Ein praktischer Leitfaden zu Ist Google Analytics CCPA kompatibel

Dieser Leitfaden erklärt Ist Google Analytics CCPA kompatibel praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

Der CCPA fragt nicht einfach, ob ein Tool „konform“ ist. Es wird gefragt, welche personenbezogenen Daten erfasst werden, warum sie erfasst werden, wer sie erhält, ob sie verkauft oder weitergegeben werden, ob es sich um sensible personenbezogene Daten handelt und ob Verbraucher ihre Rechte ausüben können.

Google Analytics kann in ein CCPA-Complianceprogramm passen, aber die Konfiguration ist wichtig. Ein minimales Analyse-Setup unterscheidet sich von GA4, verknüpft mit Google Ads, Remarketing-Zielgruppen, erweiterten Conversions und produktübergreifendem Datenaustausch.

Warum Analysedaten personenbezogene Daten sein können

Der CCPA definiert personenbezogene Daten im weitesten Sinne. Dazu können Online-Identifikatoren, Internetaktivitäten, Geolokalisierung, kommerzielle Informationen und Schlussfolgerungen gehören. In den FAQ des CPPA wird erläutert, dass zu vertraulichen personenbezogenen Daten genaue Geolokalisierung, Gesundheitsinformationen, behördliche Kennungen, Kontozugriffsdaten und andere Kategorien gehören können.

Website-Analysen können Folgendes erfassen oder übermitteln:

• IP-abgeleiteter Standort.
• Cookie- oder Gerätekennungen.
• Seite URLs.
• Referenten.
• Such- oder Kampagnenparameter.
• Browser- und Gerätedetails.
• Ereignisse wie Anmeldungen, Käufe und Formularübermittlungen.

Wenn URLs oder Ereignisse personenbezogene Daten enthalten, erhöht sich das Risiko schnell. Ein Seitenpfad wie /conditions/diabetes-care oder ein Abfrageparameter, der eine E-Mail-Adresse enthält, können Routineanalysen in vertrauliche Offenlegung verwandeln.

Verkaufs-, Freigabe- und Werbeintegrationen

Gemäß CCPA/CPRA umfasst „Teilen“ die Offenlegung personenbezogener Daten für kontextübergreifende Verhaltenswerbung. Aus diesem Grund werden Analysen komplexer, wenn sie mit Werbeplattformen verbunden werden.

Wenn GA4-Daten verwendet werden, um Zielgruppen aufzubauen, Anzeigen zu optimieren, Besucher erneut anzusprechen oder das Website-Verhalten mit Google-Werbediensten zu verknüpfen, sollte das Unternehmen prüfen, ob es personenbezogene Daten verkauft oder weitergibt und ob ein Mechanismus „Meine personenbezogenen Daten nicht verkaufen oder weitergeben“ erforderlich ist.

Google bietet Bedingungen und Einstellungen im Zusammenhang mit den Datenschutzgesetzen des Bundesstaates US und der eingeschränkten Datenverarbeitung. Im State Privacy Laws Controller Addendum heißt es, dass Kunden für deren Einhaltung verantwortlich sind, und beschreibt Einstellungen für die eingeschränkte Datenverarbeitung. In der Ads-Hilfe von Google wird außerdem darauf hingewiesen, dass Analytics in bestimmten eingeschränkten Datenverarbeitungskontexten als Dienstanbieter fungieren kann, es sei denn, Daten werden exportiert oder mit anderen Produkten geteilt.

Die Compliance-Lektion: Gehen Sie nicht davon aus, dass die Standardkonfiguration ausreicht. Überprüfen Sie jeden Produktlink und jede Einstellung zur Datenfreigabe.

Globale Datenschutzkontrolle

Kalifornien erwartet von Unternehmen, dass sie unter bestimmten Umständen gültige Opt-out-Präferenzsignale respektieren. Global Privacy Control ist das häufigste Signal auf Browserebene. Wenn Ihre Website personenbezogene Daten verkauft oder weitergibt, muss Ihr Einwilligungs- und Tag-System GPC erkennen und respektieren und nicht nur einen Fußzeilenlink anzeigen.

Für die Analyse kann dies bedeuten:

• Blockieren von Werbe-Tags, wenn GPC vorhanden ist.
• Deaktivierung der Zielgruppenerstellung.
• Verhinderung des Datenaustauschs mit Werbeplattformen.
• Aufzeichnung des Opt-Out-Status ohne Erstellung eines neuen Tracking-Profils.

Praktische GA4 Risikobereiche

Vollständiger URLs und Abfragezeichenfolgen

GA4 kann Seite URLs empfangen. Wenn Ihre URLs E-Mails, Namen, Bestell-IDs, Reset-Tokens, Suchbegriffe oder Gesundheitsdetails enthalten, senden Sie möglicherweise unbeabsichtigt personenbezogene Daten. Korrigieren Sie die URL-Design- und Strip-Parameter vor der Sammlung.

Formularverfolgung

Senden Sie keine Formularfeldwerte an GA4. Google Analytics-Richtlinien verbieten das Senden von Daten, die Google als persönlich identifizierbare Informationen erkennen könnte, und in den HIPAA- und Analytics-Leitlinien von Google wird erneut darauf hingewiesen, dass Kunden keine personenbezogenen Daten oder sensiblen Informationen an Analytics weitergeben sollten.

Google Ads Verlinkung

Durch die Verknüpfung von GA4 mit Google Ads kann sich die Datennutzung ändern. Überprüfen Sie, ob Zielgruppen, Conversions und Remarketing aktiviert sind. Wenn Sie sie nicht benötigen, schalten Sie sie aus.

Verwirrung im Einwilligungsmodus

Der Google-Zustimmungsmodus steuert das Verhalten von Google-Tags basierend auf Zustimmungssignalen. Dabei handelt es sich nicht um einen Datenschutzhinweis, einen CCPA-Opt-out-Mechanismus oder einen Beweis dafür, dass Ihre Implementierung konform ist. Google dokumentiert Einwilligungstypen wie analytics_storage, ad_storage, ad_user_data und ad_personalization in seiner Dokumentation zu Einwilligungstypen.

Eine CCPA-Checkliste für Google Analytics

1. Aktualisieren Sie die Datenschutzerklärung mit den Kategorien der erfassten Analysedaten.
2. Erklären Sie Zwecke, Aufbewahrung und Anbieterkategorien.
3. Überprüfen Sie, ob GA4-Daten verkauft oder weitergegeben werden, insbesondere durch Anzeigenintegrationen.
4. Stellen Sie bei Bedarf die Option „Nicht verkaufen oder teilen“ zur Verfügung.
5. Beachten Sie gegebenenfalls die globale Datenschutzkontrolle.
6. Deaktivieren Sie unnötige Google-Produktlinks und die Datenfreigabe.
7. Senden Sie keine personenbezogenen Daten, sensiblen Daten oder Formularwerte.
8. Entfernen Sie personenbezogene Daten aus URLs und Ereignisparametern.
9. Definieren Sie nach Möglichkeit Löschworkflows für Analysedaten.
10. Dokumentieren Sie die Rolle von Google und die geltenden Bedingungen.

Die Privacy-First-Alternative

Wenn Ihr Website-Analyseziel eine aggregierte Messung ist, benötigen Sie GA4 möglicherweise nicht. Ein Cookie-freies Analysetool, das persönliche Identifikatoren und die Wiederverwendung von Werbung vermeidet, kann CCPA-Pflichten reduzieren, da es weniger persönliche Informationen sammelt und weniger Verkaufs-/Teilungsfragen aufwirft.

Die beste CCPA-Compliance-Strategie besteht nicht darin, noch mehr Rechtstexte auf einem Stapel mit vielen gemeinsamen Inhalten unterzubringen. Es werden weniger Daten gesammelt, weniger Daten weitergegeben und es wird einfacher, Entscheidungen technisch zu respektieren.

Ein sichereres Konfigurationsmuster

Wenn Sie GA4 unter einem CCPA-Programm behalten, beginnen Sie mit der engsten Konfiguration: nur Analyse, keine personalisierte Werbung, keine Remarketing-Zielgruppen, keine unnötigen Produktlinks, kein Benutzer IDs, keine PII in URLs und gegebenenfalls eingeschränkte Datenverarbeitung. Fügen Sie dann Funktionen nur dann hinzu, wenn ein Geschäftsinhaber den Zweck erläutern kann, die rechtliche Prüfung abgeschlossen ist und der Opt-out-Weg technisch durchgesetzt ist.

Dies kehrt das übliche Muster um. Anstatt den gesamten Google-Stack zu aktivieren und zu versuchen, eine Richtlinie darum herum zu schreiben, beginnen Sie mit einer minimalen Messung und begründen Sie jede Erweiterung.

Beweise aufbewahren

Dokumentieren Sie jede GA4-Einstellung, auf die Sie sich für die Einhaltung von CCPA verlassen: eingeschränkte Datenverarbeitung, Produktlinks, Anzeigenpersonalisierung, Einwilligungsverhalten und Opt-out-Behandlung. Screenshots und Änderungsdaten sind wichtig, da Datenschutzüberprüfungen oft Monate nach der Änderung eines Tags erfolgen.

CCPA Implementierungsprüfung

Überprüfen Sie gemeinsam Werbepixel, Tag-Manager-Ziele, serverseitige Konvertierung APIs, Anreicherungsanbieter und Analyseereigniseigenschaften. Die entscheidende Frage ist, ob ein Anbieter Daten für kontextübergreifende Verhaltenswerbung oder eine andere Verwendung erhält, die einen Opt-out-Weg in Kalifornien erfordert.

Wenn aggregierte Analysen die geschäftliche Frage beantworten, bevorzugen Sie diese gegenüber der Freigabe auf Besucherebene. Wenn die Weitergabe weiterhin erforderlich ist, bestätigen Sie den Hinweis, den Opt-out-Link, den Umgang mit Global Privacy Control, die Beschränkungen für sensible Daten, die Anbieterbedingungen, die Aufbewahrung und den Nachweis jeder Einstellung.