Server-seitiges Tracking und GDPR

Autor
Stape
Veröffentlicht
December 14, 2021
Auch erhältlich

Die Allgemeine Datenschutzgrundverordnung (DSGVO) oder auf Englisch - General Data Protection Regulation (GDPR) und der California Consumer Privacy Act (CCPA) sind Online-Datenschutzgesetze, die alle Website-Betreiber kennen und befolgen müssen. Sie enthalten spezifische Regeln für die Verarbeitung personenbezogener Daten, einschließlich der Erhebung, Speicherung und Löschung dieser Daten. 

Die DSGVO kann große Auswirkungen darauf haben, welche Nutzerdaten Sie auf einer Website erfassen und wie Sie sie verwalten. In diesem Blog-Artikel möchte ich darüber sprechen, wie der serverseitige Google Tag Manager helfen kann, das Tracking an die DSGVO -Anforderungen anzupassen. 

Was ist DSGVO?Link zu diesem Abschnitt kopieren

Die DSGVO ist ein Regelwerk, das einschränkt, welche Informationen Websites über Nutzer sammeln dürfen und wie sie diese verwalten, speichern und verarbeiten müssen. Dieses Regelwerk ist in 99 separate DSGVO-Artikel gegliedert. 

Die DSGVO ist am 25. Mai 2018 in Kraft getreten. Die Grundprinzipien der DSGVO-Gesetze bleiben jedoch in allen europäischen Ländern gleich, und jedes Land hat das Recht, sie nach seinen eigenen Bedürfnissen zu ändern. Aus diesem Grund müssen Sie sich über die Aspekte der DSGVO in Ihrem Land informieren. 

Es ist wichtig zu verstehen, dass die DSGVO-Vorschriften auch für Sie gelten, wenn sich Ihr Unternehmen und Ihre Website außerhalb der EU befinden (z. B. in den USA oder Asien). Sie müssen die DSGVO-Vorschriften auch dann einhalten, wenn ein Nutzer Ihre Website aus einem europäischen Land besucht. 

Was bedeutet die DSGVO für das Website-Tracking?Link zu diesem Abschnitt kopieren

Der wichtigste Punkt, über den die DSGVO-Vorschriften sprechen, ist die Verwendung personenbezogener Daten. Es wird beschrieben, wann und wie Website-Betreiber personenbezogene Daten erheben und speichern dürfen und ob sie diese an Dritte weitergeben dürfen. 

Obwohl jedes Land das Recht hat, die Definition von persönlich identifizierbaren Informationen (PII) zu ändern, können Benutzername, Adresse, E-Mail, IP und sogar Cookies als PII betrachtet werden. Darüber hinaus können auch Daten über die Gesundheit, religiöse und politische Präferenzen der Nutzer zu den personenbezogenen Daten gehören. 

Obwohl DSGVO, ePrivacy und CCPA in erster Linie dazu dienten, große Werbeunternehmen (wie Google oder Facebook) daran zu hindern, Profile auf verschiedenen Websites zu erstellen und die Privatsphäre der Nutzer zu schützen, wurden immer häufiger auch kleinere Unternehmen benachrichtigt oder mussten Geldstrafen zahlen, weil sie die DSGVO-Richtlinien nicht einhielten.  

1. Cookie-Zustimmung

cookie consent

Der Webmanager Google Tag Manager hat kürzlich eine Funktion für den Zustimmungsmodus veröffentlicht. Diese Funktion befindet sich noch in der Betaphase, was bedeutet, dass wir in naher Zukunft viele Verbesserungen und Änderungen erwarten können. Wenn der Zustimmungsmodus aktiviert ist, prüft Google den Zustimmungsstatus der Nutzer und reagiert entsprechend. Je nachdem, was der Nutzer auf Ihrem Cookie-Banner ausgewählt hat, wird Google erkennen, ob GTM Cookies setzen kann. 

Der Zustimmungsmodus von Web Google Tag Manager sollte mit der Consent Management Platform (CMP) funktionieren. Der Hauptzweck der CMP besteht darin, dass die Nutzer auswählen können, welche Cookies sie der Website erlauben. Die meisten der gängigen CMP sind mit dem Web-GTM-Einwilligungsmodus integriert. Das bedeutet, dass sie Cookies und Tracker automatisch blockieren, bis der Benutzer seine Zustimmung gibt. 

Es gibt verschiedene Anforderungen für das Cookie-Banner, und jedes Land hat unterschiedliche Regelungen. Die deutsche Regierung schreibt zum Beispiel vor, dass Sie für alle Schaltflächen dieselbe Farbe verwenden müssen. Es ist nicht möglich, die Schaltfläche "Cookies zulassen" grün und die Schaltfläche "Sperren" weiß zu gestalten, so dass es natürlicher wirkt, die grüne Schaltfläche zu drücken. 

Eine weitere Anforderung an den Cookie-Banner ist, dass der Benutzer Ihre Website problemlos durchsuchen kann, ohne auf eine der Schaltflächen auf dem Cookie-Banner zu klicken. Eine weitere wichtige, kürzlich erfolgte Aktualisierung besagt, dass Sie Protokolle über die Entscheidungen über die Zustimmung der Nutzer aufbewahren müssen. 

2. Zustimmung zu Werbemails.

In den meisten Fällen gibt es zwei Arten von E-Mails: Werbemails und unbedingt notwendige E-Mails. Sie dürfen den Nutzern ohne deren Zustimmung keine Werbemails schicken. 

Sie können zum Beispiel ein Ereignis an Ihre E-Mail Marketing Software senden, wenn ein bestehender Benutzer zustimmt, Verkaufs- und Werbematerial zu erhalten. Sie können den Google Tag Manager verwenden, um Nutzer zu identifizieren, die dem Erhalt von Werbe-E-Mails zugestimmt haben. Möchte hingegen ein neuer Benutzer eine Marketing-E-Mail erhalten, ist webGTM nicht hilfreich, da die meisten E-Mail-Softwareplattformen es nicht zulassen, neue Benutzer auf ihren Systemen über das Internet anzulegen. Sie können dies nur über ein Backend- oder Serverseitiges GTM tun.  

Serverseitiger Google Tag Manager und DSGVOLink zu diesem Abschnitt kopieren

Mit dem serverseitigen GTM haben Sie eine bessere Kontrolle über den Datenfluss, den jeder Anbieter erhält. Ein ideales Szenario, wie ein serverseitiger GTM funktionieren sollte: Sie haben einen Datenstrom im GTM-Webcontainer, der Daten an den serverseitigen GTM sendet. Sie können zum Beispiel Google Analytics 4 verwenden, um Daten an den Server-Container zu senden. Das Server-GTM verarbeitet die GA4-Anfragen und ordnet sie den Ereignisdaten innerhalb des sGTM zu. Sie können dann die Ereignisdaten und HTTP-Anfragen verwenden, um die Informationen an Tools von Drittanbietern weiterzuleiten.

website configuration with server-side tag manager

Verfügt der GTM-Server über einen Zustimmungsmodus? Link zu diesem Abschnitt kopieren

Der Server-GTM verfügt nicht über eine Zustimmungsfunktion, ähnlich wie der Web-GTM. Sie sollten eine Zustimmungsmanagement-Plattform einrichten und diese mit dem Web-Google Tag Manager integrieren. Der Zustimmungsmodus des Web-GTM steuert, welche Informationen GA4 je nach Zustimmung des Nutzers sammelt und sendet. Wenn der Nutzer der Verwendung von Cookies nicht zustimmt, wird Google Analytics 4 in einem eingeschränkten Modus arbeiten und keine Marketing-Cookies lesen oder schreiben. 

Wenn der Nutzer der Installation von Marketing-Cookies nicht zustimmt, sendet Google Analytics dennoch Anfragen an den Server-Container, d. h. Ihre Daten werden an die GTM-Server übermittelt und von diesen verarbeitet. Der Unterschied in diesem Fall besteht darin, dass GA nicht berechtigt ist, das Cookie zu schreiben, zu speichern oder zu lesen.

Diese Art von Cookie-Anfrage hat einen neuen Parameter gcs, der den Zustimmungsstatus enthält. Sie können diesen Parameter im Server-GTM verwenden, um den Zustimmungsstatus aufzuzeichnen. 

Anforderungen der DSGVO für Server-GTMLink zu diesem Abschnitt kopieren

Die DSGVO-Bestimmungen verlangen von allen europäischen Ländern, dass Besuchsdaten auf Servern in Europa gespeichert werden. Wenn Sie einen Google Tag Manager-Server für eine Website einrichten, deren Hauptgeschäftssitz sich in Europa befindet, stellen Sie sicher, dass Sie die europäische Hosting-Region auswählen.

Wie der GTM-Server bei der Einhaltung der DSGVO-Vorschriften hilft?Link zu diesem Abschnitt kopieren

1. Kontrollieren Sie, welche Daten von Dritten erhoben werden.Link zu diesem Abschnitt kopieren

Wenn Sie Web-Tracking-Skripte von Drittanbietern installieren, haben Sie keine strenge Kontrolle darüber, welche Informationen diese Skripte sammeln. Sie können sensible Daten oder persönliche Identifikatoren sammeln, ohne Sie darüber zu informieren. 

Der Google Tag Manager-Server löst dieses Problem. Angenommen, Sie möchten das Server-Tracking für Facebook einrichten, ohne Web-Tracking zu verwenden, um zu verhindern, dass FB unerwünschte Daten von Ihrer Website sammelt. In diesem Fall können Sie mit dem serverbasierten Google Tag Manager nur die Standort- und Nutzerdaten senden, die Sie in Facebook-Tags in sGTM konfiguriert haben.  

Sie können ausgehende HTTP-Anfragen verwenden, um zu sehen, welche Informationen an Facebook gesendet wurden. Dadurch wird FB daran gehindert, Daten von Ihrer Website zu sammeln, die es nicht sammeln darf.

2. Entfernen Sie sensible Daten und PII.Link zu diesem Abschnitt kopieren

Gemäß den Richtlinien von Google und Facebook können Sie keine persönlich identifizierbaren Informationen (PII) an diese Plattformen senden. Ein Benutzername, eine E-Mail und eine Telefonnummer können als personenbezogene Daten betrachtet werden. Da die Definition von PII jedoch von Land zu Land unterschiedlich sein kann, ist es am besten, einen Anwalt zu konsultieren. 

Es gibt zwei Möglichkeiten, wie sGTM bei PII helfen kann. Sie können sie entweder entfernen, bevor Sie sie an Drittanbieterplattformen senden, oder Sie können die PII vor dem Senden gehasht. 

Wenn Sie Facebook CAPI eingerichtet haben, dann wissen Sie, dass einige Parameter vor dem Senden an den Facebook-Server gehasht werden müssen. Das Gleiche gilt für GA. Sie können zum Beispiel die E-Mail des Nutzers vor dem Senden an GA4 hashen, was den GA-Datenschutzrichtlinien entspricht. 

Wenn also das Versenden von Benutzerdaten gegen die GA4-Datenschutzrichtlinie verstößt und der GA4-Server eine der beliebtesten Möglichkeiten ist, Daten von einer Website an einen GTM-Server zu senden, wie sollte man dann vorgehen, ohne gegen die Datenschutzrichtlinie für personenbezogene Daten zu verstoßen. 

Wir haben einige Lösungen: 

1. Hash der Benutzerdaten vor dem Senden. 

Jede Plattform hat ihre eigenen Standards für das Hashing von Nutzerdaten. Google Analytics sagt, dass Sie SHA256 + Verwendung eines Salzes mit mindestens 8 Zeichen verwenden sollten. Facebook verlangt ebenfalls SHA256, während MailChimp MD5 verlangt. 

Dennoch können Sie Benutzerdaten im Web-GTM hashen, bevor Sie sie an einen Anbieter senden. In der Web-GTM-Galerie sind benutzerdefinierte Vorlagen zum Hashing von Benutzerdaten verfügbar, die das Hashing vereinfachen.

2. Verwenden Sie eine gefälschte Google Analytics 4 ID

Manche Leute verwenden eine echte Google Analytics 4 ID, um Ereignisse zu verfolgen, während die gefälschte GA4 ID nur verwendet wird, um Daten an den Server-Container zu liefern. Dies schützt ihre GA4-Haupteigenschaft davor, wegen Nichteinhaltung der GA-Richtlinien blockiert zu werden. 

3. Daten-Tag/Daten-Client verwenden

Sie können den Daten-Tag/Daten-Client verwenden, um die Informationen an den GTM-Server zu senden. Und dann, innerhalb des Servers, hascht GTM die notwendigen Daten, bevor es sie an den Provider sendet.. 

3. PII vor dem Versand ändern.Link zu diesem Abschnitt kopieren

Nicht nur Nutzerdaten (wie E-Mail oder Telefonnummer) können als personenbezogene Daten betrachtet werden. Wir haben einen Kunden, der auf Facebook Werbung für medizinische Geräte macht. Die URLs enthalten die Namen von medizinischen Geräten und manchmal auch von Krankheiten. Facebook begann sich zu beschweren, dass sie die Gesundheitsdaten der Nutzer (die als PII gelten) an Facebook senden, was gegen die FB-Richtlinien verstößt. FB teilte auch mit, dass ihr Konto für Werbung gesperrt werden könnte, wenn sie die Gesundheitsdaten in den URLs nicht entfernen würden. 

Mit Server GTM können Sie die URL einer Website ändern, bevor Sie sie an einen Anbieter senden. Sie können Parameter aus der URL ausschneiden oder jedes Schlüsselwort in der URL durch das gewünschte Schlüsselwort ersetzen.

Wie man den Status im Server-GTM genehmigtLink zu diesem Abschnitt kopieren

1. Zunächst müssen Sie eine Plattform für das Einwilligungsmanagement auswählen und einrichten. Für stape.io verwenden wir cookiebot, da es alle von der DSGVO geforderten Funktionen, einen angemessenen Preis und eine Integration mit dem Zustimmungsmodus im Web-GTM bietet. In diesem Tutorial werde ich cookiebot verwenden. Einige der Integrationsschritte können sich unterscheiden, wenn Sie eine andere CMP verwenden, aber die Logik sollte dieselbe sein. 

4. Richten Sie ein CMP-Tag im Web-GTM ein. Höchstwahrscheinlich finden Sie Ihr CMP-Tag in der Galerie der Web-GTM-Vorlagen. In meinem Fall fügte ich ein Cookie-Bot-Tag aus der Galerie hinzu -> erstellte ein neues Tag -> fügte eine ID hinzu und definierte den Standard-Zustimmungsstatus. Dieses Tag sollte bei der Initialisierung der Zustimmung ausgelöst werden. 

cookiebot configuration

5. In Web GTM gibt es Tags mit integrierter Zustimmungsprüfung (hauptsächlich Google-Produkte wie Google Ads, Google Analytics und Floodlight). Der Hauptvorteil besteht darin, dass diese Tags automatisch auf das Verhalten der Nutzer reagieren und ihre Aktionen anpassen. Es ist keine zusätzliche Konfiguration erforderlich. 

Beachten Sie, dass Sie zusätzliche Konfigurationen für die Tags einrichten müssen, die keine integrierten Zustimmungsprüfungen unterstützen. Wahrscheinlich müssen Sie dazu benutzerdefinierte Ereignisse in GTM verwenden. Und konfigurieren Sie auch die Zustimmungseinstellungen.

6. Der nächste Schritt ist das Setzen oder Ändern des GA4-Konfigurations-Tags im GTM-Webcontainer. Gehen Sie dazu zu Erweiterte Einstellungen -> Einwilligung einrichten -> aktivieren Sie die Option Keine zusätzliche Einwilligung erforderlich. Ändern Sie diesen Tag so, dass er den Tag zur Einleitung der Zustimmung auslöst.  

consent settings

7. Öffnen Sie die Web- und Server-GTM-Vorschau und testen Sie GA4 so, als wären Sie ein Benutzer, der nichts auf dem Cookie-Banner ausgewählt oder Cookies verweigert hat. Im Server-GTM sollten Sie gcs=G100 in den GA-Anfragen sehen. Der Parameter gcs gibt den Zustimmungsstatus an, und gcs=G100 bedeutet, dass der Benutzer keine Zustimmung erteilt hat. 

web and server containers

8. Testen Sie GA4, als wären Sie ein Benutzer, der Cookies zulässt. In diesem Fall sollten Sie in den GA4-Anfragen des Servers gcs=G111 sehen.  

gcs=G111 

9. Angenommen, Sie möchten ein Tag im sGTM-Container setzen, das nicht ausgelöst wird, wenn der Benutzer die Speicherung eines Cookies ablehnt. In diesem Fall erstellen Sie eine neue Variable vom Typ Abfrageparameter und fügen gcs hinzu. Sie können dann einen Auslöser erstellen, der verhindert, dass der Tag ausgelöst wird, wenn gcs=G100 ist, was bedeutet, dass der Nutzer seine Zustimmung verweigert hat.

variable configuration

Schlussfolgerung:Link zu diesem Abschnitt kopieren

Mit Hilfe des Web-Google-Tag-Managers können Sie sich leichter an die DSGVO-Regeln anpassen. Sie müssen aus verschiedenen Systemen zur Verwaltung von Einwilligungen wählen oder eine benutzerdefinierte Lösung verwenden und diese dann in Ihren Web-GTM integrieren, damit die Online-Datenschutzrechte der Nutzer ordnungsgemäß geschützt werden und Unternehmen dennoch die notwendigen Cookies verwenden können, um ein nahtloses Erlebnis zu bieten.

Im Moment hat das Server-GTM keinen eingebauten Zustimmungsmodus, aber Sie können GA-Anfragen verwenden, um den Zustimmungsstatus aus dem Web-GTM zu lesen. GTM verweigert das Setzen und Lesen von Cookies mit aktivem Zustimmungsmodus, während GA-Anfragen weiterhin verarbeitet werden. 

Mit Server-GTM können Sie die Daten, die Ihre Anbieter gesammelt haben, genau kontrollieren. Im Gegensatz zum Browser-Tracking, bei dem Sie nicht 100%ig sicher sein können, welche Informationen das Skript enthält, werden beim Server-GTM nur die von Ihnen konfigurierten Daten an den Drittanbieter übermittelt. Dies hilft nicht nur, Ihre Website vor unerwünschten Skripten zu schützen, sondern beschleunigt sie auch, da im Browser des Benutzers keine Arbeit verrichtet wird, da sich alle Hände auf der Serverseite befinden. 

Mit der serverseitigen Trackingfunktion können Sie PII leicht ändern und hashen, bevor Sie sie an Tools von Drittanbietern weiterleiten, und so Ihre Website nicht nur vor Datenschutzverletzungen schützen.

Wenn Sie nach einer Möglichkeit suchen, die Leistung Ihrer Website zu optimieren und die Sicherheit der Nutzerdaten zu gewährleisten, sollten Sie das serverseitige Tracking ernsthaft in Betracht ziehen. Wir können Ihnen bei der Einrichtung von serverseitigem Tracking für jede Website helfen!

Tagged with:GTM

Hosten Sie Ihren GTM-Server bei Stape

Mit der Anmeldung stimmen Sie den Allgemeinen Geschäftsbedingungen und der Datenschutzerklärung von Stape zu