Äh, was sind nochmal Cookies?
Cookies sind kleine Datenpakete, die von Webseiten auf dem Gerät eines Nutzers gespeichert werden und vielfältige Aufgaben übernehmen können. Sie tracken beispielsweise Webseiten-Interaktionen, speichern Anmeldestatus und persönliche Einstellungen wie Sprache oder Design. Sie erlauben es auch Nutzeraktivitäten über mehrere Seiten hinweg nachverfolgen und so personalisierte Werbung bereitstellen.
Je nach Domain, die die Cookies setzt, wird zwischen First-Party Cookies und Third-Party Cookies unterschieden:
First-Party-Cookies werden direkt von und für die Website gesetzt, die der Benutzer besucht. Diese Cookies werden von den meisten Browsern standardmäßig zugelassen, da sie das Benutzererlebnis auf einer bestimmten Website verbessern.
Im Unterschied zu First-Party-Cookies, werden Third-Party-Cookies von externen Domains gesetzt. Zum Beispiel, wenn Sie auf diconium.com sind und ein eingebettetes Video von youtube.com ein Cookie für diese Domain auf Ihrem Gerät speichert, handelt es sich dabei um ein Cookie eines Drittanbieters. Diese werden vor allem für das Tracking und gezielte Online-Werbung genutzt, da sie es erlauben, das Surfverhalten der Nutzer über verschiedene Webseiten hinweg zu verfolgen. Sie gelten als bedenklich, weil sie Einblicke in die Aktivitäten der Nutzer auf zahlreichen, thematisch unverbundenen Webseiten ermöglichen.
Zusammenfassend kann man sagen, dass First-Party-Cookies das Benutzererlebnis auf einer bestimmten Website verbessern, während Drittanbieter-Cookies hauptsächlich auf Tracking und Werbung über mehrere Websites hinweg abzielen, was aus Datenschutz Perspektive höchst bedenklich ist.
Datenschutz und Cookies
Die Datenschutz Behörden haben mit der Einführung der Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union auf die unkontrollierte Datenerhebung durch Cookies reagiert. Die DSGVO, die im Jahr 2018 in Kraft trat, änderte sich der Umgang mit Cookies auf Webseiten signifikant. Cookies sind nun strenger reguliert. Vor der DSGVO konnten viele Webseiten Cookies ohne ausdrückliche Zustimmung setzen. Jetzt fordert die DSGVO:
1. Klare Information über Cookie-Nutzung.
2. Ausdrückliche Zustimmung für nicht-essenzielle Cookies.
3. Eine Option, die Zustimmung zu widerrufen.
Besonders Third-Party-Cookies, stehen im Fokus. Ziel der DSGVO ist es, Nutzern mehr Datenschutz und Kontrolle über ihre Daten im digitalen Raum zu bieten. Daher müssen Websites, die in der EU agieren oder EU-Bürger ansprechen, diese Bestimmungen strikt befolgen.
Browser Hersteller und Cookies
In den vergangenen Jahren haben Browser-Entwickler ihre Richtlinien und Technologien in Bezug auf Cookies verändert, motiviert durch Datenschutzbedenken und gesetzliche Vorgaben wie die DSGVO. Selbst der letzte Browser, der noch standardmäßig Third-Party-Cookies zulässt, plant, diese bis Ende 2024 abzuschaffen. Google kündigte an, die Unterstützung für Third-Party-Cookies in Chrome bis dahin zu beenden und stattdessen die „Privacy Sandbox“ einzuführen – ein Bündel an Technologien, die die Privatsphäre der Nutzer schützen sollen, während gleichzeitig zielgerichtete Werbung ermöglicht wird.
Den aktuellen Stand der unterschiedlichen Implementierungen wird auf https://www.cookiestatus.com/dokumentiert.
Die Verschärfung der Datenschutzrichtlinien durch Behörden und die Initiativen von Browser-Anbietern zur Stärkung der Privatsphäre der Nutzer haben erhebliche Auswirkungen auf die Qualität des Tracking (s. Abbildung 1) und zwingen die Branche dazu, neue Wege zu beschreiten. Eines davon ist Cookieless-Tracking.
Cookieless-Tracking
Cookieless-Tracking umfasst Methoden und Techniken, mit denen Daten über das Online-Verhalten und die Online-Aktivitäten der Benutzer gesammelt werden, ohne auf die Verwendung von Cookies angewiesen zu sein. Oft umfasst diese Klassifizierung auch Verfahren, die Cookies im first party-context oder nur für eine kurze Zeitspanne nutzen z. B. zur Erstellung einer Session, was natürlich widersprüchlich ist.
Cookieless Tracking kann auf verschiedene Arten implementiert werden:
Vollständiges Cookieless Tracking (Anonymes Tracking)
Durch das vollständige Cookieless Tracking werden standardmäßig alle Website-Aktivitäten erfasst. Obwohl von dem Tracker keine Cookies gesetzt werden, können Traffic, Marketingeffizienz und Nutzerinteraktionen erfasst werden, während der Datenschutz beibehalten wird.
Cookieless Tracking in Kombination mit Consented Tracking
Nachdem ein Nutzer seine Zustimmung erteilt hat, kann von einem anonymen auf ein consented Tracking umgestellt werden. Dabei werden die erhobenen Daten um zusätzliche Benutzer- und Sitzungsinformationen angereichert. Mit dieser Vorgehensweise und einem serverseitigen Session-Management kann eine Sitzung auch ohne Cookies verfolgt und nach Erhalt der Zustimmung dem jeweiligen Nutzer zugeordnet werden.
Fingerprint
Eine Technik, die Informationen über das Gerät des Nutzers sammelt, wie z.B. Browser-Typ, Betriebssystem, installierte Schriftarten und Plugins, um Nutzer eindeutig zu identifizieren. Fingerprinting kann genutzt werden, um Benutzer über verschiedene Browser hinweg zu verfolgen, da es auch auf Merkmalen basieren kann, die nicht nur geräte-spezifisch sind. Daher steht diese Methode bei Datenschützern in der Kritik.
- Client-seitiges Fingerprinting bezeichnet eine Methode, bei der Informationen und Merkmale des Endbenutzergeräts (wie z.B. Browser, Betriebssystem, installierte Schriftarten und Plugins) erfasst werden, um ein einzigartiges Profil oder „Fingerabdruck“ des Geräts zu erstellen. Dieser Fingerabdruck dient dazu, den Benutzer oder das Gerät bei späteren Besuchen wiederzuerkennen, selbst wenn Cookies gelöscht oder blockiert werden.
- Server-seitiges Fingerprinting nutzt spezifische Merkmale und Muster von Browser Requests, um Benutzer oder Geräte zu erkennen und zu verfolgen. Anstatt sich direkt auf vom Client oder Benutzergerät übermittelte Daten zu stützen, ermöglicht es dieser Ansatz, eine Identifikation durchzuführen, selbst wenn client-seitige Methoden eingeschränkt oder nicht verfügbar sind.
Häufig findet eine Kombination aus Server-seitigen und Client-seitigen Technologien statt, um die Identifikation von Nutzern zu optimieren. Die Webseite „Am I unique“ führt die verschiedenen Methoden auf und bewertet sie anhand einer Ähnlichkeitsrate.
ETag Tracking
Ein Mechanismus, der von Webservern verwendet wird, um Änderungen an einer Webseite zu verfolgen. Es kann auch zum Tracken von Nutzern verwendet werden, da ETag-Werte im Browser-Cache gespeichert werden.
Vehaltensbasiertes Tracking
analysiert das Nutzerverhalten, wie z. B. Klickmuster, Scroll-Verhalten und Tastatureingaben. Diese Verhaltensdaten können auf Muster hin analysiert werden, die einen Nutzer einzigartig machen.
Identity Solutions
Identitätslösungen erweitern die Möglichkeiten der Nutzeridentifikation, indem sie sowohl deterministische als auch probabilistische Ansätze nutzen, um Benutzeridentitäten über eine Vielzahl von Kanälen und Geräten hinweg zu verknüpfen. Sie setzen dabei auf Datenpunkte wie gehashte E-Mails oder anonyme Identifikatoren, um ein konsistentes Nutzerprofil zu erstellen.
Fazit
Der Markt sucht nach Alternativen zur Datenerfassung ohne Cookies, wobei der Fokus auf innovativen Technologien und Verfahren liegt, um Nutzeridentitäten präzise festzustellen und umfassende Profile zu erstellen. Dennoch wird das Thema Datenschutz bei diesen neuen Ansätzen erneut in den Vordergrund rücken. Browserhersteller arbeiten bereits an Maßnahmen, die das Fingerprinting einschränken sollen, und auch Regulierungsbehörden betrachten diese Praktiken mit zunehmender Skepsis.
Daher ist ein neuer Ansatz erforderlich. Vertrauen ist der Schlüssel! Es ist wichtig, dass Nutzer den Mehrwert verstehen, den sie im Gegenzug für die Bereitstellung ihrer Datern erhalten. Eine gut durchdachte Strategie für First-Party-Daten ist hierbei essenziell. Diconium steht Ihnen als Berater und Begleiter in allen Aspekten der digitalen Transformation zur Verfügung und unterstützt Sie gerne bei der Entwicklung und Implementierung einer umfassenden First-Party-Daten Strategie.