coockieless-tracking

Cookies waren immer schon umstritten. Doch ob Webshop, Werbetreibende oder Dienstleister – jeder nutzt Cookies, um seine Kunden besser zu verstehen und Zielgruppen klar einzugrenzen. Aber rechtliche Veränderungen und die wachsende Werbemüdigkeit von Internet-Nutzern lässt Tracking ohne Cookies – oder Cookieless Tracking – immer attraktiver erscheinen. Google sorgte jüngst unter Werbern und Marketern für Aufsehen, als das Unternehmen bekannt gab, es würde in Zukunft auf Third-Party-Cookies verzichten.

Warum Cookies veraltet sind

Der US-amerikanische Suchmaschinenriese ist mit seinen Projekten nicht alleine. Tracking ohne Cookies dürfte sich in Zukunft mehr und mehr durchsetzen. Gerade die europäischen Gesetze zum Datenschutz und zum Schutz der Persönlichkeit grenzen den Spielraum für die Verwendung von Cookies zunehmend ein. Hinzu kommt der wachsende Widerstand von Internet-Nutzern gegen das Verfolgen und Auswerten ihrer Aktivitäten im Netz. Adblocker erfreuen sich steigender Beliebtheit, weil viele die allgegenwärtige Werbung lästig finden.

Allerdings stehen Werbetreibende nun vor Problemen. Ohne herkömmliche Cookies können sie viele Daten nicht mehr erheben, die wichtige Fragen beantworten:

  • Wie viele neue und wiederkehrende Nutzer besuchen meine Website?

  • Wie viel Zeit vergeht zwischen den einzelnen Besuchen?

  • Wie verläuft die Customer Journey vom ersten Kontakt bis zum Kauf?

  • Wie viel Zeit vergeht bis zur Conversion?

Deswegen existieren inzwischen Technologien, die Cookieless Tracking erlauben. Google selbst bietet seit einiger Zeit mit seiner Privacy Sandbox Initiative Tracking-Lösungen an, die ohne Cookies auskommen und gleichzeitig die Privatsphäre von Google-Nutzern besser schützen sollen. Weitere Möglichkeiten des Trackings ohne Cookies bieten digitales Fingerprinting, E-Tags oder ein Authentification Cache.

Cookieless Tracking bietet folgende Vorteile:

  • Sie können sich erfolgreicher auf Ihre berechtigten Interessen berufen.

  • Besucher Ihrer Website werden nicht durch eine Opt-in-Funktion oder die Bitte um Einwilligung zum Setzen von Tracking-Cookies irritiert.

  • Sie können Besucher möglicherweise auch verfolgen, ohne ihre Einwilligung einzuholen.

  • Sie können deren Verhalten auf dem Consent Layer verfolgen

Wie Cookieless Tracking funktioniert

Cookieless Tracking bedeutet nicht, dass Sie die Besucher Ihrer Website einfach ohne Einwilligung tracken. Tatsächlich ist deren Einwilligung entsprechend der DSGVO sogar zwingend notwendig. Allerdings eignet sich nicht jede Technik für jeden Geschäftskontext gleichermaßen. Welche Technologie sich für Ihr Geschäft am besten eignet, ergibt sich aus Ihrer Branchenzugehörigkeit, Ihren Ressourcen, Ihrem Geschäftsmodell und nicht zuletzt aus dem Verhalten und den Vorlieben Ihrer Nutzer. Folgende Tracking-Technologien, die keine Cookies verwenden, sind bereits länger im Einsatz.

  • Fingerprinting – Hierbei speichert man verschiedene Daten des Browsers eines Webnutzers, etwa Farbtiefe, Auflösung oder installierte Schriften. Dann erzeugt ein Algorithmus daraus eine ID. Fingerprinting ist wohl die bekannteste Alternative zu Third-Party-Cookies. Im Gegensatz zum klassischen Tracking funktioniert es auch im privaten Surfmodus. Auch wenn Nutzer ihre Daten löschen oder Funktionen wie Adblocker oder Do-not-track aktivieren, bleibt Fingerprinting wirksam. Jedoch schützen die großen Browser-Anbieter ihre Nutzer mehr und mehr mit Features, durch die der Browser nur noch ein begrenztes technisches Profil sendet.

  • E-Tags – Sie erzeugen auf der Basis des Browser-Cache eine unverwechselbare Nutzer-ID. Tags können nicht gesperrt oder abgelehnt werden, werden jedoch beim Abschalten des Browser-Cache gelöscht. Allerdings sind gerade E-Tags rechtlich problematisch, weil sich einzelne Nutzer herausfiltern lassen. Websitebetreiber müssen also die Einwilligung der Nutzer einholen, bevor sie einen E-Tag setzen können.

Cookieless Tracking mit ID-Graphen

Ein Identity Graph oder ID-Graph erlaubt das sogenannte Cross-Device-Tracking. Mit diesem Graphen lässt sich der digitale Fußabdruck eines einzelnen Nutzers herausfiltern. Dabei tragen Sie alle Daten über Ihre User in einer speziellen Datenbank zusammen. Die Informationen umfassen alles, was Nutzer übermitteln, etwa die Daten, die Kunden eines Online-Shops hinterlegen, wenn sie ein Konto anlegen. Hinzu kommen Kontaktdaten, Bestellungen, Anmeldungen für Newsletter und beispielsweise eine Bestellgeschichte.

Zusätzliche Daten, die Nutzer identifizieren, wenn sie sich mit anderen Endgeräten einloggen, lassen sich durch Probabilistic und Deterministic Matching erheben.

  • Probabilistic Matching benutzt einen statistischen Ansatz, um die Wahrscheinlichkeit zu messen, mit der zwei Sätze von Kundendaten die gleiche Person bezeichnen. Stellen Sie sich vor, Sie besitzen ein Smartphone, ein Tablet und einen Desktop-PC, die Sie allesamt zu Hause benutzen. Dann haben diese Geräte wahrscheinlich dieselbe IP-Adresse und es ist relativ wahrscheinlich, dass Sie der einzige Nutzer sind. Diese Art Matching setzt Nutzerprofile zueinander in Beziehung, die dieselben spezifischen Informationen enthalten. Wenn zwei Nutzer dieselben Endgeräte nutzen, besteht der Weg, beide den betreffenden Geräten zuzuordnen, darin, nach anderen persönlichen Daten wie Alter, Geschlecht oder Interessen zu suchen, die sich über alle Endgeräte abbilden.

  • Deterministic Matching ist wesentlich präziser. Es nutzt harte Daten und versucht sie durch ein breites Spektrum von Datensets abzugleichen. Wenn Nutzer sich also einloggen oder ihre E-Mail-Adresse hinterlassen müssen, kann man sie auch verfolgen.

Allerdings erfordern auch ID-Graphen die vorherige Einwilligung der Nutzer. Dazu müssen sie die Möglichkeit haben, sich auf der Website anzumelden, und vor allem müssen sie das bei jedem Besuch auch sinnvoll finden. Das kann aber bereits aufgrund des Geschäftsmodells nicht gerechtfertigt sein. Hinzu kommt der damit verbundene technische und finanzielle Aufwand, den sich auch nicht jedes Unternehmen leisten will oder kann.

So tracken Sie Nutzer, ohne sie zu identifizieren

  • Semantisches Targeting – Dieses Verfahren kommt komplett ohne Cookies aus. Dabei werden der sichtbare Text einer einzelnen Seite analysiert und die dargestellten Themen identifiziert. Diesen Themen entsprechend platzieren Werbeanbieter dann ihre Kampagnen. Die Technologie versteht die Inhalte und kommt auch mit mehrdeutigen Begriffen zurecht. Auch hier ist das Ziel, Werbung genau dann auszuspielen, wenn sie zu den Themen passt, denen Webnutzer gerade nachgehen. Themenfelder können präzise eingegrenzt werden. So lassen sich sowohl Streuverluste als auch Werbeumfelder vermeiden, die für eine Kampagne ungeeignet oder sogar schädlich sind.

  • Authentification Cache – Dem Benutzer werden eine fiktive ID und ein fiktives Passwort zugeordnet und im Browser-Cache gespeichert. Dadurch kann der Nutzer immer wieder identifiziert werden. Allerdings ist diese Lösung nicht auf allen Websites verwendbar, und die Daten werden gelöscht, sobald der Nutzer seinen Browser-Cache leert.

  • Digitrust Universal ID – Mit diesem standardisierten Token können Nutzer die Informationen, die über sie gespeichert werden, selbst festlegen. Diese Lösung bildet einen Kompromiss zwischen Datenschutz und Personalisierung. Nutzer behalten die Kontrolle über ihre Daten, während Unternehmen weiterhin für sie wichtige Daten erhalten.

Wie Google Third-Party-Cookies ersetzen will

Google geht beim Cookieless Tracking wie immer eigene Wege. Eine der Lösungen, mit denen Google Cookies ersetzen will, nennt sich FLoC (Federated Learning of Cohorts). Mit dieser neuen Technologie fasst Google große Gruppen von Nutzern in Clustern oder Kohorten zusammen, die sich je nach ihren Interessen und Suchverläufen unterscheiden. Diese neue Technik stellt Google als Developer Origin Trial im Chrome-Browser zur Verfügung.

Die Kohorten erzeugt Google aus den Browserverläufen der einzelnen Nutzer. Allerdings wird der Verlauf selbst nicht an Google übermittelt. Trotzdem entscheidet die Suchmaschine anhand dieser Daten, zu welcher Kohorte ein Nutzer gehört. Dann schickt sie Seitenbetreibern eine entsprechende ID. Die persönlichen Daten des Nutzers, wie Browserverläufe, besuchte Seiten und deren Inhalte, bleiben im Browser des Nutzers gespeichert. Google hat keinen Zugriff auf sie. Die Kohorte, in der die Suchmaschine einen Nutzer einordnet, bekommt die ID, nicht der einzelne Nutzer. Damit einzelne Nutzer nicht trotzdem ausgefiltert werden können, sollen die jeweiligen Kohorten zahlenmäßig möglichst groß sein.

Im Grunde bietet Google hier die Möglichkeit, ohne Cookies von Drittanbietern interessenbasierte Werbung in Browsern zu platzieren. Die Privatsphäre der Nutzer soll gewahrt bleiben, obwohl das eigentlich der personalisierten Werbung und der möglichst genauen Analyse von Nutzerverhalten und -vorlieben entgegensteht.

Google hat FLoC bereits bei Simulationen im Chrome-Browser getestet. Dabei stellte sich heraus, dass FLoC tatsächlich Third-Party-Cookies als Informationsquellen ersetzen kann. Laut Chetna Bindra, Googles Group Product Manager User Trust and Privacy, hängt das jedoch vom FLoC-Algorithmus und der Art der Zielgruppe ab. Die Kohorten werden im wöchentlichen Rhythmus neu verteilt. Grundlage sind die Daten über das Nutzerverhalten aus der Vorwoche. Trotzdem verspricht Google, dass sich mindestens 95 Prozent der durch Cookie-Tracking erkennbaren Conversions auch mit FLoC erwarten lassen. Auch die Targeting-Optionen sollen genauso nutzbar bleiben wie bisher.

Google will keine Kohorten zu sensiblen Themen wie Medizin, Politik oder Religion anlegen und auch nicht diskriminierend arbeiten. Im Moment wird FLoC (noch) nicht in der EU ausgespielt. Stattdessen testet Google seine Technologie in den USA und Kanada, Australien, Mexiko, Großbritannien, Brasilien, Indien, Indonesien, Japan, Neuseeland und den Philippinen. Vermutlich sind die strengen europäischen und speziell deutschen Datenschutzregeln der Grund dafür.

Im März begann Google mit Tests einer verbesserten FLoC-Version. Im zweiten Quartal 2021 sollen dann Tests mit Anzeigenkunden in Google Ads stattfinden.

Targeting mit Turtledove

Ein weiteres Ergebnis von Googles Privacy Sandbox Initiative ist Turtledove (zu deutsch „Turteltaube“). Das Täubchen macht mit Werbetreibenden das, was FLoC mit Internet-Nutzern macht. Sie speichert auf dem Browser des Nutzers Informationen darüber, mit welchen Werbetreibenden oder deren Werbung dieser Nutzer in der Vergangenheit Kontakt hatte. Hinzu kommen Informationen über die Seite, die gerade besucht wird. Turtledove sendet dann zwei unabhängige Anfragen aus. Das Ziel dabei ist, den Werbeplatz im Browser an interessierte Werbetreibende zu versteigern. Die erste Anfrage gilt Werbung entsprechend den Präferenzen verschiedener Werbeanbieter. Die zweite Anfrage sucht nach einem Ad, das in den inhaltlichen Kontext der vom Nutzer besuchten Seite passt.

Turtledove schickt die Anfragen an verschiedene Werbenetzwerke. Dadurch bleibt laut Google die Privatsphäre des Nutzers gewahrt, weil die Werbetreibenden keine Möglichkeit haben, die beiden Anfragen zusammenzuführen und so einzelne Nutzer herauszufiltern. Als nächstes veranstaltet Turtledove dann eine Auktion. Dabei greift die Software auf JavaScript zurück, das die verschiedenen Werbeanbieter bereitstellen. Der Code kann nur zur Auswahl einer Anzeige verwendet werden, nicht für Anfragen an Werbenetzwerke.

Jüngst stellte Google Fledge vor, eine Software-Lösung, die auf der Turtledove-Technologie basiert. Fledge verfügt zusätzlich über die Fähigkeit, Informationen von vertrauenswürdigen Servern einzuholen und so die Authentizität der einzelnen Bieter einzuschätzen. Allerdings gibt es noch keine Infrastruktur dieser „trusted servers“. Google schlägt Teilnehmern an den ersten Versuchen mit Fledge vor, eigene Server zu verwenden. Fledge soll Marketer beim Retargeting unterstützen und ihnen außerdem dabei helfen, Zielgruppen ohne Third-Party-Cookies zu identifizieren.

Zudem müssen Marketer auch ohne Cookies echten Webtraffic und echte Webnutzer von Bots und dem von ihnen erzeugten Traffic unterscheiden können. Google hat dazu Trust Tokens eingeführt. Mit denen lässt sich authentischer Traffic verifizieren. Die aktuellen Versionen der Trust Tokens sollen auch den Betrug auf Mobilfunkgeräten leichter erkennbar machen.

Google Chrome soll außerdem die Marketer vor Technologien wie dem digitalen Fingerprinting schützen. Der Gnatcatcher (zu deutsch „Mückenfänger“) ist ein neues Chrome-Feature, mit dem Nutzer ihre IP-Adresse maskieren können, ohne den normalen Betrieb einer Website zu beeinträchtigen.

Fazit und Ausblick

Googles Lösungen aus der Privacy Sandbox dürften in nächster Zeit auf die Google-Welt selbst beschränkt bleiben. Gleich mehrere Suchmaschinen haben bereits angekündigt, Google-Technologien in ihren Browsern nicht zu unterstützen.

Brave und Vivaldi werden FLoC aus ihren Browsern entfernen. Wer Apples Safari oder Mozillas Firefox nutzt, braucht sich sowieso keine Sorgen zu machen. Man mag einwenden, dass diese Browser zwar recht bekannt sind, aber nicht mit ähnlich hohen Nutzerzahlen aufwarten können wie Googles Chrome-Browser. Viel dürfte davon abhängen, wie sich Opera mit seinen ungefähr 380 Milliarden Nutzern verhalten wird. Wesentlich wichtiger wird jedoch sein, wie sich Microsoft mit seinem Edge-Browser entscheidet. Edge ist etwa auf 1 Milliarde Windows-10-Geräten vorinstalliert. Beide haben sich jedoch noch nicht entschieden. DuckDuckGo verfügt mittlerweile über eine Extension, mit der sich FLoC blockieren lässt.

Google will bis Mitte Juli FLoC weitertesten. Außerdem soll es einen Ein- und Ausschalter für die Privacy Sandbox geben. Zurzeit müssen Nutzer, die mit FLoC nichts zu tun haben wollen, in den Datenschutz-Funktionen die Third-Party-Cookies deaktivieren.

Auf lange Sicht dürfte sich Cookieless Tracking jedoch durchsetzen. Sowohl die rechtlichen Rahmenbedingungen wie auch das Verhalten der Webnutzer zeigen in diese Richtung. Google und andere Anbieter von Cookie-Alternativen sitzen aber zwischen den Stühlen. Gerade Google lebt einerseits von den Bedürfnissen der Werber und Marketer und andererseits von denen der vielen Nutzer seiner Suchmaschine. Die Privacy Sandbox ist Googles Versuch, beiden Seiten gerecht zu werden. Wer neu in das Thema einsteigt und sich beispielsweise eine Homepage erstellen lassen möchte, wird hier ohne professionelle Hilfe kaum erfolgreich sein.

Newsletter abonnieren

Verpassen Sie keinen Blog-Eintrag mehr!

Abonnieren Sie unseren Blog und halten Sie Ihr Online-Marketing-Wissen aktuell!
Newsletter abonnieren

Mehr zum Thema Cookies

Erfahren Sie mehr zu Consent Management und ePrivacy-Verordnung für Unternehmen.

Consent Management

Für Analyse- und Werbe-Cookies benötigen Website-Betreiber die explizite Einwilligung der Internetnutzer. Wir geben Tipps zum Consent Management.

Consent Management
ePrivacy

Die in Kraft getretene DSGVO bekommt über kurz oder lang eine Ergänzung. Doch wie ist der Stand der Dinge bei der ePrivacy-Verordnung?

ePrivacy-Verordnung