Du bist Webseitenbetreiber, analysierst deine Kunden und schaltest Werbung. Dann nutzt du, ob du es weißt oder nicht, Third-Party-Cookies von Facebook, von Google, von YouTube oder irgendeinem anderen Publisher. Vielleicht weißt du, dass Google Chrome in diesem Jahr, 2024, den Support für Third-Party-Cookies einstellen wird. Ich erkläre dir, wie du davon betroffen bist, welche Auswirkungen das hat und was Alternativen sind.
Wofür braucht es überhaupt Cookies? Warum ist das Thema aktuell? Prinzipiell ist es so, dass Webseiten nicht in der Lage sind, Informationen von einer Seite zur nächsten Seite mitzunehmen. Die Browser bieten dafür also eine Alternative an, bzw. eigentlich sogar mehrere Alternativen. Eine davon sind Cookies. Es gibt sogenannte First-Party-Cookies, auf die ich gleich eingehen werde, und sogenannte Third-Party-Cookies.
Um das ganze Thema nicht zu technisch zu machen, zunächst das Wichtigste: Bei First-Party-Cookies geht es immer um den sogenannten Origin. Das ist der höchste, selbstbesitzende Domainname. In unserem Fall ist das z.B. smarketer.de, wie ihr hier auch im Screenshot sehen könnt. Mit First-Party-Cookies ist ein sogenanntes Cross-Site-Tracking nicht möglich, weil First-Party-Cookies nur im Kontext von smarketer.de funktionieren. Ihr seht hier auf dem Screenshot: Bei smarketer.de können die Cookies auf smarketer.de und allen Subdomains von smarketer.de gesetzt werden. Bei www.smarketer.de können sie nur für die Subdomain WWW gesetzt werden, aber nicht für die Subdomain abc.smarketer.de.
Third-Party-Cookies hingegen können für Cross-Site-Tracking genutzt werden. Das ist wichtig, weil der Wert, der im Cookie enthalten ist, immer derselbe ist, egal ob ich auf smarketer.de bin oder auf irgendeiner anderen Domain. Ihr seht hier z.B., dass wir auch Cookies von Twitter haben. Wenn hier ein Wert drin steht und ich gehe auf eine andere Webseite, z.B. spiegel.de, und dort ist auch Twitter eingebunden, dann wird der Wert, der innerhalb des Cookies vergeben ist, genau derselbe sein. Das heißt, Twitter kann in dem Augenblick den Wert nutzen, um ein sogenanntes Cross-Site-Tracking zu erstellen. Sie wissen also sehr genau, wo ich war, und können ein echtes Profil von mir bilden. Das können sie nutzen, um Remarketing zu schalten, mir personalisierte Werbung anzuzeigen. Viele Browser haben jetzt schon den Einsatz von Third-Party-Cookies restriktiert. Das bedeutet, die Third-Party-Cookies werden gar nicht mehr richtig geladen oder sie werden nach einer bestimmten Zeit automatisch vom Browser gelöscht. Besonders restriktiv ist hier z.B. der Browser Brave, der Third-Party-Cookies von Anfang an gar nicht lädt bzw. auch die Werbeskripte gar nicht lädt.
Ich denke, direkt danach ist auch Safari zu nennen, weil sie mit dem Einsatz von ITP (Intelligent Tracking Prevention) eine sehr restriktive Methode nutzen, um die Dauer und die Laufzeit von Third-Party-Cookies zu blockieren. Generell kann man sagen, dass die Umsetzung mit ITP relativ komplex ist. Das hängt daran, dass es unterschiedliche Methoden gibt, die Laufzeit von Cookies zu reduzieren bzw. die Cookies auch komplett zu blockieren. Sind es First-Party-Cookies? Sind es Third-Party-Cookies? Werden sie über URL-Parameter gesetzt oder über JavaScript mit document.cookie und so weiter und so fort. Generell kann man sagen, bei ITP ist die Laufzeit von Cookies zwischen 24 Stunden und 7 Tagen.
In der Vergangenheit war es auch so, dass alle Browser auf iOS-Geräten mit der sogenannten Webkit-Browser-Engine liefen. Das heißt, ihr habt zwar vielleicht Chrome installiert gehabt oder irgendeinen anderen Browser, im Unterbau war das aber immer Webkit mit installiertem ITP. Das heißt, auch ein Chrome hat die Cookies blockiert oder reduzierte Laufzeiten gehabt. Mit iOS 17.4 hat sich das aber geändert. Auf Druck der EU musste Apple andere Browser-Engines zulassen. Das heißt, wenn ihr iOS 17.4 installiert habt, dann können neue Browser installiert werden und sie nutzen ihre eigene Browser-Engine und sie haben vor allem auch wieder andere Cookie-Laufzeiten.
Nun ist es aber so, dass z.B. Firefox sogenanntes ETP (Enhanced Tracking Protection) nutzt und seine eigene Methode nutzt, um Cookies zu blockieren und die Laufzeit zu verkürzen. Und ich kann euch sagen, die sind immer sehr ähnlich zu ITP. Das heißt, das Installieren von anderen Browsern verbessert nicht unbedingt die Tracking-Werte bzw. irgendwelche Erfolge im Remarketing, weil inzwischen alle Browser ja daran interessiert sind, die Cookies zu blockieren, gerade Third-Party-Cookies. Chrome hat sich jetzt auch nach vielen Jahren, so will ich es mal sagen, dem Ganzen gebeugt und plant für 2024 die Abschaffung des Supports von Third-Party-Cookies. Und genau darüber sprechen wir ja gerade.
Nur als kleine Randnotiz und für euch zur Info: Es gibt auch noch andere Methoden, um Nutzer zu tracken. Namentlich sind das so Sachen wie Canvas Cloaking, Bounce Tracking, Fingerprinting etc. Da müsst ihr einfach mal recherchieren und euch informieren. Das sind teilweise schon Methoden in der Grauzone. Ja, einfach nur, dass ihr das mal gehört habt und wisst, dass es da noch andere Möglichkeiten gibt als Cookies.
So, welche Möglichkeiten gibt es denn jetzt im Rahmen von Cookies? Prinzipiell kann man sagen, ihr könnt sie setzen via JavaScript, via URL oder auch direkt über den Server. Daneben gibt es noch die Möglichkeit, das sogenannte Session Storage zu nutzen. Das ist eine Methode, ähnlich zu Cookies, bei der Informationen für die Browser-Session, das heißt, wie lange der Nutzer auf der Webseite ist, gespeichert werden und dann auch von einer Seite zur nächsten mitgenommen werden können. Und ihr könnt die Informationen auslesen. Ebenfalls gibt es das sogenannte Local Storage. Hier werden auch Informationen drin gespeichert und die werden aber nicht nach der Session beendet, sondern bleiben da erstmal lange drin gespeichert.
Aber ich muss euch leider sagen, auch Session Storage und Local Storage werden von ITP, ETP und anderen Methoden der Browser inzwischen stark beschränkt. Das heißt, nur wenn ihr das jetzt angeht und sagt, ihr wollt von den Cookies weg hin zu Local Storage und Session Storage, weil das einfache Alternativen sind, habt ihr nicht automatisch eine bessere Datenqualität.
Wofür sind jetzt eigentlich genau First-Party- und Third-Party-Cookies? Im Prinzip könnt ihr euch das so vorstellen: First-Party-Cookies werden vom eigenen Webserver gesetzt und häufig für Funktionen der Webseite genutzt. Das kann der Login sein. Da wird dann also drin gespeichert, ob der Nutzer gerade eingeloggt ist, und diese Information muss natürlich von einer Seite zur nächsten Seite mitgenommen werden. Andere Sachen können sein: der Warenkorb oder der Consent Mode. Hat der Nutzer jetzt zugestimmt oder abgelehnt? Third-Party-Cookies hingegen werden von AdTech Companies gesetzt oder irgendwelchen anderen Publishern. Die kommen dann auch von separaten Webservern über Skripte, die der Webseitenbetreiber in seiner Webseite eingebunden hat, und die sind einfach wirklich darauf ausgelegt, ein Cookie zu setzen, um den Nutzer immer wieder zu erkennen. Ja, da wird dann wirklich auf den Wert innerhalb des Cookies geachtet und taucht dieser Wert auf verschiedenen Domains auf, dann erstellen sie ein Profil von euch und machen halt ein Remarketing darauf. Das bedeutet aber auch, dass das Setzen von First-Party-Cookies deutlich schwieriger ist, gerade für AdTech Companies, weil sie müssten ja im Prinzip an den Webserver des Webseitenbetreibers rankommen, und das, weil es eben so schwierig ist, erhöht enorm den Trust und das Vertrauen in First-Party-Cookies. Das ist auch der Grund dafür, warum ITP, ETP und andere Methoden die Laufzeit von First-Party-Cookies nicht so stark beschränken wie die von Third-Party-Cookies oder diese gegebenenfalls sogar komplett blockieren, je nachdem, welche Methode da gerade angewandt wird.
Was bedeutet das jetzt für euch? Ihr solltet zusehen, dass sämtliche Cookies, die ihr nutzt, von Third-Party auf First-Party umgestellt werden, auch für AdTech Companies. Wie könnt ihr das machen? Eine Möglichkeit ist, dass ihr z.B. Server-Side-Tracking nutzt. Hier könnt ihr für jede AdTech Company definieren, ob das jetzt ein First-Party-Cookie ist und wenn ja, sogar als HTTP-Only-Cookie gesetzt werden soll. Was das ist, erkläre ich gleich. Und somit sicherstellen, dass die Schutzmechanismen der Browser nicht sofort greifen bzw. sie die Laufzeiten nicht so stark beschränken.
Das Ganze hat leider einen Nachteil: Noch nicht jeder Anbieter unterstützt das. Es ist also teilweise schwierig, Third-Party-Cookies auf First-Party-Cookies umzustellen. Viele große Anbieter unterstützen es schon, aber es gibt tatsächlich auch bei den Großen noch einige, die es nicht unterstützen. Gerade bei den kleineren Companies ist es darüber hinaus auch eher schwierig. Eigentlich interessant, weil sie müssten ja daran interessiert sein, dass die Webseitenbetreiber in der Lage sind, von Third-Party auf First-Party umzustellen. Aber das kommt sicherlich jetzt in nächster Zeit, im Laufe von 2024, weil einfach der beliebteste Browser Google Chrome, der ja einen großen Marktanteil hat, den Support einstellt und entsprechend auch der Umsatz bei den Publishern einbrechen wird. Warum wird der Umsatz einbrechen? Weil die Datenqualität einfach massiv abnehmen wird. Das Remarketing wird viel, viel schlechter werden und dann sind die Webseitenbetreiber natürlich daran interessiert, bessere Lösungen zu finden. Und wenn dann eine AdTech Company nicht in der Lage ist, sich der Zeit anzupassen, ja, dann ist es einfach viel zu spät. Sie müssen daran interessiert sein, Möglichkeiten anzubieten, auf First-Party umzustellen. Deswegen ist einfach First-Party das Mittel der Wahl in der Zukunft.
Jetzt zeige ich euch mal hier im Browser, wie ihr im Prinzip überprüfen könnt, was First-Party-Cookies sind und was Third-Party-Cookies sind. Das hilft euch enorm, um herauszufinden, wo ihr noch Anpassungen machen müsst, was schon gut funktioniert und wie ihr einfach sicher für die Zukunft aufgestellt seid. Ich habe euch hier mal einen Screenshot angehangen von smarketer.de. Und wie bin ich in diesen Bereich gekommen? Das Ganze funktioniert im Prinzip wie folgt: Ich bin auf der Seite, mache einen rechten Mausklick, dort kann ich auf „Untersuchen“ klicken und komme so in die Developer Tools. Hier gibt es einen sogenannten Punkt, der nennt sich „Application“, davon ist der Screenshot gerade. Im linken Bereich seht ihr Cookies. Wenn ich dort auf smarketer.de klicke, sehe ich im Prinzip alle Cookies, die smarketer.de gesetzt hat. Dort gibt es einen sogenannten Punkt „Domain“. Dort sehe ich dann alle Cookies nach Domänen aufgelistet und z.B. ist dort smarketer.de, dann weiß ich, das ist ein First-Party-Cookie. Vielleicht gibt es auch www.smarketer.de, auch das ist ein First-Party-Cookie. Es gibt aber auch Cookies von google.de oder von twitter.com oder t.co, auch das ist Twitter, und so weiter und so fort. Hier wisst ihr, das sind Third-Party-Cookies. Das bedeutet, die müssen noch umgestellt werden. Teilweise liegt das einfach wirklich an den AdTech Companies. Wir versuchen schon, gerade bei den Google-Cookies, möglichst viele First-Party-Cookies zu setzen. Auch für Google Ads ist das durchaus schon möglich, aber dennoch schieben die immer noch Third-Party-Cookies hinterher. Das muss euch einfach bewusst sein. Teilweise liegt das einfach auch nicht in eurer Hand. Da müssen die im Hintergrund ihre Systeme anpassen und erst dann funktioniert das.
Was könnt ihr aber tun? Wir z.B. nutzen Server-Side-Tracking und hier habt ihr jetzt mal einen Screenshot von unserem Facebook. Und dieses Facebook läuft über unseren Tracking-Server. Das bedeutet, wir schicken ein Tracking-Event, z.B. den Versand des Kontaktformulars, an unseren Tracking-Server und nur auf dem Tracking-Server läuft Facebook. Das bedeutet, dann wird ein Event ausgelöst mit dem Befehl, ein Facebook-Cookie im Browser zu setzen und zusätzlich wird das Event direkt an Facebook weitergeleitet, damit dort einfach gemessen wird, okay, da gab es jetzt einen Versand vom Kontaktformular. Das Setzen des Cookies, also des Facebook-Cookies, passiert automatisch. Und on top haben wir hier aktiviert: „use HTTP-Only Cookies„.
Was ist jetzt HTTP-Only? HTTP-Only bedeutet, dass das Cookie vom Server gesetzt wird und dass JavaScript nicht auf das Cookie zugreifen darf. Das Cookie kann also nur vom Server selbst auch wieder gelöscht werden. Wir können kein JavaScript einsetzen, um das Cookie zu löschen. Das macht den Einsatz des Cookies viel, viel sicherer, weil es viel schwieriger ist, es zu löschen, und erhöht einfach die Datenqualität. Ja, wenn ihr HTTP-Only Cookies nutzen könnt, solltet ihr das in jedem Fall immer aktivieren. Dann habt ihr First-Party-Cookies und ihr habt, zumindest wenn ihr den Tracking-Server entsprechend konfiguriert habt, First-Party-Cookies auszuspielen, und ihr habt Cookies, die nur vom Server selbst gelöscht werden können. Das ist im Prinzip die höchste Qualität an Cookies, die ihr setzen könnt. Da solltet ihr hin.
Ja, jetzt ist es aber so, dass Anbieter wie Google auch ihre Dienste nur für Server-Side-Tracking anbieten. Wir z.B. spielen Google Ads auch über Server-Side-Tracking aus und haben auch hier es so konfiguriert, dass die Cookies als sogenannte First-Party-Cookies gesetzt werden und dass sie nicht so schnell gelöscht werden können. Gerade habt ihr aber gesehen, dass Third-Party-Cookies trotzdem gesetzt werden. Und hier sind wir einfach machtlos. Wir haben also von uns aus das Bestmögliche getan. Sie werden von unserem Tracking-Server gesetzt, sie können nicht so leicht gelöscht werden. Google interne Dienste laden aber Third-Party-Cookies nach und das muss Google einfach umstellen. Ja, das liegt nicht mehr in unserer Hand. Cookies werden genutzt, um a) Informationen von einer Seite zur nächsten weiterzureichen und b) um Nutzerprofile zu erstellen im Cross-Site-Tracking, um bessere Marketingmaßnahmen ausspielen zu können. Google stellt den Support in Google Chrome für 2024 ein und erschwert damit das Tracking enorm. Ihr als Webseitenbetreiber, die ihr Marketingmaßnahmen macht, seid damit im Zugzwang, um einfach eine höhere Datenqualität zu bekommen. Zusätzlich habe ich euch gezeigt, wie ihr in den Developer Tools auswerten könnt, welche Cookies ihr schon nutzt. Sind es First-Party-Cookies? Sind es Third-Party-Cookies? Und wo ihr Anpassungen machen müsst, um einfach eine höhere Datenqualität zu bekommen. Und ich habe euch gezeigt, wie ihr mit Server-Side-Tracking eben genau diese Möglichkeit habt. Ihr könnt die Cookies als First-Party-Cookies einsetzen und ihr könnt sie so einstellen mit HTTP-Only, dass die Cookies generell viel schwerer gelöscht werden können. All das, um eine bessere Datenqualität zu bekommen.
Ich könnte euch noch viel mehr über Cookies erzählen. Das ganze Thema ist wirklich komplex. Um das Video aber nicht zu komplex zu machen, habe ich mich darauf beschränkt, die wichtigsten Sachen zu erklären. Das soll es von mir gewesen sein. Ich wünsche euch noch einen schönen Tag und bis zum nächsten Mal!
Anrufen