Sie sind hier

BISG Newsroom-Artikel: Datenschutz-Audit in Google Analytics: PII auf der Spur

Google Analytics wird auf vielen Webseiten zur Erfassung des Besucher-Verhaltens verwendet. Dabei dürfen sogenannten Personally identifiable information (PII), also Information, die einen Besucher identifizierbar werden lässt, nicht erfasst werden.

Dennoch kann genau das durch eine fehlerhafte Google Analytics Konfiguration sehr schnell passieren. Ein regelmäßiges Audit ist daher sinnvoll. Einige Beispiele, wie Personally identifiable information in Google Analytics gelangen, werden hier dargestellt.

Beispiel 1: Nicht anonymisierte IP-Adressen

IP Adressen von Webseiten-Besuchern werden als PII eingestuft. Obwohl auf IP-Adresse nicht im User-Interface von Google Analytics eingesehen werden können, werden diese dennoch gesammelt. Daher bietet Google Analytics die Möglichkeit, die IP-Adresse zu “anonymisieren”, so das die vollständige IP-Adresse nicht gespeichert wird. Dabei wird der letzte Teil der IP Adresse durch Nullen ersetzt. Bei IP v4 betrifft dies das letzte Oktett, bei IP v6 die letzten 80 bits.

Die Anonymisierung der Daten kann in der Browserconsole anhand des Key/Value-Pairs aip=1 beim Senden der Daten an Google Analytics erkannt werden.

Beispiel 2: PII in URLs

Google Analytics erfasst in der Standard-Konfiguration automatisiert die URL bei jedem Seitenaufruf. In der URL können viele Arten von PII vorkommen. Verwendet beispielsweise ein Newsletter-Formular die GET-Methode zur Übertragung von Daten an einen Server, findet sich die E-Mail Adresse in der URL und wird von Google Analytics erfasst. Ähnliches kann auch durch Double-Opt-In E-Mails vorkommen, die die E-Mail-Adresse in der Landingpage-URL des Bestätigungslinks enthält. Auch Zahlungsinformationen, wie z.B. IBAN oder Kreditkarteninformationen sind hierbei keine Seltenheit.

Im Normalfall werden solche Daten per POST Request übermittelt, als Fallback kann aber auch die GET Methode zum Einsatz kommen, die Daten über die URL überträgt. Diese Daten werden dann von Google Analytics erfasst. Wenn diese Daten entsprechend erfasst werden, ist das meist ein sehr einschneidender Verstoß gegen den Datenschutz.

Beispiel 3: PII in Events

Neben Seitenaufrufen erfasst Google Analytics auch Events. Events repräsentieren dabei die Interaktionen mit einer Webseite, die nicht in einem neuen Seitenaufruf enden. Events sind dabei in bis zu vier Ebenen aufgeteilt: Event-Category, Event-Action, Event-Label und Event-Value. Event-Value ist eine Metrik und kann daher keine PII repräsentieren. Die anderen Event-Ebenen sind Dimensionen und daher geeignet, PII zu enthalten. Wird beispielsweise über ein Event das Absenden eines Suchformulars erfasst und der Suchbegriff als Event-Label erfasst, kann Event-Label PII enthalten, wenn ein User diese dort eingibt. 

Beispiel 4: Custom Dimensions

Sogenannte Custom Dimensions ermöglichen es, Google Analytics um die erfassten Daten mit eigenen Daten anzureichern. Diese werden dabei von der Webseite an Google Analytics gesendet. Ist nicht sichergestellt, das alle Daten, die von der Webseite geliefert und an Google Analytics gesendet werden, können hier ebenfalls PII vorhanden sein. Beispielsweise betrifft dies 

Beispiel 5: „Unsichtbare” PII

Google Analytics trennt die die Datenspeicherung und die Datenansicht. Die Datenspeicherung erfolgt in einer sogenannten Property über die eine ID (bspw. UA-123456789-1). Diese ID repräsentiert die Datenbank, in der die Daten gespeichert werden. Die Datenansicht ist ein sogenannter View, der die Daten im Interface basierend auf den im View getroffenen Einstellungen darstellt. Ein View kann dabei u.a. Filter enthalten, die Daten aus dem View entfernen oder modifizieren.

Werden also E-Mail Adressen aus einem View “herausgefiltert” und sind im Interface nicht sichtbar, können diese trotzdem in der Property vorhanden sein. Ein Entfernen der Filter hilft für das Anzeigen bereits eingegangene Daten nicht, da diese Filter Daten nicht rückwirkend bereinigen, sondern nur auf neu einlaufende Daten angewendet werden. Hier ist es sinnvoll, einen View ohne Filter (oder andere Modifikationen) in jeder Property anzulegen. Auch für Views gilt allerdings, dass nur neu einlaufende Daten erfasst werden.

Fazit:

PII können auch vielfältige Weise in Google Analytics Daten vorkommen. Eine regelmäßige, intensive Prüfung ist daher sinnvoll. Google Analytics stellt mehrere Möglichkeiten der Löschung der Daten zur Verfügung, sobald diese identifiziert wurden. Eine Korrektur der Erfassungs-Logik der Daten ist dann unumgänglich und sollte schnellstmöglich angepasst werden.

Über den Autor:
Marcus Stade ist Mitgründer der Marketing-Technologie Beratung Mohr & Stade GmbH und Mitglied im BISG e.V. und auch als Sachverständiger tätig (BISG-Mitgliederprofil von Marcus Stade).