Digital Compliance | DSGVO | Online Marketing | Web Analytics

DSGVO-Update: Browser Cookie Blocking – Die aktuelle Lage

In den letzten Jahren ist das Bewusstsein der Nutzer betreffend Datenschutz stark gestiegen. Die (legale und illegale) Verwendung von Facebook-Nutzerdaten für die US-Präsidentschaftswahl oder den Brexit haben nicht zuletzt ihren Teil dazu beigetragen. Die Einführung der EU-DSGVO im Jahr 2018 und das allgemeine Unbehagen der Menschen darüber, dass Werbung immer gezielter auf sie abzielt, haben das Bewusstsein zusätzlich massiv geschärft. Als Reaktion darauf haben Webbrowser wie Firefox, Safari und Chrome damit begonnen, Schutzmassnahmen gegen Websites und Tools zur Erhöhung des Datenschutzes einzuführen. Diese Schutzvorkehrungen können zum Beispiel darin bestehen, dass Cookies und Skripte blockiert werden. Andere Browser wiederum haben bisher noch keine grossen Vorkehrungen getroffen.

In diesem Beitrag erfahren Sie den aktuellen Stand hinsichtlich Cookie Blocking der populärsten Browser. Zudem zeigen wir Ihnen, welche Auswirkungen dies auf Ihre Web-Analyse- und Online-Marketingmassnahmen hat.

Die folgenden Browser sehen wir uns genauer an:

  • Safari (Apple)
  • Chrome (Google)
  • Firefox (Mozilla)
  • Edge (Microsoft)

Apple Safari

Aktuelle Situation

Apple hat die schärfsten Datenschutzmassnahmen ergriffen, um die Verfolgung der Nutzer zu verhindern. Dazu wurde in den Browsern das System Intelligent Tracking Prevention oder ITP implentiert. Apple hat in den letzten Jahren bereits verschiedene Versionen von ITP veröffentlicht und dabei die Schutzmassnahmen jeweils verschärft.

Die neueste Version von 2019 blockiert das Setzen aller Third Party Cookies. Das sind Cookies, die von einer anderen Domain gesetzt werden, als der aktuell besuchten Webseite. Zum Beispiel: Sie besuchen eine Nachrichtenseite und facebook.com setzt ein Cookie in Ihrem Browser. Dies geschieht, weil der Betreiber die Performance der Facebook-Werbung messen möchte und er daher das Facebook-Tracking-Pixel auf der Seite implementiert hat.

Die Messung der eigenen Werbe-Performance selbst ist nicht die grösste Verletzung der Privatsphäre. Das Problem besteht vielmehr darin, dass das von facebook.com gesetzte Cookie dasselbe ist, das für jede andere vom Nutzer besuchte Webseite verwendet wird, die ebenfalls das Facebook-Tracking-Pixel einsetzt. Praktisch alle Webseiten, die Facebook-Werbung schalten, nutzen diese zur Leistungsmessung ihrer Werbung. Damit ist Facebook in der Lage, das Verhalten auf all diesen Webseiten zu erkennen und diese Information zur gezielten Werbung zu verwenden. Dies wird als Cross-Site-Tracking bezeichnet und ist der Kern dessen, was Apple verhindern möchte.

Dies ist jedoch nicht alles, was mit ITP implementiert wurde. Als Teil der Schutzvorkehrungen beschränkt Apple die Lebensdauer aller First Party Cookies (von der Domain der besuchten Website gesetzt) auf sieben Tage. Dies bedeutet, dass Cookies, die zuvor mit einer Lebensdauer von zwei Jahren gesetzt wurden, nun nach nur 7 Tagen ablaufen. Dazu gehört unter anderem auch das Google Analytics-Cookie. Wenn der Besucher von einem Betreiber (Webseite oder App) auf Ihre Seite kommt, der bekannterweise Cross-Site-Tracking durchführt (z. B. Facebook) und der Link zusätzliche Informationen enthält (dies erkennen Sie durch der URL angehängte Zeichenfolgen nach einem «#» oder «?») dann läuft das Cookie nach nur 24 Stunden ab.

Auswirkungen

Die Auswirkungen dieser Änderungen auf Ihre digitalen Analyse- und Werbemassnahmen sind gross.

Google Analytics und andere Analyse-Tools funktioniert weiterhin. Sie werden weiterhin viele der Ihnen bekannten Daten sehen, darunter Besuchs-, Kanal-, Ereignis- und Konvertierungsdaten.

Betroffen ist das Wiedererkennen eines Nutzers bei einem erneuten Besuch. Am deutlichsten beeinflusst dies die Metrik «Neue vs. wiederkehrende Besucher». Das User Cookie von Google Analytics läuft neu nach sieben Tagen ab. So, dass ein Safari-Nutzer, der beispielsweise nach acht Tagen auf Ihre Website zurückkehrt, nun als neuer Besucher betrachtet wird. Dies ist jedoch nicht die wichtigste Auswirkung dieser Änderungen.

Die grösste Beeinträchtigung tritt beim Messen von verschiedenen Marketingmassnahmen auf. Bei vielen Marketingkanälen konvertieren Besucher nicht beim ersten Besuch in Leads/Kunden oder führen die gewünschte Aktion aus, sondern erst bei einem späteren Besuch. Mit dem Google Analytics Cookie ist es möglich, den ursprünglichen Marketingkanal auch bei einem späteren Besuch über einen anderen Kanal mit neuen Besuchen zu verknüpfen. Bei Safari-Nutzern ist dies nun nur noch möglich, wenn die Konversion innerhalb von sieben Tagen nach dem ersten Besuch oder in bestimmten Fällen (siehe oben), innerhalb des ersten Tages erfolgt.

Ein praktisches Beispiel: Ein Besucher sucht bei Google nach Ihrem Markennamen und klickt dann auf eine bezahlte Suchanzeige. Alle Cookies, die beim Laden Ihrer Seite gesetzt werden, laufen nach einem Tag ab. Hätte der Besucher auf ein organisches Suchergebnis geklickt, würden die gleichen Cookies erst nach sieben Tagen ablaufen.

Da die First Party Cookies nur ein bis sieben Tage aktiv sind und Third Party Cookies vollständig blockiert werden, ist Remarketing für Safari-Nutzer sehr schwierig umzusetzen.

Zusammenfassung:

  • Metrik «Neue vs. wiederkehrende Benutzer» ist nicht mehr korrekt.
  • Attribution von Konversionen zum Anfangskanal ist nur innerhalb von sieben Tagen (in gewissen Fällen nur innerhalb von einem Tag) möglich, danach wird der «neue» Kanal verwendet.
  • Remarketing kann nicht verwendet werden, da webseitenübergreifendes Tracking nicht möglich ist.

Google Chrome

Aktuelle Situation

Google hat eine viel vorsichtigere Herangehensweise bei der Blockierung von Trackern gewählt. Google sieht ein, dass der Datenschutz wichtig ist und  hat seine «Privacy Sandbox» zur schrittweisen Erhöhung der Schutzmassnahmen angekündigt. Im Gegensatz zu Apple verfolgt Google zwei Ziele: den Schutz der Privatsphäre der Nutzer aber auch die Unterstützung von Webseitenbetreibern und Werbetreibenden.

Google kündigte im Januar 2020 an, dass Cookies von Drittanbietern innert der nächsten zwei Jahre blockiert werden. Zusätzlich haben sie einige Massnahmen vorgeschlagen, um Tracking via Fingerprinting zu erschweren.

Es liegt auf der Hand, dass Google mit diesem Vorgehen nicht nur die Privatsphäre der Nutzer schützen möchte: Die Haupteinnahmequelle von Google ist nun mal Online-Werbung. Das bedeutet aber nicht, dass dieser Ansatz falsch ist. Unternehmen müssen messen können, ob ihre Werbung und andere Marketingmassnahmen effektiv funktionieren. Die Verbesserung des Nutzererlebnisses und der Onlinemarketingkanäle stützt sich unter anderem auf die damit gemessenen Kennzahlen. Google ist daher der Ansicht, dass es zu voreilig ist, sie vollständig zu entfernen.

Auswirkungen

Zum jetzigen Zeitpunkt haben die Datenschutzmassnahmen von Google Chrome keine grösseren Auswirkungen auf Ihre Analyse- oder Werbeamassnahmen. Eine Aussnahme bildet die Verwendung von Fingerprinting zur Identifizierung einzelner Nutzer. Dies kann erschwert werden, wenn Google weitere Funktionen aus der «Privacy-Sandbox» einführt.

Mozilla Firefox

Aktuelle Situation

Mozilla war schon immer stolz darauf, offen, kostenlos, verantwortungsbewusst und ethisch korrekt zu sein. Die Organisation hat den Schutz der Privatsphäre zu einem wichtigen Teil ihrer zukünftigen Entwicklung erklärt. Ihr Tracking-Schutzsystem des Browsers Firefox wird Enhanced Tracking Protection genannt und ähnelt Apples ITP, ist aber in der Standardeinstellung nicht so strikt.

Standardmässig blockiert Enhanced Tracking Protection folgendes:

  • Social Media Tracker wie das Facebook-Pixel- oder das LinkedIn Insights-Skript
  • Drittanbieter- (Third Party Cookies) und Cross Site Tracking Cookies wie z. B. die Doubleclick Cookies von Google
  • Fingerprinting: Dabei handelt es sich um Tracker, die versuchen, das System zu umgehen, indem sie Nutzer ohne Cookies und Skripte verfolgen und stattdessen einen eindeutigen «Fingerabdruck» erstellen. Dabei werden Faktoren wie Standort des Benutzers, verwendete Hardware, Browsertyp und -version, Betriebssystem und -version sowie andere auslesbare Informationen kombiniert, um den Nutzer zu identifizieren.
  • Krypto-Miner: Wie der Name schon sagt, handelt es sich hierbei um Skripte, die den Browser und die Rechenleistung verwenden, um Kryptowährungen ohne ausdrückliche Zustimmung zu schürfen.

Wie bereits erwähnt, treffen die oben genannten Punkte auf die Standardeinstellung nach der Installation zu. Erhöht der Benutzer die Datenschutzeinstellungen, dann werden unter anderem auch Inhalte auf einzelnen Seiten blockiert. Es handelt sich dabei um Elemente, die einen Tracking-Aspekt enthalten können. Bannerwerbung und eingebettete YouTube-Videos sind Beispiele dafür. In der Standardeinstellung werden diese nur in privaten Browser-Fenstern blockiert. Dies wird nicht bereits in der Standardeinstellung blockiert, da viele Webseiten sonst nicht mehr funktionieren würden.

Auswirkungen

Das Google Analytics-Skript und die Cookies werden als «Inhalte zur Aktivitätenverfolgung» erkannt und nur in privaten Fenstern oder bei der Erhöhung der Datenschutzeinstellungen blockiert.

Bestimmte Metriken in Google Analytics zeichnen jedoch keine Daten für Firefox-Nutzer auf. Dabei handelt es sich vor allem um demografische und Interessendaten (falls eingeschaltet). Diese Daten werden nicht über das Google Analytics-Tracking-Skript, sondern über das Doubleclick-Netzwerk und dessen Cookies erfasst. Diese sind in der Standardeinstellung blockiert.

Für Ihr Online-Marketing bedeutet dies: Der Einsatz von Remarketing-Kampagnen ist erschwert, da Nutzer nicht mithilfe von Cookies auf anderen Webseiten identifiziert werden können. Die Performancemessung Ihrer Kampagnen wird jedoch nicht beeinträchtigt, da die Ausführung von Facebook-, LinkedIn-, Google- und anderen ähnlichen Skripten weiterhin erlaubt ist.

Zusammenfassung:

  • Die meisten Google Analytics Features funktionieren, mit Ausnahme der demografischen Daten und der Interessendaten.
  • Konversionszuweisung für Werbekanäle ist weiterhin möglich, ausser für solche, die Cookies von Dritten verwenden.
  • Remarketing ist nicht möglich, da standortübergreifendes Tracking nicht erlaubt ist.

Microsoft Edge

Aktuelle Situation

Der Edge-Browser von Microsoft verfügt über ein Programm zum Schutz der Privatsphäre, das dem von Firefox ähnelt. Es verwendet die Disconnect Liste, um Tracker zu ermitteln und teilt diese in verschiedene Kategorien ein. Das System stellt drei Schutzebenen zur Verfügung. Die Standardstufe nach der Installation ist «Ausgewogen», während die beiden anderen Stufen «Basis» und «Strikt» sind.

In der Standardeinstellung sind Kryptomining und Fingerprinting Cookies und -Skripte vollständig blockiert, während Werbe- und Social-Tracker-Skripte zwar geladen werden dürfen, aber keinen Zugang zum Setzen von Cookies haben. Analytics-Tracker dürfen Skripte ausführen und Cookies setzen.

Auswirkungen

Google Analytics und andere Analysetools funktioniert weiterhin. In der Standardeinstellung werden keine Analytics Cookies blockiert, noch begrenzt sie deren Lebensdauer.

Das Messen von Konversionen in den Ad-Tools selbst ist nur möglich, wenn die Konversion in der gleichen Session erfolgt wie der erste Link-Klick. Sie sehen nicht, ob der Besucher zu einem späteren Zeitpunkt die gewünschte Aktion auf der Webseite durchgeführt hat. In Ihrem Analytics Tool sind Sie aber weiterhin in der Lage, die Konversionen aus späteren Sitzungen zu messen und dem richtigen Kanal oder der richtigen Kampagne zuzuordnen.

Da Werbe-Cookies standardmässig blockiert werden, ist das Remarketing für Edge-Nutzer nicht möglich.

Zusammenfassung:

  • Analysewerkzeuge sind nicht betroffen.
  • Werbe-Tools erfassen Konversionen nur, wenn sie beim ersten Besuch erfolgen. Analyse-Tools können dies auch bei nachfolgenden Besuchen.
  • Remarketing ist nicht möglich, da standortübergreifendes Tracking nicht erlaubt ist.

Fazit

Im Laufe des letzten Jahres ist das Bewusstsein zum Schutz der Privatsphäre deutlich gestiegen. Als Folge davon zeigt sich bei den Browser-Anbieter ein stärkerer Fokus auf den Datenschutz der Nutzer. Einige Anbieter haben sich für äusserst strikte Massnahmen entschieden, während andere versuchen, die Interessen der Nutzer mit den Werbetreibenden in Einklang zu bringen.

Diese Veränderungen haben dazu geführt, dass bestimmte beliebte Werbemassnahmen, wie Remarketing, nur noch für ein kleineres Publikum eingesetzt werden kann. In der EU ist seit der Einführung der DSGVO Remarketing ohnehin nur mit ausdrücklicher Zustimmung erlaubt und hat bereits an Wichtigkeit verloren.

Mit Ausnahme von Safari bleiben die meisten Analysetätigkeiten und die Performance-Messung von Werbekampagnen durch Analyse-Tools von den Standardeinstellungen der meisten Browser unbeeinflusst.

Bitte beachten Sie, dass dies eine Momentaufnahme ist und die Datenschutzfunktionen der Browser laufend angepasst werden. Das ITP von Apple hat seit seiner Einführung bereits fünf Versionen durchlaufen. Google hat erklärt, dass es sein Datenschutzprogramm aktiv weiterentwickelt und bereits 2020 erste Funktionen implementieren werde. Es ist ungewiss, welche weiteren Massnahmen zum Schutz der Privatsphäre die Browser-Anbieter zukünftig einführen werden. Daher ist es wichtig, diese Änderungen zu beobachten, damit Sie entsprechend reagieren und das Beste aus Ihren Analysen und Ihrem Online-Marketing herausholen können.

Benötigen Sie Hilfe bei Ihrem Analyse-Setup?

Wir decken ein breites Spektrum an Analytics-Themen ab, lesen Sie mehr.