Werbetracking und Third Party Cookies  

Nach fast drei Jahrzehnten endet bald eine Ära: Das Tracking mittels Drittanbieter-Cookies (Third Party Cookies) steht vor dem Aus. Google hat zu Beginn des Jahres für einige Chrome-User die Nutzung von Third Party Cookies beendet. Ein Schritt den Firefox und Safari bereits vollzogen haben. Diese Entscheidung markiert das Ende einer langen Entwicklung hin zu mehr Privatsphäre beim Surfen. 

Eine kurze Geschichte der Cookies 

Cookies sind kleine Textdateien, die im Browser eines Nutzers gespeichert werden. Sie speichern Informationen wie Benutzernamen oder Passwörter und lassen sich in zwei Kategorien einteilen: First Party Cookies und Third Party Cookies. First Party Cookies, die nur auf der besuchten Webseite selbst wirken, dienen vornehmlich der Website-Funktionalität und werden nicht mit anderen Domains geteilt. Im Gegensatz dazu werden Third Party Cookies von Dritten gesetzt und überwachen das Nutzerverhalten seitenübergreifend, um umfassende Profile der Seitenbesucher zu erstellen, die oft für Werbezwecke genutzt werden. 

Die Geschichte der Cookies beginnt 1994 als Lou Montulli den ersten Cookie für den damals weit verbreiteten Netscape Navigator erschaffen hat, um die Nutzung von Websites zu erleichtern. Cookies dienten ursprünglich dazu, den Nutzern bei erneutem Besuch einer Website personalisierte Einstellungen wie das Merken des Warenkorbinhalts zu bieten. Doch nur zwei Jahre später entdeckten Werbetreibende und Tech-Unternehmen, dass Cookies auch das Verhalten der Nutzer über verschiedene Websites hinweg verfolgen können, was zur Entstehung der Third Party Cookies führte. Diese wurden schnell zu einem zentralen Instrument in der digitalen Werbewirtschaft. 

Erste Schritte zu mehr Datenschutz

Bis 2002 führten wachsende Datenschutzbedenken zur Entwicklung der ePrivacy-Richtlinie der EU, die Nutzern mehr Kontrolle über die Verwendung von Cookies gab. Sie verlangte von Websites, die Einwilligung ihrer Nutzer für das Setzen von Cookies einzuholen, und ihnen die Wahl zu lassen, diese zu akzeptieren oder abzulehnen. 

Umgesetzt wurde die ePrivacy-Richtlinie in Deutschland durch das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Wichtig ist dabei vor allem § 25 TTDSG. Dieser regelt, dass das Speichern von Daten auf dem Gerät eines Nutzers oder der Zugriff auf bereits gespeicherte Daten nur mit dessen Einwilligung erlaubt ist. Diese Zustimmung muss auf Basis klarer und vollständiger Informationen erfolgen. Diese Regelung gilt nicht nur für Cookies, sondern auch für alle weiteren Daten, die in Endgeräten gelesen oder gespeichert werden. Dies umfasst Hardware-Spezifikationen für das Fingerprinting, Daten im Local Storage sowie Identifikatoren im Quellcode oder im Document Object Model (DOM) einer Webseite. Für aktiv von Geräten gesendete Informationen wie IP-Adressen oder Browser-Kennungen wird die Anwendung üblicherweise nicht als einschlägig erachtet. 

Die Evolution der Browser-Tracking-Prävention

Seit 2017 setzen Browser verstärkt auf Maßnahmen gegen das Third Party Tracking. Safari führte Apples Intelligent Tracking Prevention ein, die die Nutzung von Drittanbieter-Cookies zeitlich begrenzt. Die Einführung der DSGVO im Jahr 2018 markierte einen Wendepunkt, indem sie Unternehmen zur Einholung der Zustimmung von Nutzern verpflichtete und Transparenz über Datensammlungen verlangte. Dies löste weltweit Änderungen aus; so stärkte beispielsweise der 2020 in Kraft getretene CCPA in Kalifornien die Nutzerprivatsphäre. 

2019 schließlich setzten Mozilla mit der Enhanced-Tracking-Protection für Firefox und Apple mit der Blockierung von Third Party Cookies auf Safari neue Standards in Sachen Datenschutz. Diese Entscheidungen wurden von Datenschützern gefeiert, stießen aber bei Werbetreibenden auf Widerstand. 

Wie reagiert Google? 

Google reagierte 2019 ebenfalls auf die wachsenden Datenschutzforderungen mit der Ankündigung der Privacy Sandbox. Justin Schuh, Engineering Director bei Google, enthüllte am 22. August eine neue datenschutzorientierte Strategie. Sie zielt darauf ab, Webseiten durch innovative Technologien Zugang zu Nutzerdaten zu gewähren, die den Datenschutz-vorschriften entsprechen. Trotz der Abhängigkeit von cookiebasierter Werbung als Haupteinnahmequelle des Unternehmens war der Schritt wahrscheinlich eine Reaktion auf den zunehmenden Datenschutzdruck aus Europa und den USA. 

 Anfang 2020 gab Google bekannt, dass es die Unterstützung für Third Party Cookies in Chrome innerhalb von zwei Jahren einstellen wird, wobei ein allmählicher Übergang geplant war – im Gegensatz zu den sofortigen Maßnahmen von Safari und Firefox. Während dieser Übergangszeit sollte die Privacy Sandbox weiterentwickelt werden, um eine Balance zwischen personalisierter Werbung und Datenschutz zu finden. 

Google hatte ursprünglich geplant, Third Party Cookies in Chrome bis Ende 2023 auslaufen zu lassen, musste diesen Zeitplan jedoch auf die zweite Hälfte des Jahres 2024 verschieben, da das Testen der Privacy Sandbox APIs mehr Zeit in Anspruch nimmt als zunächst angenommen. Die Veröffentlichung dieser APIs soll es Webseitenbetreibern ermöglichen, sich auf die Änderungen einzustellen und weiterhin relevante Werbung anzubieten. Diesmal allerdings unter Wahrung der Nutzerprivatsphäre. Die neuen APIs ersetzen die Werbe-ID und erlauben es dem Browser, auf der Grundlage der Websitebesuche der letzten drei Wochen themenbezogene Werbung zu schalten. Seit dem 4. Januar 2024 sind die Third Party Cookies für etwa ein Prozent der globalen Chrome-Nutzer, also rund 30 Millionen Menschen, deaktiviert. Die Teilnehmer für die Testphase wurden zufällig ausgewählt. 

 Bis Ende 2024 plant Google dann Third Party Cookies für alle Chrome-Nutzer vollständig abzuschaffen. Obwohl dies nicht das Ende des Nutzer-Trackings darstellt, wird es signifikante Veränderungen in der digitalen Werbewelt nach sich ziehen. Unternehmen sind nun gefordert, sich anzupassen und auf alternative Methoden wie Googles Privacy Sandbox oder First Party Cookies umzusteigen. 

Übrigens:

Falls Sie lieber zuhören: In unserer Podcast Folge 42 “Google und der Datenschutz” gehen wir unter anderem auch auf das Thema Third Party Cookies und die Privacy Sandbox ein.  

Die “Topics API” als neuer Ansatz 

Ein wesentlicher Bestandteil der privacy Sandbox ist die so genannte Topics API. Sie soll die zunächst geplante Federated Learning of Cohorts (FloC) API ersetzen und bildet den neuesten Ansatz für interessenbasierte Werbung bei gleichzeitiger Verbesserung des Datenschutzes gegenüber Third-Party-Cookies. Nach Bedenken hinsichtlich des Datenschutzes bei FloC, insbesondere der Möglichkeit, sensible Informationen in Werbekohorten zu erfassen und zur Erstellung digitaler Fingerabdrücke zu nutzen. 

Diese API ermöglicht es Werbetreibenden, sich auf Themen zu konzentrieren, die auf den besuchten Webseiten der Nutzer basieren. Gegenwärtig gibt es 350 Themenkategorien wie „Sport“, „Reisen“ und „Kunst und Unterhaltung“, wobei diese Liste begrenzt ist, um ein übergreifendes Tracking zu vermeiden. Zukünftig könnten Webseiten eigene Themen auf Basis von Metadaten definieren, sensible Themenfelder wie Ethnizität oder Religion sind jedoch ausgeschlossen. 

Nutzer haben zudem die Option, ihre zugeordneten Themen einzusehen, zu löschen oder die Topics API zu deaktivieren. Die API ordnet wöchentlich fünf Themen zu, plus ein zufälliges Thema, um Anonymität und Datenschutz zu wahren. Ruft eine Werbeplattform die API auf, gibt sie bis zu drei Themen zurück, basierend auf den meistbesuchten Themen des Nutzers in den letzten drei Wochen. Topics werden nach Ablauf dieser Zeit erneuert und sind leer, wenn Nutzer ihre Browserhistorie löschen, im Privatmodus surfen oder sich von den Topics abmelden. 

Die Datenschutzkonformität der Topics API im Vergleich zum Einsatz von Third-Party-Cookies ist umstritten. Fraglich ist, ob sie das Prinzip der Datensparsamkeit erfüllt, da auch hier eine fortlaufende Beobachtung des Nutzerverhaltens erfolgt.  

 Parallelen zum Ende des App Trackings in iOS 

Apple führte mit dem Update auf iOS 14.5 die App Tracking Transparency (ATT) ein, die es seit 2021 App-Entwicklern zur Pflicht macht, die Zustimmung der Nutzer einzuholen, bevor sie Daten teilen, die ein Tracking über verschiedene Apps und Websites ermöglichen. Nutzer müssen explizit ihre Erlaubnis geben, damit ihre Daten zu diesem Zweck verwendet werden dürfen. Bei Nichteinhaltung dieser Richtlinie droht Entwicklern die Entfernung ihrer Apps aus dem App Store, während gleichzeitig garantiert wird, dass Nutzer bei Ablehnung des Trackings keine Funktionseinbußen in den Apps erleiden. 

 Interessanterweise hat Apple seit der Einführung der ATT sein eigenes Werbegeschäft verstärkt ausgebaut. Anzeigen sind nun sowohl in Apples News- und Aktien-Apps als auch im App Store zu finden, wo Entwickler ihre Apps auf der Startseite oder in Suchergebnissen prominent platzieren können. Für gezielte Werbung greift Apple auf Daten aus dem eigenen Ökosystem zurück, indem Informationen des Apple-Accounts mit denen aus anderen hauseigenen Diensten kombiniert werden, ohne dabei auf Third Party Cookies angewiesen zu sein. Trotz der durch ATT auferlegten Einschränkungen wirft dieses Vorgehen Fragen auf, erweist sich jedoch als finanziell erfolgreich: Apple erwirtschaftet bereits mehrere Milliarden Dollar mit seinem Werbegeschäft und Prognosen von großen Finanzinstituten zufolge könnte bis 2026 sogar die 30-Milliarden-Dollar-Marke erreicht werden. Obwohl diese Zahlen im Vergleich zu den Werbeeinnahmen von Google und Meta noch gering erscheinen, zeigt sich, dass Apples Strategie Früchte trägt.  

Droht eine ähnliche Entwicklung durch die Privacy Sandbox? 

Die Entwicklungen bei Apple und Google zeigen eine ähnliche Strategie im Umgang mit Nutzerdaten und Werbung. Während Apple mit der Einführung der ATT und dem Ausbau seines Werbegeschäfts innerhalb des eigenen Ökosystems die Kontrolle behält, könnte Google mit seiner Privacy Sandbox eine vergleichbare Kontrolle über die Werbeinteraktionen im Chrome-Browser gewinnen und so seine beherrschende Stellung im Markt noch weiter ausbauen.  

Beide Unternehmen gestalten ihre Strategien so, dass sie eine präzise Zielgruppenansprache ermöglichen, indem sie auf Daten zugreifen, die innerhalb ihrer jeweiligen Ökosysteme gesammelt werden. Diese Ansätze ermöglichen es Apple und Google, die Verarbeitung und das Tracking von Nutzerdaten zu steuern, ohne auf externe Third Party Cookies angewiesen zu sein. Damit schaffen beide Tech-Riesen eine Umgebung, in der sie die Informationen über ihre Nutzer ähnlich kontrollieren und für Werbezwecke nutzen können, was ihre dominante Stellung im Markt für digitale Dienste weiter festigt. 

Cookieless  Tracking als Alternative? 

Cookieless Tracking bietet eine Möglichkeit, das Online-Verhalten der Nutzer zu analysieren, ohne auf Cookies zurückzugreifen. Es nutzt verschiedene Technologien, um Besucher von Webseiten zu identifizieren und ermöglicht das Tracking ohne Einsatz von Third Party Cookies. 

 Anders als beim traditionellen Cookie-Tracking, das auf dem Client, also dem Nutzergerät, stattfindet, basiert Cookieless Tracking auf der Datenerfassung durch den Internetserver, bekannt als serverseitiges oder Server Side Tracking. Während beim clientseitigen Tracking der Browser ein Cookie auf dem Rechner des Nutzers ablegt, dass bei erneutem Besuch der Website zur Wiedererkennung dient, speichert Server Side Tracking die Daten direkt auf dem Server. Dieser Ansatz ermöglicht es, Nutzeraktivitäten zu verfolgen, auch wenn keine Cookies im Browser gespeichert sind. Es gibt mehrere Formen des Cookieless Trackings, die unterschiedliche Technologien verwenden, um Nutzer zu identifizieren.  

 Eine davon ist das Fingerprinting, das anhand von einzigartigen Merkmalen eines Endgerätes wie Betriebssystem, Bildschirmauflösung und Spracheinstellungen funktioniert. Es gibt zwei Arten von Fingerprinting: das passive, das Standardinformationen sammelt und das aktive, das detailliertere Informationen von einem Gerät anfordert. 

 Eine andere Methode sind eTags, spezielle Dateien, die Änderungen an Objekten wie Bildern überwachen und User über den Browser-Cache wiedererkennbar machen, selbst wenn traditionelle Cookies gelöscht werden. Auch das Tracking via User-ID bietet eine langlebige und geräteübergreifende Lösung, indem es Aktivitäten eines Nutzers anhand einer anonymen ID registriert, die beim Login auf einer Webseite generiert wird. 

Schließlich gibt es den ID-Graph, der Daten aus verschiedenen Quellen und Interaktionen sammelt und mit Hilfe von Künstlicher Intelligenz (KI) in Nutzerprofile integriert. Alle diese Methoden ermöglichen ein Tracking ohne Third Party Cookies, was sie zu wertvollen Alternativen, in der sich wandelnden Landschaft der digitalen Werbung macht. 

Datenschutzrechliche Anforderungen an Cookieless Tracking

Cookieless Tracking unterliegt jedoch denselben datenschutzrechtlichen Anforderungen wie herkömmliches Cookie-Tracking. Eine ausdrückliche Zustimmung der Nutzer für jegliche Art des Trackings ist auch beim Einsatz der Beschriebenen Methoden erforderlich. Die Besucher einer Webseite müssen die Wahl haben, dem Tracking zuzustimmen oder es abzulehnen. Der Unterschied zwischen Cookieless Tracking und dem Einsatz von Third Party Cookies liegt nicht in der Zustimmungsbedürftigkeit, sondern in der technischen Herangehensweise. Selbst beim Cookieless Tracking ist ohne die vorherige Zustimmung der Nutzer kein Tracking erlaubt.  

Artikel 6 Absatz 1 f) der DSGVO erlaubt unter bestimmten Umständen die Berufung auf ein berechtigtes Interesse bei der Datenverarbeitung ohne Zustimmung des Nutzers. Dies erfordert jedoch eine detaillierte Abwägung der Interessen. Weiterhin ist zu bedenken, dass ein berechtigtes Interesse, welches die Datenverarbeitung ohne die Zustimmung der betroffenen Personen ermöglicht, in der Regel bei rein kommerziellen Aktivitäten wie dem Werbetracking selten und nur bei Beachtung eines besonders hohen Datenschutzniveaus gegeben sein wird. Dies kann zum Beispiel der Fall sein, wenn durch technische Vorkehrungen eine komplette Anonymität der User gewährleistet ist. Das bedeutet, das Tracking würde sich ausschließlich auf eine grundlegende Analyse der Benutzerströme beschränken, ohne die Option, Nutzer im Nachhinein zu identifizieren. Die Entscheidung, ob eine Zustimmung notwendig ist, obliegt immer dem Betreiber der Webseite. 

Was bedeutet das für Nutzer von Google-Analytics? 

Google Analytics, das auf dem Tracking-Markt mit einem Marktanteil von über 80 Prozent führend ist, wird von den bisher skizzierten Entwicklungen ebenfalls stark betroffen sein. Mit den Veränderungen im Cookie-Bereich suchen also auch viele Google Analytics-Nutzer nach Möglichkeiten für cookieloses Tracking. 

Google Analytics 4 (GA4) bietet eine Antwort auf das sich wandelnde Tracking-Umfeld und bereitet sich auf eine cookielose Zukunft vor, in der KI das Tracking übernehmen soll. Der Fokus liegt dabei auf dem Tracking mithilfe von User- und Geräte-IDs, wodurch der Nutzer selbst in den Mittelpunkt rückt, anstelle der bisherigen sitzungsorientierten Verfolgung mit Hilfe von Third Party Cookies. Trotz Anonymisierung der IP-Adressen und anderer Anpassungen in Richtung Datenschutz erfolgt jedoch immer noch eine Datenübertragung in die USA. Dies ist zwar nach dem Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 wieder möglich. Es wird jedoch auch hier wieder eine Klage des österreichischen Aktivisten Max Schrems vor dem EuGH geben. Eine Aufhebung des zugrundeliegenden Trans-Atlantic Data Privacy Framework ist also wie auch beim vorherigen Privacy Shield Abkommen möglich. Als Nutzer von GA4 sollte man die Entwicklungen also im Auge behalten. 

Fazit:

Mit dem absehbaren Ende von Third Party Cookies steht die digitale Werbebranche vor großen Umbrüchen. Google Analytics 4 passt sich mit Cookieless Tracking mit dem Einsatz von KI an, während Apple bereits durch ATT neue Datenschutzstandards gesetzt hat. Die Entwicklung verdeutlicht die Notwendigkeit für Werbetreibende sich den neuen Gegebenheiten anzupassen. Die Nutzerzustimmung ist und bleibt auch weiter unabdingbar und muss von Unternehmen bei den erforderlichen Anpassungen immer mitgedacht werden.