Cookie-Tracking | 
Was sich in Zukunft verändert

Cookie-Tracking: So funktioniert’s

Wenn es um DSGVO, Pri­va­cy-Richt­li­ni­en und Track­ing geht, ist kaum ein Begriff in den letz­ten Jah­ren so kon­tro­vers dis­ku­tiert wor­den wie der des “Coo­kie-Trackings”. Daher besteht bei vie­len Betrof­fe­nen noch immer eine gewis­se Unsi­cher­heit dar­über, wie Coo­kies eigent­lich funk­tio­nie­ren, ob sie “gut” oder “schlecht” sind und wie sich der Umgang mit Coo­kie-Track­ing nun verändert.

Im All­ge­mei­nen sind Coo­kies klei­ne Text­da­tei­en, die lokal auf dem Com­pu­ter gespei­chert werden und häu­fig für Track­ing-Zwe­cke ver­wen­det werden. Dazu bin­den Web­site-Ent­wick­ler zunächst einen ent­spre­chen­den Code auf der jewei­li­gen Seite ein. Sobald Besu­cher die Seite auf­ru­fen, gene­riert der Code die Coo­kie-Text­da­tei, die dann im Brow­ser des Benut­zers gespei­chert wird. Ein typi­sches Ein­satz­sze­na­rio von Coo­kies ist es, eine pseud­ony­me ID in ihnen zu spei­chern, um wie­der­keh­ren­de Nutzer zu erkennen.

Web­ana­ly­se-Tools, wie Goog­le Ana­ly­tics, ver­wen­den in der Regel meh­re­re ver­schie­de­ne Coo­kies für unter­schied­li­che Zwe­cke (z.B. der Iden­ti­fi­ka­ti­on von Nut­zern oder um das Ver­hal­ten eines Nut­zers auf der Web­site nachzuvollziehen).

Das Set­zen von Coo­kies erleich­tert Mar­ket­ern (und auch Kun­den) das Leben in vie­ler­lei Hin­sicht. So kön­nen Coo­kies bei­spiels­wei­se ein­ge­setzt werden, um Nut­zer­prä­fe­ren­zen oder Infor­ma­tio­nen über Waren­kör­be zu spei­chern, sodass Benut­zer nicht direkt alle Arti­kel ver­lie­ren, sobald sie eine neue Seite auf­ru­fen. Sol­che Coo­kies werden übli­cher­wei­se als “tech­nisch not­wen­di­ge Coo­kies” bezeich­net, da sie die Funk­tio­na­li­tät einer Web­site gewährleisten.

Track­ing-Coo­kies, wie die von Goog­le Ana­ly­tics, sind der Kate­go­rie “Coo­kies zur Ana­ly­se des Web­site-Ver­hal­tens” zuzu­ord­nen. Sie werden gesetzt, um auf­zu­zeich­nen, wie sich Nutzer auf Web­sites bewe­gen und um diese Daten dann in einer Schnitt­stel­le (engl. Inter­face) agg­re­giert aus­wert­bar zu machen.

First-Party- und 3rd-Party-Cookies

Coo­kie-Track­ing wird nicht nur auf Cor­po­ra­te Web­sites und von Wer­be­netz­wer­ken genutzt, son­dern auch um sei­ten­über­grei­fen­de Nut­zer­pro­fi­le zu erstel­len — das sog. Beha­vi­oral Tar­ge­ting. Um zu ver­ste­hen, wie dies funk­tio­niert, soll­te man den Unter­schied zwi­schen First-Party- und 3rd-Party-Coo­kies ken­nen und ver­ste­hen. Coo­kies kön­nen nur von der Domain gele­sen werden, die sie gesetzt hat. Ein Coo­kie auf nike.com kann also nur von nike.com gele­sen werden. Und das ist auch durch­aus sinn­voll. Wenn jede Web­site, die der Nutzer besucht, alle Coo­kies lesen und damit ein detail­lier­tes Profil des Nut­zers erhal­ten könn­te, gäbe es große Sicher­heits- und Daten­schutz­pro­ble­me. Von First-Party-Coo­kies ist die Rede, wenn die besuch­te Domain eben­falls einen Coo­kie setzt — zum Bei­spiel, wenn Nike spei­chert, wel­che Coo­kie-Ein­stel­lun­gen ein Nutzer bevor­zugt, damit nicht bei jedem Auf­ruf der Seite ein neuer Coo­kie-Ban­ner ange­zeigt werden muss.

Third Party Coo­kies sind eine Son­der­form der Coo­kies, weil sie nicht vom Betrei­ber der Web­site selbst, son­dern von einem Dritt­an­bie­ter (i.d.R. von Wer­be­netz­wer­ken) plat­ziert werden. Diese 3rd-Party-Coo­kies ermög­li­chen es, eine Benut­zer-ID zu set­zen und damit Benut­zer über Web­sites hin­weg zu ver­fol­gen. Dabei werden Web­sei­ten­be­trei­ber zu Publishern und bie­ten Wer­be­trei­ben­den die Mög­lich­keit, Anzei­gen auf ihrer Web­site zu plat­zie­ren. Das heißt, die Datei der Anzei­ge liegt beim Wer­be­netz­werk auf dem sog. Adser­ver. Dadurch kön­nen Wer­be­netz­wer­ke die Anzei­gen indi­vi­du­ell aus­spie­len und Kam­pa­gnen über meh­re­re Web­sei­ten hin­weg umset­zen. Durch das Sam­meln einer gro­ßen Anzahl besuch­ter Sei­ten und des Nut­zer­ver­hal­tens kön­nen Wer­be­netz­wer­ke ein Ver­hal­tens­pro­fil von Nut­zern erstel­len, um Beha­vi­oral Tar­ge­ting zu ermög­li­chen, d. h. Nutzer auf­grund ihres Ver­hal­tens auf vie­len Web­sites erneut zu errei­chen. Zum Bei­spiel könn­te Nike Nutzer mit Anzei­gen auf Sport- und Mode­sei­ten anspre­chen, um die aktu­el­le Kol­lek­ti­on zu bewer­ben, wenn Nutzer bereits auf auf der eige­nen Seite waren.

Was sich in Zukunft verändert

In jüngs­ter Zeit wird die Ver­wen­dung von 3rd-Party-Coo­kies von immer mehr Brow­ser-Her­stel­lern, wie Safa­ri und Mozil­la Fire­fox, regle­men­tiert oder teil­wei­se gar nicht mehr zuge­las­sen. Als Maß­nah­men schränk­ten die Anbie­ter zunächst z.B. die Genau­ig­keit von 3rd-Party-Coo­kies ein und schu­fen detail­lier­te­re Optio­nen zum Blo­ckie­ren. Seit Sep­tem­ber 2019 ist Fire­fox nun der erste Brow­ser, der 3rd-Party-Coo­kies stan­dard­mä­ßig blockiert.

Eine Trend­wen­de ist hier­bei nicht zu erwar­ten, im Gegen­teil: Ande­re Brow­ser, wie der Markt­füh­rer Goog­le Chro­me, haben ange­kün­digt, Coo­kies von Dritt­an­bie­tern eben­falls in der Stan­dard­ein­stel­lung zu blo­ckie­ren. Ab 2022 werde Goog­le nicht nur Dritt­an­bie­ter-Coo­kies ver­ban­nen, son­dern auch keine ande­ren Metho­den ent­wi­ckeln, um Nut­ze­rin­nen und Nutzer im Netz zu ver­fol­gen. Aller­dings soll es wei­ter­hin die Mög­lich­keit geben, dies über Coo­kie-Ein­stel­lun­gen anzupassen.

First-Party-Coo­kies wie Goog­le Ana­ly­tics, die nur von der glei­chen Domain (also der eige­nen) aus­ge­le­sen werden kön­nen, sind von die­sen Ände­run­gen zunächst nicht betrof­fen. Viel­mehr geht es um die Track­ing-Coo­kies der Wer­be­netz­wer­ke, die sei­ten­über­grei­fen­de Pro­fi­le des Nut­zer­ver­hal­tens erstel­len. Der mit­tel­fris­ti­ge Trend wird wohl sein, dass Chro­me inner­halb der nächs­ten zwei Jahre (ab 2022) keine 3rd-Party-Coo­kies mehr zulässt.

Für First-Party-Track­ing-Coo­kies bedeu­ten diese Ent­wick­lun­gen per se keine Ver­än­de­rung, aber die Brow­ser-Anbie­ter ändern auch Details die­ser Coo­kies. So wurde in letz­ter Zeit in vie­len Fäl­len die maxi­ma­le Spei­cher­dau­er von First-Party-Coo­kies geän­dert. Safa­ri bei­spiels­wei­se hat die maxi­ma­le Lebens­dau­er der vom Gerät gesetz­ten Coo­kies von 30 auf 7 Tage redu­ziert. Es gibt Pläne, diese Dauer wei­ter auf einen Tag zu reduzieren.

Schon heute ist das Track­ing immer zeit­lich begrenzt; schließ­lich haben Coo­kies eine Lebens­dau­er, Blo­cking-Tools sind weit ver­brei­tet, und Brow­ser-Inko­gni­to-Modi grei­fen nicht auf gespei­cher­te Coo­kies zu. Aus die­sem Grund werden Coo­kies immer nur einen klei­nen Teil des Weges, den Nutzer tat­säch­lich auf einer Seite zurück­le­gen, über einen län­ge­ren Zeit­raum ver­fol­gen kön­nen. Daher ist zu erwar­ten, dass sich in Zukunft ver­stärkt Track­ing-Ansät­ze durch­set­zen werden, die eine sta­bi­le Iden­ti­fi­ka­ti­on ermög­li­chen. Dazu gehört vor allem das frü­he­re Ein­log­gen der Nutzer.

Um das Ein­log­gen zu erleich­tern, werden wir immer mehr Platt­for­men sehen, die Authen­ti­fi­zie­rungs­diens­te von Goog­le oder Face­book nut­zen (“Login with Facebook/ Login with Goog­le”) oder im B2B-Bereich mit Lin­ke­dIn- oder XING- sowie Micro­soft 365-Log­ins. Sie erspa­ren es den Nut­zern, sich für jede neue Platt­form ein neues Pass­wort aus­den­ken zu müs­sen — und ermög­li­chen es den Betrei­bern eines Ange­bots, schon früh in der Kun­den­be­zie­hung eine sta­bi­le Ken­nung zu haben.

Quel­len:

• https://t3n.de/news/cookieless-tracking-zukommt-1232500/
• https://blog.hubspot.de/marketing/was-ist-cookie-tracking
• OMR Report — Pro­fes­sio­nal Guide to Digital Analytics
• https://www.adexchanger.com/online-advertising/google-chrome-will-drop-third-party-cookies-in-2-years/
• https://webkit.org/blog/8613/intelligent-tracking-prevention‑2–1/