[GA4] PII in Google Analytics 4 – Tipps zur Erkennung und Entfernung sensibler Daten

Google Analytics 4 ist eines der hervorragenden Tools zum Erfassen und Analysieren von Webanalysedaten. Doch mit der steigenden Menge an gesammelten Daten steigt auch das Risiko, dass persönliche Informationen erfasst und gespeichert werden. Im Mittelpunkt dieser Daten stehen die sogenannten PII-Daten. Doch was genau sind PII-Daten und wie gelangen sie ins Tracking? Lass uns einen genaueren Blick darauf werfen.

Persönlich identifizierbare Informationen (PII) umfassen jegliche Daten, die zur direkten oder indirekten Identifizierung einer Person genutzt werden können, wie z. B. Name, E-Mail-Adresse oder Telefonnummer. In Google Analytics 4 sollten solche Daten niemals erfasst werden, da dies gegen die Datenschutzbestimmungen von Google und den DSGVO-Richtlinien verstößt. Das versehentliche Senden von PII-Daten kann schwerwiegende Folgen haben, einschließlich rechtlicher Konsequenzen und der Sperrung des Analytics-Kontos. Es ist daher unerlässlich, Maßnahmen zur Vermeidung und Korrektur von PII zu ergreifen.

Wie gelangen PII-Daten ins Tracking?

PII-Daten können versehentlich über verschiedene Kanäle in Google Analytics 4 gelangen.

URL-Parameter

Häufig geschieht dies über URL-Parameter, wenn bspw. E-Mail-Adressen oder Benutzernamen in Links enthalten sind. Dann findet man z. B. so etwas in seinen Daten:

In dieser URL werden der Name („JohnDoe“) und die E-Mail-Adresse („john.doe@example.com“) als Parameter in der URL übergeben. Solche Informationen dürfen nicht in Google Analytics erfasst werden, da sie als PII gelten und gegen die Datenschutzrichtlinien verstoßen.

Formularübermittlungen

Auch Formularübermittlungen, die Benutzerdaten wie Namen oder Telefonnummern enthalten, können PII-Daten übergeben. Wenn ein Benutzer ein Formular auf einer Website ausfüllt, können die eingegebenen Daten, falls nicht richtig konfiguriert, getrackt werden.

Benutzerdefinierte Dimensionen

Ein weiteres Szenario ist die Nutzung benutzerdefinierter Dimensionen und Ereignisse, bei denen sensible Informationen übermittelt werden. Diese ungewollte Erfassung von PII kann nicht nur die Datenqualität beeinträchtigen, sondern auch rechtliche Konsequenzen nach sich ziehen.

Interne Suche

Manchmal können PII-Daten unbeabsichtigt durch Webanalyse-Tools erfasst werden. Zum Beispiel, wenn ein Nutzer seine E-Mail-Adresse in ein Suchfeld statt in das vorgesehene E-Mail-Feld eingibt.

Datenimport

Auch beim Datenimport an GA4 kann es vorkommen, dass versehentlich persönliche Daten übergeben werden.

Wie finde ich PII-Daten in GA4?

Um PII in Google Analytics 4 zu erkennen, kannst du benutzerdefinierte Berichte in der GA4-Explorationsansicht erstellen. Hierzu solltest du nach häufigen PII-Indikatoren wie E-Mail-Adressen, Telefonnummern oder personenbezogenen Daten in URL-Parametern suchen. Ein nützliches Tool dafür ist die Verwendung von Filtern, die gezielt nach Mustern suchen, die typisch für PII sind, wie „@“ für E-Mail-Adressen oder Zahlenfolgen, die auf Telefonnummern hinweisen. Diese Berichte helfen dabei, potenziell problematische Daten schnell zu identifizieren und zu korrigieren.

Wie kann ich vermeiden, dass PII-Daten in GA4 ankommen?

Es gibt verschiedene Ansätze, um PII aus Google Analytics 4 zu entfernen:

• Nutzung des Google Tag Managers (GTM): Durch Anpassung der Tags kannst du sicherstellen, dass keine PII-Daten an GA4 gesendet werden. Hierzu kannst du Regeln erstellen, um sensible Informationen zu filtern oder zu anonymisieren.
• Data-Redaction-Funktion in GA4: GA4 bietet eine integrierte Funktion, um bestimmte Datenfelder zu maskieren oder komplett zu löschen, bevor sie gespeichert werden. An dieser Stelle ist aber zu beachten, dass die Daten bereits an GA4 verschickt werden. Idealerweise sollten PII-Daten erst gar nicht an GA4 gesendet werden.
• Anpassung der Tracking-Parameter: Überprüfe und passe URL-Parameter an, um sicherzustellen, dass keine PII übertragen wird.
• Serverseitiges Tagging: Erweitere dein Tracking um Server-Side-Tagging, um eine zusätzliche Schicht zur Datenkontrolle und -filterung einzuführen.
• Anpassung von Formularen. Nutze die POST-Methode anstelle der GET-Methode für http-Anfragen bei Formularen.
  • GET-Methode: Die Formularfelder werden als URL-Parameter gesendet. Beispiel: https://www.beispielseite.de/suche?name=JohnDoe&email=john.doe@example.com. Hier können PII-Daten leicht in die URL gelangen und in Analytics erfasst werden.
  • POST-Methode: Daten werden im Body der HTTP-Anfrage gesendet und sind nicht in der URL sichtbar. Das reduziert das Risiko der PII-Erfassung in Google Analytics, kann aber immer noch über JavaScript erfasst werden, wenn die Daten nicht gefiltert werden.

Best Practices zur Vermeidung von PII

• Formularvalidierung und -bereinigung: Stelle sicher, dass Formulardaten überprüft und bereinigt werden, bevor sie gesendet werden. Vermeide, sensible Daten wie E-Mail-Adressen oder Telefonnummern in URL-Parametern zu übermitteln. Falls du also Checklisten in deinen Veröffentlichungsprozessen hast, nimm gerne den Punkt „PII-Daten checken“ auf.
• Verwendung der POST-Methode: Wo möglich, nutze die POST-Methode für Formulare, um zu verhindern, dass sensible Daten in die URL geschrieben werden (siehe oben).
• Anonymisierung und Pseudonymisierung: Verwende Techniken wie Hashing, um PII vor der Übertragung in Analytics anonym zu machen.
• Regelmäßige Audits: Führe regelmäßige Überprüfungen der Tracking-Implementierung durch, um potenzielle PII-Lecks zu identifizieren und zu beheben.
  Übrigens: In unseren Audits prüfen wir ebenfalls auf PII-Daten. Weitere Infos findest du hier:
  

Fazit

Der Umgang mit PII in Google Analytics 4 erfordert besondere Sorgfalt, um Datenschutzverletzungen zu vermeiden. Durch sorgfältige Planung und Implementierung können potenzielle Risiken minimiert werden. Die Verwendung von Techniken wie der POST-Methode, Anonymisierung und regelmäßigen Audits sind wichtige Schritte, um sicherzustellen, dass keine sensiblen Daten erfasst werden. Letztendlich ist die Schulung des Teams in Bezug auf Datenschutzrichtlinien und Best Practices unerlässlich, um langfristig eine datenschutzkonforme Analytics-Implementierung zu gewährleisten.

Nächste Webinare

• Ask the Pros: Wir beantworten deine SEO-Fragen!
• Digitale Barrierefreiheit: Mehr Erfolg durch inklusivere Websites
• Ask the Pros: Wir beantworten deine SEA-Fragen!

Nächste Seminare

• Google Analytics 4 (Teil 1): Die Einrichtung
• LinkedIn Ads für Einsteiger:innen
• Google Analytics 4 (Teil 2): Grundlagen und Analysen

Alle kommenden Seminare

The following two tabs change content below.

• Bio
• Neueste Artikel

Andreas Engelhardt

Andreas Engelhardt ist Head of Digital Analytics + CRO bei der Online-Marketing-Agentur Bloofusion.

Dort berät er Kunden bei der Webanalyse und der Optimierung ihrer Seiten für mehr Sales und Leads. Zudem bloggt er regelmäßig im Bloofusion Blog.

Andreas Engelhardt ist unter anderem in den folgenden sozialen Netzwerken zu finden:

• XING
• Twitter

Neueste Artikel von Andreas Engelhardt (alle ansehen)

• Die Wissenspyramide in der Webanalyse: Daten effektiv nutzen - 6. Dezember 2024
• GA4: Nutzung von Event-Tracking-Daten für Marketing- und Geschäftsentscheidungen - 14. November 2024
• [GA4] Warum sollte man (regelmäßig) ein GA4-Audit erstellen? - 6. November 2024
• [GA4] PII in Google Analytics 4 – Tipps zur Erkennung und Entfernung sensibler Daten - 23. Oktober 2024
• Google Consent Mode Version 2 – Alles, was du wissen musst - 1. März 2024