Cookieless Tracking – gibt es das und macht das Sinn?

Äh, was sind nochmal Cookies?

Cookies sind kleine Datenpakete, die von Webseiten auf dem Gerät eines Nutzers gespeichert werden und vielfältige Aufgaben übernehmen können. Sie tracken beispielsweise Webseiten-Interaktionen, speichern Anmeldestatus und persönliche Einstellungen wie Sprache oder Design. Sie erlauben es auch Nutzeraktivitäten über mehrere Seiten hinweg nachverfolgen und so personalisierte Werbung bereitstellen.

Was ist der Unterschied zwischen First-Party und Third-Party Cookies?

Je nach Domain, die die Cookies setzt, wird zwischen First-Party Cookies und Third-Party Cookies unterschieden:

First-Party-Cookies werden direkt von und für die Website gesetzt, die der Benutzer besucht. Diese Cookies werden von den meisten Browsern standardmäßig zugelassen, da sie das Benutzererlebnis auf einer bestimmten Website verbessern.

Im Unterschied zu First-Party-Cookies, werden Third-Party-Cookies von externen Domains gesetzt. Zum Beispiel, wenn Sie auf diconium.com sind und ein eingebettetes Video von youtube.com ein Cookie für diese Domain auf Ihrem Gerät speichert, handelt es sich dabei um ein Cookie eines Drittanbieters. Diese werden vor allem für das Tracking und gezielte Online-Werbung genutzt, da sie es erlauben, das Surfverhalten der Nutzer über verschiedene Webseiten hinweg zu verfolgen. Sie gelten als bedenklich, weil sie Einblicke in die Aktivitäten der Nutzer auf zahlreichen, thematisch unverbundenen Webseiten ermöglichen.

Zusammenfassend kann man sagen, dass First-Party-Cookies das Benutzererlebnis auf einer bestimmten Website verbessern, während Drittanbieter-Cookies hauptsächlich auf Tracking und Werbung über mehrere Websites hinweg abzielen, was aus Datenschutz Perspektive höchst bedenklich ist. 

Datenschutz und Cookies

Die Datenschutz Behörden haben mit der Einführung der Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union auf die unkontrollierte Datenerhebung durch Cookies reagiert. Die DSGVO, die im Jahr 2018 in Kraft trat, änderte sich der Umgang mit Cookies auf Webseiten signifikant. Cookies sind nun strenger reguliert. Vor der DSGVO konnten viele Webseiten Cookies ohne ausdrückliche Zustimmung setzen. Jetzt fordert die DSGVO:

1. Klare Information über Cookie-Nutzung.

2. Ausdrückliche Zustimmung für nicht-essenzielle Cookies.

3. Eine Option, die Zustimmung zu widerrufen.

Besonders Third-Party-Cookies stehen im Fokus. Ziel der DSGVO ist es, Nutzern mehr Datenschutz und Kontrolle über ihre Daten im digitalen Raum zu bieten. Daher müssen Websites, die in der EU agieren oder EU-Bürger ansprechen, diese Bestimmungen strikt befolgen.

Browser-Hersteller und Cookies

In den letzten Jahren haben Browserhersteller ihre Cookie-Richtlinien deutlich verschärft, getrieben durch wachsende Datenschutzanforderungen und regulatorische Vorgaben wie die DSGVO. Während Safari und Firefox Third-Party-Cookies bereits früh standardmäßig blockierten, war Chrome lange der letzte große Browser, der sie weiterhin erlaubte. Google plante mehrfach, Third-Party-Cookies abzuschaffen – zunächst für 2022, später für 2024 und 2025 –, verschob diese Pläne jedoch wiederholt und gab sie im Juli 2024 endgültig auf. Statt eines vollständigen Ausstiegs setzt Chrome nun auf stärkere Nutzerkontrollen: Anwender können selbst entscheiden, ob Third-Party-Cookies zugelassen werden, während die „Privacy Sandbox“ (hier ist der aktuelle Feature-Stand) parallel als datenschutzfreundlichere Ergänzung für Werbe- und Messanwendungen weiterentwickelt wird.

Den aktuellen Stand der unterschiedlichen Implementierungen wird auf https://www.cookiestatus.com/dokumentiert.

Die Verschärfung der Datenschutzrichtlinien durch Behörden und die Initiativen von Browser-Anbietern zur Stärkung der Privatsphäre der Nutzer haben erhebliche Auswirkungen auf die Qualität des Tracking (s. Abbildung 1) und zwingen die Branche dazu, neue Wege zu beschreiten. Eines davon ist Cookieless-Tracking.

Cookieless-Tracking 

Cookieless-Tracking umfasst Methoden und Techniken, mit denen Daten über das Online-Verhalten und die Online-Aktivitäten der Benutzer gesammelt werden, ohne auf die Verwendung von Cookies angewiesen zu sein. Oft umfasst diese Klassifizierung auch Verfahren, die Cookies im first party-context oder nur für eine kurze Zeitspanne nutzen z. B. zur Erstellung einer Session, was natürlich widersprüchlich ist.

Cookieless Tracking kann auf verschiedene Arten implementiert werden:

Vollständiges Cookieless Tracking (Anonymes Tracking)

Durch das vollständige Cookieless Tracking werden standardmäßig alle Website-Aktivitäten erfasst. Obwohl von dem Tracker keine Cookies gesetzt werden, können Traffic, Marketingeffizienz und Nutzerinteraktionen erfasst werden, während der Datenschutz beibehalten wird. 

Cookieless Tracking in Kombination mit Consented Tracking

Nachdem ein Nutzer seine Zustimmung erteilt hat, kann von einem anonymen auf ein consented Tracking umgestellt werden. Dabei werden die erhobenen Daten um zusätzliche Benutzer- und Sitzungsinformationen angereichert. Mit dieser Vorgehensweise und einem serverseitigen Session-Management kann eine Sitzung auch ohne Cookies verfolgt und nach Erhalt der Zustimmung dem jeweiligen Nutzer zugeordnet werden.

Fingerprint

Eine Technik, die Informationen über das Gerät des Nutzers sammelt, wie z.B. Browser-Typ, Betriebssystem, installierte Schriftarten und Plugins, um Nutzer eindeutig zu identifizieren. Fingerprinting kann genutzt werden, um Benutzer über verschiedene Browser hinweg zu verfolgen, da es auch auf Merkmalen basieren kann, die nicht nur geräte-spezifisch sind. Daher steht diese Methode bei Datenschützern in der Kritik.

• Client-seitiges Fingerprinting bezeichnet eine Methode, bei der Informationen und Merkmale des Endbenutzergeräts (wie z.B. Browser, Betriebssystem, installierte Schriftarten und Plugins) erfasst werden, um ein einzigartiges Profil oder „Fingerabdruck“ des Geräts zu erstellen. Dieser Fingerabdruck dient dazu, den Benutzer oder das Gerät bei späteren Besuchen wiederzuerkennen, selbst wenn Cookies gelöscht oder blockiert werden.

• Server-seitiges Fingerprinting nutzt spezifische Merkmale und Muster von Browser Requests, um Benutzer oder Geräte zu erkennen und zu verfolgen. Anstatt sich direkt auf vom Client oder Benutzergerät übermittelte Daten zu stützen, ermöglicht es dieser Ansatz, eine Identifikation durchzuführen, selbst wenn client-seitige Methoden eingeschränkt oder nicht verfügbar sind.

Häufig findet eine Kombination aus Server-seitigen und Client-seitigen Technologien statt, um die Identifikation von Nutzern zu optimieren. Die Webseite „Am I unique“ führt die verschiedenen Methoden auf und bewertet sie anhand einer Ähnlichkeitsrate.

ETag Tracking

Ein Mechanismus, der von Webservern verwendet wird, um Änderungen an einer Webseite zu verfolgen. Es kann auch zum Tracken von Nutzern verwendet werden, da ETag-Werte im Browser-Cache gespeichert werden.

Vehaltensbasiertes Tracking

analysiert das Nutzerverhalten, wie z. B. Klickmuster, Scroll-Verhalten und Tastatureingaben. Diese Verhaltensdaten können auf Muster hin analysiert werden, die einen Nutzer einzigartig machen. 

Identity Solutions

Identitätslösungen erweitern die Möglichkeiten der Nutzeridentifikation, indem sie sowohl deterministische als auch probabilistische Ansätze nutzen, um Benutzeridentitäten über eine Vielzahl von Kanälen und Geräten hinweg zu verknüpfen. Sie setzen dabei auf Datenpunkte wie gehashte E-Mails oder anonyme Identifikatoren, um ein konsistentes Nutzerprofil zu erstellen. 

Fazit

Der Markt sucht nach Alternativen zur Datenerfassung ohne Cookies, wobei der Fokus auf innovativen Technologien und Verfahren liegt, um Nutzeridentitäten präzise festzustellen und umfassende Profile zu erstellen. Dennoch wird das Thema Datenschutz bei diesen neuen Ansätzen erneut in den Vordergrund rücken. Browserhersteller arbeiten bereits an Maßnahmen, die das Fingerprinting einschränken sollen, und auch Regulierungsbehörden betrachten diese Praktiken mit zunehmender Skepsis.

Vertrauen ist der Schlüssel!

Daher ist ein neuer Ansatz erforderlich. Vertrauen ist der Schlüssel! Es ist wichtig, dass Nutzer den Mehrwert verstehen, den sie im Gegenzug für die Bereitstellung ihrer Datern erhalten. Eine gut durchdachte Strategie für First-Party-Daten ist hierbei essenziell. Diconium steht Ihnen als Berater und Begleiter in allen Aspekten der digitalen Transformation zur Verfügung und unterstützt Sie gerne bei der Entwicklung und Implementierung einer umfassenden First-Party-Daten Strategie.

Von identitätsbasiertem Tracking zu Verhaltensdatenmodellen

Eine vielversprechende Richtung in diesem Zusammenhang ist der Übergang von rein identitätsbasiertem Tracking hin zu Verhaltensdatenmodellen, die sich auf Nutzerhandlungen und deren Kontext konzentrieren statt auf dauerhafte Identifikatoren. Verhaltensdatenmodelle sind mathematische oder rechnerische Rahmenwerke, die menschliches oder systemisches Verhalten anhand beobachteter Interaktionen analysieren, vorhersagen und optimieren. Sie wandeln rohe Verhaltensdaten wie Klicks, Käufe oder Login-Muster in handlungsrelevante Erkenntnisse für Personalisierung, Sicherheit und Systemdesign um. Klingt spannend? Dann lies direkt hier weiter: Zwischen Daten und strategischem Handeln: Verhaltensdatenmodelle.