Die Datenschutzgrundverordnung (DSGVO) hat den Schutz der Privatsphäre der Nutzer erforderlich gemacht. Nach der Datenschutzgrundverordnung müssen alle persönlich identifizierbaren Informationen gelöscht werden, bevor Nutzerdaten an ein in den USA befindliches Tool übertragen werden können. Dieser Schritt wurde notwendig, als das Privacy Shield für ungültig erklärt wurde.
In diesem Artikel erkläre ich, wie man Benutzerdaten automatisch mit stape Anonimyzer power-up löscht und Benutzerdaten manuell mit Web- und Server-GTM bearbeitet. Dies ist eine Fortsetzung unseres Blog-Beitrags darüber, warum die Verwendung eines Proxys erforderlich ist, um Google Analytics in Übereinstimmung mit der DSGVO zu nutzen.
Es gab mehrere Vorfälle in EU-Ländern (Italien, Frankreich, Österreich und Dänemark), bei denen sich Personen an die örtlichen Datenschutzbehörden gewandt haben, um zu prüfen, ob die Verwendung von Google Analytics auf einer Website unter die DSGVO fällt. In allen Fällen lautete die Antwort, dass die Verwendung von Google Analytics nicht mit der Datenschutzgrundverordnung vereinbar ist.
Der Hauptgrund dafür ist, dass die US-Unternehmen (einschließlich Google) keine ausreichenden Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten von EU-Nutzern ergreifen. Aus diesem Grund verstößt die Weitergabe von personenbezogenen Daten an US-Unternehmen gegen die Datenschutzgrundverordnung. Mehr dazu erfahren Sie in unserem früheren Blog-Artikel.
Die gute Nachricht ist, dass es eine Lösung gibt, die es Ihnen ermöglicht, Google Analytics zu verwenden und trotzdem die DSGVO zu befolgen. Die CNIL (französische Datenschutzbehörde) hat erklärt, dass zwei grundlegende Dinge implementiert werden müssen, um GA in Übereinstimmung mit der DSGVO zu nutzen: ein EU-Bevollmächtigter und die Pseudonymisierung von Nutzerdaten vor dem Export.
Ein Proxy-Server sorgt dafür, dass kein direkter Kontakt zwischen einer Website und einem in den USA befindlichen Analysetool besteht. Der einfachste Weg, einen solchen Proxy-Server zu implementieren, ist die Verwendung des Google Tag Manager Server-Containers. Proxy-Server müssen eine Reihe von Kriterien erfüllen. Die wichtigsten sind: Das Unternehmen, das Ihnen den Proxy-Server zur Verfügung stellt, muss in der EU registriert sein; die Server, die Ihren sGTM-Container hosten, müssen sich physisch in der EU befinden. Aus diesen beiden Gründen können Sie Google Cloud (GCP) nicht für sGTM verwenden. Dies ist im Grunde derselbe Grund wie bei Google Analytics - Google, ein US-Unternehmen, ist Eigentümer.
Noch mehr gute Nachrichten - stape hat sich um Sie gekümmert. Wir haben ein spezielles Produkt, Stape Europe, dass alle EU-Vollmachtsanforderungen erfüllt. Stape Europe ist in der EU (Estland) registriert und nutzt einen EU-Cloud-Server, der von Scaleway bereitgestellt wird, um Ihren sGTM-Container zu betreiben.
In diesem Artikel möchte ich mich mehr auf den zweiten Teil des Gesetzes konzentrieren - die Verfremdung von Nutzerdaten. In Stape führen wir eine Reihe von Funktionen ein, mit denen Sie Nutzerdaten automatisch löschen können. Deshalb werde ich den Artikel in zwei Teile aufteilen:
Die Liste der Nutzerdaten, die pseudonymisiert werden sollen, ist recht vage.
Wir entwickeln derzeit die Stape Anonymizer-Funktion nur für GA4. In zukünftigen Updates wird sie jedoch angepasst und mit der UA Anonymizer-Funktion verfügbar sein.
Es ist wichtig zu verstehen, dass sich die Liste der Parameter, die GA4 sendet, ändern kann. Wir werden diesen Artikel aktualisieren, aber stellen Sie sicher, dass Sie die Anonymisierung der Nutzerdaten testen, bevor Sie sie für die Produktion veröffentlichen.
Das beste Tool, das ich gefunden habe, um GA4-Parameter zu verfolgen und zu definieren, ist dieses.
Der Prozess der Pseudonymisierung von Nutzerdaten findet innerhalb der GA4-Tags im Web- und Server-GTM-Container statt. Wenn Sie den Server GA4 noch nicht eingerichtet haben, führen Sie die folgenden Schritte aus.
Wir haben keine strengen Richtlinien, welche Daten entfernt werden müssen. Es liegt an Ihnen, wie Sie die Sicherheit Ihres Unternehmens gewährleisten wollen. Sie können zum Beispiel die IP-Adresse des Nutzers entfernen oder die letzten Ziffern unkenntlich machen. Eine weitere wichtige Frage ist die nach Parametern wie Land, Sprache, Browser usw. Jeder einzelne Parameter liefert nicht genügend Informationen zur Identifizierung des Nutzers, aber eine Reihe von Parametern kann sie liefern.
Es stellt sich nicht die Frage, ob Sie Parameter wie die Kunden-ID oder URL-Abfragen entfernen sollten. Die Verwendung jedes einzelnen Parameters kann aufgrund der eindeutigen ID in Google zur Identifizierung des Nutzers führen.
Nehmen wir an, es ist für Sie wichtig, den Datenverkehr zwischen Mobil- und Desktopgeräten oder die Konversionen in verschiedenen Browsern zu analysieren. Sollten Sie alle Daten entfernen, die für das Fingerprinting und die Nutzeridentifizierung verwendet werden können, oder nur einige? Können Sie den Browser und das Gerät belassen, wenn Sie alle anderen Parameter entfernen?
Besprechen Sie diese Fragen unbedingt mit Ihren Anwälten oder dem behördlichen Datenschutzbeauftragten, damit Sie gut geschützt sind, wenn die Aufsichtsbehörde auf Sie zukommt. Ich glaube, dass es für die Sicherheit Ihres Unternehmens besser ist, alle Nutzer-IDs zu entfernen, die für Fingerabdrücke und eine erneute Identifizierung verwendet werden können.
Dieser Artikel erhebt nicht den Anspruch, ein Handbuch zu sein. Es handelt sich lediglich um einen Erfahrungsaustausch darüber, wie Daten entfernt oder pseudo-anonymisiert werden können und wie Stape dies automatisch tut. Sie können sich dafür entscheiden, unsere Anonymisierungsfunktion nicht zu nutzen oder jeden Parameter manuell zu anonymisieren.
Wir haben vor kurzem eine Beta-Version des Anonymizer Power-Ups veröffentlicht. Sie ist für alle Nutzer von Stape verfügbar. Das Hauptziel des Anonymizers ist es, Nutzerdaten in Google Analytics 4 entweder zu entfernen oder zu anonymisieren.
Um den Anonymisierer zu aktivieren, öffnen Sie den sGTM-Container in stape, klicken Sie auf Einschalten und öffnen Sie den Anonymisierer.
Dieses Produkt enthält GeoLite2-Daten, erstellt von MaxMind, verfügbar unter https://www.maxmind.com
Sie müssen auswählen, welche Parameter Sie beibehalten, entfernen oder anonymisieren möchten. Sobald die Parameter konfiguriert sind, sollten Sie die Tagging-Server-URL für Google Analytics 4 aktualisieren. Wenn Sie zuvor die Tagging-Server-URL https://sgtm.example.com bei aktivierter Anonymisierung verwendet haben, wird die aktualisierte Tagging-Server-URL wie https://sgtm.example.com/anonymize aussehen. Wir leiten Ihre Anfragen an sGTM über den Pfad /anonymize weiter und entfernen die angegebenen Daten.
Wenn GA4-Anfragen über die Tagging-Server-URL laufen, die /anonymize enthält, werden ausgewählte Parameter automatisch entfernt oder anonymisiert
Nachdem Sie Anonymizer aktiviert und konfiguriert haben, stellen Sie sicher, dass Sie die GA4-Transport-URL im Web-GTM-Konfigurations-Tag auf die URL mit der Endung /anonymize geändert haben.
Unten finden Sie eine Liste aller Parameter, die Anonymizer entweder entfernen oder anonymisieren kann. Bei der Entwicklung von Anonymizer war es unser Ziel, unseren Kunden die Möglichkeit zu geben, alle Parameter zu entfernen, die in irgendeiner Weise als persönliche Benutzerdaten angesehen werden können. Sie können auswählen, welche Parameter Sie entfernen möchten. Sprechen Sie mit Ihrem DSB oder Ihren Anwälten, um festzulegen, welche Parameter entfernt werden müssen.
Für die meisten Parameter gibt es zwei Optionen: unverändert lassen oder entfernen. Für zwei Parameter (IP und Client-ID) sehen Sie die Optionen Anonymisieren und Streng anonymisieren.
IP
Anonymize - wird das letzte Oktett entfernt.
Anonymize Strictly - entfernt die letzten beiden Oktette.
Client ID. Funktioniert nur, wenn Sie JavaScript Managed Client Identification verwenden.
Anonymize - einen Hash aus IP+UserAgent verwenden und Jahr+Monat hinzufügen.
Anonymize Strictly - einen Hash von IP+UserAgent verwenden und einen Zeitstempel hinzufügen, crc32_hash(IP+UA).timestamp.
| Parameter name | Description | GA4 Parameter | Anonymize |
| IP | User IP | IP Address | Anonymize - wird das letzte Oktett entfernt. Anonymize Strictly - entfernt die letzten beiden Oktette |
| Client ID | Google Analytics Client ID, _ga, _ga_*, FPLC, FPID cookies | cid, _ga, _ga_*, FPLC, FPID | Anonymize - einen Hash aus IP+UserAgent verwenden und Jahr+Monat hinzufügen. Anonymize Strictly - einen Hash von IP+UserAgent verwenden und einen Zeitstempel hinzufügen, crc32_hash(IP+UA).timestamp. |
| User ID | User ID, Google Developer ID, Firebase ID | uid, gdid, _fid | - |
| Session ID | Session ID, New Session ID | sid, _nsi | - |
| Query parameters | Remove query paramaters from Document Location | dl | - |
| Referer | Document Referrer Header, Document Referrer Parameter | referer header, dr | - |
| User Agent | Document User-Agent header, Sec-Ch-Ua header, Sec-Sh-Ua-Platform header, Sec-Ch-Ua-Mobile header, User-Agent Parameter | user-agent header, sec-ch-ua header, sec-ch-ua-platform header, sec-ch-ua-mobile header, ua | - |
| User Country | Geographical ID, Current country for the user | geoid, _uc | - |
| Browser plugins | Java Enabled, Flash Version | je, fl | - |
| Bildschirm-Infos | Bildschirmauflösung des Browsers, Größe des Ansichtsfensters | sr, vp | - |
| Bildschirm-Farben | Gibt die Farbtiefe des Bildschirms an | sd | - |
| Nutzersprache | Browser aktives Gebietsschema | ul | - |
| User Agent Architecture | uaa | - | |
| User Agent Bitness | uab | - | |
| User Agent Full Version List | uafvl | - | |
| User Agent Mobile | uamb | - | |
| User Agent Model | uam | - | |
| User Agent Platform | uap | - | |
| User Agent Platform Version | uapv | - | |
| User Agent WOW64 | uaw | - |
| Campaign Medium | cm | - | |
| Campaign Source | cs | - | |
| Campaign Name | cn | - | |
| Campaign Content | cc | - | |
| Campaign ID | ci | - | |
| Campaign Term | ck | - | |
| Campaign Creative Format | ccf | - | |
| Campaign Marketing Tactic | cmt | - | |
| Google Ads ID | gclid | - | |
| Google Display Ads ID | dclid | - |
Die Parameter, die Google Analytics 4 sammelt, ändern sich von Zeit zu Zeit. Daher müssen Sie Ihre GA4-Anfragen überprüfen, um sicherzustellen, dass alle Nutzerdaten entfernt wurden.
Nachdem Sie die Parameter in Anonimiser konfiguriert und die GA4-Transport-URL in diejenige geändert haben, die am Ende den Container /anonymize enthält, werden wir die angegebenen Parameter entfernen oder anonymisieren.
Nach der Aktivierung von Anonymizer und der Aktualisierung der GA4-Transport-URL verwenden Sie bitte Web-/SGTM-Debugger, Konsole und GA4-Debugger, um zu prüfen, ob alle erforderlichen Parameter entfernt wurden.
Diese Option ist relativ einfach zu implementieren, aber nicht unumstritten. Google hat eine eingebaute Funktion, um das letzte Byte der IP-Adresse zu entfernen. Durch Kürzung des letzten Bytes liegt die Chance, dass Google Nutzer identifizieren kann, bei 1 zu 256. In Kombination mit anderen Parametern kann die IP-Adresse schnell eine bestimmte Person identifizieren.
Manche Leute glauben, dass es ausreicht, das letzte Oktett abzuschneiden. Andere sind der Meinung, dass man die Nutzer-IP vollständig entfernen sollte. Ich denke, es ist besser, die benutzerdefinierte IP vollständig zu entfernen. Man weiß nie, ob Google die IP wiederverwendet oder nicht.
“Es sei darauf hingewiesen, dass Online-Kennungen wie IP-Adressen oder in Cookies gespeicherte Informationen häufig zur Identifizierung eines Nutzers verwendet werden können, insbesondere in Kombination mit anderen ähnlichen Informationen. Dies geht aus Absatz 30 der DSGVO hervor, wonach die Zuweisung von Online-Kennungen wie IP-Adressen und Cookie-Kennungen an Personen oder deren Geräte „Spuren hinterlassen kann, die in Verbindung mit eindeutigen Kennungen und anderen von Servern erhaltenen Informationen dazu verwendet werden können, Profile von Personen zu erstellen und sie zu identifizieren“.
Um die IP eines Nutzers zu entfernen, habe ich das GA4-Server-Tag verwendet und ip_overrride auf eine zufällige IP gesetzt.
Google weist dem Browser-Gerätepaar eine eindeutige Client-ID zu und verwendet diese, um zu erkennen, wenn derselbe Nutzer Ihre Website erneut besucht. Dieser Parameter muss entfernt oder pseydoanonimise werden, bevor er an GA4 gesendet wird.
“Um eine wirksame Pseudonymisierung zu gewährleisten, sollte der Algorithmus, der die Ersetzung vornimmt, ein ausreichendes Maß an Kollisionen gewährleisten (d. h. eine ausreichende Wahrscheinlichkeit, dass zwei verschiedene Identifikatoren nach einem Hash ein identisches Ergebnis liefern) und eine zeitvariable Komponente enthalten (Hinzufügen eines Wertes zu den gehashten Daten, der sich im Laufe der Zeit entwickelt, so dass das Hash-Ergebnis für denselben Identifikator nicht immer gleich ist).”
Es gibt viele Ansätze zur Anonymisierung von Kunden-IDs, alles hängt von Ihrer Fantasie und dem von Ihnen verwendeten Toolkit ab. Achten Sie jedoch darauf, dass die Kunden-ID eindeutig ist und dass Sie eine zeitabhängige Komponente hinzufügen.
Sie können den Nutzer-Agent-Hash, die IP, die GTM-Zufallszahlvariable usw. verwenden. Im Gegensatz zur Nutzer-IP konnten wir keine Möglichkeit finden, die Kunden-ID auf dem Server zu bearbeiten, also haben wir dies auf dem Client getan.
Sobald Sie die Google Analytics-Kunden-ID anonymisiert haben, sollten Sie das GA4-Cookie mit den neuen Werten überschreiben, um sicherzustellen, dass GA4 keine Nutzer-IDs setzt. Hierfür habe ich die Tag-Vorlage Cookie Monster für den Server-GTM-Container verwendet. Sie müssen nur noch die Namen und Werte der Cookies hinzufügen. Wenn Sie dies getan haben, denken Sie daran, die Konsole zu verwenden und zu überprüfen, welche Cookies GA setzt.
Sobald Sie die Kunden-ID bearbeiten, hat dies erhebliche Auswirkungen auf die GA4-Berichterstattung. Da die Kunden-ID eindeutig ist, kann GA neue Besucher nicht mit wiederkehrenden Besuchern vergleichen. Sowie Multi-Channel-Attribution und Ereignisse wie Sitzungsbeginn, erster Besuch, usw.
Ein externer Referrer dient dazu, festzustellen, wie ein Nutzer auf Ihre Website gelangt ist. War es organischer, bezahlter oder vielleicht sozialer Traffic.
Um ihn zu entfernen, sollten Sie page_referrer umschreiben.
Der Hauptzweck der Parameter in der URL besteht darin, den Ursprung der Kampagnen zu bestimmen. URL-Parameter können utm_souce, utm_medium, verschiedene Arten von Klickbezeichnern usw. sein. Darüber hinaus fügen einige Plattformen automatisch Benutzerdaten in die URL ein.
Um die URL-Parameter zu entfernen, müssen Sie die URL der Seite umschreiben. Ein paar Variablen in der webGTM-Vorlagengalerie können Ihnen dabei helfen. Ich habe Trim Query verwendet. Sie müssen lediglich eine Blockliste oder eine Liste von Abfrageparametern angeben, die dann die ganze Arbeit für Sie erledigen.
Solche Informationen können Nutzer-Agent, Gerät, Browser, Bildschirmauflösung, Sprache, Betriebssystem usw. sein. Vergewissern Sie sich, dass Sie alle Informationen bearbeiten, die für die Abnahme von Fingerabdrücken verwendet werden können.
Achten Sie darauf, dass Sie keine Cross-Site-Identifier wie Nutzer-ID oder CRM verwenden.
Dieser Teil ist etwas kompliziert zu verstehen, aber ich empfehle, die Anfrage, die Ihr sGTM-Container an GA sendet, zu überprüfen und sicherzustellen, dass sie keine Parameter enthält, die zur Re-Identifizierung des Nutzers verwendet werden können.
Es gibt mehrere Möglichkeiten zu überprüfen, ob alle erforderlichen Daten entfernt oder pseudonymisiert wurden. Die erste Möglichkeit besteht darin, den GTM-Server-Debugger aufzurufen und sich die ausgehenden GA4-Anfragen anzusehen. Stellen Sie sicher, dass Sie verschiedene Szenarien mit und ohne Nutzerparameter, URL-Parametern, verschiedenen Ereignissen, Referrern usw. testen.
Die zweite Möglichkeit ist, den Google Analytics 4 Debugger zu verwenden und zu sehen, welche Daten GA4 verarbeitet.
Google ist nicht das einzige Unternehmen, das Nutzerdaten aus der EU sammelt und in die USA überträgt, was gegen die DSGVO verstößt. Viele Unternehmen haben jahrelang personenbezogene Daten von Europäern gesammelt, und nun sieht es so aus, als würden ihre Aktivitäten überall eingeschränkt werden, nachdem Privacy Shield deaktiviert wurde und die Übermittlung von Nutzerdaten aus der EU in die USA gemäß der DSGVO illegal ist.
Wenn Sie eine Website in der Europäischen Union betreiben, ist es an der Zeit, die Daten, die Sie mit US-Unternehmen austauschen, zu ändern, sonst drohen Ihnen Bußgelder.
1. Wie kann ich einen Proxy-Server für GA verwenden, wenn er durch gtag.js implementiert wird?
Wenn Sie gtag.js auf Ihrer Website verwenden, um Ereignisse an Ihren Server-Container zu senden, können Sie den Parameter transport_url zu Ihrem bestehenden Tag hinzufügen:
gtag('config', 'TARGET-ID', {
'transport_url': 'https://analytics.example.com',
'first_party_collection': true,
});
Sie können eine Anonymizer-URL verwenden, um Benutzerdaten in GA zu anonymisieren, wenn sie über gtag.js implementiert werden. Angenommen, Sie verwenden stape anonymizer und Ihre Anonymisierungs-URL lautet https://sgtm.site.com/anonymize. Sie müssen nur https://sgtm.site.com/anonymize als Transport-URL zur gtag-Konfiguration hinzufügen.
