Personenbezogene Daten in Google Analytics erkennen und vermeiden

Die Erfassung personenbezogener Daten in Google Analytics erfolgt häufig unbewusst und bleibt deshalb auch oft unbemerkt. Das ist jedoch nicht nur hinsichtlich der EU-Datenschutz-Grundverordnung (DSGVO) kritisch. Denn Google Analytics AnwenderInnen ist es zudem gemäß der Google Richtlinien strikt untersagt, personenbezogene Daten (Personal Identifiable Information – PII) zu erfassen. Bei einem Verstoß gegen die bestehenden Richtlinien drohen daher nicht nur Strafen seitens der DSGVO – auch Google kann Maßnahmen wie die Löschung von Daten oder sogar des gesamten GA Accounts veranlassen. In diesem Blogartikel erklären wir deshalb, wo sich personenbezogene Daten in Google Analytics einschleichen können und wie Sie diese erkennen. Außerdem zeigen wir Ihnen, welche Möglichkeiten es gibt, um es gar nicht erst zur Erfassung von personenbezogenen Daten kommen zu lassen.

e-dialog Blog PII in GA erkennen und vermeiden
(c) getty images

Was sind PII?

Zunächst jedoch ein kleiner Exkurs zur Definition: Was wird unter personenbezogenen Daten bzw. Personal Identifiable Information (PII) überhaupt verstanden?

Gemäß Art 4 Z 1 DSGVO sind “[…] „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; […]” Hierunter fallen beispielsweise Name und Nachname, IP- und E-Mail-Adressen.

In den Google Richtlinien hingegen sind PII weniger breit definiert und umfassen Daten durch welche “[…] eine natürliche Person direkt identifiziert, kontaktiert oder genau geortet werden kann.” (https://support.google.com/analytics/answer/7686480?hl=de). Als Beispiele werden hier genannt:

E-Mail-Adresse
Postanschrift
Telefonnummer
Präziser Standort (z. B. GPS-Koordinaten)
Vollständiger Name oder Nutzername

Wie und wo können sich PII in GA einschleichen?

Typische Fehlerquellen für die unbeabsichtigte Erfassung von personenbezogenen Daten sind beispielsweise Kontaktformulare, Logins, Registrierungen oder Bestätigungslinks aus E-Mails.

Das ist vor allem dann der Fall, wenn auf der Website URL-Muster verwendet werden, die personenbezogene Daten enthalten. Beispielsweise kann eine Login-Website einen Link zur Seite “Meine Einstellungen” mit folgender URL enthalten: site.com/settings/sample@email.com. Über das Datentracking auf den entsprechenden Seiten könnten dann die in solchen URLs enthaltenen personenbezogenen Informationen an Google gesendet werden.

Weiters können Formulare mit dem HTTP Protokoll mittels POST oder GET übertragen werden. Bei GET sind die Parameter Teil der URL. Wenn das Formular gesendet wird, sind die eingegebenen Werte in der URL der Folgeseite zu sehen und würden somit an Google Analytics gesendet werden. Die bevorzugte Methode für das Senden von Formularen ist daher POST.

POST GET Formular

In den beiden oben genannten Fällen, können sich so über die URL unbemerkt personenbezogene Daten in den Seitenbericht von Google Analytics einschleichen.

Auch über UTM-Parameter von Kampagnen können unbeabsichtigt personenbezogene Daten im Kampagnenbericht von Google Analytics gespeichert werden. Hier ist bei der Auswahl der Parameter zu beachten, dass diese keine personenbezogenen Informationen enthalten.

Achtsamkeit gilt zudem bei der Definition von benutzerdefinierten Dimensionen und Ereignissen. Auch hier können sich personenbezogene Daten in den Berichten von Google Analytics einschleichen.

Wenn Ihre Website Suchfelder enthält, können BesucherInnen Ihrer Seite dort ebenfalls personenbezogene Daten eingeben. Diese würden dann unbeabsichtigt im Google Analytics Bericht zur internen Suche erscheinen.

Ein Blick in die entsprechenden Berichte ist daher notwendig, um personenbezogene Informationen in Google Analytics zu erkennen.

Wie kann man PII erkennen?

Ein erster Schritt kann ein Blick auf die Website sein, um hier potentielle Quellen für die Übermittlung von personenbezogenen Daten in URLs zu überprüfen. Zu den häufigsten Links/Seiten wo dies vorkommen kann, gehören Profilseiten, Einstellungen, Konto, Benachrichtigungen/Alerts, Messaging/E-Mail, Registrierung, Anmeldung und andere Links, die mit Nutzerinformationen verknüpft sind. Hier empfiehlt es sich beispielsweise, die entsprechenden Links aufzurufen, Formulare testweise auszufüllen oder die Registrierung durchzuspielen und dabei die übermittelten URLs auf Personenbezug zu überprüfen. Zudem kann man mit einem Blick in den Seitenquelltext überprüfen, mit welcher Methode das Formular übermittelt wird. Die bevorzugte Variante ist hier method=post.

Weiters ist ein Blick in den Seitenbericht von Google Analytics unabdingbar. Um hier schnell einen Überblick zu bekommen, ob die gängigsten Formen von personenbezogenen Daten erfasst wurden, kann die Filterfunktion genutzt werden. Beispielsweise kann nach Email Adressen mit einem “@” im Suchfeld gefiltert werden.

Google Analytics

Um zu eruieren ob Vor- oder Nachnamen in Google Analytics gespeichert wurden, kann überprüft werden, ob diese mittels eines Parameters erfasst wurden. Hier kann man zur Überprüfung zum Beispiel “name=” in die Suchzeile eingeben. Eine detaillierte Durchsicht der Seiten und Seitentitel Berichte ist dennoch notwendig, um auch weniger gängige Formen von personenbezogenen Daten zu entdecken. Es empfiehlt sich auch, einen Auszug aller URL-Parameter aus Google Analytics zu ziehen und dort nach kritischen Parametern zu suchen.

Ein nächster Schritt ist der Ereignisbericht, der unter den Berichten zum Verhalten der UserInnen zu finden ist. Hier sollten Sie unter Verhalten/Ereignisse/Wichtigste Ereignisse die Ereigniskategorie, Ereignisaktion sowie das Ereignislabel genauer unter die Lupe nehmen. Danach können Sie unter den Verhaltensberichten auch gleich einen Blick in die “Suchbegriffe” für die Interne Suche werfen und nachsehen, ob personenbezogene Daten eingegeben wurden.

Für die Überprüfung der UTM Parameter empfiehlt es sich, diese mittels eines Custom Reports zu untersuchen. Hier müssen Quelle, Medium, Kampagne, Anzeigeninhalt und Keywords auf die Erfassung von Namen, E-Mail Adressen, Telefonnummern etc. überprüft werden. Gleiches gilt auch für die Kontrolle der Custom Dimensions. Auch diese sollten Sie jeweils mittels eines Custom Reports untersuchen. Sollten Sie das User-ID Feature aktiviert haben, ist es wichtig, dass kein Rückschluss auf eine Person möglich ist und die ID verschlüsselt an Google Analytics übergeben wird.

Grundsätzlich ist die Überprüfung von personenbezogenen Daten in Google Analytics sehr umfangreich. Aufgrund der vielfältigen Tracking-Möglichkeiten können sich solche Daten unbeabsichtigt in den verschiedensten Berichten in Google Analytics einschleichen. Daher ist eine detaillierte Analyse unabdingbar.

Unsere speziell geschulten Analysten unterstützen Sie gerne im Rahmen unseres DSGVO-Audits bei der Prüfung Ihrer Datenansicht in Google Analytics. Neben unserer Erfahrung, wo überall sich Daten mit Personenbezug einschleichen können, nutzen wir auch Automatismen und Algorithmen, die uns beim Audit unterstützen. Zudem dient Ihnen unser Prüfbericht zur Dokumentation gemäß DSGVO. Bei Interesse kontaktieren Sie uns: kontakt@e-dialog.at

Was tun, wenn man PII entdeckt hat? Wie kann man die Erfassung von PII in GA vermeiden?

Es gibt verschiedene Möglichkeiten, Nutzerdaten aus Google Analytics zu löschen, beginnend mit der Einstellung zur Datenaufbewahrung in den Property Einstellungen bis hin zur Löschung mehrerer Nutzer über einen Data Deletion Request oder die User Deletion API. Mehr zu diesem Thema finden Sie auch in unserem Blogbeitrag “DSGVO: Nutzerdaten löschen in Google Analytics”.

Auch Google selbst bietet Best Practice Empfehlungen zur Vermeidung des Versands von PII. Den entsprechenden Support Artikel finden Sie hier.

Der beste Weg, personenbezogene Daten zu entfernen, die durch URL Parameter erfasst wurden, ist, wenn diese gar nicht erst an Google Analytics gesendet werden. Mit unserer Whitelist-Lösung können wir genau dies für Sie umsetzen. Die Whitelist wird über den Google Tag Manager implementiert und lässt nur Parameter zu, die zuvor definiert wurden. Generell gilt bei e-dialog die Best Practice, nur für die Auswertung erforderliche Parameter an Google Analytics zu senden. Mit dieser Methode werden die Daten bereits auf Property Ebene ausgeschlossen und die URL Suchparameter gar nicht erst an Google Analytics gesendet. Zudem sieht unsere Lösung eine Pseudonymisierung für E-Mail Adressen vor. Welche Vorteile die Whiteliste-Lösung sonst noch bietet, finden Sie im Blogartikel “Ausschluss von URL Parametern vor der Datenerfassung in Google Analytics”.

Noch Fragen? Wir helfen gerne: kontakt@e-dialog.at


Sie wollen keinen Blogbeitrag mehr verpassen? Bleiben Sie am Ball mit dem e-dialog Newsletter!

  *
 
 
 
*Pflichtfeld

Hinterlassen Sie einen Kommentar: