulieren. Der Zustimmungsmodus hat zwei Zustände. Erstens den Standardstatus, d.h. der Zustand, bevor Sie Ihre Wahl treffen. Zweitens den aktualisierten Status, der folgt, nachdem Sie Ihre Auswahl aktualisiert haben. Im Klartext: Sie teilen dem Google Tag Manager mit, dass auf die Zustimmung des Nutzers gewartet werden soll, bevor Tags ausgelöst werden und das Verhalten des Nutzers auf der Website verfolgt wird. Nachdem der Nutzer seine Wahl getroffen hat, wird diese aktualisierte Wahl an den GTM weitergeleitet.

Zusätzliche Datenschutzkontrolle in GA4 

• Google Signale deaktivieren: Google-Signale sind in GA4 verfügbar, um Marketern und GA4-Nutzern mehr Daten wie z. B. demografische Daten zur Verfügung zu stellen. (Wenn Sie den Zustimmungsmodus konfigurieren, werden die Google-Signale automatisch deaktiviert)

• Data Retention: Klicken Sie auf Admin, Property, Data Settings. Data Retention. Standardmäßig beträgt die Aufbewahrungsfrist für Daten zwei Monate. Je nach den Richtlinien Ihres Unternehmens können Sie jedoch entweder einen Zeitraum von zwei oder vierzehn Monaten wählen. Dies ändert nichts daran, wie Ihre Standard Reports aussehen werden, und Sie können sogar noch früher als in diesem vorgeschlagenen Zeitrahmen zurückgehen. Aber wenn Sie mit Explorations arbeiten, ist dies der Zeitrahmen, mit dem Sie arbeiten können.

• Anträge auf Löschung von Daten: Eine wesentliche Verbesserung in GA4 ist die Anforderung zum Löschen von Daten. Um darauf zuzugreifen, gehen Sie zu den Admin settings in Ihrer Eigenschaft und sehen Sie Datenlöschanfragen (Data Deletion Requests). Um den Datenschutz zu optimieren, bietet dieser verbesserte Aspekt in der neueren Analytics-Version mehr Flexibilität beim Löschen bestimmter Daten, die einer Person zugeordnet werden könnten. So können Sie bestimmte IDs herausgreifen und alle von dieser ID empfangenen Daten, Event-Parameter usw. löschen.