In den Diskussionen rund um die Zukunft von Cookies rücken in jüngster Zeit Browser verstärkt in das Zentrum der Debatte, die bislang eher am Rande der Diskussion um Targeting und Privacy standen. Nachfolgende Analyse zeigt den aktuell recherchierbaren Stand der Dinge auf und analysiert die sich hieraus ergebende Situation für Werbetreibende. Auf dieser Basis werden erste Lösungsvorschläge erarbeitet, wie zukünftige Szenarien mit wenig oder gar keinem Cookieeinsatz aussehen könnten. Für alle nachfolgenden Aussagen und Szenarien gilt, insbesondere aufgrund der komplexen, Black-Box-artigen Analyse von außen und sich laufend ändernden Situation technischer und regulativer Rahmenbedingungen: Änderungen und Irrtümer vorbehalten.

Nachfolgend eine erste Übersicht der Aktivitäten und jüngsten Entwicklungen in Sachen Nutzeridentität und Datenschutz für alle gängigen Browsertypen.

Safari: verkürzte Lebensdauer für 1st-Party-Cookies

Safari ist seit jeher vergleichsweise restriktiv, wenn es um Identifizierer-Management geht. Sichergestellt wird dies durch das Feature “Intelligent Tracking Prevention”, kurz ITP. Ab Safari 12 und iOS 11 soll die so anvisierte Datensicherheit der Nutzer eine weitere Entwicklungsstufe erreichen: Hierbei werden zum einen 3rd-Party-Cookies per Default blockiert und zum anderen die Lebensdauer von 1st-Party-Cookies verkürzt. In der Vergangenheit richteten sich Maßnahmen des Datenschutzes ausschließlich gegen 3rd-Party-Cookies, die eine Tracking-Funktion (Messung) erfüllen. 1st-Party-Cookies dagegen sorgen traditionell für eine verbesserte Nutzerfreundlichkeit, können jedoch in manchen Situationen zusätzlich eine Tracking-Funktion übernehmen. Die Voraussetzung hierfür ist, dass der User einen Klick tätigt. Hier setzt die neue ITP-Version an und zielt auf die Verhinderung von Workarounds der technischen Anbieter ab.

Mozilla Firefox: Erhöhung der Reichweite geschützter User

Mozilla Firefox nutzt mit “Enhanced Tracking Protection”, kurz ETP, ein ähnliches Feature wie Safari. Am 03. September 2019 erfolgte die Ankündigung, dass dieses auf Desktop- sowie Android-Geräten per Default für den Schutz der Nutzer Sorge tragen wird: Dabei werden hier ebenfalls 3rd-Party-Cookies, aber auch Krypto-Miners sowie Fingerprinting-Skripte blockiert. Krypto-Miners sind Skripte, die ohne das Wissen und die Zustimmung des Nutzers leistungsraubende Prozesse in dessen Browser ausführen. Fingerprinting erfolgt ebenfalls über Skripte, die zur Erstellung von Nutzerprofilen bzw. zur Verfolgung von Nutzeraktivitäten anhand der nutzerindividuellen Gesamtheit von Einstellungen verwendet werden. Der Tracking-Schutz erfolgt gemäß der "Disconnect-Liste". Vor dem Stichtag im September nutzten etwa 20 Prozent der Firefox-Anwender ETP. Mit der Übernahme des Features als Voreinstellung in Version 69 erreicht die Funktion nun auch die restlichen 80 Prozent der Nutzer.

Google Chrome: Beibehaltung, aber Reduktion von Nutzerdaten

Auch Google spricht sich für die Stärkung des Datenschutzes von Nutzern aus. Gleichzeitig hinterfragt der Anbieter jedoch das Unterbinden von Cookies als Mittel dazu und weist auf mögliche, nicht intendierte weitreichende Folgen hin. Dazu zählt die Verleitung zu Fingerprinting-Praktiken seitens der Technologieanbieter und die Gefährdung des freien Webs durch Limitierung der Einnahmemöglichkeiten werbefinanzierter Inhalte. Mit “Privacy Sandbox” will Google eine sichere Umgebung für Personalisierung schaffen, die für den Schutz der Privatsphäre genutzt werden soll. Personalisierte Anzeigen bleiben zwar weiterhin möglich, die geteilten Nutzerdaten sollen jedoch auf ein Minimum reduziert werden. Als schnelle Maßnahme, um die Nutzererwartungen an Privacy zu erfüllen, dürfte Google Fingerprinting-Taktiken demnächst wohl generell unterbinden. Außerdem soll mehr Transparenz in Bezug auf die Unterscheidung zwischen 1st- und 3rd-Party-Cookies geschaffen werden. Vor allem aber weist Google auf die Notwendigkeit hin, gemeinsame Marktstandards zu definieren, um keine Interessengruppen zu benachteiligen und um gängige Nutzeranforderungen umzusetzen.

Für andere Anbieter wie Microsoft Edge und Opera sind derzeit keine entsprechenden Anpassungen in Sachen Datenschutz bekannt.

Für Werbetreibende sind zahlreiche Änderungen zu erwarten. Diese betreffen insbesondere die Targeting-Möglichkeiten und das Tracking.

Im Targeting: mehr Datenschutz geht mit geringerer Zielgruppengenauigkeit einher

Das Targeting von Usern, also die gezielte Ansprache passender Zielgruppen, wird maßgeblich durch zwei Dimensionen bestimmt: die Häufigkeit und die Genauigkeit der Ansprache. Die Häufigkeit der Ansprache wird mithilfe sogenannter Frequency Caps und Frequency Boost gesteuert. Insbesondere die Frequency Caps blicken hier bereits auf eine lange Tradition zurück: So sorgen diese für die Limitierung der Kontaktanzahl pro angesprochenem User und beugen einer zu häufigen Ansprache sowie möglicher Ineffizienz bei den Mediainvestitionen vor. Frequency Boosts dagegen nehmen sich der Aufgabe an, wiederholte Kontakte mit demselben Nutzer zu realisieren, um den gewünschten Werbewirkungseffekt durch eine Mindestkontaktanzahl zu erreichen, so dass dieser nicht “verpufft” (wie im Falle von Einzelkontakten).

Die Genauigkeit der Ansprache hängt vom Targeting-Ansatz und der Qualität der Zielgruppenbestimmung ab. Vor allem nutzerzentrische Ansätze fokussieren die Verfolgung eines Users über viele Webseiten hinweg: Nach dem Erstkontakt und der daraufhin erfolgten Kategorisierung des Users (bspw. 1st-Party-Data) werden die Inhalte weiterer besuchter Umfelder häufig außer Acht lassen und bei der Entscheidung für die Ansprache ausgeblendet. Damit der User “markiert” und ihm gefolgt werden kann, werden Tracker eingesetzt.

Beide Aufgaben, die Häufigkeit der Ansprache und ihre Genauigkeit, werden in den allermeisten Fällen über 3rd-Party-Cookies auf Webseiten gelöst. Durch das standardmäßige Blockieren dieser Cookies entsteht die Gefahr, dass Werbung weniger relevant ist und Streuverluste durch die unkontrollierte Aussteuerung von Anzeigen entstehen. Manche Umstellungen werden dazu führen, dass User nicht mehr getrackt werden können und somit für die Analysesysteme unbekannt sind. Durch die Nicht-Verfolgbarkeit der Nutzer werden Zielgruppengrößen schrumpfen. Weitere Umstellungen werden lediglich die Historie der Cookies verringern. Je nach Häufigkeit der Bereinigung der Cookie-IDs durch die Systeme können Audiences deutlich größer erscheinen, als sie in der Realität sind.

Die Effekte hängen in allen Fällen stark von der Zusammensetzung der jeweiligen Zielgruppensegmente ab – während der Safari-Anteil im mobilen Bereich sehr hoch ist, ist dies auf Desktop-Geräten nicht der Fall. Bei Firefox ist das Verhältnis entsprechend umgekehrt: ein hoher Desktop-Anteil trifft auf eine niedrige Mobile-Verbreitung.

Im Tracking: Weniger Cookies stören die Attribution

Auch Nutzeraktivitäten, die infolge von Kampagnenkontakten entstehen, werden standardmäßig über Cookies gemessen. Wenn diese nicht gesetzt werden können, schränkt dies die Optimierungsmöglichkeiten ein und vergrößert mögliche Streuverluste. Die Auswirkungen hängen aber auch vom gewählten Attributionsmodell ab: Modelle, die einen vom User initiierten Klick für die Attribution einer Aktivität erfordern, sind tendenziell nicht bzw. weniger betroffen. Dies hängt jedoch vom Attribution Window ab, also der Zeit, über die ein User nach dem Klick verfügt, um beispielsweise eine Conversion zu generieren, damit diese dem Kampagnenkontakt gutgeschrieben werden kann. Zumindest wenn der User nicht auf die Seite zurückkehrt, um seinen Cookie zu erneuern.

Sollten Cookies zukünftig nur noch eingeschränkt oder gar nicht mehr verfügbar sein, müssen alternative Wege entwickelt werden – nachfolgend einige erfolgversprechende Möglichkeiten.

Auch wenn derzeit noch keine für alle Anwendungsfälle gültige Musterlösung bereitsteht, scheinen schon heute einige der Ansätze sehr vielversprechend und adressieren neben aktuellen Herausforderungen auch klassische Schwachstellen von cookiebasierten Modellen.

Im Folgenden geben wir eine individuelle Einschätzung auf Basis der oben gewonnenen Erkenntnisse.

Welches sind die folgenden Schritte und welche Entwicklungen sind in nächster Zeit wahrscheinlich? Oben genannte Trends und die Vielzahl von derzeitigen Systeme zeigen, dass gemeinsame Standards für den Umgang mit Datenschutz und Cookies sowie das zukünftige Targeting und Tracking erarbeitet werden müssen. Hierfür ist ein Impuls sowohl seitens der Werbetreibenden und Agenturen als auch der Publisher zu erwarten, da die Umstellung der Browser beide Interessengruppen gleichermaßen betrifft. Während Werbetreibende Einbußen in der Qualität der Ansprache und der Messung befürchten, könnten Publishern Werbeumsätze durch weniger relevante Werbung oder gar sinkende Werbeausgaben auf ihren Portalen entgehen.

Sowohl die technischen Umstellungen an den Browsern als auch die regulatorischen Bestimmungen zeigen, dass alle Beteiligten den Schutz der Privatsphäre der Nutzer ernst nehmen. Gleichzeitig entsteht die Situation, dass eine Zielgruppenerstellung ohne aktive Einwilligung des Nutzers nicht mehr stattfinden kann. Die Reduktion dieser Zielgruppenerstellung bedeutet jedoch nicht automatisch das Ausfallen von Werbung. Viele Inhalte sind und bleiben werbefinanziert, was letztlich bedeutet, dass der Nutzer weiterhin Werbung sieht, diese im Zweifelsfall aber weniger relevant als bisher sein wird und zusätzlich ohne die Steuerung der Kontaktmengen auskommen muss. Damit ist der Nutzer einer tendenziell höheren Menge irrelevanter Anzeigen ausgesetzt, was wiederum der Idee des Nutzerschutzes widerspricht. Um dieses Dilemma aufzulösen, dürften verschiedene Anwendungen von Cookies für User, Publisher und Werbetreibenden weiterhin relevant bleiben und sollten auch in Zukunft nicht vernachlässigt werden.