Ein praktischer Leitfaden zu Google-Analytics-Kennungen

Dieser Leitfaden erklärt Google-Analytics-Kennungen praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

Google Analytics-Kennungen sind nicht nur technische Implementierungsdetails. Sie sind der Mechanismus, der es GA4 ermöglicht, Benutzer zu unterscheiden, Ereignisse zu Sitzungen zu verbinden, Werbefunktionen zu aktivieren und Berichte zu erstellen, die präziser wirken als aggregierte Seitenzähler.

Für Datenschutzteams ist die entscheidende Frage nicht, ob eine Kennung wie ein Name aussieht. Es geht darum, ob ein Browser, ein Gerät, eine App-Installation, ein Konto oder eine Person identifiziert werden kann. Gemäß GDPR können Online-Kennungen personenbezogene Daten sein, wenn sie sich auf eine identifizierbare Person beziehen.

Das bedeutet nicht, dass jede Analytics-Kennung "PII" im engeren, alltäglichen Sinne von Name, E-Mail, Telefonnummer oder Adresse lautet. Ein Client ID ist normalerweise pseudonym. Es bedarf dennoch Kontrollen, da pseudonyme Identifikatoren das Verhalten im Laufe der Zeit verknüpfen und in Kombination mit anderen Daten identifizierbar werden können.

Client ID

Laut Google speichert Analytics für Websites eine Client ID in einem first-party cookie mit dem Namen _ga, um eindeutige Benutzer und Sitzungen zu unterscheiden (GA4-Datenerfassung). Laut Google können Kunden außerdem steuern, ob cookies zum Speichern einer pseudonymen oder zufälligen Client ID verwendet wird (Google Analytics-Sicherheitsmaßnahmen).

Eine Client ID ist pseudonym, nicht anonym. Sie enthält möglicherweise keinen Namen, kann aber Seitenaufrufe und Ereignisse desselben Browsers im Laufe der Zeit verknüpfen. In Kombination mit dem von IP abgeleiteten Standort, Geräteinformationen, Seitenpfaden, Kampagnendaten und Ereignisdetails wird daraus ein Verhaltensdatensatz.

User ID

User ID ist optional, aber empfindlicher. Damit kann eine Website ihre eigene Kennung für authentifizierte Benutzer senden, sodass Analytics Aktivitäten über Geräte und Sitzungen hinweg verknüpfen kann. Bei unachtsamer Umsetzung können daraus direkte personenbezogene Daten oder eine stabile interne Kennung entstehen, die eine erneute Identifizierung erleichtert.

Senden Sie niemals E-Mail-Adressen, Benutzernamen, Telefonnummern oder CRM-IDs als User IDs oder benutzerdefinierte Dimensionen an Google Analytics, es sei denn, die rechtliche Überprüfung genehmigt dies ausdrücklich. Die Richtlinien von Google Analytics verbieten die Übermittlung personenbezogener Daten an Analytics, und das Datenschutzrisiko steigt stark an, wenn Analytics mit Kontodaten verknüpft wird.

Session ID und Ereigniskennungen

Das Ereignismodell von GA4 gruppiert Interaktionen in Sitzungen und Ereignisse. Mithilfe von Sitzungskennungen können Berichte Engagement, Conversions und Journeys berechnen. Selbst wenn ein einzelner session ID nur von kurzer Dauer ist, kann er dennoch das Verhalten während eines Besuchs aufdecken: angezeigte Seiten, heruntergeladene Dateien, erreichte Formularschritte und ausgehende Klicks.

Das ist auf sensiblen Websites wichtig. Eine Sitzung, die Besuche auf Seiten für psychische Gesundheit, Rechtshilfe, Politik oder Medizin umfasst, kann mehr offenbaren, als der Benutzer beabsichtigt hat.

App Instance ID und mobile Identifikatoren

Für Apps gibt Google an, dass das Firebase SDK automatisch eine App Instance ID generiert und jeder App-Instanz zuweist, und das SDK kann mobile Kennungen wie Android Advertising ID und iOS Identifier for Advertisers sammeln, sofern verfügbar (GA4-Datenerfassung).

Mobile Identifikatoren werfen zusätzliche Probleme hinsichtlich der Einwilligung und der Plattformpolitik auf. Unter iOS erfordert das App Tracking Transparency-Framework von Apple möglicherweise eine Benutzerautorisierung für die Nachverfolgung über Apps und Websites anderer Unternehmen hinweg. Unter Android hängt das Verhalten der Werbe-ID von den Plattformeinstellungen und Berechtigungen ab.

Google Signals

Google Signals ist ein separater Datenschutzaspekt. Laut Google können durch die Aktivierung von Google Signals Remarketing, Werbeberichtsfunktionen sowie Demografie und Interessen von Benutzern aktiviert werden, die in Google-Konten angemeldet sind und für die die Anzeigenpersonalisierung aktiviert ist (Google Signals-Dokumentation).

Das kann für Werbetreibende nützlich sein, aber es rückt die Analyse näher an die Werbeidentität heran. Wenn Sie weder Remarketing noch demografische Berichte benötigen, verringert die Deaktivierung von Google Signals das Risiko und vereinfacht die Erklärung in Ihrer Datenschutzerklärung.

IP Adressen und Standort

Laut Google protokolliert oder speichert GA4 keine IP-Adressen und verwendet IP-Adressen für Zwecke wie die Ableitung des Standorts und den Schutz des Dienstes (Google Analytics-Schutzmaßnahmen). Das ist eine sinnvolle Kontrolle, macht den Rest des Analysedatensatzes jedoch nicht anonym. Client IDs, Ereignisabläufe, Gerätedaten und mit dem Konto verknüpfte Funktionen können weiterhin personenbezogene Daten sein.

Vermeiden Sie den häufigen Fehler zu sagen: "GA4 ist anonym, weil IP-Adressen nicht gespeichert werden." Das Datenschutzrecht betrachtet den gesamten Datensatz und die angemessene Identifizierbarkeit, nicht nur ein Feld.

Warum Identifikatoren Einwilligungsfragen auslösen

In Europa kann das Speichern von oder der Zugriff auf Identifikatoren auf einem Gerät ePrivacy-Cookie-Einwilligungsregeln auslösen. GDPR regelt dann die nachfolgende Verarbeitung personenbezogener Daten. Hierbei handelt es sich um verwandte, aber getrennte Fragen: ePrivacy erfordert möglicherweise eine Einwilligung für den Speicher- oder Zugriffsmechanismus, während GDPR eine Rechtsgrundlage für die anschließende Verarbeitung benötigt. Diese Rechtsgrundlage ist häufig die Einwilligung zu Werbung oder Profilerstellung. Es ist jedoch nicht korrekt zu sagen, dass jede Kennung in jeder Konfiguration immer eine GDPR-Einwilligung erfordert.

Eine gültige Einwilligung muss, wenn sie verwendet wird, freiwillig, spezifisch, informiert und eindeutig erfolgen, wie im EDPB erläutert (EDPB-Einwilligungsleitfaden).

Wenn GA4 mit Werbefunktionen, langer Aufbewahrung, User ID oder Google Signals konfiguriert ist, erhöht sich der Einwilligungs- und Transparenzaufwand. Wenn es nur für begrenzte Messungen hinter einem CMP konfiguriert ist, ist das Risiko möglicherweise geringer, aber nicht Null.

Checkliste für sicherere Konfiguration

Berücksichtigen Sie für Teams, die GA4 behalten, die folgenden Kontrollen:

• Deaktivieren Sie Google Signals, sofern dies nicht ausdrücklich erforderlich ist
• Aktivieren Sie die Personalisierung von Anzeigen nicht standardmäßig
• Senden Sie User ID nicht, es sei denn, dies ist erforderlich und wurde überprüft
• Senden Sie niemals E-Mails oder andere direkte Identifikatoren
• Entfernen Sie vor dem Tracking personenbezogene Daten aus URLs
• Halten Sie die Ereigniseigenschaften kategorisch und minimal
• Verwenden Sie Consent Mode sorgfältig und verstehen Sie den Basis- und den erweiterten Modus
• Verkürzen Sie die Datenspeicherung nach Möglichkeit
• Internen Datenverkehr ausschließen
• Überprüfen Sie die verknüpften Exporte Google Ads und BigQuery

Für Teams, die nur Website-Leistung, Kampagnen und Conversions benötigen, sollten Sie eine datenschutzorientierte Analyse in Betracht ziehen, bei der dauerhafte Identifikatoren vollständig vermieden werden.

Checkliste für das Identifier-Audit

Trennen Sie direkte Identifikatoren, pseudonyme Online-Identifikatoren und aggregierte Metriken. Notieren Sie, ob erweiterte Messung, Google Signals, Anzeigenpersonalisierung, User-ID, BigQuery-Export, Consent Mode, domänenübergreifende Messung und regionsspezifische Einstellungen aktiviert sind. Dokumentieren Sie für jede Kennung deren Zweck, Lebensdauer, Speicherort, Rechtsgrundlage, Einwilligungsabhängigkeit und ob sie Ihre Organisation verlässt.

Behalten Sie GA4 nur dann bei, wenn das Google-Anzeigen- oder Berichtsökosystem den Datenschutz, die Einwilligung und die Wartungskosten rechtfertigt. Bei Basisseiten, referrers, Kampagnen, Zielen und aggregierten Trichtern kann die Privacy-First-Analyse die Frage mit weniger Identifikatoren beantworten.

Das Fazit

Identifikatoren sind es, die Analysen von aggregierter Zählung in Verhaltensmessungen verwandeln. Manchmal ist das gerechtfertigt. Oft ist es mehr, als eine Marketingseite benötigt.

Bevor Sie eine weitere Kennung aktivieren, fragen Sie, welche Entscheidung sie unterstützt. Wenn die Antwort vage ist, lassen Sie sie weg. Der sauberste Analyse-Stack ist derjenige, der Ergebnisse misst, ohne Identitäten anzusammeln.

Benutzerdefinierte Dimensionen prüfen

Bei benutzerdefinierten Dimensionen treten viele Datenschutzprobleme auf. Überprüfen Sie jede Dimension und jeden Parameter auf direkte Kennungen, interne IDs, Freitext und sensiblen Kontext. Wenn eine Eigenschaft nur zur Identifizierung einer Person oder eines Kontos dient, gehört sie wahrscheinlich in eine CRM- oder Produktdatenbank mit strengeren Zugriffskontrollen und nicht in einen Marketinganalysebericht.