it-swarm.com.de

Ist es in Ordnung, vertrauliche Benutzerinformationen aus GA Treffern in GTM (anstatt in der App) herauszufiltern?

Ich verwende GTM, um PII in den an Google Analytics gesendeten Daten herauszufiltern. Dazu lasse ich GTM nur Nicht-PII-Werte an GA senden. Der Datenfluss ist also wie folgt:

app -> (sendet volle Nutzlast) -> GTM -> (sendet gefilterte Daten) -> GA

Ich frage mich jedoch, ob es nicht ratsam ist, dies zu tun, wenn die von der App gesendete Nutzlast vertrauliche Informationen enthält. Ich weiß, dass GTM sie nicht speichert, aber wenn sie mit GTM von der Plattform abgehen, könnte dies einen Verstoß gegen das Vertrauen der Benutzer darstellen. Ist das eine korrekte Einschätzung des Problems?

3
Jad S

Sie haben angenommen, dass die Kommunikation zwischen App und GTM über das Netzwerk gesendet wird, wohingegen es sehr wahrscheinlich ist, dass die Daten lokal im Browser verbleiben und von GTMs Skript transformiert werden, bevor sie irgendwohin gesendet werden . Im Debugger eines Browsers können Sie sehen, welche Netzwerkanforderungen einschließlich der Header und Textkörper gestellt werden.

Ich habe benutzerdefinierte Variablen in GTM erstellt, die durch Scrubben von PII aus Standardvariablen über JS-Funktionen gefüllt werden. Ich sende nur die benutzerdefinierten Variablen an Analytics und habe keine der ursprünglichen Variablen beobachtet, die über das Netzwerk gesendet wurden. Der Effekt ist der gleiche wie das Filtern der Daten vor dem Senden an GTM, obwohl es tatsächlich nicht möglich ist, Daten vollständig zu bereinigen, bevor sie GTM berühren, z. Die URL der Seiten, auf denen GTM aktiviert ist, kann nicht vor GTM ausgeblendet werden. Sie müssen sie daher in GTM bereinigen, bevor Sie sie irgendwohin senden.

2
Walf

Dies hängt von mehreren Faktoren ab. Eine davon könnte die EU-DSGVO sein, die eindeutig besagt, dass Sie keine personenbezogenen Daten erfassen können (einige Ausnahmen von der Regel - fragen Sie einen Anwalt danach).

In jedem Fall benötigen Sie eine Datenverarbeitungsvereinbarung mit dem Dritten. Google Analytics hat dies, Google Tag Manager jedoch nicht. Da Sie Ihre Datenpakete nicht direkt an GA senden, sondern an GTM, das sie wiederum an GA sendet, haben Sie möglicherweise einen Verstoß. Warum darf? Weil die DSGVO angibt, dass Sie die Kontrolle darüber haben müssen, welche Daten gespeichert werden, und dass Sie diese Informationen löschen können müssen, wenn Sie vom Benutzer dazu aufgefordert werden.

Da GTM nichts davon speichert (wie von GTM behauptet), Sie jedoch keine Möglichkeit haben, eine Datenverarbeitungsvereinbarung zu überprüfen oder zu unterzeichnen, sind Sie im Dunkeln. Die Kombination mehrerer Tools, die über GTM ausgeführt werden, kann dazu führen, dass nicht personenbezogene Daten für von Google identifizierbare Informationen nicht identifizierbar sind, sodass Sie einem Risiko ausgesetzt sind.

Um sicherzugehen, müssen Sie mit einem Anwalt und/oder einem Datenschutzbeauftragten sprechen. In jedem Fall würde ich das Risiko minimieren und keine Daten an GTM senden, die ich nicht verfolgen möchte, und die Daten filtern vorher.

0
David K.