Aufpassen! Falsche Optionswahl zur “Datenaufbewahrung” in Google Analytics verhindert sinnvolle Analysen!

Bitte aufpassen! Wer die neuen Datenaufbewahrungs-Einstellungen in Google Analytics nutzt, läuft mit den falschen Einstellungen Gefahr, keine sinnvollen Analysen mehr durchführen zu können! Und meiner Meinung nach haben sie ohnehin nichts mit der DSGVO zu tun, wie viele vermuten.

Wer sich derzeit von Google hinsichtlich der Datenaufbewahrungs-Einstellungen ein wenig “genötigt” fühlt, sollte etwas wissen: Auch wenn durch Google wegen der übergroßen Datums-Anzeige (s. Screenshot) der Anschein erweckt wird, dass es sich hier um eine Einstellung handelt, die “dringend” mit der EU-DSGVO zu tun hat, hat sie damit – meiner Meinung nach – NICHTS (oder wenig) zu tun.

Übergroße Hinweise, die den 25. Mai 2018 als Frist setzen

Diese Sache liegt mir tatsächlich auf dem Herzen, weil ich bei diversen Kundenkonten gesehen habe, dass wohl fatale Einstellungen getätigt wurden.

Du weißt Bescheid: Das ist keine Rechtsberatung, sondern meine persönliche Meinung. Bitte besprich das Thema mit eurem Rechtsbeistand und eurem Datenschutzbeauftragten. Es bleibt euch überlassen, etwas zu ändern oder alles zu belassen wie es ist.

Was ist mir aufgefallen?

Ich habe in diversen Analytics-Konten “Datenaufbewahrungs”-Settings (“Data Retention”, neue Property-Funktion in GA) gesehen, dass viele Einstellungen, die ab dem 25. Mai gelten, restriktiv auf nur 14 Monate gewählt wurden – und das hat vermutlich Konsequenzen, auf die ich hinweisen möchte.

Hier findest du die Einstellungen: Verwalrung > Property > Tracking-Informationen

 EDIT 24.05.2018, 14:15 Uhr: Bitte beachten: Die Funktion ist und war zwischenzeitlich verschwunden. Im Netz habe ich einige Fälle beobachtet, wo die Funktion nach kurzer Zeit wieder verfügbar war. Insofern: Falls sie gerade nicht zu sehen sein sollte, ggf. später wieder versuchen.  

Ich möchte dazu noch etwas weiter ausholen. Und natürlich weiß ich aus der Ferne auch nicht, was bei dir oder euch zu der Einstellung “14 Monate” geführt hat. Möglicherweise gibt es bei euch – neben DSGVO-Erwägungen – andere Gründe dafür.

Doch meiner Meinung nach hat diese Einstellung NICHTS mit der DSGVO zu. Dass “zufällig” der gleiche Zeitpunkt zur “Scharfstellung” dieser Einstellung gewählt wurde (eben 25. Mai 2018), bedeutet nicht zwangsläufig einen Zusammenhang für GA-Nutzer. Vielmehr gehe ich davon, dass es eine Art “Druckmittel” ist, da jeder wegen des Datums einen Zusammenhang mit der DSGVO vermutet und deshalb dringenden Handlungsbedarf sieht. Die Banner-Hinweise und Popups in Google Analytics (s. oben), die im Verlauf der Zeit immer größer, auffälliger, aufdringlicher wurden, tun ihr Übriges.

Darum glaube ich, dass die DSGVO nicht (explizit) dahintersteckt

Zum einen heißt die Option “Datenaufbewahrung” und nicht “Datenlöschung”. Das zeigt m. E. schon ihre eigentliche Funktion.

Dann wird – außer dem Datum – auch in der Hilfe die DSGVO (oder GDPR) nicht mit einem Wort erwähnt in dem Kontext. Aber: Jeder im Online Marketing denkt aktuell ohnehin nur noch über dieses Thema nach, da reicht die bloße Erwähnung des Datums 25. Mai 2018 schon, um eine Assoziation herzustellen.

Ferner: Meines Wissens gibt es in der DSGVO nirgendwo einen Passus, der (neben den ohnehin üblichen Regelungen von Datensparsamkeit und -enthaltsamkeit) explizite Aufbewahrungsrichtlinien vorsieht. Zudem reden wir hier davon, dass ohnehin anonymisierte Daten (durch anonymizeIP) vorliegen und wir schon deshalb nur dann ein Opt-In ermöglichen müssen, wenn wir personenbezogene Daten erheben (z. B. in Custom Dimensions oder via User ID) oder wenn wir Analytics-Daten mit Drittanbietern teilen (z. B. Doubleclick). Warum also sollen wir einfach so anonymisierte Nutzer- und Ereignisdaten löschen?

Wenn wir einmal ein Opt-In haben, ist eine Löschung selbst von personenbezogenen Daten nicht an einen konkreten Zeitpunkt gebunden. Es heißt in Artikel 17 DSGVO

Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.

Insbesondere Ziffer 1 sagt nichts über den konkreten Zeitraum aus. Und natürlich gibt es bei der vergangenheitsbezogenen Analyse derzeit kein “Limit”, was nötig ist. (EDIT: Hier trotzdem noch einmal der Hinweis auf Datensparsamkeit und Datenenthaltsamkeit, s. o.)

Was passiert durch die Datenaufbewahrungs-Einstellung?

User- und Ereignisdaten werden nach Ablauf der Frist (14, 26, 38 oder 50 Monate) gelöscht, wenn man sie nicht auf “Läuft nicht automatisch ab” umstellt. 

Die Einstellungsmöglichkeiten (1)

Die Einstellungsmöglichkeiten (2)

Die Zusatzeinstellung “Bei neuer Aktivität zurücksetzen” bedeutet in dem Kontext: Wenn jemand innerhalb der Frist erneut getrackt wird, wird die Frist zur Aufbewahrung um den eingestellten Zeitraum verlängert. In dem Kontext stellt sich die nächste Frage: Wenn regelmäßig angeblich für die DSGVO gelöscht werden soll, wieso dann nicht standardmäßig ohne die Option, das für alle “Wiederkehrer” innerhalb der Frist der Zeitraum verlängert wird?

GA360 vs GA kostenlos

Darüber hinaus habe ich beobachtet, dass die Standardeinstellung in Google Analytics 360 eine andere ist also in der kostenlosen Version. Bei GA360-Kunden ist die Standardeinstellung “Läuft nicht automatisch ab”. Wenn es hier um etwas Rechtsverbindliches gehen sollte, warum wird dann dabei unterschieden?

Was sind überhaupt die zu löschenden User- und Ereignisdaten?

Alle Daten, die nutzerspezifisch erhoben werden.

In den aggregierten Reports (Standard-Reports) spielen diese in der Regel eine untergeordnete Rolle. Google selbst sagt auch zu den neuen Einstellungen, dass diese die aggregierten Reports nicht beeinflussen werden.

JEDOCH: Sobald du Ad-hoc-Analysen durchführen wirst, z. B. durch benutzerdefinierte Berichte mit neuen Dimensionskombinationen oder Nutzung von Segmenten, sekundären Dimensionen, Filtern usw., basieren diese Berichte nicht mehr auf aggregierten, sondern auf gesampleten Daten. Und diese werden dann OHNE die Nutzerdaten sowie Ereignisdaten auskommen müssen und dementsprechend zu einem Teil völlig unbrauchbar für Analysen.

Das betrifft darüber hinaus auch weitere nutzerbezogene Reports, wie z. B. die verschiedenen Fluss-Berichte (etwa Ereignis-Fluss, Nutzerfluss, Verhaltensfluss, Zielfluss) und die Daten im Multichannel-Trichter sowie Attributions-Berichte.

Das bedeutet für dich und deine Analysen: Du wirst bei restriktiven Einstellungen (z. B. 14 Monate) auf nicht mehr als 14 Monate sinnvolle Daten zurückgreifen können. Year-over-year-Analysen werden damit problematisch – mitunter sogar unmöglich.

Wenn dir das alles bewusst war, bevor du die Einstellung getätigt hast: Alles gut.
Falls es das nicht war, ziehe ggf. noch einmal Resümee und überlegt erneut, inwiefern die Einstellung sinnvoll ist.

Natürlich sollen Daten löschbar sein

Was wie oben zu sehen natürlich Bestandteil der DSGVO ist: Nutzer müssen ihre Daten selber löschen können (oder du löscht sie für sie) – Artikel 17, Absatz b) bis f). Und zwar, wann sie es wollen (und nicht nach 14, 26, 38 oder 50 Monaten). Dazu passt die Option für “Datenaufbewahrung” nicht.
EDIT: Trotzdem solltest du natürlich nicht über die Maßen Daten erheben, wenn nicht nötig.

Allerdings: Für die Möglichkeit der Datenlöschung wird Google ohnehin noch ein Tool veröffentlichen. Voraussichtlich passend zum 25. Mai. Wie auch immer das aussehen wird – ich bin gespannt. Denn da sehe ich ganz viele Probleme – insbesondere durch regelmäßig wechselnde Client-IDs. Also welche soll denn nun gelöscht werden? Aber daraus könnte ich einen eigenen Blogpost machen.

Was hat Google dann davon?

Speicherplatz kostet Geld.

Wenn es möglich wäre, einen großen Teil der Analytics-Daten auf so “einfache” Art und regelmäßig zu löschen, könnte das eine Menge Geld sparen. Bislang wurden ja einfach immer mehr Daten angehäuft, denn Google hat bisher noch nicht davon Gebrauch gemacht, dass in den Nutzungsbedinugungen von Google Analytics zwei Jahre als “Mindesthaltbarkeit” angegeben wurden. Mir ist persönlich kein Fall bekannt, bei dem historische Daten verschwunden sind – was nicht heißt, dass es nicht vorgekommen sein kann – jedoch nie in der Breite.

Mit einer regelmäßigen “Bereinigung” könnte man sich bei Google die ständige Speichererweiterung sparen bzw. diese deutlich reduzieren. Insbesondere, wenn eine Löschung per Default regelmäßig erfolgt. Insofern kann ich den Schritt von Google durchaus nachvollziehen. Der Default-Wert von 26 Monaten ist sicherlich auch “unkritisch” bei Year-over-year-Analysen, zumindest was die letzten beiden Monate angeht.

Wie kommst du aus der Geschichte raus?

Die Sache ist recht einfach: In den Einstellungen – die im Default im Google Analytics 26 Monate ist (bei der kostenlosen Version) klickst du einfach auf “Läuft nicht automatisch ab” – und fertig. Die Nutzer- und Ereignisdaten werden dann nicht mehr automatisch gelöscht.

EDIT: Bitte beachte aber dabei die Grundregel der Datensparsamkeit. Wenn du gegenüber den Behörden auf Nachfrage nicht erklären kannst, warum du Daten für den längeren Zeitraum oder für immer erhebst, kann das natürlich zu deinen Ungunsten ausgelegt werden. Im Zweifel wähle lieber einen kürzeren Zeitraum.

Aber beeile dich! Denn wenn du die Einstellung nicht bis zum 25. Mai geändert hast, wirst du vermutlich deine historischen Daten verlieren – je nach Löschfrist, die du gewählt hast.

Erneuter Disclaimer

Wie oben schon erwähnt: Das ist meine Meinung. Sie ist natürlich nicht rechtsverbindlich. Aber ich hoffe, sie bringt dich nochmal zum Nachdenken – sofern du diese Punkte noch nicht berücksichtigt haben solltest.

Maik Bruns

Noch mehr Insights

Was ist Unassigned Traffic in GA4, wo finde ich ihn und wie lässt er sich beheben?

Keine klare Zuordnung des Traffics zu Kanälen, kein direkter Zusammenhang zu euren Marketing-Maßnahmen – und dementsprechend keine Aussagekraft, ob eure Kampagnen wirken oder nur Geld verbrennen und euren ROI runterdrücken. Nervig, oder? Genau das passiert in vielen Setups, die wir sehen, durch den sogenannten “Unassigned”-Traffic. 

Dadurch verliert ihr wertvolle Einblicke, weil GA4 euren Traffic nicht eindeutig zuordnen kann.

Mehr erfahren >
Top