Google Analytics - Datenschutz, Event-Tracking und Attribution – Teil 1

11.12.2019

Google Analytics ist in Deutschland eines der beliebtesten Analysetools zum Tracking der eigenen Website. Gründe hierfür sind ein umfangreiches Toolkit zur Websiteanalyse, die gute Integration mit weiteren Google Tools und vor allem die kostenfreie Nutzung in der Standardversion. Manche nutzen Google Analytics, um ihre kompletten Marketing-Maßnahmen zu bewerten, andere tracken nur einzelne Events und wieder andere haben den Tracking-Code auf ihrer Seite hinterlegt, sich dann aber nie wieder damit auseinandergesetzt.Allerdings beobachten wir in unserem Arbeitsalltag häufig die gleichen drei Probleme im Umgang mit dem Tool:

  • Viele Google Analytics Setups wurden noch nicht ausreichend an die DSGVO angepasst.

  • Die Möglichkeit des Event-Trackings wird von vielen Kunden nicht genutzt.

  • Die Attribution von Google Analytics wird zur Bewertung von Marketing-Maßnahmen herangezogen, ohne sich den dahinterstehenden Regeln und den im Zusammenhang stehenden Risiken bewusst zu sein.

 

Die DSGVO ist jetzt bereits seit über einem Jahr in Kraft, dennoch entdecken wir immer wieder Fälle, bei denen Google Analytics noch nicht den gestiegenen Datenschutzvorgaben entsprechend angepasst wurden. In diesem Artikel gehen wir auf die wichtigsten Maßnahmen ein, die aus unserer Sicht getroffen werden sollten.

DSGVO im Schnelldurchlauf

Nach einer Übergangsfrist von zwei Jahren ist die Datenschutzgrundverordnung am 24.05.2018 in Kraft getreten. Das Ziel der DSGVO ist es, die Privatsphäre von Nutzern zu stärken und ihnen mehr Kontrolle über ihre persönlichen Daten zu gewährleisten. Dem Nutzer soll transparent aufgezeigt werden, was mit seinen persönlichen Daten geschieht und die Möglichkeit eingeräumt werden, aktiv der Datenspeicherung und -auswertung zu widersprechen. Die DSGVO ist von allen Unternehmen anzuwenden, die personenbezogene Daten verarbeiten und ihren Sitz oder eine Niederlassung in der europäischen Union haben.

Anonymisierung der IP-Adressen

Nach der DSGVO handelt es sich bei IP-Adressen um personenbezogene Daten, die daher bei der Erfassung anonymisiert werden müssen. Bei Verwendung des Google Tag Managers (GTM) können Sie die Anonymisierung der IP ganz einfach einrichten. Im weiteren Verlauf des Artikels zeigen wir Ihnen, wie Sie die IP-Adressen auch über einen festverbauten Global Site Tag anonymisieren können, jedoch empfehlen wir die Nutzung des GTM, da dieser das Tracking von Events um ein vielfaches erleichtert, worauf wir im zweiten Blogbeitrag eingehen werden. Bei der Einrichtung Ihres GTM Kontos sollten Sie eine Variable mit dem Typ „Google Analytics-Einstellungen“ erstellt haben, unter der Sie die Tracking-ID (UA-XXXXXXXX-X) Ihres Google Analytics Kontos gespeichert haben.

Ansicht des Google Tag Manager Variable ohne IP-Anonymisierung
Google Tag Manager Variable ohne IP-Anonymisierung

Diese Variable sollte bei allen Ihren Analytics-Tags unter dem Punkt „Google Analytics-Einstellungen“ hinterlegt sein, damit alle Tags einheitlich darauf zurückgreifen. Nun navigieren Sie in die Einstellungen der Variable und fügen unter den weiteren Einstellungen folgenden Zusatz hinzu: „anonymizeIp = true“. Dadurch, dass die Variable bei allen Ihren Tags hinterlegt ist, wird automatisch für jedes Tag die Anonymisierung der IP übernommen.

Ansicht des Google Tag Manager Variable mit IP-Anonymisierung
Google Tag Manager Variable mit IP-Anonymisierung

Damit sind Sie mit geringem Aufwand schon mal einen großen Schritt weiter den Bestimmungen der DSGVO zu entsprechen.

Überprüfung über den Preview Modus

Um zu überprüfen, ob die Anonymisierung der IP funktioniert hat, können Sie Ihre Website im Preview-Modus des Google Tag Managers öffnen. Wählen Sie dort ein Event aus, für das ein Tag gefeuert wurde, z.B. die Registrierung eines Pageviews. Unter den Google Analytics-Einstellungen des Tags sollten Sie nun den Zusatz „{fieldName: ‚anonymizeIp‘, value: ‚true‘} finden.

Ansicht des Pageview-Event im Preview Modus des Google Tag Manager
Pageview-Event im Preview Modus des Google Tag Manager

Überprüfung über die Entwicklertools

Ein zweiter Weg zur Überprüfung, ob die IP-Adressen ordnungsgemäß anonymisiert wurden, ist die Nutzung der Entwicklertools im Browser. Gehen Sie hierzu auf Ihre Website, öffnen die Entwicklertools und laden Sie die Seite neu. Im Bereich „Network“ der Entwicklertools, sollte jetzt eine Liste aller ausgelösten Elemente beim Ladevorgang der Seite erscheinen.
 
Um aus dieser Liste die Google Analytics Events besser identifizieren zu können, filtern Sie am besten nach dem Begriff „collect“.Teilweise tauchen dann noch immer Einträge auf, die nicht auf Google Analytics zurückzuführen sind, aber die Liste ist dennoch um einiges überschaubarer. Öffnet man nun einen zu Google Analytics gehörenden Eintrag, z.B. die Erfassung eines Pageviews, sollte unter den „Query String Parameters“ der Zusatz „aip: 1“ zu finden sein (Abkürzung für anonymizeIp = true).

Ansicht auf Google Analytics Pageview in den Entwicklertools
Google Analytics Pageview in den Entwicklertools

IP-Anonymisierung über Global Site Tag

Falls Sie statt des Google Tag Managers das von Google Analytics bereitgestellte Global Site Tag nutzen und die IP-Anonymisierung noch nicht vorgenommen haben, sollte Ihr Code wie folgt aussehen:

<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id=UA-XXXXXXXX-X"></script>
<script>
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}
  gtag('js', new Date());

  gtag('config', 'UA-XXXXXXXX-X');
</script>

Um in diesem Fall die IP-Adressen zukünftig zu anonymisieren, muss dazu der Zusatz {'anonymize_ip': true} beim config-Befehl ergänzt werden. Der entsprechende Code sieht dann so aus:

 <!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id=UA-XXXXXXXX-X"></script>
<script>
  window.dataLayer = window.dataLayer || [];
  function gtag(){dataLayer.push(arguments);}
  gtag('js', new Date());

  gtag('config', 'UA-XXXXXXXX-X', { 'anonymize_ip': true });
</script>

Ob die Anonymisierung funktioniert, kann auch hier wieder über die Entwicklertools getestet werden.

Abschluss der Auftragsdatenverarbeitung

Da mit Google Analytics über einen externen Webtracking-Anbieter personenbezogene Daten der Websitebesucher gespeichert und ausgewertet werden, ist der Abschluss eines Auftrags zur Datenverarbeitung notwendig. In Google Analytics lässt sich der Vertrag ganz einfach online abschließen. Gehen Sie dazu in Ihrem Google Analytics Konto in den Bereich „Verwaltung“ und dann auf „Kontoeinstellungen“. Dort finden Sie im unteren Bereich den Absatz „Zusatz zur Datenverarbeitung“. Diesem müssen Sie zustimmen.

Ansicht des Google Analytics Zusatz zur Datenverarbeitung
Google Analytics Zusatz zur Datenverarbeitung

Klicken Sie zudem auf den weiterführenden Link „Details zum Zusatz zur Datenverarbeitung verwalten“, und hinterlegen Sie auf der darauffolgenden Seite einen primären Ansprechpartner zum Thema Datenschutz. Dadurch wird sichergestellt, dass intern wie extern bei auftretenden Fragen zum Datenschutz eine eindeutige Kontaktperson vorhanden ist. Ab und an kommt es zu einer Überarbeitung des Vertrages, was eine erneute Zustimmung erforderlich macht. Demnach sollten Sie mit der Zeit immer mal wieder in den „Kontoeinstellungen“ vorbeischauen, ob es ein Update bezüglich der Auftragsdatenverarbeitung gibt.

Anpassung Datenschutzerklärung

Klären Sie den User in Ihrer Datenschutzerklärung auf, wie Daten auf Ihrer Seite und zu welchem Zweck sie gespeichert werden. Geben Sie auch direkt an, wie der Nutzer der Datenspeicherung widersprechen kann. Der Widerspruch der Datenspeicherung erfolgt in der Regel über einen Opt-Out-Cookie, der das Tracking durch Google Analytics verhindert. Eine Möglichkeit kann hier der Hinweis auf ein Browser-Add-On zur Deaktivierung von Google Analytics sein, wie es beispielsweise dieses Add-On ermöglicht.
Online findet man hierzu viele verschiedene Versionen, wie eine mögliche Datenschutzerklärung aussehen kann. Dabei gibt es nicht die eine perfekte Datenschutzerklärung, die man für alle Webseiten empfehlen kann. Sinnvoll ist daher, sich genug Zeit für die Recherche zu nehmen, um die Datenschutzerklärung zu finden, die am besten zum eigenen Angebot passt. Wer gar kein Risiko eingehen möchte, sollte in Erwägung ziehen, den Service einer Rechtsberatung in Anspruch zu nehmen.

Aufbewahrungsdauer von Nutzer- und Ereignisdaten

Als letzten Punkt möchten wir auf die Empfehlung mehrerer Datenschutzexperten hinweisen, dass die Aufbewahrungsdauer von Nutzer- und Ereignisdaten von standardmäßig 26 Monate auf 14 Monate reduziert werden sollte. Damit wird der Forderung der „Speicherbegrenzung“ der DSGVO nachgegangen, die besagt, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für den Erhebungszweck notwendig ist. Nach Ablauf der angegeben Aufbewahrungsdauer werden die Daten anschließend automatisch von Google Analytics gelöscht.

Die Einstellung hierzu finden Sie ebenfalls im Bereich „Verwaltung“ in Google Analytics. Dort navigieren Sie zu den „Tracking-Informationen“ und finden als Unterpunkt den Reiter „Datenaufbewahrung“. Hier kann die Einstellungen auf 14 Monate reduzieren und die Änderung gespeichert werden.

Ansicht der Einstellungen zur Aufbewahrungsdauer von Daten in Google Analytics
Einstellungen zur Aufbewahrungsdauer von Daten in Google Analytics

Tracking des User-Verhaltens im Detail

Nachdem Ihre Website nun hinsichtlich der DSGVO rechtskonform ist, widmen wir uns im zweiten Teil dieser Blogreihe dem Tracking von Events über den Google Tag Manager. Diese Möglichkeit wird von vielen Nutzern noch nicht wahrgenommen, obwohl dadurch ein deutlich besseres Verständnis der Seitenbesucher möglich ist.

Standardmäßig werden von Google Analytics nur die Bewegungen von Nutzern zwischen verschiedenen Seiten getrackt. Durch die Definition von Events können Sie darüber hinaus erfassen, wie sich die User auf den einzelnen Seiten verhalten. Sie können so zum Beispiel tracken inwiefern ein Videomodul auf der Seite genutzt wird oder ob User bis zum unteren Ende einer Seite scrollen oder davor bereits die Seite verlassen.

Wenn Sie also erfahren möchten wie Sie zukünftig das User-Verhalten auf Ihren einzelnen Seiten im Detail erfassen können, dann seien Sie gespannt auf den zweiten Teil der Blogreihe.

Kommentare

Keine Kommentare

Einen Kommentar schreiben

* These fields are required