Über 25 Jahre Webtracking mit Cookies haben ein Ende – damit stehen der Werbebranche weitreichende Änderungen bevor. In diesem Blogbeitrag erhalten Sie einen gesamtheitlichen Überblick zum Thema Cookieless Tracking: Wie ist der Stand 2023? Welche DSGVO-konformen Trackingmethoden gibt es? Und was sollten Marketingverantwortliche jetzt tun?
Inhaltsverzeichnis:
-
Cookie-Begriff: Aufbau, Funktionsweise und Arten von Cookies
- Der Cookie-Wegfall
- Cookieless Tracking – neue Methoden im Überblick
- Cookieless Tracking: Das ist 2023 wichtig
Cookie-Begriff: Aufbau, Funktionsweise und Arten von Cookies
Möchte man sich dem Thema Cookieless Tracking nähern, sollte man ganz vorne beginnen: bei der Definition. Bei einem Cookie handelt es sich um eine Textdatei, die beim Besuch einer Website auf dem Endgerät des Nutzers gespeichert wird. Somit erzeugt beinahe jeder Aufruf einer Website ein Cookie oder erweitert ein bereits vorhandenes, das beim ersten Besuch der Website erstellt wurde.
Ein typisches Cookie setzt sich aus den folgenden Bausteinen zusammen:
Name: Der Name, unter dem das Tracking-Cookie definiert wird. (Siehe Bild für Beispiel)
Wert: ID, mit welcher das jeweilige Endgerät erkannt wird.
Domain: Die Internet-Domain, auf welcher das Cookie gesetzt wird.
Pfad: Ab diesem Pfad sendet das Tracking-Cookie die Informationen über den Nutzer.
Ablaufdatum: An diesem Datum endet die Lebenszeit des Cookies.
Verbindungsart: Sicherheitsinformation, die angibt, ob die Verbindung zu einer Website sicher ist.
Ein vollständiges Cookie sieht dann beispielsweise wie folgt aus: testcookie=123456789; domain=http://example.com/; path=/shop/index.php; expires=Sat, 28-Mai-2022 20:30:42 GMT; secure
Cookie-Arten und wie sie funktionieren
Ein Cookie ist somit ein Datenpaket in Form einer kleinen Textdatei. Anhand der Informationen in dieser Datei kann der Webserver den Nutzer wiedererkennen. Es gibt verschiedene Arten von Cookies, die jeweils unterschiedliche Funktionen haben. Besonders wichtig hierbei ist die Unterscheidung zwischen First- und Third-Party-Cookies. Der zentrale Unterschied besteht darin, wie die Cookies gesetzt werden und in welchem Kontext.
First-Party-Cookies werden vom Betreiber der besuchten Website erstellt und hinterlegt. Weiter können diese Cookies nur von der Website, von welcher sie gesetzt wurden, ausgelesen werden. Damit ist das Tracking des Nutzers über die eigene Domain hinweg nicht möglich. Durch die generierten Informationen aus den First-Party-Cookies können Websiteerlebnisse für den Nutzer gezielt optimiert werden. Dies beinhaltet die Speicherung von folgenden Informationen: Anzahl und Dauer von Seitenaufrufen, Klicks auf einzelne Elemente der Website, Speicherung von Elementen im Warenkorb sowie Log-in-Daten und Ähnlichem.
First-Party-Cookies zeigen sich in der Form von:
- Notwendige Cookies – Diese Cookies werden für die Ausführung spezifischer Funktionen einer Website benötigt. Sie erfordern daher keine Einwilligung.
- Performance-Cookies – Diese Cookies sammeln Informationen über das Nutzerverhalten auf der Website. Sie messen unter anderem Fehlermeldungen oder Ladezeiten. Sie speichern zwar keine persönlichen Informationen, sind aber dennoch zustimmungspflichtig.
- Funktionale Cookies – Deren Daten können genutzt werden, um das Nutzererlebnis auf der Website zu verbessern. Zum Beispiel durch das Speichern von Log-in-Daten für den erneuten Aufrufe einer Website. Diese Cookies sind einwilligungspflichtig, auch wenn die Informationen anonymisiert erfasst werden.
Bei den Third-Party-Cookies handelt es sich um sogenannte Werbe- & Targeting-Cookies. Diese Cookies werden im Marketing zur Erstellung personenbezogener Werbung und dem Retargeting der Kunden verwendet. Hierbei sind die cookiesetzende Domain und die aufgerufene Website nicht gleich: Das bedeutet, dass es sich beim Datenspeicher und -verarbeiter um ein anderes Unternehmen handelt als jenes, dessen Seite der Nutzer besucht. Beispielsweise speichert und verarbeitet Google alle Daten, die über Google Universal Analytics (UA) auf anderen Sites erhoben wurden. Dadurch können die Third-Party-Cookies die Nutzeraktivität über mehrere Websites hinweg verfolgen. Sie sind einwilligungspflichtig, da sie sensible Daten der Nutzer speichern. Der Wegfall der Third-Party-Cookies führt zu Auswirkungen in der Werbebranche hinsichtlich des Erfassens von wichtigen Daten in der Customer-Journey. Cookieless-Tracking-Methoden, also Tracking-Methoden, die ohne Cookies auskommen, werden in der Zukunft immer relevanter.
Cookies lassen sich auch zeitlich voneinander abgrenzen. Es kann hierbei zwischen Session-Cookies und permanenten Cookies unterschieden werden. Session-Cookies werden nach einer Sitzung (Session) automatisch vom Browser gelöscht. Sie sind wichtig, um einen Nutzer zu erkennen, wenn dieser sich auf einer Website bewegt. Genutzt wird diese Cookie-Art beispielsweise zur Unterscheidung der Nutzer in einem Live-Chat. Permanente Cookies gehen dagegen über eine Sitzung hinaus – der Betreiber der Website bestimmt bei der Erstellung ihre „Lebenszeit“. Im Grunde helfen sie der Website, sich an Daten und Einstellungen zu erinnern. So lassen sich zum Beispiel Sprachauswahl, Templateauswahl, Menüpräferenzen, interne Lesezeichen oder Favoriten nach Belieben einstellen und für den nächsten Besuch speichern.
Der Cookie-Wegfall
Cookieless Tracking: DSGVO (Datenschutzgrundverordnung)
Ein wichtiger Grund für den stufenweisen Wegfall von Cookies ist die Datenschutz-Grundverordnung (DSGVO). In der DSGVO werden die Sicherheitsstandards hinsichtlich der Datenerhebung und -verarbeitung seit dem Inkrafttreten am 25. Mai 2018 europaweit vorgeschrieben. Diesbezüglich sagt die DSGVO im Wesentlichen aus, dass ein Unternehmen vor der Erhebung von Nutzerdaten drei Dinge beachten muss:
- Eine klare Zustimmung der Nutzer wird benötigt.
- Jegliche Tracking-Methoden müssen in der Datenschutzerklärung des Unternehmens anschaulich dargestellt und erläutert werden.
- Die Zustimmung des Nutzers zur Erhebung und Verarbeitung seiner Daten muss vertraulich aufgezeichnet und mindestens einmal jährlich erneuert werden.
Aus diesen Punkten und weiteren Ergänzungen aus der ePrivacy-Richtlinie – einer Datenschutzrichtlinie für elektronische Kommunikation, die seit 2002 verbindliche Mindestvorgaben für den Datenschutz in der Telekommunikation regelt – resultiert unter anderem, dass sich Cookie-Banner in den letzten Jahren stark verändert haben. Grundsätzlich ist unter einem Cookie-Banner ein Pop-up-Fenster zu verstehen, welches den Nutzer über die Verarbeitung personenbezogener Daten informiert. Dadurch soll sichergestellt werden, dass die Datenverarbeitungsvorgänge erst dann erfolgen, wenn der Nutzer aktiv eingewilligt hat. Lange Zeit war es jedoch üblich, dass die Nutzung von Tracking-Cookies bereits automatisch im Cookie-Banner als „Einwilligung“ aufgeführt war. Das führte dazu, dass der Nutzer bei einem Widerspruch den Haken zunächst aus der Zustimmungs-Box entfernen musste. Dieses Verfahren nennt man Opt-out. Mittlerweile ist der entgegengesetzte Vorgang üblich und auch vorgeschrieben: das sogenannte Opt-in-Verfahren. Hierbei muss der Nutzer aktiv der Nutzung von Tracking-Cookies zustimmen. Das Opt-in-Verfahren ist nur für Third-Party-Cookies relevant, da First-Party-Cookies zu den technisch notwendigen Cookies zählen, die keine Daten an Dritte weitergeben.
Diese Regelungen sorgen dafür, dass der Nutzer, zum Beispiel durch das Opt-in-Verfahren, eine größere Kontrolle über seine Daten hat, was wiederum den Einsatz von Third-Party-Cookies und somit personenbezogenes Marketing erschwert.
Blockierung von Cookies durch Webbrowser
Ein weiterer wichtiger Grund dafür, warum Cookieless Tracking in Zukunft eine essenzielle Rolle im Online-Marketing spielen wird, ist die Blockierung von Third-Party-Cookies durch die Webbrowser. Firefox und Safari schränken die Werbe-Cookies bereits seit einigen Jahren immer weiter ein: So werden die Third-Party-Cookies in diesen Webbrowsern per Standardeinstellung vollständig blockiert. Auch mit Edge surft man gemäß Standardeinstellungen mit einem „ausgeglichenen Schutz“, der erweitert werden kann, indem man die Cookies Dritter vollständig blockiert. Google Chrome wird ebenfalls nachziehen. Ursprünglich sollte die Verwendung von Third-Party-Cookies in Chrome im Jahr 2023 gestoppt werden. Diese Umsetzung verlegte Google jedoch jetzt auf 2024. Da Chrome einen Marktanteil von 62 % besitzt und somit der am meisten genutzte Browser Deutschlands ist, wird der Umstieg auf andere Technologien, die Third-Party-Cookies ersetzen, spätestens 2024 zur Pflicht im Online-Marketing.
Blockierung von First-Party-Cookies durch Webbrowser
Im Unterschied zu den Third-Party-Cookies werden First-Party-Cookies auch in Zukunft unterstützt, da sie notwendig sind, um eine nahtlose User Experience zu gewährleisten. Hier ist allerdings zu beachten, dass auch die First-Party-Cookies auf lange Sicht wegfallen könnten, da Cookies im Generellen einen schlechten Ruf besitzen. Zudem hat sich die „Lebenszeit“ der First-Party-Cookies bereits deutlich verkürzt, was einen bedeutenden Einfluss auf die Aussagekraft von KPIs zur Bewertung von Online-Marketing-Maßnahmen hat.
In einigen Fällen können First-Party-Cookies genauso zum Tracking genutzt werden wie Third-Party-Cookies. Das funktioniert durch sogenanntes „Redirect-Tracking“. Es kann eingesetzt werden, wenn der Nutzer zwischen zwei Websites navigiert. Genau bedeutet das: Der Nutzer surft auf Seite A und bekommt dort einen First-Party-Cookie angehangen. Klickt er nun auf einen Link, zum Beispiel auf einer Werbeanzeige, um von Seite A auf Seite B zu kommen, wird er vorher auf die Domain C umgeleitet. Das ist dann die Domain einer AdTech-Plattform. Diese Weiterleitung geschieht sehr schnell, meist innerhalb von Millisekunden und wird dadurch kaum bemerkt. Auf dieser „Zwischenstation“ wird das Surfverhalten des Nutzers gespeichert. Domain C erzeugt einen weiteren First-Party-Cookie und heftet ihn an den Nutzer. Erst danach landet der Nutzer auf seiner gewünschten Zielseite. Dieses Tracking-Verfahren kann als Ersatz dienen, wenn die Third-Party-Cookies deaktiviert sind.
Apple hat hierfür die „Intelligent Tracking Prevention“ (ITP) entwickelt – eine Open-Source-Browser-Engine, das unerwünschtes Tracking durch genau diese Cookies verhindern soll. Die ITP nutzt ein Machine-Learning-Modell, das auf gesammelte Statistiken vom Browser zurückgreift, um die privat kontrollierten Domains zu erkennen, die solche First-Party-Cookies erstellen. Seit Version 2.2 der ITP werden alle First-Party-Cookies und somit die gesamte, damit erfasste Customer-Journey bereits nach 24 Stunden gelöscht. In der Anwendung bedeutet das, dass die Traffic- und Ads-Analyse von Facebook oder Google, die bei Safari seit einiger Zeit über First- statt Third-Party-Cookies abläuft, eingeschränkt ist.
Bei Firefox zeigt sich ein ähnliches Modell auf. Mozillas „Enhanced Tracking Protection“ (ETP) löscht alle 24 Stunden automatisch Third- und First-Party-Cookies sowie Website-Daten von bekannten Tracker-Seiten wie Facebook, die auf Mozillas Blacklist gespeichert sind. Eine Ausnahme gilt für First-Party-Cookies von Websites, die der Nutzer in den letzten 45 Tagen genutzt hat. Diese werden trotz Tracker gespeichert, um ein ungewolltes Abmelden von sozialen Netzwerken und Ähnlichem zu verhindern. Die neueste Anwendung von Mozilla aus dem Jahr 2022 ist die „Total Cookie Protection“. Sie bietet zusätzlichen Schutz, indem die Cookies von allen Websites, auch außerhalb der Blacklist, isoliert werden und somit seitenübergreifendes Tracking verhindert wird.
Cookieless Tracking: Auswirkungen auf das Online-Marketing
Cookieless Tracking hat unausweichlich große Auswirkungen auf das Online-Marketing, da das aktuelle Tracking stark auf Cookies basiert und die meisten Tools darauf ausgelegt sind. Der Wegfall von Third-Party-Cookies betrifft nun vor allem die Art und Weise, wie Marketingkampagnen gehandhabt werden. Momentan sind Marketer für ihre Webanalyse und die Nutzung anderer Dienste wie Social-Media-Ads, Affiliate-Marketing oder Google Ads maßgeblich auf Cookies angewiesen. Gängige Methoden wie die Arbeit mit Daten von Drittanbietern, Last-Touch- und Multi-Touch-Attribution, Retargeting und dynamisch-kreatives Targeting werden mit der weitreichenden Blockierung der Cookies ineffizienter.
Auch Datenmanagementplattformen können nicht mehr wie üblich genaue Identitätsverknüpfungen durchführen. Das führt allgemein dazu, dass das Erfassen der Customer-Journey schwieriger wird und diese immer stärker von der eigentlichen Realität abweicht. Zudem werden wiederkehrende Nutzer häufig nicht mehr als wiederkehrend erkannt, sondern als neue Seitenbesucher gezählt. Das Online-Marketing befindet sich demnach in einer Zeit des Umschwungs, in der sich nach über 25 Jahren Tracking und Targeting mit Cookies nun Cookieless-Tracking-Methoden zur Datenerhebung herausbilden müssen.
2023 gibt es bereits einige vielversprechende Ansätze für Cookieless Tracking: DSGVO-konform soll mit diesen Methoden Nutzerverhalten nachverfolgt und analysiert werden können. Auch personalisierte Werbung ist somit ohne den Einsatz von Cookies möglich. Cookie-Consent-Banner fallen hier in der Regel weg, da keine Cookies eingesetzt werden. Dennoch ist dies nicht mit einem Tracking ohne Einwilligung gleichzustellen. Stattdessen wird auch beim Cookieless Tracking eine DSGVO-konforme Einwilligung des Nutzers benötigt, sobald ein Nutzer beim Tracking laut DSGVO „persönlich identifizierbar“ wird. Somit ist Cookieless Tracking eine notwendige Voraussetzung, aber kein hinreichendes Kriterium, um ohne einen Cookie-Consent-Banner zu tracken. Um vollständig auf eine Nutzereinwilligung verzichten zu können, sind Anforderungen zu erfüllen, die das „berechtigte Interesse“ des Website-Betreibers gemäß Art. 6.1 f. DSGVO geltend machen:
- Zwischen dem Websiteersteller und dem Tracking-Anbieter besteht ein Auftragsverarbeitungsvertrag, der den Ansprüchen der DSGVO entspricht und rechtlich gültig ist.
- Die gesammelten Daten dürfen vom Tracking-Anbieter nicht gemäß eigener Zwecke weiter gehandelt oder für Werbung genutzt werden.
- Das Tracking erfolgt nicht über mehrere Websites hinweg.
- Der Nutzer ist über das Tracking nicht persönlich identifizierbar.
- Es besteht die Möglichkeit zum Tracking-Opt-out und Tracking-Widerruf. Beide Möglichkeiten werden in der Datenschutzerklärung der Website festgehalten. Do-Not-Track-Einstellungen im Browser werden automatisch als Opt-out oder Widerruf anerkannt.
- Die IP-Anonymisierung wird automatisch (ohne Konfiguration im Tracking-Code) vom Tracking-Anbieter sichergestellt.
- Es wird kein Profil durch Cookies oder ähnliche Technologien erstellt.
- Personenbezogene Daten werden nur auf Servern in Europa verarbeitet.
- Der Tracking-Anbieter besitzt entweder ein unabhängiges Prüfsiegel oder der Websiteersteller prüft das berechtigte Interesse selbstständig.
Device-Fingerprinting
Der Gedanke hinter dem Device-Fingerprinting ist simpel. Jeder Internetnutzer hat ein Endgerät, auf dem er seine Online-Aktivitäten durchführt. Jedes Gerät besitzt einzigartige technische Einstellungen und Eigenschaften. Darunter zählen zum Beispiel das Betriebssystem, das Modell, die Marke, Browser-Einstellungen, Bildschirmauflösung, Akkustand, Zeitzone und Spracheinstellungen. Auch Informationen wie angeschlossene USB-Geräte werden mit einbezogen. Am Ende ergibt sich daraus ein individueller Fingerabdruck des Geräts: der Device-Fingerprint. Beim Device-Fingerprinting werden über den Programmcode die einzelnen technischen Eigenschaften und Einstellungen von dem Endgerät des Nutzers ausgelesen und mithilfe eines Algorithmus in Form einer ID – einem sogenannten Fingerprint – gespeichert. So lässt sich anhand dieser ID der Nutzer wiedererkennen. Diese Cookieless-Tracking-Methode lässt sich zudem in passives und aktives Fingerprinting unterteilen. Beim passiven Fingerprinting erhält man die gleichen Daten, die auch ein First-Party-Cookie übermitteln würde: IP-Adresse, Spracheinstellungen und Ähnliches. Beim aktiven Fingerprinting kann man die Eigenschaften des Geräts direkt abfragen. Somit erhält man individuelle Informationen wie etwa die Bildschirmauflösung, Bildschirmfarbe und Zeitzone. Zwei Varianten des Device-Fingerprinting sind zum Beispiel das browserspezifische Fingerprinting und das Canvas-Fingerprinting.
Browserspezifisches Fingerprinting
Bei dieser Cookieless-Tracking-Methode wird über einen Browser auf einen Webserver zugegriffen. Der Internetbrowser fordert über das Protokoll die notwendigen Daten der Websites an, um den Inhalt nutzergerecht darzustellen. Aus den übermittelten Inhalten, welche Informationen zum Endgerät des Nutzers beinhalten, lässt sich der Fingerprint des Browsers erstellen: Mit JavaScript oder Plug-ins werden direkt über den Programmcode die konfigurierten Eigenschaften über das Gerät abgefragt. Browser-Fingerprint-Skripte sind nicht von den Skripten unterscheidbar, die das Funktionieren einer Website garantieren. Deshalb lässt sich auch nur schwer feststellen, ob diese Cookieless-Tracking-Methode gerade von einer Website angewendet wird. Beim erneuten Aufruf dieser oder einer weiteren Website, die Fingerprinting verwendet, kann der Benutzer durch den einzigartigen Fingerprint wiedererkannt werden. Browserspezifisches Fingerprinting eignet sich daher für websiteübergreifendes Tracking. Diese Cookieless-Tracking-Methode funktioniert auch im Inkognito-Modus oder im Modus für privates Surfen. Auf browserspezifisches Fingerprinting wird in der DSGVO nicht eingegangen, weshalb es weitestgehend legal ist. Weitere rechtliche Regelungen sind zukünftig in der ePrivacy-Verordnung zu erwarten
Canvas-Fingerprinting
Beim Canvas-Fingerprinting wird bei einem Website-Aufruf das HTML5-Element „canvas“ dazu genutzt, um unbemerkt im Hintergrund ein Bild zu generieren. Der Aufbau des Bildes und die Informationen, die daraus gelesen werden können, hängen von den individuellen Systemkonfigurationen und Endgeräten des Nutzers ab. So erhält man Aufschluss über die Schriftart, Grafikkarte, Treiber, Webbrowser und Betriebssystem. Es entsteht ein Fingerabdruck, dem der Server eine ID zuweist. Diese ID ermöglicht es, die Spuren eines Nutzers im Internet zu verfolgen, sobald dieser eine andere Website besucht, die ebenfalls die Tracking-Methode verwendet. Um das Canvas-Fingerprinting zu unterbinden, müsste der Nutzer beispielsweise JavaScript deaktivieren. Was dann aber dazu führt, dass viele Websites nicht richtig angezeigt werden können. Eine weitere Möglichkeit ist Adblock Plus, das den Skriptstart blockiert oder zumindest darüber informiert, wenn ein Skript im Hintergrund geladen wird. Voraussetzung dafür ist allerdings, dass die Filterliste EasyPrivacy von Easylist und gegebenenfalls weitere Listen wie uBlock mit dem Adblocker verknüpft sind. Auch spezielle Tools oder Plug-ins können Canvas-Fingerprinting verhindern. Für Firefox kann man folgendes Add-On nutzen: Canvas-Blocker. Auch anonymisierende Netzwerke wie Tor oder Anonymsurfen können verwendet werden.
ID-Graph
Ein ID-Graph ist eine weitere Alternative, die es ermöglicht, den Nutzer über verschiedene Kanäle, Geräte und Touchpoints zu erkennen. Somit werden mehrere Datenpunkte eines Nutzers miteinander verknüpft. Das gelingt, indem Unternehmen die Daten des Nutzers aus unterschiedlichen Anwendungen und Systemen wie etwa E-Mail, E-Commerce und Social-Media-Tools speichern. Der ID-Graph bedient sich an diesen zerstreuten Daten und bringt diese zentral als ein Profil zusammen. Somit lässt sich aus den Datenpunkten in der Datenbank ein detailreiches Bild der Customer-Journey erstellen. Wenn der in der ID-Graph-Datenbank gespeicherte Nutzer etwa auf Websites surft, die mit dem Unternehmen verbunden sind, wird er anhand seiner individuellen Metriken erkannt. Hierfür gibt es zwei Verfahren: Deterministic Matching und Probabilistic Matching. Deterministic Matching wird genutzt, um eine 100-prozentige Übereinstimmung von Metriken zu finden. Das können entweder wiederkehrende IDs oder persönliche Informationen wie eine Adresse oder Telefonnummer sein. Wenn keine derartige Übereinstimmung in der Datenbank vorhanden ist, kann das Probabilistic Matching genutzt werden. Hierbei werden zwei oder mehr Datensätze miteinander verglichen. Der Vorgang funktioniert so: Algorithmen verteilen Punkte an die Metriken und bestimmen daraus, wie nah die Werte aneinander liegen. Eine vollständige Identifizierung ist bei diesem Verfahren nicht möglich – anonymisierte Daten wie die IP-Adresse, Endgerät und Browser können bei der Durchführung jedoch genutzt werden.
User-ID
Eine User-ID entsteht folgendermaßen: Sobald sich ein Nutzer auf einer Website über ein Authentifizierungssystem registriert, also ein Nutzerkonto anlegt, erteilt er damit eine direkte Erlaubnis, dass die Website seine Aktivitäten unter diesem Profil tracken darf. Für das Nutzerprofil wird eine einzigartige ID generiert, in die ein Tracking-Code integriert ist. Getrackt werden alle Interaktionen, zu denen es kommt, während diese ID zugewiesen ist – das heißt, solange der Nutzer angemeldet ist. User-IDs sind besonders praktisch, da sie sehr langlebig sind: Jede ID ist dem Nutzer dauerhaft zugewiesen und besteht über mehrere Sitzungen hinweg. Auch wenn der Nutzer die Website zu unterschiedlichen Zeiten auf verschiedenen Endgeräten besucht, wird er dank seiner ID wiedererkannt. Ohne die User-ID-Funktion würden in diesem Fall standardmäßig zwei verschiedene Nutzer getrackt werden, da die Datenpunkte voneinander unabhängig sind. Mit der User-ID lässt sich die Customer-Journey eines Nutzers genauestens verfolgen. Darauf basierend lassen sich Werbekampagnen entwickeln, die auf die verschiedenen Kombinationen aus Gerät und Interaktion ausgelegt sind. Die User-ID ist vor allem für den E-Commerce als Cookieless-Tracking-Methode interessant, aber auch für alle anderen Unternehmen, deren Website eine Registrierung ermöglicht.
ETags
Die eigentliche Funktion von ETags ist die Vermeidung von unnötigem Datenverkehr: Beim Aufruf einer Webseite werden verschiedene Daten heruntergeladen und im Zwischenspeicher (Cache) des Endgeräts abgelegt – beispielsweise Bilder. Diese Dateien sind mit einem ETag versehen. Bei einem erneuten Besuch der gleichen Webseite werden die ETags, die zu den Dateien auf dem Endgerät des Nutzers gehören, mit den ETags, die zu den Dateien auf dem Webserver gehören, verglichen. Sind diese ETags identisch, hat der Nutzer bereits die aktuellste Version der jeweiligen Datei im Cache. Daher muss sie nicht erneut heruntergeladen werden. Weichen die ETags untereinander ab, existiert eine neuere Version der Datei auf dem Server, die im Anschluss heruntergeladen wird. Für das Tracking mittels ETag wird auf allen Unterseiten einer Website eine identische kleine Datei eingebettet. Wird diese Datei durch den Aufruf einer Webseite vom Endgerät des Nutzers angefordert, überschreibt ein kleines Programm, das auf dem Server läuft, den Inhalt des entsprechenden ETags mit einer eindeutigen Kennung. Diese Kennung im ETag ermöglicht dem Webserver, bei jedem weiteren Aufruf dieser Website oder einer ihrer Unterseiten das jeweilige Endgerät zu identifizieren. Das Tracking über einen bestimmten ETag ist bis zum Löschen des Browser-Caches möglich. Der Nutzer müsste also nach jedem Aufruf einer Website den Cache leeren, um das Tracking zu verhindern. In diesem Fall greifen weder die Sperrmechanismen des Browsers noch der private Modus. Für ein kanalübergreifendes Tracking können Unternehmen die ETags auch auf den Websites ihrer Partner platzieren.
Authentication-Cache
Wenn sich Nutzer auf einer durch ein Authentifizierungssystem geschützten Website einloggen, müssen sie dabei ihre Log-in-Daten (Benutzername und Passwort) eingeben. Für ein zukünftig erleichtertes Einloggen kann der Browser diese Daten zwischenspeichern. Die Authentication-Cache-Methode funktioniert wie folgt: Beim Aufruf einer bestimmten zugangsgeschützten Ressource (beispielsweise ein Pixel) auf einer Website, wird ein Teil eines JavaScript-Codes integriert. Wird die Website das erste Mal aufgerufen, sind weder Benutzername noch Passwort bekannt. Dementsprechend kann keine Information an den Server weitergegeben werden – der Fehlercode 401 (unauthorized) tritt auf und wird zusammen mit einer zulässigen Kombination von Log-in-Daten an den Server übermittelt. Dabei handelt es sich nicht wirklich um einen Benutzernamen und ein Passwort, sondern um eine neu generierte Nutzer-ID. Der JavaScript-Code verarbeitet die ID und ruft die Ressource erneut auf. Die ID wird dabei in den HTTP-Header integriert. Erst jetzt wird die Ressource vom Server an den Browser gegeben und die Zugangsdaten in dem Authentication-Cache des Nutzers gespeichert. Bei allen zukünftigen Websitebesuchen meldet sich der Browser automatisch mit dieser ID beim Server an. Die Tracking-Methode des Authentication-Cache ist davon abhängig, wie lange der Cache des Browsers erhalten bleibt. Auch Browsererweiterungen, die JavaScript unterbinden, können zum Hindernis werden. Liegt die Ressource nicht auf derselben Domain wie die Websites, auf denen das Tracking angewendet wird, können Adblocker den Zugriff auf diese Domain unterbinden.
Google Topics
Google hatte hinsichtlich des Cookieless Trackings in Chrome die Idee, in Kohorten zu tracken – also in bestimmten Nutzergruppen. Das Konzept FLoC, kurz für Federated Learning of Cohorts, hätte diese Idee umgesetzt. Aufgrund weitreichender Kritik von Datenschützern wurde dieses Konzept jedoch eingestellt: Da die Kohorten in Google Analytics in Relation zu der Nutzerbreite relativ klein sind, könne die Anonymität mit der Zeit nicht vollständig gewahrt werden. Doch im Januar 2022 stellte Google bereits einen Nachfolger vor: die Topics. Hier werden nicht die Nutzer in ein Cluster gepackt, sondern die Websites. So gehört ein Blog über Yoga zum Beispiel in die Kategorie „Fitness“. Der Browser speichert die einzelnen Kategorien für ungefähr drei Wochen und erstellt eine Liste mit den wichtigsten Interessen des jeweiligen Nutzers. Bei diesem Vorgang werden keine externen Server involviert, sondern nur die Endgeräte. Besucht der Nutzer eine Seite, die Werbung gemäß Google Topics ausspielt, werden die drei wichtigsten Interessen an die Seite und die jeweiligen Werbepartner übermittelt. Anschließend wird Werbung ausgespielt, die zu diesen Interessen passt. Google Topics zielt zurzeit auf große Adtech-Dienstleister, da hierbei viele verschiedene Websites integriert sind und sich somit die Reichweite der Werbung erhöht.
Trend beim Cookieless Tracking: Interessengruppen
In der Zukunft werden die personenbezogenen Daten von den Browsern auf dem Endgerät des Nutzers ausgewertet. Damit wechselt die Betrachtung von individuellen Nutzern zu Interessengruppen. Auf dem Markt existieren bereits viele Cookieless-Tracking-Methoden, die dem Nutzer oder seinem Endgerät meistens eine eindeutige ID zuschreiben. Unter den bestehenden Cookieless-Tracking-Lösungen konnte sich aber bisher noch keine vorherrschende Methode herausstellen, die im gleichen Umfang wie die Cookies angewendet werden kann.
Cookieless Tracking in Google
Analytics 4
Das neue Google Analytics 4 (GA 4) ist auf die cookielose Zukunft vorbereitet. Neben First-Party-Cookies und Google Signalen (den Sitzungsdaten von Websites und Apps, die Google mit Nutzern verknüpft, die in ihrem Google-Konto angemeldet sind und personalisierte Werbung aktiviert haben) setzt GA 4 auch auf Tracking über User- oder Geräte-IDs. Demnach liegt beim Cookieless Tracking in Google Analytics 4 der Fokus auf dem Nutzer. Der Vorgänger Universal Analytics (UA) konzentrierte sich hingegen auf Sitzungen und Seitenaufrufe – mehr dazu in unserem Blogbeitrag Universal Analytics vs. Google Analytics 4 (GA4): Vorteile & mehr. Da GA 4 auf das Cross-Device-Verhalten vieler Nutzer angepasst ist, ermöglicht das Tool geräte- und plattformübergreifendes Tracking. Die grafische Darstellung des Programms wurde zudem auf das nutzerorientierte Tracking angepasst. So sind auch Kohorten- und Trichteranalyse-Ansichten möglich sowie die gesamte Life-Time eines Nutzers sichtbar. Die Analysemethoden zur Datenerhebung sind mit GA 4 generell umfangreicher geworden. Datenlücken, die durch den Wegfall von Cookies entstehen, schließt das Tool durch eine sogenannte Conversion-Modellierung. Durch den Einsatz von Machine Learning bestimmt GA 4 die Effektivität des Marketings, indem Algorithmen zum Beispiel Verlaufsdaten nutzen, um zuverlässige Messwerte zu berechnen. Durch die Conversion-Modellierung ergeben sich somit präzisere Messungen, während in Berichten nur aggregierte und anonymisierte Daten aufbereitet werden.
Das Problem mit der Datenübertragung an die USA
Bei Google Analytics 4 gibt es Herausforderungen: Obwohl Google GA 4 als zukunftssicher beschreibt, steht das Trackingtool seit einiger Zeit unter strenger Beobachtung europäischer Datenschützer. Der österreichische Datenschutzaktivist Maximilian Schrems, Rechtsanwalt bei der Datenschutzorganisation Noyb, klagte im Sommer 2021 gegen eine Website, auf der Google Analytics nicht datenschutzkonform genutzt wurde – mit Erfolg. Österreich hat die Nutzung von Google Analytics und die daraus resultierende Übermittlung personenbezogener Daten an US-Server für rechtswidrig erklärt.
Bekannt ist der Beschluss des Europäischen Gerichtshofs EuGH vom 16. Juli 2020 nun als Schrems-II-Urteil. Demnach wurde das bisherige EU-US Privacy-Shield-Abkommen obsolet, das bis zu diesem Zeitpunkt den Transfer personenbezogener Daten zwischen Europa und den USA regelte. Laut EuGH ist die Art und Weise, mit der Daten von EU-Bürgern auf US-Servern verarbeitete werden, nicht mit der EU-Charta vereinbar. Denn US-Sicherheitsbehörden sind berechtigt, bei öffentlichem Interesse oder zur Wahrung der nationalen Sicherheit auf diese Daten zuzugreifen. EU-Bürger besitzen vor den US-Gerichten nicht genügend Rechtsschutzmöglichkeiten. Demnach könnten diese Rechtsverletzungen nicht umfassend genug überprüft werden. Laut Abschnitt [56] der Rechtsprechung können auch die Standardvertragsklauseln hierbei keine Abhilfe schaffen, „da sie den betroffenen Personen nur vertragliche Rechte gegenüber dem Datenexporteur und dem Datenimporteur einräumten, ohne die amerikanischen Behörden zu binden“.
Anfang 2022 hat sich auch die französische und niederländische Datenschutzbehörde dieser Beurteilung angeschlossen. Auch hierzulande warnen Datenschützer vor der Verwendung von Google Analytics. Google verweist jedoch darauf, dass die Unternehmen selbst die Kontrolle haben, auf welche Art und Weise sie Daten sammeln und an Google übermitteln. Im Falle eines Verstoßes müssen die Unternehmen die Konsequenzen also selbst tragen. Mittlerweile wurden bereits verschiedene alternative Lösungen (wie Matomo) zu Google Analytics entwickelt, die ihre Serverstandorte in Europa haben und somit das Problem der Datenübertragung an die USA umgehen. Es besteht auch die Möglichkeit, Lösungen wie Matomo selbst zu hosten und somit alle Daten auf eigenen Servern zu speichern. Da immer mehr Unternehmen die unsichere Situation hinsichtlich der Verwendungsmöglichkeit von Google Analytics fürchten, werden alternative Lösungen immer beliebter. Beim Thema „Cookieless Tracking“ spielt Google Analytics also eine große Rolle.
Cookieless Tracking: Das ist 2023 wichtig
Bleiben Sie informiert!
Bezüglich Cookieless Tracking finden derzeit viele Diskussionen und Entwicklungen statt. Deswegen werden wir Sie mit weiteren Beiträgen auf dem Laufenden halten. Wir empfehlen Ihnen zudem eigenständig Rechtsprechungen zu verfolgen.
Beschäftigen Sie sich mit serverseitigem Tracking!
Werbende sollten die derzeitigen Entwicklungen unbedingt verfolgen. Denn wenn die Möglichkeiten, Daten zu tracken weniger werden, sagen letztlich auch die Daten weniger aus. Zudem sinkt das Vertrauen in die Daten. Genau hier wird es wichtig zu verstehen, wie Zahlen zustande kommen und wie viel Aussagekraft sie überhaupt noch haben. Lösen können Sie dieses Problem durch Server-Side-Tracking, auch serverseitiges Tracking genannt.
Kernpunkt des serverseitigen Trackings ist das autonome Verwalten von Daten auf einem eigenen Server. Damit können Sie einen großen Teil des verlorenen Überblicks zurückholen. Zusätzlich können Sie durch das serverseitige Tracking Rechts- beziehungsweise Abmahnungsrisiken vermeiden – bisher zeigt sich die Speicherung auf eigenen Servern innerhalb Europas als datenschutzfreundlichste Variante der Datenverwaltung. Lesen Sie in unserem Blogartikel „Server-Side-Tracking im Fokus" wie Server-Side-Tracking funktioniert, welche Vorteile es hat und wie es sich anwenden lässt. PARK 7 unterstützt Sie bei Bedarf in der Umsetzung des Server-Side-Trackings.
Nutzen Sie Alternativen zu Google Analytics!
Laut einer Studie des Instituts der deutschen Wirtschaft Köln arbeiten über die Hälfte der deutschen Unternehmen mit Google Analytics. Das mag die Vorstellung prägen, mit Google Analytics sicher verankert zu sein. Doch wie zuvor erläutert, ist die aktuelle Rechtslage um GA 4 kompliziert. Wenn Sie sich wirklich auf der sicheren Seite befinden wollen, sollten Sie beim Cookieless Tracking Alternativen zu Google Analytics ausprobieren. Es empfiehlt sich, mögliche Alternativen zunächst einmal parallel zum gewohnten Google Analytics laufen zu lassen. Dadurch entsteht der Vorteil, die Zahlen vergleichen und besser einschätzen zu können. Außerdem ist es in jedem Fall sinnvoll, wenn Sie derzeit Googles Universal Analytics nutzen, unverzüglich auf GA 4 zu wechseln. Eine Umstellung, wenn sie denn passieren soll, muss jedoch nicht von jetzt auf gleich geschehen. Nutzen Sie stattdessen die Möglichkeit, sich in neue Anwendungen einzuarbeiten, diese auszuprobieren und Alternativen abzuwägen. Bei Fragen und Anliegen bezüglich der Umstellung von Universal Analytics zu Google Analytics 4 steht Ihnen PARK 7 gerne zur Verfügung.
Bleiben Sie hinsichtlich des Datenschutzes up to date!
Ein bewusster Umgang mit Daten ist im Online-Marketing besonders wichtig. Denn was die Verbreitung der Daten angeht, liegt die Verantwortung letztendlich bei den Unternehmen. Falsch formulierte Datenschutzrichtlinien oder veraltete Cookie-Banner können hohe Bußgelder nach sich ziehen. Zudem können Unternehmen, die hohen Wert auf Datenschutz legen, besonders bei Verbrauchern punkten. Denn auch beim Cookieless Tracking gilt die DSGVO.
Halten Sie die Augen offen nach weiteren Cookieless-Tracking-Methoden!
Dem Online-Marketing steht eine (fast) cookielose Zukunft bevor. Auch wenn die Lösungen auf Anbieterseite noch nicht ganz ausgereift sind, sind die neuen Cookieless-Tracking-Methoden kreativ, vielseitig und höchst vielversprechend. In Zukunft könnten sich noch weitere Methoden herausbilden, daher sollten Sie auch diesbezüglich die Augen offenhalten.
Sie möchten mehr über Cookieless Tracking erfahren? Dann abonnieren Sie unseren Blog und bleiben Sie up to date! Lesen Sie auch unseren Blogartikel zum Server-Side-Tracking. Wenden Sie sich bei Umsetzungswunsch einer Server-Side-Tracking-Lösung an unseren Experten. Sie haben weitere Anliegen, Fragen oder Wünsche? Lassen Sie uns wissen, was wir für Sie tun können! Hier geht es zum Kontaktformular.