Ein praktischer Leitfaden zu Datenerfassung durch Google Analytics

Dieser Leitfaden erklärt Datenerfassung durch Google Analytics praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

Google Analytics sammelt Benutzerdaten über Tags, cookies, Kennungen, Ereignisparameter, Geräteinformationen und Integrationen mit anderen Google-Produkten. GA4 unterscheidet sich in mehreren wichtigen Punkten von Universal Analytics, es handelt sich jedoch immer noch um ein Analysesystem, das auf Messereignissen und Kennungen basiert.

Für Datenschutzteams ist die praktische Frage nicht, ob GA4 "gut" oder "schlecht" ist. Es geht darum, was Ihre Implementierung sammelt, welche Funktionen aktiviert sind, wo Daten fließen und ob die Einrichtung Ihrer Rechtsgrundlage und den Besuchererwartungen entspricht.

Das Tag startet die Sammlung

Auf Websites beginnt Google Analytics normalerweise mit einem Google-Tag oder einem Google Tag Manager-Container. Wenn die Seite geladen wird, kann das Tag je nach Konfiguration Ereignisse wie Seitenaufrufe, Scrolls, ausgehende Klicks, Dateidownloads, Formularinteraktionen und Videointeraktionen senden.

Laut Google umfasst die standardmäßige GA4-Sammlung die Anzahl der Benutzer, Sitzungsstatistiken, ungefähre Geolokalisierung, Browser- und Geräteinformationen sowie erweiterte Messereignisse, sofern aktiviert (GA4-Datensammlung). Diese Standardliste ist bereits umfassender als ein einfacher Seitenzähler.

Cookies und Client IDs

GA4 speichert eine Client ID in einem first-party _ga cookie, um eindeutige Benutzer und Sitzungen zu unterscheiden, es sei denn, der Analysespeicher ist über Consent Mode deaktiviert. Laut Google verwendet Analytics first-party cookies und App Instance IDs, um Benutzerinteraktionen zu messen (Google Analytics-Sicherheitsmaßnahmen).

Der Client ID ist zwar pseudonym, es kann sich aber dennoch um personenbezogene Daten handeln, wenn er im Laufe der Zeit von einem Browser erfasst wird oder mit anderen Daten verknüpft werden kann. Es verknüpft Seitenaufrufe, Ereignisse, Conversions und Kampagnenbesuche in einem Verhaltensdatensatz.

IP Adresse und Standort

Laut Google protokolliert oder speichert GA4 keine IP-Adressen. Es verwendet IP-Adressen zum Ableiten des Standorts und zur Dienstsicherheit und speichert dann die rohen IP-Adressen nicht in GA4-Berichten (Google Analytics-Schutzmaßnahmen).

Das ist eine echte Verbesserung des Datenschutzes im Vergleich zu älteren Analysemustern, macht aber nicht den gesamten Datensatz anonym. Gerätedaten, Client IDs, Ereignissequenzen, User ID, Google Signals und Werbeintegrationen können weiterhin personenbezogene Daten erzeugen.

Geräte- und Browserinformationen

GA4 kann Browser, Gerätekategorie, Betriebssystem, Bildschirmauflösung, Sprache und ähnliche Informationen sammeln. Diese Dimensionen helfen Teams dabei, das Verhalten von Mobilgeräten im Vergleich zu Desktops, Browserprobleme und Lokalisierungsanforderungen zu verstehen. Auch in Kombination mit anderen Feldern können sie zur Identifizierbarkeit beitragen.

Aus diesem Grund sollten Datenschutzüberprüfungen die gesamte Ereignisnutzlast und nicht nur cookies berücksichtigen.

Ereignisse und Parameter

GA4 ist ereignisbasiert. Alles ist ein Ereignis: Seitenaufrufe, Käufe, Klicks, Formularschritte, Suchen, Anmeldungen und benutzerdefinierte Aktionen. Jedes Ereignis kann Parameter enthalten.

Diese Flexibilität ist mächtig und gefährlich. Teams versenden häufig versehentlich personenbezogene Daten über:

• Seiten-URLs, die E-Mails, Token oder Suchbegriffe enthalten
• Als Ereignisparameter erfasste Formularfeldwerte
• Benutzerdefinierte Dimensionen mit Client IDs oder Kontonamen
• Dateinamen, die sensible Inhalte offenbaren
• Interne Debugfelder, die Benutzer identifizieren

Die Richtlinien von Google Analytics verbieten die Übermittlung personenbezogener Daten an Analytics, die Prävention liegt jedoch in Ihrer Verantwortung. Bereinigen Sie URLs, vermeiden Sie Freitext-Ereigniseigenschaften und überprüfen Sie benutzerdefinierte Dimensionen vor dem Start.

Google Signals und Werbefunktionen

Wenn Google Signals aktiviert ist, sagt Google, dass Analytics Daten von angemeldeten Google-Benutzern verwenden kann, bei denen die Anzeigenpersonalisierung aktiviert ist, um Remarketing, Werbeberichtsfunktionen sowie Demografie und Interessen zu unterstützen (Google Signals-Dokumentation).

Dadurch ändert sich das Datenschutzprofil. Ein Messtool wird mit Werbeidentität und geräteübergreifendem Reporting verknüpft. Wenn Ihr Unternehmen kein Remarketing oder demografische Berichte benötigt, ist die Deaktivierung von Google Signals eine erhebliche Risikoreduzierung.

Consent Mode ändert das Verhalten, nicht die Notwendigkeit einer Governance

Consent Mode kann das Verhalten des Google-Tags basierend auf der Einwilligung anpassen. Im Basismodus werden Tags bis zur Einwilligung blockiert. Im erweiterten Modus können Tags bei verweigerter Zustimmung Pings ohne Cookies senden, die Google zur Modellierung verwenden kann (Consent Mode-Setup).

Dies ist kein Ersatz für eine Datenschutzanalyse. Ihr Team muss noch entscheiden, ob der erweiterte Modus angemessen ist, wie das Banner dies erklärt, ob lokale ePrivacy-Regeln die entsprechende Speicherung oder den Zugriff zulassen und wie modellierte Daten intern gemeldet werden sollen.

Fragen zu internationalen Übermittlungen und Lieferanten

GA4-Daten können Google-Entitäten, Verarbeitungsstandorte, Unterprozessoren und Übertragungsmechanismen umfassen. Das EU-US-Datenschutzrahmenwerk bietet derzeit einen Angemessenheitsweg für zertifizierte US-Unternehmen, Organisationen sollten jedoch dennoch die Anbieterbedingungen, Datenverarbeitungsvereinbarungen und den Übertragungskontext prüfen (EU-US-Übertragungen der Europäischen Kommission).

Der rechtliche Status eines Übermittlungsmechanismus entbindet nicht von der Notwendigkeit einer Datenminimierung, einer gültigen Einwilligung, sofern erforderlich, und transparenter Mitteilungen.

Sicherere GA4-Konfiguration

Wenn Sie GA4 behalten, verringern Sie den Explosionsradius:

• Platzieren Sie bei Bedarf Tags hinter einem korrekt konfigurierten CMP
• Deaktivieren Sie Google Signals, sofern kein besonderer Bedarf besteht
• Vermeiden Sie standardmäßig personalisierte Anzeigen
• Senden Sie User ID nicht ohne rechtliche Prüfung
• Entfernen Sie personenbezogene Daten aus URLs
• Halten Sie die Ereignisparameter kategorisch und minimal
• Überprüfen Sie die erweiterten Messeinstellungen
• Beschränken Sie die Datenaufbewahrung
• Steuern Sie BigQuery-Exporte und Zugriffsberechtigungen
• Dokumentieren Sie, was jedes benutzerdefinierte Ereignis sammelt

Privacy-First-Alternative

Viele Websites verwenden GA4, weil es bekannt ist, und nicht, weil sie dessen vollständige Identität und sein Werbe-Ökosystem benötigen. Wenn Ihre tatsächlichen Anforderungen Datenverkehr, referrers, Kampagnen, Ziele, Dateidownloads und Trichter sind, kann ein Analyse-Setup ohne Cookies dieselben Geschäftsfragen mit weniger persönlichen Daten beantworten.

Google Analytics kann sorgfältiger konfiguriert werden als viele Standardinstallationen, es handelt sich jedoch immer noch um ein komplexes System. Je mehr Funktionen Sie aktivieren, desto mehr Governance benötigen Sie. Datenschutzorientierte Analysen gehen von der gegenteiligen Annahme aus: Sammeln Sie so wenig Daten wie nötig, um Entscheidungen zu treffen, und fügen Sie dann nur das hinzu, was Sie rechtfertigen können.

Dokumentieren Sie Ihre tatsächliche Konfiguration

Das GA4-Risiko hängt stark von den Einstellungen ab. Führen Sie eine kurze Aufzeichnung der aktivierten Streams, der erweiterten Messoptionen, des Consent Mode-Modus, des Google Signals-Status, der verknüpften Google Ads-Konten, der benutzerdefinierten Dimensionen, der Aufbewahrungseinstellungen und der Exportziele. Dieses Dokument hilft der Rechts-, Marketing- und Technikabteilung, dieselbe Implementierung zu diskutieren, anstatt eine abstrakte Version von Google Analytics zu diskutieren.

Checkliste zur Sammlungsüberprüfung

Betrachten Sie GA4 als Implementierung, nicht als abstraktes Produkt. Zeichnen Sie Standardereignisse, erweiterte Messereignisse, benutzerdefinierte Parameter, cookie-Verhalten, Consent Mode-Modus, Google Signals, Anzeigenpersonalisierung, User-ID, BigQuery-Export, domänenübergreifende Messung, regionale Einstellungen und Aufbewahrung auf. Überprüfen Sie dann die tatsächlichen Netzwerknutzlasten und den Browserspeicher vor der Zustimmung, nach der Ablehnung und nach der Annahme.

Verwenden Sie das Inventar, um die Speicher-/Zugriffsgenehmigung ePrivacy von der rechtmäßigen Grundlage GDPR für die spätere Verarbeitung zu trennen. Ein Setup kann zwar cookie-frei sein, aber dennoch personenbezogene Daten verarbeiten, und eine pseudonyme Kennung kann dennoch Kontrollen erfordern, auch wenn es sich nicht um eine direkte PII handelt.