1) Verantwortlicher

Verantwortlicher im Sinne der DSGVO:

  • Unternehmen/Name: Bernhard Prange, Webmasterei Prange
  • Adresse: Weg in der Aue 3, 34128 Kassel, Deutschland
  • E-Mail: info@webmasterei-prange.de

2) Kurzbeschreibung der App

GA4 Auditor ist eine Web-Anwendung zur Analyse von Google-Analytics-4-(GA4-)Setups und der Datenqualität.

Die App:

  • authentifiziert Nutzer:innen über Google OAuth (OpenID Connect),
  • liest Konfigurationsdaten über die GA4 Admin API,
  • liest aggregierte Reporting- und Realtime-Daten über die GA4 Data API,
  • führt – optional – Abfragen auf einem bestehenden GA4 BigQuery Export (Dataset analytics_<PROPERTY_ID>) aus.

Die App schreibt keine Daten in GA4 oder BigQuery und nimmt keine Änderungen an GA4-Konfigurationen vor.

3) Welche Daten verarbeiten wir?

3.1 Account- und Profildaten (Google Login)

Beim Login über Google OAuth verarbeiten wir insbesondere:

  • E-Mail-Adresse
  • Anzeigename
  • Profilbild-URL (optional)

3.2 Organisations-, Workspace- und Property-Daten (in der App gepflegt)

Zur Bereitstellung der App-Funktionen speichern und verarbeiten wir Konfigurationsdaten, insbesondere:

  • Organisationsdaten: Organisationsname; optional Adressdaten (Straße, PLZ, Ort, Land)
  • Workspace-Daten: z.B. GCP-Projekt-ID, Region, technische Konfigurationen (z.B. Backend-/Dataform-Konfiguration) als JSON
  • Property-Daten: z.B. GA4-Property-ID, BigQuery-Projekt/Dataset-Location, Zeitzone, erwartete Events
  • Property-spezifische Einstellungen: z.B. erwartete Events, Ausschlusslisten

Schutzmaßnahme: Bestimmte Identifikatoren (z.B. GA4-Property-IDs) werden teilweise nicht im Klartext, sondern als organisationsgebundene HMAC-Hashes gespeichert.

3.3 Daten aus Google APIs (GA4 / BigQuery)

Je nach aktivierten Funktionen verarbeitet die App Daten aus folgenden Google-Diensten:

  • GA4 Admin API: z.B. Accounts, Properties, BigQuery-Verknüpfungen, Streams, Audiences, Key Events, Privacy-Einstellungen
  • GA4 Data API: z.B. aggregierte Reporting- und Realtime-Daten
  • Google BigQuery (optional): Ausführung von Abfragen auf GA4-Exporttabellen (events_*events_intraday_*) zur Durchführung von Qualitäts- und Plausibilitätsprüfungen

Grundsatz: Diese Daten werden überwiegend zur Laufzeit verarbeitet und in der Benutzeroberfläche dargestellt. Eine dauerhafte Speicherung von GA4-Rohdaten erfolgt nicht.

3.4 Support- und Feedback-Daten

Wenn Nutzer:innen das Feedback- oder Support-Formular verwenden, verarbeiten wir:

  • Betreff
  • Nachrichtentext
  • Absenderdaten (Name und E-Mail aus dem Login; optional eine manuell angegebene Reply-To-Adresse)

Die Übermittlung erfolgt per E-Mail (SMTP) an eine konfigurierte Support-Adresse.

3.5 Technische Daten und Server-Logs

Beim Betrieb der App fallen technisch bedingt u.a. folgende Daten an:

  • IP-Adresse
  • Datum und Uhrzeit des Zugriffs
  • Request-Metadaten (z.B. User-Agent)

Diese Daten werden für Betriebssicherheit, Fehleranalyse und Missbrauchsprävention verarbeitet.

3.6 Webanalyse (Matomo, self-hosted) – nur nach Einwilligung

Sofern wir Webanalyse einsetzen, nutzen wir Matomo (self-hosted) zur statistischen Analyse und Verbesserung der App.

  • Matomo wird erst nach Ihrer Einwilligung aktiviert.
  • Dabei können Nutzungsdaten (z.B. aufgerufene Seiten, Interaktionen), technische Metadaten (z.B. gekürzte/anonymisierte IP) und eine pseudonyme User-ID verarbeitet werden.

Es werden dabei keine Klartext-E-Mail-Adressen, OAuth-Tokens oder vergleichbare Geheimnisse an Matomo übermittelt.

3.7 E-Mail-Kommunikation und Kontaktverwaltung – je nach Konfiguration

Je nach Konfiguration können wir einen Dienst zur E-Mail-Kommunikation/Kontaktverwaltung einsetzen, z.B. für:

  • Versand von System-E-Mails (Einladungen, Benachrichtigungen)
  • optional: produkt- und servicebezogene Informationen

Dabei können je nach Funktion insbesondere E-Mail-Adresse, Name und nutzungsbezogene Attribute (z.B. Login-Anzahl, letzte Anmeldung, Property-Anzahl) verarbeitet werden.

OAuth-Tokens/Secrets werden nicht an E-Mail-/Marketing-Dienste übermittelt.

4) Zwecke der Verarbeitung

Wir verarbeiten personenbezogene Daten insbesondere zu folgenden Zwecken:

  • Bereitstellung von Login- und Accountfunktionen
  • Verwaltung von Organisationen, Workspaces und Properties
  • Durchführung und Anzeige von GA4- und (optional) BigQuery-Analysen
  • Versand von System-E-Mails (z.B. Einladungen, sicherheitsrelevante Hinweise)
  • Versand von produkt- und servicebezogenen Informationen an Bestandskund:innen (Soft Opt-in), soweit zulässig und jederzeit abwählbar
  • Bearbeitung von Support- und Feedback-Anfragen
  • Gewährleistung von Sicherheit, Stabilität und Missbrauchsprävention
  • optional: statistische Webanalyse (nur nach Einwilligung)

5) Rechtsgrundlagen

Je nach Verarbeitungsvorgang kommen insbesondere folgende Rechtsgrundlagen in Betracht:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertrag bzw. vorvertragliche Maßnahmen; z.B. Accountbetrieb, System-E-Mails)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse; z.B. IT-Sicherheit, Fehleranalyse, Missbrauchsprävention)
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung; z.B. Webanalyse, sofern aktiviert)

Soweit im Rahmen optionaler Funktionen Informationen auf dem Endgerät gespeichert oder ausgelesen werden (z.B. Cookies/IDs für Webanalyse), erfolgt dies – soweit erforderlich – auf Grundlage einer Einwilligung nach § 25 TDDDG.

Soweit wir produkt- und servicebezogene Informationen an Bestandskund:innen versenden, stützen wir dies – sofern anwendbar – auf die Bestandskunden-Ausnahme (z.B. § 7 Abs. 3 UWG) und/oder auf Art. 6 Abs. 1 lit. f DSGVO. Sie können dieser Nutzung jederzeit widersprechen; in jeder E-Mail befindet sich eine Abmeldemöglichkeit.

6) Empfänger und Auftragsverarbeiter

Je nach Nutzung und Konfiguration können Daten an folgende Empfänger bzw. Kategorien von Dienstleistern übermittelt werden:

  • Google (OAuth, GA4 Admin API, GA4 Data API; optional BigQuery) – zur Bereitstellung der von Nutzer:innen angeforderten Google-Funktionen.
  • Hosting/Plattformbetrieb (z.B. Google Cloud Platform) – Betrieb der App-Infrastruktur.
  • E-Mail-/SMTP-Dienstleister – Versand von Einladungen, System-E-Mails und Support-Nachrichten.
  • Webanalyse/Tag-Management (optional): Matomo (self-hosted) – nur nach Einwilligung.
  • Kontaktverwaltung/E-Mail-Dienst (optional): z.B. Brevo – je nach Konfiguration und Rechtsgrundlage.

Mit Dienstleistern werden – soweit erforderlich – Auftragsverarbeitungsverträge (AVV) abgeschlossen.

7) Datenübermittlung in Drittländer

Bei der Nutzung externer Dienstleister (insbesondere Google und ggf. weitere Anbieter) kann eine Verarbeitung bzw. Übermittlung personenbezogener Daten in Drittländer (z.B. USA) nicht ausgeschlossen werden.

Soweit erforderlich, stützen wir Drittlandübermittlungen auf geeignete Garantien, insbesondere:

  • Angemessenheitsbeschlüsse (z.B. EU–US Data Privacy Framework, sofern anwendbar) und/oder
  • EU-Standardvertragsklauseln (SCC) sowie zusätzliche Maßnahmen.

8) Cookies, Sessions und Einwilligungsmanagement

Die App setzt technisch notwendige Cookies ein:

  • Session-Cookie zur Anmeldung und Sitzungsverwaltung
  • kurzlebiges Cookie für den OAuth-Login-Transfer (enthält nur eine zufällige Transfer-ID, keine OAuth-Tokens)

Optionale Cookies/Technologien (Webanalyse) werden – sofern eingesetzt – erst nach Ihrer Einwilligung aktiviert.

Cookies werden – soweit technisch möglich – mit HttpOnlySameSite=Lax und Secure (bei HTTPS) gesetzt.

9) Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist. Soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen, gelten insbesondere folgende Fristen:

  • Account- und Organisationsdaten: bis zur Kontolöschung; danach i.d.R. Löschung/Anonymisierung innerhalb von 30 Tagen (ggf. längere Aufbewahrung, wenn rechtlich erforderlich).
  • Workspace-/Property-Konfigurationen: bis zur Löschung durch die Organisation bzw. bis zur Kontolöschung; danach i.d.R. Löschung innerhalb von 30 Tagen.
  • Einladungen: bis Annahme oder Ablauf; danach Löschung i.d.R. innerhalb von 90 Tagen.
  • OAuth Access Tokens: nur kurzzeitig in der aktiven Session (typischerweise Minuten/Stunden).
  • OAuth Refresh Tokens (sofern vorhanden): bis Widerruf durch Nutzer:in, Ablauf oder Kontolöschung; danach Löschung i.d.R. innerhalb von 30 Tagen.
  • OAuth Login-Transfers (kurzlebig): wenige Sekunden/Minuten; automatische Bereinigung spätestens nach 24 Stunden.
  • Server-Logs/Sicherheitslogs: i.d.R. 14 Tage, sofern nicht zur Aufklärung eines Sicherheitsvorfalls länger erforderlich.
  • Support-/Feedback-Kommunikation: i.d.R. bis zu 24 Monate (oder kürzer, wenn der Zweck früher entfällt), ggf. länger bei rechtlichen Nachweispflichten.
  • Backups: Backups können noch bis zu 35 Tage Daten enthalten; diese werden turnusmäßig überschrieben/gelöscht.

9.1 Kontolöschung / Löschanfragen

Sie können die Löschung Ihres Kontos und/oder Ihrer Daten:

beantragen. Wir bearbeiten Löschanfragen i.d.R. innerhalb von 30 Tagen, sofern keine gesetzlichen Pflichten entgegenstehen.

10) Datensicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen ein, darunter:

  • Verschlüsselung sensibler Daten und Tokens „at rest“
  • HTTPS-Transportverschlüsselung
  • rollenbasiertes Berechtigungs- und Zugriffskonzept
  • Härtung der Session- und Cookie-Konfiguration

11) Betroffenenrechte

Betroffene Personen haben insbesondere das Recht auf:

  • Auskunft
  • Berichtigung
  • Löschung
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit
  • Widerspruch gegen die Verarbeitung
  • Widerruf erteilter Einwilligungen
  • Beschwerde bei einer Datenschutz-Aufsichtsbehörde

Anfragen können an info@webmasterei-prange.de gerichtet werden.

12) Google OAuth / Google-API-Nutzung

12.1 Widerruf von Google-Zugriffen

Nutzer:innen können den Zugriff der App auf ihr Google-Konto jederzeit in den Einstellungen ihres Google-Kontos (Drittanbieterzugriffe) widerrufen.

12.2 Keine unzulässigen Verwendungen (Klarstellung)

Wir verwenden Google-Nutzerdaten ausschließlich, um die von Nutzer:innen angeforderten Funktionen (GA4-Analyse, Qualitätschecks) bereitzustellen und zu verbessern.

Insbesondere gilt:

  • Wir verkaufen keine Google-Nutzerdaten.
  • Wir verwenden Daten aus Google APIs (insbesondere GA4/BigQuery-Abfragedaten sowie OAuth-Tokens) nicht für Werbung/Marketing, Profiling, Datenbroker-Zwecke oder Kreditscoring.
  • Wir verwenden Google-Nutzerdaten nicht zum Trainieren von KI-/ML-Modellen.

System- und servicebezogene E-Mails (z.B. Einladungen, sicherheitsrelevante Hinweise) versenden wir, soweit erforderlich, an die von Ihnen für die Nutzung der App verwendete Kontaktadresse.

Sofern wir Ihnen als Bestandskund:in Informationen zu eigenen ähnlichen Produkten oder Dienstleistungen senden, erfolgt dies nur im gesetzlich zulässigen Rahmen (z.B. § 7 Abs. 3 UWG) und mit jederzeitiger Widerspruchs-/Abmeldemöglichkeit. Dabei verwenden wir hierfür nur die E-Mail-Adresse als Kontaktadresse; Inhalte/Ergebnisse aus GA4/BigQuery-Abfragen oder OAuth-Tokens werden hierfür nicht genutzt oder an E-Mail-/Marketing-Dienste übermittelt.

12.3 Google API Services User Data Policy – Limited Use

Unsere Nutzung und Weitergabe von Informationen, die wir von Google APIs erhalten, erfolgt gemäß der Google API Services User Data Policy, einschließlich der Anforderungen zur Limited Use.

13) Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um rechtliche, technische oder organisatorische Änderungen abzubilden.