Tillbaka till bloggen
Tekniskt 10 min läsning

Hur GA4-data flyter till USA: ett tekniskt nedslag

Vi öppnar gtag.js, läser nätverksrequesten och följer paketet hela vägen till en Mountain View-server. Här är vad GA4 faktiskt skickar, vem som har tillgång och varför du som svenskt företag fortfarande bör tänka efter.

Vad GA4-skriptet gör i besökarens browser

När en besökare landar på din sajt och GA4 är installerat händer följande inom 200 millisekunder, även innan sidan är klar att läsa:

  • gtag.js (cirka 70 KB efter gzip) laddas från https://www.googletagmanager.com.
  • Skriptet sätter en förstaparts-cookie _ga med en slumpgenererad besökar-identifierare som lever i två år.
  • En till cookie sätts per Property, formatet _ga_XXXXXXXXXX. Den lagrar session-identifierare och timestamp.
  • Skriptet skickar en första request till https://www.google-analytics.com/g/collect med en payload som innehåller URL, referrer, browser-info, skärmstorlek, språk, country (hämtad från Googles IP-databas), cookie-värdena, och allt annat gtag.js kan se i besökarens browser.
  • Om Google Ads conversion tracking finns på sajten görs en parallell request till https://www.googleadservices.com/pagead/conversion/.

Vad payloaden faktiskt innehåller

Om du öppnar Network-fliken i devtools och inspekterar request till/g/collect ser du ungefär detta:

POST https://www.google-analytics.com/g/collect?v=2&tid=G-XXXXXXXXXX
  &gtm=...&_p=...&cid=1234567890.1717252800&sid=1717252801
  &dl=https%3A%2F%2Fdittforetag.se%2Fpriser
  &dr=https%3A%2F%2Fwww.google.com%2Fsearch%3Fq%3Dwebbanalys
  &dt=Priser%20%E2%80%93%20Ditt%20F%C3%B6retag
  &sr=1920x1080&ul=sv-SE&_uid=4567890&_geo=SE
  &en=page_view&ep.session_engaged=1&...

Översatt till vanlig svenska:

  • cid: client-id, en slumpgenererad identifierare som följer besökaren i två år. Persisterad i _ga-cookien.
  • sid: session-id, ny per 30 min inaktiv tid.
  • dl, dr, dt: URL, referrer, sidtitel.
  • sr, ul: skärmstorlek och språk.
  • _geo: två-bokstavs landskod härlett från besökarens IP innan IP:n eventuellt anonymiseras.
  • en: event-namn. För en sidvisning står det page_view; för conversion purchase, etc.
  • ep.*: event parameters, allt du själv har skickat med via gtag('event', ...).
Vägen din besökares data tar
  1. 01
    Browser
    cid + URL + ref + UA + sr
  2. 02
    Google edge
    Iowa eller Frankfurt
  3. 03
    Dataflow
    enrichment + bot-filter
  4. 04
    BigQuery
    14 mån default
  5. 05
    Google Ads audience
    remarketing-pool

Var paketet hamnar

Requesten landar hos en av Googles edge-noder. För svenska besökare oftastiad-gcm-014.1e100.net (Iowa) eller fra02s27-in-f14.1e100.net (Frankfurt) beroende på dagsläge. Edge-noden TLS-terminerar, gör grundläggande validering och vidarebefordrar till Googles analytics-pipeline i USA.

I pipelinen passerar paketet följande hands inom Googles infrastruktur:

  • Pubsub-kö för buffring.
  • Dataflow-pipeline för enrichment (lägger till user-agent parsing, ytterligare geo-data, bot-detection, ad-platform-mappning).
  • BigQuery-tabell för långtidslagring (default 14 månader i GA4-konsolen, längre om kunden betalar för Analytics 360).
  • Om Google Signals är aktiverat: paketet matchas mot Google-konton som är inloggade på Googles tjänster (Gmail, Search, Maps, Android) för att skapa cross-device identitet.
  • Om Google Ads är länkat till GA4-property: paketet skickas vidare till Ads-databasen för audience-skapande och remarketing.

Vad "data är inte personuppgifter"-argumentet missar

Googles standardsvar när IMY eller domstolar frågar är: "GA4-data är pseudonymiserade, inte personuppgifter." Tekniskt sett stämmer det inte.

Client-id (cid) är en pseudonym identifierare som följer besökaren i två år. När den kombineras med URL, referrer, browser-fingerprint (sr+ul+dr+ua), country och eventuell Google-kontoidentitet (via Signals) blir pseudonymiteten praktiskt taget reverserbar.

EU-domstolen har varit konsekvent på den här punkten i flera mål (Breyer C-582/14, Patrick Breyer mot Tyskland C-93/22): om en aktör har realistisk möjlighet att identifiera en person via en pseudonym, är pseudonymen en personuppgift. Google har den möjligheten via samtliga sina andra produkter.

Vem har tillgång i USA

Tre kategorier av aktörer:

1. Google-anställda

Förmodligen flera tusen ingenjörer har potentiell tillgång till råpaket via debug- och support-verktyg. I praktiken loggas alla queries, men i juridisk mening är tillgången möjlig.

2. Annonsörer i Googles ekosystem

Om du har Google Ads kopplat till din GA4-property kan din audience-data användas av andra annonsörer via Audience Insights och Similar Audiences. Din konkurrent kan alltså, indirekt, rikta annonser mot besökare som har varit på din sajt.

3. Amerikanska myndigheter

Under FISA 702 och Executive Order 12333 kan NSA och andra federala myndigheter kräva access till data hos amerikanska bolag utan att den berörda EU-medborgaren någonsin får veta om det. Data Privacy Framework (DPF) etablerar en ny klagomekanism (DPRC) men ändrar inte den underliggande lagstiftningen.

Pseudonym + browser-fingerprint + Google-konto = identifierbar person, oavsett vad Googles juridiska avdelning kallar det.
Sammanfattat

Vad "säljs" bokstavligen?

Den vanliga ryggradsreflexen från Googles säljare är "Vi säljer inte er data." Det stämmer i en mycket smal mening. Google säljer inte din råpaket-databas till tredje part. Det de gör är att använda din data för att förbättra sina egna annonsprodukter, vilka de sen säljer till andra annonsörer.

Den distinktionen kan vara viktig juridiskt för Google, men för dig som personuppgiftsansvarig är slutresultatet detsamma: besökarnas data driver Googles annonsmotor. Du är en gratis dataproducent i en värdekedja där pengarna byter ägare i andra änden.

Vad du faktiskt skickar varje månad

För en sajt med 10 000 unika besökare per månad och en typisk session med 3 sidvisningar plus 2 events skickas följande till Google:

  • 50 000 request per månad till /g/collect.
  • ~10 MB rådata (50 000 × 200 byte/payload).
  • ~10 000 unika cid-värden, var och en länkad till browser-fingerprint, besökta sidor, klickade länkar och eventuella Google-kontoidentiteter.
  • 1 dataset per månad som matas in i Googles annons-audience-system.
70 KB
gtag.js script-storlek (gzippat)
Spårlös: 1,4 KB. 50× mindre. Mätbar effekt i Lighthouse / Core Web Vitals.

Allt detta för att du i GA4-konsolen ska se en stapel som säger "10 000 besökare." Som vi har skrivit tidigare, skulle GA4 faktiskt visa runt 4 500 om man räknar bort dem som avvisade cookie-bannern. Men 50 000 paket har redan skickats för att lyckas räkna fram 4 500.

Vad Spårlös skickar istället

För samma 10 000 unika besökare per månad skickar Spårlös:

  • ~30 000 request per månad till en svensk endpoint (samma antal sidvisningar, ingen extra event-overhead).
  • ~3 MB rådata (mindre per request eftersom payloaden är minimal: e, s, u, r, w, h, l, d och ingenting annat).
  • Inga cookies. Inga long-lived identifiers. Besökarens IP raderas direkt efter country-lookup.
  • Inget Google-konto, ingen Ads-audience, inget cross-device-matching.
  • Inga US-baserade underbiträden i datavägen. Hela behandlingen sker inom EU.
Dataförbrukning per månad, 10 000 besökare
  • GA4 (gtag.js + Ads + GTM)10 MB
  • Spårlös3 MB
Antal externa requests per sidvisning
  • GA4 + Ads + GTM + Facebook Pixel~200
  • GA4 ensamt~50
  • Spårlös1

Konkret handlingsplan

Om du läser det här som tekniskt ansvarig:

  • Öppna devtools på din egen sajt. Inspektera request till /g/collect. Det första värdet som chockar är ofta storleken på payloaden.
  • Räkna antal request per sidvisning. Många sajter har GA4 plus Google Tag Manager plus Google Ads plus Facebook Pixel plus LinkedIn Insight. Vart och ett skickar sin egen request. För en aktiv sajt blir det 50 till 200 third-party requests per sidvisning.
  • Mät prestanda-effekten i Lighthouse. GA4 ensam kostar typiskt 0,3 till 0,5 sekunder i Total Blocking Time.
  • Diskutera med dataskyddsansvarig om DPF-bedömningen är dokumenterad i en TIA (transfer impact assessment).

Om bilden ovan känns obekväm, läs vidare: Varför svenska företag byter, Schrems II i praktiken, eller hoppa direkt till en sida vid sida-jämförelse.

Webbanalys utan US-överföring

Samma siffror, mindre risk. Spårlös skickar inget paket utanför EU. Inga cookies, inga audience-syncs, ingen NSA-exponering.

Hur GA4-data flyter till USA: ett tekniskt nedslag | Spårlös