Ein praktischer Leitfaden zu Datenspeicherung in Google Analytics

Dieser Leitfaden erklärt Datenspeicherung in Google Analytics praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

Die Datenaufbewahrung Google Analytics kann leicht missverstanden werden. In GA4 wirken sich Aufbewahrungseinstellungen auf Daten auf Benutzerebene und Ereignisebene aus, die in Explorations- und Trichterberichten verwendet werden, nicht auf standardmäßige aggregierte Berichte. In der Dokumentation von Google werden 2 Monate und 14 Monate für Standardeigenschaften aufgeführt, mit längeren Optionen für Google Analytics 360, und es heißt, dass Daten automatisch gelöscht werden, wenn das Ende des Aufbewahrungszeitraums erreicht ist (GA4 Datenaufbewahrung).

Diese Einstellung dient nicht nur der Analyse. Es handelt sich um eine Datenschutzkontrolle.

Warum die Aufbewahrung unter GDPR wichtig ist

Der Grundsatz der Speicherbeschränkung des GDPR verlangt, dass personenbezogene Daten nur so lange in identifizierbarer Form aufbewahrt werden, wie es für den Zweck erforderlich ist. Wenn rohe Ereignisdaten aufbewahrt werden, weil „wir sie vielleicht eines Tages brauchen“, ist der Zweck zu vage.

Analysedaten können personenbezogene Daten enthalten, auch wenn Namen fehlen. Gerätedaten, Cookie-IDs, Benutzer IDs, vollständiger URLs, IP-abgeleiteter Standort, Ereignisparameter und Verhaltenssequenzen können eine Person identifizieren oder herausgreifen. Eine längere Aufbewahrung erhöht die Auswirkungen von Sicherheitsverletzungen, das Zugriffsrisiko und die regulatorische Gefährdung.

Was die Aufbewahrung von GA4 bewirkt und was nicht

GA4 Aufbewahrungskontrollen können reduzieren, wie lange Daten auf Ereignisebene für bestimmte Analysefunktionen verfügbar bleiben. Sie beantworten jedoch nicht jede Datenschutzfrage:

• Standardaggregierte Berichte sind nicht in gleicher Weise betroffen.
• Der BigQuery-Export erstellt einen separaten Datensatz unter Ihrer Kontrolle.
• Verlinkte Produkte können ein eigenes Aufbewahrungsverhalten aufweisen.
• Für heruntergeladene Berichte und Lagerkopien ist eine eigene Richtlinie erforderlich.
• Einwilligungs- und Übertragungsfragen bedürfen noch einer gesonderten Analyse.

Wenn Sie GA4-Daten nach BigQuery exportieren, sagt Google, dass Sie Eigentümer dieser exportierten Daten sind und den Zugriff über BigQuery-Steuerelemente verwalten (GA4 BigQuery-Export). Das bedeutet, dass die Verantwortung für die Aufbewahrung auf Sie übergeht.

Riskante Aufbewahrungsmuster

Zu den häufigsten Problemen gehören:

• Belassen Sie die Standardaufbewahrung, ohne die Berichtsanforderungen zu verstehen.
• Exportieren von Rohdaten in ein Lager ohne Löschplan.
• Behalten der Benutzerkennungen in der Analyse nach der Kontolöschung.
• Speichern ganzer Seiten URLs, die E-Mails, Token oder Suchbegriffe enthalten.
• Ermöglichen eines breiten Personalzugriffs auf Daten auf Ereignisebene.
• Speicherung von Daten zu Werbezwecken nach Abmeldung durch den Nutzer.

Ein besseres Aufbewahrungsmodell

Verwenden Sie Ebenen:

Echtzeit und Debugging: Stunden bis Tage. Nützlich für Bereitstellungsprüfungen und Vorfalluntersuchungen.

Rohe Ereignisanalyse: 30 bis 180 Tage, abhängig von Produktzyklen und Rechtsgrundlage.

Aggregierte Berichterstattung: 12 bis 36 Monate für Trendanalysen, ohne persönliche Identifikatoren.

Finanzielle oder vertragliche Aufzeichnungen: getrennt von der Webanalyse und im Rahmen buchhalterischer oder gesetzlicher Verpflichtungen aufbewahrt.

Dokumentieren Sie den Zweck für jede Ebene und automatisieren Sie die Löschung. Manuelle Löschrichtlinien scheitern stillschweigend.

Privacy-First-Analytics-Vorteil

Eine datenschutzorientierte Analyseplattform, die Cookies, persistente IDs, Fingerabdrücke und Rohspeicherung IP vermeidet, reduziert das Aufbewahrungsrisiko von Anfang an. Aggregierte Messwerte können oft länger aufbewahrt werden, da sie weniger wahrscheinlich Einzelpersonen identifizieren. Rohe Ereignisse können nur von kurzer Dauer sein oder ganz vermieden werden.

Das Ziel besteht nicht darin, den nützlichen Verlauf zu löschen. Es geht darum, die nützlichste Form der Historie zu bewahren: Trends, Conversions, Kampagnen und Inhaltsleistung ohne unnötige persönliche Spuren.

Checkliste

1. Überprüfen Sie die Aufbewahrungseinstellungen von GA4.
2. Identifizieren Sie alle Exporte und verbundenen Produkte.
3. Definieren Sie die Aufbewahrung für Rohereignisse, Berichte und Warehouse-Tabellen.
4. Persönliche Daten aus Ereignisparametern entfernen.
5. Beschränken Sie den Zugriff auf Daten auf Ereignisebene.
6. Workflows zum Löschen von Dokumenten für Benutzeranfragen.
7. Überprüfungsaufbewahrung nach größeren Produkt- oder Gesetzesänderungen.

Bei der Datenspeicherung werden Datenschutzversprechen wahr. Wenn Sie nicht sagen können, warum ein Datensatz noch vorhanden ist, ist es wahrscheinlich an der Zeit, ihn zu aggregieren oder zu löschen.

Aufbewahrung für Ereigniseigenschaften

Die Aufbewahrungsüberprüfung sollte Ereigniseigenschaften umfassen, nicht nur Ereigniszeitstempel. Eine Eigenschaft wie search_term, account_id, page_location oder checkout_step birgt möglicherweise ein größeres Datenschutzrisiko als der Ereignisname. Wenn Sie Suchanalysen benötigen, sollten Sie erwägen, Abfragen zu gruppieren, seltene Abfragen zu verwerfen oder Begriffe für sensible Inhalte zu überprüfen, bevor Sie sie speichern.

Zugangskontrollen

Eine kurze Aufbewahrung hilft nicht, wenn zu viele Personen Daten exportieren können, während sie vorhanden sind. Beschränken Sie den Zugriff auf Rohanalysen auf Personen, die ihn benötigen, bevorzugen Sie aggregierte Dashboards für die meisten Beteiligten und protokollieren Sie Exporte aus Data Warehouses. Analysedaten wirken oft risikoarm, bis sie mit CRM-, Abrechnungs- oder Supportdaten kombiniert werden. Bei Zugriffsrichtlinien sollte davon ausgegangen werden, dass Verknüpfungen die Empfindlichkeit erhöhen können.

Vorlage für Aufbewahrungsrichtlinien

Schreiben Sie die Richtlinie in Geschäftssprache. Rohe Analyseereignisse werden für ein kurzes Diagnosefenster aufbewahrt. Aggregierte Berichte werden zur Trendanalyse länger aufbewahrt. Sensible Ereigniseigenschaften werden vor der Speicherung blockiert oder geschwärzt. Exporte erfordern einen benannten Zweck und verfallen. Die Einstellungen zur Lieferantenbindung werden nach Produkteinführungen, Kampagnenänderungen und Agenturübergaben überprüft. Googles eigene GA4-Dokumentation zu Datenaufbewahrung zeigt, dass sich Aufbewahrungseinstellungen unterschiedlich auf Daten auf Benutzer- und Ereignisebene auswirken. Daher sollten Teams nicht davon ausgehen, dass ein einziger Schalter jedes Risiko löst.

Für eine Einrichtung, bei der die Privatsphäre an erster Stelle steht, trennen Sie drei Ebenen. Erstens werden betriebliche Ereignisse in Echtzeit zur Überprüfung der Nachverfolgung verwendet. Zweitens, aktuelle Rohereignisse, die zum Debuggen von Formularen, Kampagnen und Trichtern verwendet werden. Drittens: Aggregierte historische Kennzahlen, die für die Strategie verwendet werden. Die meisten Teams benötigen die dritte Schicht viel länger als die ersten beiden. Dieses Design bewahrt den nützlichen Verlauf und verringert gleichzeitig die Wahrscheinlichkeit, dass alte Identifikatoren, URLs, Suchbegriffe oder versehentliche persönliche Daten noch Jahre nach Ablauf des ursprünglichen Zwecks verfügbar bleiben.

Aufbewahrungsüberwachungsaktionen

Erstellen Sie ein Aufbewahrungsinventar für GA4 und jedes verbundene Ziel. Erfassen Sie, ob erweiterte Messung, Google Signals, personalisierte Anzeigen, Benutzer-ID, BigQuery-Export, Einwilligungsmodus, domänenübergreifende Messung und regionsspezifische Einstellungen aktiviert sind.

Dann trennen Sie das, was roh bleiben muss, von dem, was zur aggregierten Geschichte werden kann. Bewahren Sie GA4-Daten nur dort auf, wo das Google-Berichts- oder Anzeigen-Ökosystem eine berechtigte Aufgabe hat; Verschieben Sie Basisseiten, Referrer, Kampagnen, Ziele und aggregierte Trichter nach Möglichkeit in ein Setup mit geringerem Risiko.