Was sind Cookies überhaupt? 

Cookies sind kleine Textdateien, die von besuchten Websites auf dem Computer des Users gespeichert werden. Sie werden oft mit JavaScript erstellt. Mit diesen Dateien lassen sich Nutzer über ihre IP-Adresse identifizieren bzw. wieder erkennen. Man unterscheidet zwischen “First-Party” und “Third-Party”. Erstere stammen in der Regel vom Betreiber der besuchten Website selbst; die zweite Variante wird hingegen von „Dritten“ dort platziert, beispielsweise von Werbeplattformen. Wenn man also im Internet surft und Suchmaschinen benutzt, kann es gut sein, dass beide Arten auf dem eigenen Computer gespeichert werden. Als Website-Betreiber ist man verpflichtet, in einer Datenschutzerklärung zu erläutern, welche Textdateien auf der Website platziert sind. 

First-Party-Cookies haben den Zweck, dass User und ihre IP-Adresse von der jeweiligen Seite wiedererkannt werden. So können vorhandene Daten und Informationen aus dem Cache vom letzten Besuch wieder abgerufen werden, z. B. wenn bereits Inhalt zum Warenkorb hinzugefügt wurde. Daten, die gesammelt werden, werden nicht an Dritte, beispielsweise Unternehmen, weitergegeben. 

Third-Party-Cookies werden unter anderem über Werbeanzeigen von einem AdServer auf der Website eingebunden. Sie sammeln nützliche Infos für Werbetreibende über das Verhalten des Nutzers, etwa die Verweildauer auf der Seite, die Anzahl der Seitenaufrufe und Bewegungen des Users über Links im Internet. So lassen sich ziemlich umfangreiche Profile erstellen. Das macht Retargeting einfach, Werbeanzeigen mit bestimmten Inhalten können so gezielt personalisiert ausgespielt werden.  

EuGh-Urteil – das Problem mit dem Datenschutz

Was Marketeers freut, finden Datenschützer problematisch. Denn jeder hinterlässt so im Netz einen ziemlich präzisen digitalen Fingerabdruck. Anhand dieses Profils und der verknüpften Informationen lassen sich Personen genau identifizieren. Im Oktober 2019 urteilte dann der Europäische Gerichtshof, dass Nutzer im Sinne des Datenschutz ausdrücklich zustimmen müssen, damit Cookies genutzt werden dürfen (Opt-in). Auch Opt-out Lösungen sind keine Option (wenn Zustimmungshaken bereits gesetzt sind, aber entfernt werden können). Ohne Einwilligung dürfen nur die Cookies verwendet werden, die notwendig sind, um einen bestimmten Dienst im Web zur Verfügung zu stellen. 

Was bedeutet das für Webseitenbetreiber? 

Zunächst sollte man sich einen Überblick verschaffen, welche Dienste überhaupt auf der Webseite genutzt werden. Und bei jeder Art der Datenverarbeitung muss geprüft werden, ob eine explizite Zustimmung erforderlich ist. Dabei wird folgendes bestimmt: der Zweck der Datenverarbeitung und die Erforderlichkeit für gewisse Funktionen. Anschließend müssen Cookies grob in die Kategorien „unbedingt erforderlich“ und „Marketing“ unterteilt werden. In die Kategorie „Unbedingt erforderlich“ fallen auch sogenannte Session-Cookies für den Warenkorb, Login, Sprachauswahl und die Sicherheit. Letztere sind für die Funktionalität nicht unbedingt notwendig und dürfen nur mit expliziter Einwilligung des Website-Besuchers gesetzt werden (Opt-in). In dieser Kategorie sind Textdateien für Marketing, Targeting, Profiling und Messen von Conversions. Ob hier tatsächlich personenbezogene Daten verarbeitet werden, ist unerheblich. Wichtig ist es außerdem, jede Art der Datenverarbeitung in der Datenschutzerklärung zu benennen. Seit 2016 sind Betreiber verpflichtet, eine Datenschutzerklärung zu haben.

Tracking ohne “Kekse” – diese Alternativen gibt es bereits 

Cookies sind nicht die einzige Möglichkeit der User-Verfolgung und des Targetings, die in Analysetools wie Google Analytics oder Matomo genutzt werden können. 

Fingerprinting: So nennt sich eine Methode, bei der der Internetbrowser (Firefox, Internet Explorer etc.) beim Besuch einer Webseite selbstständig Infos über sich selbst, das verwendete Betriebssystem, Plugins, die Sprache, Bildschirmauflösung, die Zeitzone und andere Einstellungen sendet. So entsteht ein einzigartiger Fingerabdruck des Users. Auch diese Form der Rückverfolgung, das Erstellen eines  Fingerabdrucks, unterliegt im Sinne des Datenschutzes der DSGVO-Einwilligungspflicht. Eine langfristige Lösung stellt das Fingerprinting also nicht dar und wird über kurz oder lang wohl auch verschwinden. 

ID-Tracking: Diese Methode wird vor allem von großen Plattformen, wie Facebook, Amazon und Google, genutzt. Wer ein Konto erstellt, muss den AGB zustimmen und die Verarbeitung personenbezogener Daten ist oft Teil der AGB. Eine zusätzliche Einwilligung ist dann gar nicht mehr nötig. Das Verfolgen wird sogar fortgesetzt, wenn der Nutzer auf andere Geräte mit anderen Betriebssystemen und Browsern umsteigt. Über Schnittstellen, wie Social Media Plugins, können auch Third Party Textdateien Zugriff auf die IDs haben. Wer in Webbrowsern wie Chrome angemeldet ist, wird ebenfalls getrackt. 

E-Tags: „Entity Tags“ sind Header-Felder in Browsern, über die Metadaten übertragen werden. Dabei wird einer Ressource auf der Webseite (zum Beispiel einem Bild) eine Zeichenkette zugeordnet. Dieser Mechanismus verbessert unter anderem die Ladezeiten, da sie dem Browser mitteilen, ob die Webseite vom Server abgerufen werden muss oder aus einem lokalen Cache, weil sie bereits besucht worden ist. E-Tags funktionieren ähnlich wie Cookies und der “Fingerabdruck” (Fingerprinting): Sie speichern und übertragen Infos. 

Authentification Cache Tracking: Für Webseiten, auf denen eine Registrierung notwendig ist, können Browser wie Firefox einmal eigegebene Zugangsdaten speichern, damit diese nicht immer wieder eingeben werden müssen. Der Browser loggt sich selbstständig ein, der Zugangscode bleibt im Cache. Der Nutzer meldet sich automatisch wieder mit den vom Server vorgegebenen Daten an und kann so getrackt werden. 

Evercookies: Sie funktionieren grundsätzlich so wie normale Cookies. Allerdings sind sie schwieriger zu löschen, weil sie verschiedene Textdateien mit verschiedenen Speicherorten kombinieren. Wenn man einige von ihnen löscht, aber sich an anderer Stelle noch welche befinden, können alle gelöschten Infos wiederhergestellt werden. Diese Art von “Keksen” soll „forever“ auf dem Computer bleiben. 

Warum diese Tracking-Arten keine echten Alternativen sind

Auch wenn Fingerprinting und Co. anders funktionieren als die bekannten “Kekse” – eine Zukunft haben auch sie nicht. Das Umstellen lohnt sich also nicht. Denn auch sie sind vom EuGH-Urteil betroffen, weil auch sie einzigartige personenbezogene Daten sammeln, mithilfe derer sich Nutzer eindeutig identifizieren lassen – Einwilligung der User hin oder her. Die Browser Firefox und Safari blockieren neben den Textdateien-“Keksen” Dritter auch Fingerprinting. Und auch Google hat angekündigt, dass es ab 2022, Methoden mit denen User eindeutig identifizierbar sind, stärker zu unterbinden. Und auch immer mehr Menschen sind sensibilisiert, was den Schutz ihrer persönlichen Daten betrifft, und surfen von vornherein im privaten Surfmodus oder surfen mit Trackingblocker im Web. Doch wie soll Targeting in Zukunft funktionieren, wenn Internetnutzer nicht mehr persönlich identifizierbar sein dürfen? So genau weiß das noch niemand. Analytics Tools wie Google Analytics arbeiten jedoch bereits seit längerem an Lösungen, die zumindest übergangsweise funktionieren. 

Wie reagieren Analytics-Tools auf die Entwicklungen? 

Auch Anbieter von Analytics-Tools wissen, dass sie auf Alternativen setzen müssen und einige gehen sogar aktiv einen Schritt weiter: So will Google zum Beispiel im Browser Chrome Third Party Cookies ebenfalls ganz verbannen und bei Google Analytics vollständig auf „Cookieless Tracking“ setzen. Plattformübergreifend können dann keine Informationen mehr gesammelt werden, z. B. Facebook über Google. Das Targeting mit Google Analytics über andere Kanäle wird dann anders verlaufen. 

Google hat auch bereits die neuste Version seines Google Analytics Tools vorgestellt. Herzstück von Google Analytics in seiner neuen Version Google Analytics 4 ist die „Privacy Sandbox“, ein Maßnahmenpaket, mit dem die Privatsphäre von Nutzern besser geschützt werden soll. Gleichzeitig soll Rückverfolgung weiterhin möglich sein. Allerdings ohne, dass die persönlichen Daten weitergegeben werden. Webseiten und Werbetreibende können mit der „Privacy Sandbox“ auf ein „Privacy Budget“ zurückgreifen und Anfragen an bestimmte APIs senden. Diese APIs sammeln zwar auch Nutzerdaten, aber nicht auf individueller Basis, sondern auf Gruppenbasis. Nutzerdaten werden in Clustern gruppiert, je nachdem welche Merkmale sie aufweisen (Alter, Geschlecht, Standort, Endgerät). Diese Methode nennt sich Segment Based Targeting. Mögliche Datenlücken will Google Analytics mit Modellierungsansätzen schließen, anhand derer sich unvollständige Daten hochrechnen lassen. Außerdem sollen mit dem neuen Google Analytics  auch Prognosen über das zukünftige Verhalten der Nutzer möglich sein: zum Beispiel die Kaufwahrscheinlichkeit, Abwanderungswahrscheinlichkeiten und Umsatzvorhersagen. 

Wie funktioniert Segment Based Targeting? 

Um Segment Based Targeting möglich zu machen, hat Google für Analytics 4 verschiedene Programmierschnittstellen entwickelt, sogenannte APIs. Eine dieser APIs ist die FloC-API (“Federated Learning of Cohorts API”). Mit dieser API werden Nutzer in Clustern gruppiert, die gemeinsame Merkmale aufweisen. Das Targeting erfolgt dann über diese Cluster. Die gesammelten Daten verlassen dabei nie den Browser Google Chrome, dort werden sie mithilfe eines maschinellen Lernalgorithmus sortiert, klassifiziert und ergeben schließlich bestimmte Cluster. Marketeers können so gezielte Kampagnen für einzelne Gruppen starten, auch ohne Zugriff auf die individuellen Browserdaten. 

Eine weitere API ist „Fledge“(steht für: „First Locally-Executed Decision over Groups Experiment“). Fledge macht es möglich, den Browser eines Nutzers einer Interessengruppe zuzuordnen. Wenn jemand also einen Artikel zum Thema „Kochen“ durchliest, könnte der Browser in Google Analytics der Interessengruppe „Kochen“ zugeordnet werden. 

Die neuen APIs „Click through Conversion Measurement Event-Level“ und „Aggregated Reporting“ bemessen Konversionen. 

Fazit – was bringt die Zukunft? 

Wie genau das Tracking der Zukunft aussehen wird, steht noch in den Sternen. Denn auch Segment Based Targeting, wie es nicht nur Google Analytics verspricht, sondern andere Analyse-Tools wie etwa Matomo, kann nur eine Übergangslösung sein. Cookies Dritter gibt es zwar nicht mehr, das bedeutet, dass Daten nicht mehr zwischen Webseiten und Sozialen Netzwerken ausgetauscht werden – doch so ganz „cookieless“ funktioniert es dann doch nicht. Schließlich sammeln First-Party-Cookies weiter, ebenso Google Analytics: eigene Cookies bleiben schließlich zugelassen. 

Für Online Marketeers bedeutet Segment Based Targeting vor allem einen höheren Aufwand. Anzeigen für Zielgruppen können schon bald nicht mehr automatisiert plattformübergreifend geschaltet werden. Stattdessen müssen bei jeder Kampagne Daten ausgewertet und die Zielgruppe manuell bestimmt werden. Doch bereits heute wird Tracking und Targeting durch Machine Learning und AI unterstützt: Muster können identifiziert und Ergebnisse vorhergesagt werden.

Wichtig für Betreiber von Onlineshops: jetzt schon eigenes Datenset der Kunden generieren durch eingesetzte First-Party-Cookies, Kundendaten, Login-Daten etc. Und – wenn noch nicht geschehen – die Umstellung auf das neue Google Analytics vorbereiten. Denn mit dem Umstieg gehen alle bisher gesammelten Daten aus dem Universal Analytics Datentopf verloren. Mit Google Analytics 4 startet die Datensammlung komplett neu. 

In unserem Shop finden sich eine Vielzahl passender Produkte, um für die Cookie-Apokalypse bereit zu sein.