Geschrieben von

Tracking-Status

Webtracking

Aufgrund diverser Restriktionen haben Online Marketing, Tracking und Webanalytics stark zu kämpfen. Zu den Restriktionen gehören:

  • Rechtliche Rahmenbedingungen wie die DSGVO, e-Privacy Richtlinie oder auch CCPA (California Consumer Privacy Act)
  • Tracking-Blocker-Techniken diverser Browser
  • Browser-Plugins und -Addons, die ein Tracking verhindern

Für Website-Betreiber und Advertiser sind das mehrstufige Herausforderungen bei der Datensammlung:

  1. Kommt der Nutzer auf die Website, muss dieser zunächst dem Tracking zustimmen. Aus rechtlicher Sicht ist hier nur ein Opt-In erlaubt. Sprich: Das Tracking ist zunächst inaktiv. Erst wenn der Nutzer den Einstellungen im Cookie-Banner zustimmt, darf erfasst werden.
  2. Ist diese erste – auf Basis gesetzlicher Bestimmungen – Hürde genommen, kommt die nächste Herausforderung. Selbst wenn der Nutzer dem Tracking zugestimmt hat, kann aufgrund des verwendeten Browsers das Tracking dennoch blockiert werden.
  3. Und selbst wenn der verwendete Browser das Tracking standardmäßig nicht blockt, hat der Nutzer eventuell ein Browser-Plugin installiert, welches das Tracking blockt.

Fehlende Daten haben nun verschiedene Auswirkungen auf das Online Marketing:

  • Die Kanal-Zuordnung des Visits kann nicht mehr stattfinden.
  • Die Interaktionen des Nutzers auf der Website können nicht mehr gemessen werden.
  • Wiederkehrende Nutzer können nicht erkannt werden.
  • Conversions können (websiteübergreifend) nicht mehr gemessen werden.
  • Targeting, Remarketing und Attribution sind kaum noch richtig möglich.
  • und so weiter.

Die Auswirkungen sind vielfältig. Auch passiert gerade sehr viel rund um das Thema Tracking-Restriktionen, Cookies und Co. Dieser Beitrag soll a) alle wesentlichen Hintergrundinformationen geben und b) immer den aktuellsten Stand zur Verfügung stellen. Daher geht es um folgende Themen:

Hintergrund der Tracking-Restriktionen: Cookies

Cookies sind eine wichtige Technologie im Internet, denn sie ermöglichen es, dass Informationen zwischen Seitenaufrufen gespeichert werden können. Es bietet das, was das HTTP-Protokoll aufgrund seiner Zustandslosigkeit nicht bieten kann. Bei Cookies unterscheidet man jedoch zwischen folgenden 2 Arten:

  • First-Party Cookies: Dabei handelt es sich um Cookies, die von der Website gesetzt werden, die der Nutzer gerade aufgerufen hat.
  • Third-Party Cookies: Dabei handelt es sich um Cookies, die nicht von der Website gesetzt werden, die der Nutzer gerade aufgerufen hat, sondern von Dritten.

Letztere werden vor allem für Tracking- und Marketing-Zwecke genutzt. Besucht ein Nutzer eine Website und hat diese Website ein Creative eines Ad-Networks implementiert, so durch die Auslieferung des Creatives ein Third-Party Cookie durch den Ad-Server des Ad-Networks gesetzt werden. Besucht der Nutzer eine andere Website, die im gleichen Ad-Network ist, so kann dieses Netzwerk identifizieren, welche Website der Nutzer zuvor besucht hat. Dadurch ist es möglich personalisierte Werbung auszuspielen (unter anderem).

Third-Party Cookies sind stark in Verruf gekommen, da sie als intransparent hinsichtlich der erhobenen Daten bei Nutzern und Datenschützern gelten. Aus diesen Gründen hat das Gesetz die Nutzung dieser Cookies zu Tracking-Zwecken eingeschränkt. Und da immer mehr Nutzer auf den Schutz ihrer Daten Wert legen, haben das einige Browser für sich erkannt und implementieren diverse Techniken gegen ein Third-Party-Tracking, um den Nutzer von der eigenen Browser-Nutzung zu überzeugen. Werbetreibende haben aber stark damit zu kämpfen.

Wegfall von 3rd-Party Cookies: Betroffene Marketingmaßnahmen

  • Targeting: Zielgruppen-Ansprache auf Basis von Third-Party Cookies ist stark betroffen. Auf Basis des bisherigen Surfverhaltens kann mit dem Wegfall von Third-Party-Cookies Targeting kaum mehr erfolgen.
  • Retargeting: Da der Nutzer mittels Cookies nicht mehr websiteübergreifend verfolgt werden kann, stirbt somit auch das Retargeting.
  • Frequency Capping: Die Eingrenzung der Anzahl von Werbeeinblendungen über Tage, Wochen oder Monate hinweg ist websiteübergreifend nicht mehr möglich.
  • Programmatic Advertising: Da wichtige Nutzer-Daten fehlen ist auch das Programmatic Advertising stark bedroht.

Die Liste ist nicht vollständig, soll aber die Auswirkungen grob verdeutlichen.

Einfluss von gesetzlichen Bestimmungen

Einschränkungen beim Cookie-Tracking wurden stark von gesetzlichen Bestimmungen getrieben. Angestoßen wurde es von der Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 eingetreten ist. Websites müssen dabei ausführlich über den Cookie-Einsatz informieren und beim Erstaufruf der Website dem Nutzer die Möglichkeit geben, dem Einsatz von Cookies zu widersprechen. Ausgenommen von der Pflicht sind notwendige Cookies, damit eine Website funktionieren kann (doch auch hier gilt eine Informationspflicht).

Im Oktober 2019 gab es ein zusätzliches Urteil, woraufhin die Zustimmung nicht vorausgewählt werden darf im Cookie-Banner. Ab nun galt also eine Opt-In-Pflicht. Nutzer mussten aktiv und freiwillig zustimmen. Zusätzlich wurde geregelt, dass auch Techniken wie Fingerprinting und E-Tags unter den gleichen Bestimmungen fallen wie Cookies.

Zudem soll bald die aktualisierte ePrivacy-Verordnung kommen, die die alte ePrivacy ersetzen soll. Dabei werden auch DSGVO-Regularien konkretisiert. Einer der ePrivycy-Bestimmungen ist es z.B., dass der Nutzer seine bereits erteilte Einwilligung alle sechs Monate widerrufen kann. Mit der ePrivacy-Verordnung werden also noch einige spezifische Regelungen, ergänzend zur DSGVO, kommen. Das genaue Datum des Inkrafttretens ist noch nicht bekannt.

Jetzt ist aber schon bekannt, dass durch DSGVO und andere gesetzliche Bestimmungen ein Teil der Daten aufgrund fehlender Zustimmungen des Nutzers fehlen.

TCF: Transparency & Consent Framework

Die DSGVO hatte zur Folge, dass Websites eine Technik bereitstellen mussten, die der Cookie-Informationspflicht nachkommt und die Einwilligung des Nutzers einholen und speichern kann. So kamen Consent Management Plattformen (CMP) zum Vorschein.

Der Branchenverband Interactive Advertising Bureau (IAB) hat zudem das Transparency & Consent Framework entwickelt, ein technischer Standard, wie der Einwilligungsstatus des Nutzer zwischen Publishern und Drittanbietern abgerufen und übertragen werden soll. Im April 2018 gab es zunächst die erste Version des Frameworks – TCF 1.0. Im September 2019 kam dann eine aktualisierte Version – TCF 2.0. Die Grundsätze von TCF sind dabei die folgenden:

  • Vendoren bzw. Drittanbieter müssen sich dem Framework zunächst anschließen. Die Liste der Vendoren ist in der GLV (Global Vendor List) auf der Website des IAB einzusehen.
  • Diese Vendoren können die Daten des Nutzers erst dann verarbeiten, wenn der Publisher über eine Consent Management Plattform die Zustimmung des Nutzers nachweisen kann. Der Nutzer muss also auf der Publisher-Website der Datensammlung aktiv zustimmen.
  • Über eine codierte Zeichenfolge (TC-String) kann eine von der IAB zertifizierte Consent Management Plattform die Zustimmung des Nutzers an die Vendoren überreichen.
  • Der TC-String wird entweder im localStorage des Nutzers gespeichert oder als Cookie auf der consensu.org-Domain. Alternativ kann der String auf einem Server der CMP gespeichert werden.

Hier müssen alle Beteiligten aktiv werden. CMPs müssen die Technik bereitstellen, damit der TC-String korrekt übergeben werden kann. Drittanbieter sollten sich der GLV anschließen. Publisher müssen sicherstellen, dass eine CMP eingesetzt wird, die den TCF 2.0-Standard einhält, damit es zu keinen Datenverlusten kommt.

Doch selbst wenn diese Hürde überwunden wird, stellt der verwendete Browser des Nutzers die nächste Hürde dar.

Status Quo bei Browsern

Seitenübergreifendes Tracking über Third-Party-Cookies wird durch Browser mittlerweile schon stark eingeschränkt. Auch First-Party-Cookies zu Tracking-Zwecken rücken immer stärker ins Visier. Daher macht es Sinn sich hier einen Überblick je Browser zu verschaffen. Nachfolgend stelle ich je Browser den Status Quo dar. Dabei beleuchte ich die verschiedenen User-Tracking-Methoden First-Party-Cookies, Third-Party-Cookies, Fingerprinting, HTML5 localStorage und ETags.

Chrome

  • First-Party-Cookies: Werden akzeptiert, können jedoch vom Nutzer gelöscht werden.
  • Third-Party-Cookies: Werden akzeptiert, jedoch ab 2022 nicht mehr. Die Privacy Sandbox soll als Ersatz dienen.
  • Fingerprinting: Wird aktuell nicht geblockt, soll jedoch mit der Privacy Sandbox stark eingeschränkt werden.
  • HTML5 localStorage: Ohne Restriktionen nutzbar.
  • ETags: Ohne Restriktionen nutzbar.
  • Weiterführende Informationen: Privacy Sandbox.

Firefox

  • First-Party-Cookies: Werden akzeptiert, können jedoch vom Nutzer geblockt und gelöscht werden. Zudem wird der Speicher gelöscht, wenn der Nutzer in den letzten 45 Tage nicht mit der Website interagiert hat.
  • Third-Party-Cookies: Werden geblockt, sofern bekannt.
  • Fingerprinting: Wird ab Version 72 geblockt.
  • HTML5 localStorage: localStorage wird für bekannte Tracking geblockt, jedoch sessionStorage ohne Restriktionen.
  • ETags: Wird ab Firefox 85 je Domain paritioniert.
  • Weiterführende Informationen: Enhanced Tracking Protection (ETP).

Safari

  • First-Party-Cookies: Werden akzeptiert, Cookie-Laufzeit wird auf 24 Stunden bei bekannten Trackern heruntergesetzt, sofern per document.cookie gesetzt und mit URL-Decoration (sonst 7 Tage Laufzeit).
  • Third-Party-Cookies: Werden geblockt, außer der Zugriff erfolgt über die Storage Access API.
  • Fingerprinting: Wird stark erschwert.
  • HTML5 localStorage: localStorage wird je Domain partitioniert und zwischen App-Starts gelöscht, sessionStorage nicht betroffen.
  • ETags: Ohne Restriktionen nutzbar.
  • Weiterführende Informationen: Intelligent Tracking Prevention (ITP).

Edge

  • First-Party-Cookies: Werden akzeptiert, können jedoch vom Nutzer gelöscht werden.
  • Third-Party-Cookies: Bekannte Tracker werden geblockt.
  • Fingerprinting: Wird aktuell nicht geblockt.
  • HTML5 localStorage: Ohne Restriktionen nutzbar.
  • ETags: Ohne Restriktionen nutzbar.
  • Weiterführende Informationen: Tracking-Block-Funktion “Tracking-Verhinderung”.

Wie man sehen kann schränken die Browser das Tracking (vor allem auf Basis von Third-Party-Cookies) schon stark ein und werden es in Zukunft immer mehr tun. Hier geht weiter ein großer Teil der Daten verloren und auch dann, wenn der Nutzer dem Cookie-Consent zugestimmt hat, aber sein Browser das Tracking standardmäßig blockiert. Und wenn es der Browser nicht blockiert, dann vielleicht installierte Plugins und Addons.

Browser-Plugins und -Addons

Browser-Plugins und -Addons, die gegen Tracking vorgehen, werden oft als “Ad Blocker” bezeichnet. Die bekanntesten sind sicherlich AdBlock Plus und Ghostery. Diese Plugins verhindern meist das Laden von bestimmten JavaScript-Dateien und anderen Ressourcen. Bekannte Domains, die Ads ausliefern werden dabei auf eine Blacklist gesetzt und blockiert. Oder es werden HTML-Elemente, über die typischerweise Ads geladen werden, identifiziert und geblockt. Dazu gehören bspw. Klassenangaben im HTML wie class=”banner” oder Alt-Attribute nach dem Schema alt=”ad”. Dabei werden auch gleichzeitig Tracker geblockt. Im jährlich herauskommenden Adblock-Report können Statistiken zu der Nutzung von Adblockern eingesehen werden. In 2020 hatten z.B. weltweit über 600 Millionen Geräte eine Art von Adbocker installiert. Auch hier gehen im Tracking dadurch viele Daten verloren.

Alternativen zu 3rd-Party Cookies

Die aktuellen Alternativen zu Third-Party-Cookies, die diskutiert werden, sind die Privacy Sandbox, Advertising ID sowie Login-Allianzen. Wie und ob sich diese Techniken in Zukunft durchsetzen werden, bleibt abzuwarten.

Privacy Sandbox

Bei der Privacy Sandbox handelt es sich um ein Projekt von Google, welches mehrere Maßnahmen bündelt, um personalisierte Werbung bei gleichzeitigem Schutz der Privatsphäre von Nutzern zu ermöglichen. Grob gesagt, werden unter der Privacy Sandbox viele Techniken zusammengefasst, die es ermöglichen, dass Nutzer-Profile und einige persönliche Daten direkt im Browser gespeichert werden. Websites und Werbenetzwerke können dann einen Teil der Daten über verschiedene APIs abrufen, um über die Nutzer-Interessen zu erfahren und um auf dieser Basis passende Werbung auszuspielen.

Mehr über die Privacy Sandbox erfährst du in meinem Beitrag “Privacy Sandbox”.

Universal (Advertising) ID

Mittels Universal IDs (auch Universal Advertising IDs genannt) können verschiedene Kennungen des Nutzers miteinander verknüpft werden. Als eindeutige Kennung werden dabei herangezogen: E-Mail-Adresse, Telefonnummer, IDFA von Apple, die Android ID, usw. Das Grundprinzip dabei ist:

  1. Der Nutzer kommt auf die Seite und eine CMP poppt auf.
  2. Der Nutzer wird nach einer Zustimmung gefragt, damit der Websitebetreiber die E-Mail-Adresse oder Telefonnummer zur Identifizierung nutzen darf, um daraufhin personalisierte Werbung auszuspielen.
  3. Der Nutzer stimmt zu und die CMP setzt ein First-Party-Cookie mit dem Zustimmungsstatus.
  4. Sobald sich der Nutzer auf der Website anmeldet, etwas kauft oder sich zum Newsletter anmeldet wird daraus die E-Mail-Adresse zur weiteren Identifizierung herangezogen.
  5. Gleichzeitig wird der Zustimmungsstatus von der CMP an den Universal-ID-Anbieter geschickt.
  6. Ist eine Zustimmung vorhanden, generiert der Universal-ID-Anbieter eine ID und schickt diese zurück an den Publisher.
  7. Zudem gleicht der Anbieter die generierte ID mit anderen IDs des gleichen Nutzers ab (Sync). Die Info geht ebenfalls an den Publisher und wird auf dessen Website als First-Party-Cookie gespeichert (wobei die übertragene Info als Second-Party gilt).
  8. Auf Basis dieser Infos und Daten kann der Publisher den Nutzer identifizieren und personalisierte Werbung ausspielen.

Aktuelle Anbieter von Universal-ID-Lösungen sind:

  • The Trade Desk mit der “Unified ID”
  • ID+ von Zeotap
  • LiveRamp ID vom Advertising ID Consortium
  • ID5
  • SWAN (SWAN.community)

Login-Allianzen

Das Prinzip hinter Login-Allianzen ist wie folgt: Mehrere Unternehmen schließen sich zusammen und entwickeln ein Login-Tool. Dieses Login-Tool soll dann als Single-Sign-On auf verschiedenen Websites implementiert werden. Nutzer können sich so auf verschiedenen Websites mit nur einem Passwort einloggen. Vorteil für Nutzer wäre es, dass sie nicht für jeden Dienst und Online-Shop einen eigenen Account brauchen. Man kennt das auch von Google und Facebook, die ihre Single-Sign-On-Lösungen schon auf diversen Websites implementiert haben. Hier liegen die Daten jedoch auf US-Servern, was aus Sicht des europäischen Datenschutzrechts problematisch ist. Mit Login-Allianzen würden die Daten direkt zu den Website-Betreibern fließen und dort bleiben (First-Party). Der Nutzer könnte sich im Einstellungsbereich jederzeit einen Überblick der erhobenen Daten verschaffen und diese entsprechend steuern. Die aktuell vielversprechendste Log-in-Allianz ist die European NetID Foundation (NetID).

Maßnahmen und Lösungen

Bei den eben genannten Alternativen kann man deutlich erkennen, dass First-Party-Daten in Zukunft deutlich an Bedeutung gewinnen werden. Auf Basis der aktuellen Lage können mit Blick in die Zukunft folgenden Maßnahmen und Lösungen festgehalten werden:

  • CMP korrekt implementieren: Basis für die Datensammlung stellt die eingesetzte Consent Management Plattform dar. Aus diesem Grund ist es wichtig, sich für eine CMP zu entscheiden, die alle aktuellen Standards (Stichwort TCF 2.0) erfüllt. Zudem muss sichergestellt werden, dass die CMP korrekt und einwandfrei aus rechtlicher und technischer Sicht funktioniert.
  • Fokus auf First-Party-Daten: Wie man an den Alternativen zu Third-Party-Cookies sehen konnte, werden First-Party-Cookies immer wichtiger. Hier gilt es geeignete Konzepte und Maßnahmen zu definieren. Ein erster wichtiger Schritt wäre der Einsatz eines serverseitigen Trackings (als eine Möglichkeit). Google stellt dabei mit dem Google Tag Manager Server-Container ein geeignetes Server-Tagging bereit. Dabei können Hits und Tracking-Skripte im First-Party-Kontext erfasst und bereitgestellt werden (siehe “GTM-Server: gtm.js-Skript über eigenen Server laden” und “GTM-Server: Eigene Subdomain als Endpoint”).
  • Mit Rohdaten arbeiten: Aggregierte Daten bieten meist nicht den gewünschten Detail-Grad, um datenbasierte Detail-Insights zu generieren. Bei der Implementierung eines Tracking-Tools soll daher auch immer geprüft werden, ob Rohdaten zur Verfügung gestellt werden. Liegen die Rohdaten in einem Data Warehouse können diese direkt von dort für Analysen und Auswertungen abgefragt werden oder sie werden weiter an CDPs (siehe nächsten Punkt) zur Zusammenführung mit anderen Datenquellen oder zur weiteren Anreicherung weitergegeben. Bez. Rohdaten: Mit Google Analytics 4 lässt sich z.B. eine Verknüpfung mit BigQuery in wenigen Schritten durchführen. Unter Universal Analytics konnten nur 360-Kunden auf Rohdaten zugreifen, was sich mit Google Analytics 4 ändert. Dieses Potential sollte unbedingt genutzt werden.
  • Customer Data Plattform (CDP) einführen: Da Daten meist aus mehreren Quellen und Tools kommen, macht es Sinn diese in eine CDP zusammenzuführen. Dadurch kommt man einer Single Customer View (SCV) näher und wirkt Datensilos entgegen.
  • Modellierung mittels Machine Learning: Machine Learning kann auf unterschiedliche Art auf Daten angewandt werden. Beispielsweise können Insights und Predictions generiert werden – wie z.B. Google Analytics 4 mit dem “Analytics-Radar”. Vor allem kommt Machine Learning auch zum Einsatz, um Lücken in der Datenerfassung zu schließen wie es der Google Consent Mode in Zukunft macht möchte.
  • Stets Up-To-Date bleiben: Unternehmen müssen laufend das Wissen rund um Tracking-Restriktionen, gesetzlichen Bestimmungen, etc. aktuell halten und entsprechend Gegenmaßnahmen einleiten. Siehe auch Entwicklungen bei ITP, ETP, Privacy Sandbox, etc.
  • Neue Lösungen testen: Im Moment kommen immer mehr neue Technologien und Lösungsansätze zum Vorschein. Google Analytics 4, Facebook CAPI, Google Consent Mode, serverside Tracking mit dem Google Tag Manager, Ads Data Hub und weitere Möglichkeiten sollten im Blick behalten werden.
  • Laufendes Monitoring und Auditing der Tools: Die Auswirkungen der aktuellen Entwicklungen sollten stets überwacht und deren Auswirkungen auf die eigenen Daten bewertet werden.