Anonymisierung von Nutzerdaten in Google Analytics 4

Die Datenschutzgrundverordnung (DSGVO) hat den Schutz der Privatsphäre der Nutzer erforderlich gemacht. Nach der Datenschutzgrundverordnung müssen alle persönlich identifizierbaren Informationen gelöscht werden, bevor Nutzerdaten an ein in den USA befindliches Tool übertragen werden können. Dieser Schritt wurde notwendig, als das Privacy Shield für ungültig erklärt wurde.

In diesem Artikel erkläre ich, wie man Benutzerdaten automatisch mit stape Anonimyzer power-up löscht und Benutzerdaten manuell mit Web- und Server-GTM bearbeitet. Dies ist eine Fortsetzung unseres Blog-Beitrags darüber, warum die Verwendung eines Proxys erforderlich ist, um Google Analytics in Übereinstimmung mit der DSGVO zu nutzen. 

Warum sollten Sie PII aus Google Analytics 4 entfernen?Link zu diesem Abschnitt kopieren

Es gab mehrere Vorfälle in EU-Ländern (Italien, Frankreich, Österreich und Dänemark), bei denen sich Personen an die örtlichen Datenschutzbehörden gewandt haben, um zu prüfen, ob die Verwendung von Google Analytics auf einer Website unter die DSGVO fällt. In allen Fällen lautete die Antwort, dass die Verwendung von Google Analytics nicht mit der Datenschutzgrundverordnung vereinbar ist. 

Der Hauptgrund dafür ist, dass die US-Unternehmen (einschließlich Google) keine ausreichenden Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten von EU-Nutzern ergreifen. Aus diesem Grund verstößt die Weitergabe von personenbezogenen Daten an US-Unternehmen gegen die Datenschutzgrundverordnung. Mehr dazu erfahren Sie in unserem früheren Blog-Artikel. 

Die gute Nachricht ist, dass es eine Lösung gibt, die es Ihnen ermöglicht, Google Analytics zu verwenden und trotzdem die DSGVO zu befolgen. Die CNIL (französische Datenschutzbehörde) hat erklärt, dass zwei grundlegende Dinge implementiert werden müssen, um GA in Übereinstimmung mit der DSGVO zu nutzen: ein EU-Bevollmächtigter und die Pseudonymisierung von Nutzerdaten vor dem Export.

Ein Proxy-Server sorgt dafür, dass kein direkter Kontakt zwischen einer Website und einem in den USA befindlichen Analysetool besteht. Der einfachste Weg, einen solchen Proxy-Server zu implementieren, ist die Verwendung des Google Tag Manager Server-Containers. Proxy-Server müssen eine Reihe von Kriterien erfüllen. Die wichtigsten sind: Das Unternehmen, das Ihnen den Proxy-Server zur Verfügung stellt, muss in der EU registriert sein; die Server, die Ihren sGTM-Container hosten, müssen sich physisch in der EU befinden. Aus diesen beiden Gründen können Sie Google Cloud (GCP) nicht für sGTM verwenden. Dies ist im Grunde derselbe Grund wie bei Google Analytics - Google, ein US-Unternehmen, ist Eigentümer. 

Noch mehr gute Nachrichten - stape hat sich um Sie gekümmert. Wir haben ein spezielles Produkt, Stape Europe, dass alle EU-Vollmachtsanforderungen erfüllt. Stape Europe ist in der EU (Estland) registriert und nutzt einen EU-Cloud-Server, der von Scaleway bereitgestellt wird, um Ihren sGTM-Container zu betreiben. 

In diesem Artikel möchte ich mich mehr auf den zweiten Teil des Gesetzes konzentrieren - die Verfremdung von Nutzerdaten. In Stape führen wir eine Reihe von Funktionen ein, mit denen Sie Nutzerdaten automatisch löschen können. Deshalb werde ich den Artikel in zwei Teile aufteilen:

• Wie Sie mit stape Anonymizer power-up automatisch Nutzerdaten entfernen/pseudonymisieren können
• Manuelles Entfernen von Nutzerdaten mit Web- und Server-GTM.

Die Liste der Nutzerdaten, die pseudonymisiert werden sollen, ist recht vage. 

• IP address.
• Nutzerkennungen. (wie Google-Kunden-ID)
• External referrer.
• URL parameter.
• Alle Daten, die für Fingerabdrücke verwendet werden können.
• Site-übergreifende Kennung.
• Alle Daten, die zur Identifizierung des Nutzers verwendet werden können.

Wir entwickeln derzeit die Stape Anonymizer-Funktion nur für GA4. In zukünftigen Updates wird sie jedoch angepasst und mit der UA Anonymizer-Funktion verfügbar sein.

Es ist wichtig zu verstehen, dass sich die Liste der Parameter, die GA4 sendet, ändern kann. Wir werden diesen Artikel aktualisieren, aber stellen Sie sicher, dass Sie die Anonymisierung der Nutzerdaten testen, bevor Sie sie für die Produktion veröffentlichen. 

Das beste Tool, das ich gefunden habe, um GA4-Parameter zu verfolgen und zu definieren, ist dieses. 

Wie man die Anonymisierung von Nutzerdaten angehtLink zu diesem Abschnitt kopieren

Der Prozess der Pseudonymisierung von Nutzerdaten findet innerhalb der GA4-Tags im Web- und Server-GTM-Container statt. Wenn Sie den Server GA4 noch nicht eingerichtet haben, führen Sie die folgenden Schritte aus.

Wir haben keine strengen Richtlinien, welche Daten entfernt werden müssen. Es liegt an Ihnen, wie Sie die Sicherheit Ihres Unternehmens gewährleisten wollen. Sie können zum Beispiel die IP-Adresse des Nutzers entfernen oder die letzten Ziffern unkenntlich machen. Eine weitere wichtige Frage ist die nach Parametern wie Land, Sprache, Browser usw. Jeder einzelne Parameter liefert nicht genügend Informationen zur Identifizierung des Nutzers, aber eine Reihe von Parametern kann sie liefern. 

Es stellt sich nicht die Frage, ob Sie Parameter wie die Kunden-ID oder URL-Abfragen entfernen sollten.  Die Verwendung jedes einzelnen Parameters kann aufgrund der eindeutigen ID in Google zur Identifizierung des Nutzers führen. 

Nehmen wir an, es ist für Sie wichtig, den Datenverkehr zwischen Mobil- und Desktopgeräten oder die Konversionen in verschiedenen Browsern zu analysieren. Sollten Sie alle Daten entfernen, die für das Fingerprinting und die Nutzeridentifizierung verwendet werden können, oder nur einige? Können Sie den Browser und das Gerät belassen, wenn Sie alle anderen Parameter entfernen?

Besprechen Sie diese Fragen unbedingt mit Ihren Anwälten oder dem behördlichen Datenschutzbeauftragten, damit Sie gut geschützt sind, wenn die Aufsichtsbehörde auf Sie zukommt. Ich glaube, dass es für die Sicherheit Ihres Unternehmens besser ist, alle Nutzer-IDs zu entfernen, die für Fingerabdrücke und eine erneute Identifizierung verwendet werden können. 

Dieser Artikel erhebt nicht den Anspruch, ein Handbuch zu sein. Es handelt sich lediglich um einen Erfahrungsaustausch darüber, wie Daten entfernt oder pseudo-anonymisiert werden können und wie Stape dies automatisch tut. Sie können sich dafür entscheiden, unsere Anonymisierungsfunktion nicht zu nutzen oder jeden Parameter manuell zu anonymisieren. 

Entfernen Sie Nutzerdaten aus Google Analytics mit Hilfe von AnonimyzerLink zu diesem Abschnitt kopieren

Wir haben vor kurzem eine Beta-Version des Anonymizer Power-Ups veröffentlicht. Sie ist für alle Nutzer von Stape verfügbar. Das Hauptziel des Anonymizers ist es, Nutzerdaten in Google Analytics 4 entweder zu entfernen oder zu anonymisieren. 

Um den Anonymisierer zu aktivieren, öffnen Sie den sGTM-Container in stape, klicken Sie auf Einschalten und öffnen Sie den Anonymisierer. 

Anonymizer Power-Up befindet sich noch in der Beta-Phase, da wir neue Funktionen hinzufügen und für ungewöhnliche Anwendungsfälle testen. 

Sie müssen auswählen, welche Parameter Sie beibehalten, entfernen oder anonymisieren möchten. Sobald die Parameter konfiguriert sind, sollten Sie die Tagging-Server-URL für Google Analytics 4 aktualisieren. Wenn Sie zuvor die Tagging-Server-URL https://sgtm.example.com bei aktivierter Anonymisierung verwendet haben, wird die aktualisierte Tagging-Server-URL wie https://sgtm.example.com/anonymize aussehen. Wir leiten Ihre Anfragen an sGTM über den Pfad /anonymize weiter und entfernen die angegebenen Daten.

Wenn GA4-Anfragen über die Tagging-Server-URL laufen, die /anonymize enthält, werden ausgewählte Parameter automatisch entfernt oder anonymisiert

Nachdem Sie Anonymizer aktiviert und konfiguriert haben, stellen Sie sicher, dass Sie die GA4-Transport-URL im Web-GTM-Konfigurations-Tag auf die URL mit der Endung /anonymize geändert haben. 

Unten finden Sie eine Liste aller Parameter, die Anonymizer entweder entfernen oder anonymisieren kann. Bei der Entwicklung von Anonymizer war es unser Ziel, unseren Kunden die Möglichkeit zu geben, alle Parameter zu entfernen, die in irgendeiner Weise als persönliche Benutzerdaten angesehen werden können. Sie können auswählen, welche Parameter Sie entfernen möchten. Sprechen Sie mit Ihrem DSB oder Ihren Anwälten, um festzulegen, welche Parameter entfernt werden müssen.

Allgemeine InformationLink zu diesem Abschnitt kopieren

Für die meisten Parameter gibt es zwei Optionen: unverändert lassen oder entfernen. Für zwei Parameter (IP und Client-ID) sehen Sie die Optionen Anonymisieren und Streng anonymisieren.

IP

Anonymize - wird das letzte Oktett entfernt.

Anonymize Strictly - entfernt die letzten beiden Oktette.

Client ID. Funktioniert nur, wenn Sie JavaScript Managed Client Identification verwenden.

Anonymize - einen Hash aus IP+UserAgent verwenden und Jahr+Monat hinzufügen.

Anonymize Strictly - einen Hash von IP+UserAgent verwenden und einen Zeitstempel hinzufügen, crc32_hash(IP+UA).timestamp.

System-InformationLink zu diesem Abschnitt kopieren

User Agent Parsed (Nutzer-Agent geparst)Link zu diesem Abschnitt kopieren

Ads Campaign Attribution (Anzeigen-Kampagnen-Attribution)Link zu diesem Abschnitt kopieren

Die Parameter, die Google Analytics 4 sammelt, ändern sich von Zeit zu Zeit. Daher müssen Sie Ihre GA4-Anfragen überprüfen, um sicherzustellen, dass alle Nutzerdaten entfernt wurden. 

Nachdem Sie die Parameter in Anonimiser konfiguriert und die GA4-Transport-URL in diejenige geändert haben, die am Ende den Container /anonymize enthält, werden wir die angegebenen Parameter entfernen oder anonymisieren. 

Nach der Aktivierung von Anonymizer und der Aktualisierung der GA4-Transport-URL verwenden Sie bitte Web-/SGTM-Debugger, Konsole und GA4-Debugger, um zu prüfen, ob alle erforderlichen Parameter entfernt wurden. 

Manuelles Entfernen von PII aus GA4 mit GTMLink zu diesem Abschnitt kopieren

1. IP-AdresseLink zu diesem Abschnitt kopieren

Diese Option ist relativ einfach zu implementieren, aber nicht unumstritten. Google hat eine eingebaute Funktion, um das letzte Byte der IP-Adresse zu entfernen. Durch Kürzung des letzten Bytes liegt die Chance, dass Google Nutzer identifizieren kann, bei 1 zu 256. In Kombination mit anderen Parametern kann die IP-Adresse schnell eine bestimmte Person identifizieren.

Manche Leute glauben, dass es ausreicht, das letzte Oktett abzuschneiden. Andere sind der Meinung, dass man die Nutzer-IP vollständig entfernen sollte. Ich denke, es ist besser, die benutzerdefinierte IP vollständig zu entfernen. Man weiß nie, ob Google die IP wiederverwendet oder nicht.

Um die IP eines Nutzers zu entfernen, habe ich das GA4-Server-Tag verwendet und ip_overrride auf eine zufällige IP gesetzt. 

2. NutzerkennungenLink zu diesem Abschnitt kopieren

Google weist dem Browser-Gerätepaar eine eindeutige Client-ID zu und verwendet diese, um zu erkennen, wenn derselbe Nutzer Ihre Website erneut besucht. Dieser Parameter muss entfernt oder pseydoanonimise werden, bevor er an GA4 gesendet wird. 

Es gibt viele Ansätze zur Anonymisierung von Kunden-IDs, alles hängt von Ihrer Fantasie und dem von Ihnen verwendeten Toolkit ab. Achten Sie jedoch darauf, dass die Kunden-ID eindeutig ist und dass Sie eine zeitabhängige Komponente hinzufügen. 

Sie können den Nutzer-Agent-Hash, die IP, die GTM-Zufallszahlvariable usw. verwenden. Im Gegensatz zur Nutzer-IP konnten wir keine Möglichkeit finden, die Kunden-ID auf dem Server zu bearbeiten, also haben wir dies auf dem Client getan. 

Sobald Sie die Google Analytics-Kunden-ID anonymisiert haben, sollten Sie das GA4-Cookie mit den neuen Werten überschreiben, um sicherzustellen, dass GA4 keine Nutzer-IDs setzt. Hierfür habe ich die Tag-Vorlage Cookie Monster für den Server-GTM-Container verwendet. Sie müssen nur noch die Namen und Werte der Cookies hinzufügen. Wenn Sie dies getan haben, denken Sie daran, die Konsole zu verwenden und zu überprüfen, welche Cookies GA setzt. 

Sobald Sie die Kunden-ID bearbeiten, hat dies erhebliche Auswirkungen auf die GA4-Berichterstattung. Da die Kunden-ID eindeutig ist, kann GA neue Besucher nicht mit wiederkehrenden Besuchern vergleichen. Sowie Multi-Channel-Attribution und Ereignisse wie Sitzungsbeginn, erster Besuch, usw. 

3. External referrerLink zu diesem Abschnitt kopieren

Ein externer Referrer dient dazu, festzustellen, wie ein Nutzer auf Ihre Website gelangt ist. War es organischer, bezahlter oder vielleicht sozialer Traffic. 

Um ihn zu entfernen, sollten Sie page_referrer umschreiben. 

4. Parameter in den gesammelten URLsLink zu diesem Abschnitt kopieren

Der Hauptzweck der Parameter in der URL besteht darin, den Ursprung der Kampagnen zu bestimmen. URL-Parameter können utm_souce, utm_medium, verschiedene Arten von Klickbezeichnern usw. sein. Darüber hinaus fügen einige Plattformen automatisch Benutzerdaten in die URL ein.  

Um die URL-Parameter zu entfernen, müssen Sie die URL der Seite umschreiben. Ein paar Variablen in der webGTM-Vorlagengalerie können Ihnen dabei helfen. Ich habe Trim Query verwendet. Sie müssen lediglich eine Blockliste oder eine Liste von Abfrageparametern angeben, die dann die ganze Arbeit für Sie erledigen.  

5. Informationen, die zur Erstellung eines Fingerabdrucks verwendet werden könnenLink zu diesem Abschnitt kopieren

Solche Informationen können Nutzer-Agent, Gerät, Browser, Bildschirmauflösung, Sprache, Betriebssystem usw. sein. Vergewissern Sie sich, dass Sie alle Informationen bearbeiten, die für die Abnahme von Fingerabdrücken verwendet werden können. 

6. Jegliche dauerhafte oder seitenübergreifende BezeichnerLink zu diesem Abschnitt kopieren

Achten Sie darauf, dass Sie keine Cross-Site-Identifier wie Nutzer-ID oder CRM verwenden.

7. Alle anderen Daten, die zu einer Re-Identifizierung führen könntenLink zu diesem Abschnitt kopieren

Dieser Teil ist etwas kompliziert zu verstehen, aber ich empfehle, die Anfrage, die Ihr sGTM-Container an GA sendet, zu überprüfen und sicherzustellen, dass sie keine Parameter enthält, die zur Re-Identifizierung des Nutzers verwendet werden können. 

So testen Sie die AnonymisierungLink zu diesem Abschnitt kopieren

Es gibt mehrere Möglichkeiten zu überprüfen, ob alle erforderlichen Daten entfernt oder pseudonymisiert wurden. Die erste Möglichkeit besteht darin, den GTM-Server-Debugger aufzurufen und sich die ausgehenden GA4-Anfragen anzusehen. Stellen Sie sicher, dass Sie verschiedene Szenarien mit und ohne Nutzerparameter, URL-Parametern, verschiedenen Ereignissen, Referrern usw. testen. 

Die zweite Möglichkeit ist, den Google Analytics 4 Debugger zu verwenden und zu sehen, welche Daten GA4 verarbeitet. 

Schlussfolgerung:Link zu diesem Abschnitt kopieren

Google ist nicht das einzige Unternehmen, das Nutzerdaten aus der EU sammelt und in die USA überträgt, was gegen die DSGVO verstößt. Viele Unternehmen haben jahrelang personenbezogene Daten von Europäern gesammelt, und nun sieht es so aus, als würden ihre Aktivitäten überall eingeschränkt werden, nachdem Privacy Shield deaktiviert wurde und die Übermittlung von Nutzerdaten aus der EU in die USA gemäß der DSGVO illegal ist. 

Wenn Sie eine Website in der Europäischen Union betreiben, ist es an der Zeit, die Daten, die Sie mit US-Unternehmen austauschen, zu ändern, sonst drohen Ihnen Bußgelder.

Häufig gestellte FragenLink zu diesem Abschnitt kopieren

1. Wie kann ich einen Proxy-Server für GA verwenden, wenn er durch gtag.js implementiert wird?

Wenn Sie gtag.js auf Ihrer Website verwenden, um Ereignisse an Ihren Server-Container zu senden, können Sie den Parameter transport_url zu Ihrem bestehenden Tag hinzufügen:

gtag('config', 'TARGET-ID', {

'transport_url': 'https://analytics.example.com',

'first_party_collection': true,

});

Sie können eine Anonymizer-URL verwenden, um Benutzerdaten in GA zu anonymisieren, wenn sie über gtag.js implementiert werden. Angenommen, Sie verwenden stape anonymizer und Ihre Anonymisierungs-URL lautet https://sgtm.site.com/anonymize. Sie müssen nur https://sgtm.site.com/anonymize als Transport-URL zur gtag-Konfiguration hinzufügen.