Status quo: Tracking mit Third-Party-Cookies
Stand heute funktionieren Werbung, Webanalyse & Co. im Internet ganz überwiegend noch mithilfe von Third Party Cookies, d.h. Cookies von Drittanbietern. Einzelne Dienste wie das Analysetool Matomo tracken zwar bereits cookiefrei. Die Mehrheit benötigt aber weiterhin Cookies, so zum Beispiel der bekannte Matomo-Konkurrent Google Analytics.
Technisch sind Third-Party-Cookies an sich eine feine Sache, da sie es ermöglichen, bestimmte Handlungen auf der Website wie Zugriffe, Button-Klicks oder Sales exakt einem bestimmten Besucher zuzuordnen. Der Verzicht auf Cookies ginge aktuell für viele Anbieter mit einem erheblichen Präzisionsverlust einher. Falls die Webdienste ohne Cookies überhaupt noch funktionieren sollten, würde ihr Einsatz wirtschaftlich uninteressant.
Third-Party-Cookies sind bald tot
Auf der anderen Seite sind die Tage von Third-Party-Cookies gezählt. Ihr Einsatz wird mehr und mehr reguliert und zunehmend von allen relevanten Browsern technisch blockiert.
Wer einstweilen weiter auf Drittanbieter-Cookies setzen und gleichzeitig datenschutzkonform agieren will, ist nach EuGH und BGH gezwungen, informierte Einwilligungen von den Besuchern seiner Website einzuholen. Das gilt explizit auch für Cookies, die keine personenbezogenen Daten verarbeiten. Anonymisierungen helfen nicht weiter. Grundsätzlich ist jeder (!) Cookie einwilligungspflichtig.
Ausgenommen sind nur technisch notwendige Cookies, d.h. solche Cookies, die für den Betrieb der Website unerlässlich sind. Für solche Cookies müssen keine Einwilligungen eingeholt werden.
Beispiele: Wer sich in ein Online-Kundenkonto einloggt (etwa bei GMX oder Facebook) und innerhalb des Accounts die Webseiten wechselt, soll weiter eingeloggt bleiben. Das gleiche gilt für Artikel, die man in Onlineshops in den Warenkorb legt. Der Besucher soll weiter shoppen dürfen, ohne dass der Warenkorb geleert wird. Technisch wird dies meist mithilfe von Session-Cookies erreicht.
Eine digitale Welt voller Cookie Banner
Für die Umsetzung der obigen Vorgaben benötigt man als Websitebetreiber ein professionelles Cookie Banner, auch wenn viele Websitebesucher die das Nutzererlebnis störenden Banner mittlerweile einfach wegklicken.
Das ist kein Einzelfall. Allein das Browser-Addon I don’t care about cookies, das automatisch alle Cookies der besuchten Website akzeptieren lässt, ist bei hunderttausenden Nutzern aktiv.
Neu: Federated Learning of Cohorts (FLoC)
Google ist angetretenen, den offenen Missstand zu lösen und cookieloses Nutzertracking zu ermöglichen.
Am 25. Januar 2021 veröffentlichte die Suchmaschine im hauseigenen Blog einen ausführlichen Beitrag über Federated Learning of Cohorts (FLoC), eine Privacy Sandbox-Technologie für interessenbasierte Werbung. Bei FLoC werden große Gruppen von Menschen mit ähnlichen Interessen zu Clustern zusammengefasst. Hierdurch gehen nicht nur Einzelpersonen datenschutzrechtlich „in der Menge“ unter. Technisch wird die geräteinterne Verarbeitung genutzt, um den Webverlauf einer Person im Browser privat zu halten. Diese Technik benötigt keine Cookies mehr.
FLoC fast so präzise wie cookiebasiertes Tracking
Interne Tests von Google zum Erreichen von marktnahen und affinen Google-Zielgruppen zeigen offensichtlich, dass die FLoC-Technik nur geringfügige Einbußen im Verhältnis zu Cookies mit sich bringt. Google spricht davon, dass Werbetreibende im Vergleich zu cookiebasierter Werbung mindestens 95 % der Conversions pro ausgegebenem Dollar erwarten können.
Bereits im zweiten Quartal 2021 will Google öffentliche Tests von FLoC-basierten Kohorten für Werbetreibende in Google Ads ermöglichen, um auf Basis dieser Ergebnisse das System weiter zu verbessern. Hier finden Sie das entsprechende FLoC-Whitepaper.
Mit einem produktiven Einsatz der cookielosen Technik ist in 2021 zwar voraussichtlich nicht mehr zu rechnen. Google zeigt aber einen ersten realistischen Ansatz für die Post-Cookies-Ära. Innovationstreiber sind in diesem Fall die oft kritisierte Gesetzgebung und Rechtsprechung.
Update vom 04.03.2021
Google hat angekündigt, ab 2022 keinerlei Werbeanzeigen mehr zu schalten, die ein Tracking von Einzelpersonen über mehrere Websites hinweg ermöglichen. Die Entwicklung und Verbesserung bestehender klassischer Trackingtechnologien wird gestoppt, neue Ansätze nicht weiter verfolgt.
Konkret heißt es im Google Blog:
„Keeping the internet open and accessible for everyone requires all of us to do more to protect privacy – and that means an end to not only third-party cookies, but also any technology used for tracking individual people as they browse the web.“
Was auf den ersten Blick wie ein Paukenschlag wirkt, hat sich lange angebahnt. Googles Ankündigung wird freilich nicht bedeuten, dass der Suchmaschinenriese sein Kerngeschäft begräbt und damit aufhört, Werbung zu schalten. Was sich ändern wird ist, dass Techniken wie FLoC zum Einsatz kommen, die ohne ein Tracking von Einzelpersonen auskommen und Personen stattdessen großen Interessengruppen zuordnen, die wie in unserem Beitrag beschrieben bereits nahezu gleichwertige Ergebnisse wie klassisches Tracking liefern.
Spannend wird sein, wie Googles Konkurrenz reagiert, vor allem die großen Social Media Plattformen. Wir erwarten, dass Tracking in seinem bisherigen Verständnis bald über den Google-Kosmos hinaus Geschichte sein wird.
Update vom 26.01.2022
Auf öffentliche Kritik hin hat Google den FLoC-Ansatz offiziell verworfen. Dem Unternehmen war unter anderem vorgeworfen worden, sich unter dem Deckmantel einer Abkehr von Third-Party-Cookies durch FLoC noch mehr Macht zu verschaffen. Das Nachfolgeprojekt trägt den Namen „Topics“ und soll weniger invasiv sein (Details bei Heise.de).