ADZINE: Hallo Markus, Cookieless Tracking ist spätestens seit Googles Ankündigung, Third-Party-Cookies aus dem Chrome-Browser zu verbannen, Dauerthema in der Werbeindustrie. Wie ist der aktuelle Stand in Deutschland? Sind die meisten Website-Betreiber in Sachen Tracking inzwischen gut aufgestellt?

Markus Forster: Das Thema ist allgegenwärtig, denn ein Großteil der etablierten Tools und Marketing-Aktivitäten beruhen auf Cookies. Nun wissen wir alle, dass die Tage des Third-Party-Cookies gezählt sind und trotzdem sehe ich viele der Markteilnehmer in Deutschland nicht gut vorbereitet. Im Gegenteil, die Unsicherheit und auch die rechtliche Intransparenz wächst weiter.

Es vergeht derzeit so gut wie keine Woche, in der nicht neue Schlagzeilen für Aufsehen sorgen und ein Ende ist nicht in Sicht. Das Urteil zu Google Analytics in Österreich, die Einschätzung der belgischen Datenschützer, dass der ganze TCF-Prozess nicht DSGVO-konform ist und jetzt hat sich auch noch die französische Datenschutzbehörde den Kollegen aus Österreich mit ihrer Meinung angeschlossen. Das alles sorgt für zusätzlichen Druck.

Wir dürfen auch nicht denken, dass die sogenannte „Cookiecalypse“ erst am 01.01.2023 zuschlägt. Wir befinden uns bereits mittendrin. Die Anti-Tracking-Tools der Browser wie Safari oder Firefox, der Einsatz von Adblockern oder die fehlende Zustimmung der Nutzer führen ja bereits heute dazu, dass ein Großteil der Tracking-Daten verloren gehen.

ADZINE: Welche Alternativen haben sich mittlerweile herauskristallisiert, um Website-Besuche und die folgende User Journey auch ohne Third-Party-Cookies nachzuvollziehen?

Forster: Aus meiner Sicht sind hier vor allem Cookieless Session Tracking und Serverside Tracking als Alternativen zu nennen.

ADZINE: Was sind die Vor- und Nachteile dieser Lösungen?

Forster: Das Cookieless Session Tracking hat vor allem den Vorteil, dass es nicht technisch blockiert wird und auch ohne die Zustimmung der User genutzt werden kann, das heißt ich kann mir hierfür den Einsatz eines Consent-Banners sparen. Zudem kann unter Wahrung der Privatsphäre der Nutzer im Falle von Non-Consent trotzdem die Aktivität auf den eigenen Webseiten erhoben und gemessen werden. Der Nachteil in diesem Verfahren ist, dass die Nutzer außerhalb der Session nicht wiedererkannt werden können.

Ähnlich wie beim Cookieless Session Tracking wird beim Serverside Tracking eine serverbasierte ID für die Zeit während des Webseitenaufenthalts generiert. Der Vorteil im Serverside Tracking liegt darin, dass an Drittdienste, wie zum Beispiel Einkaufsplattformen für Native Advertising, Rückmeldung zur Kampagnenperformance gesendet werden kann. Dabei wird im Gegensatz zum klassischen Cookie-Tracking die Privatsphäre der Nutzer geschützt und die Daten werden anonymisiert. Nachteile dieses Ansatzes sind der höhere Setup-Aufwand. Bei Non-Consent muss zudem die Reduzierung der Rückmeldung an Einkaufsplattformen auf Session-Basis hingenommen werden, da keine personenbezogenen Daten getrackt werden dürften.

ADZINE: Zum userbasierten Tracking brauchen Website-Betreiber also immer noch die Nutzereinwilligung. Wo liegt bei der Consent-Einholung die Herausforderung?

Forster: Consent Management bringt eine ganze Reihe von Herausforderungen für die Seitenbetreiber mit sich. Zum einen sind die Nutzer schwer genervt davon, dass sie bei nahezu jedem Webseiten-Besuch erstmal von einem Consent Layer daran gehindert werden, ihren User Intent zu befriedigen. Das spiegelt sich dann in massiv gestiegenen Absprungraten wider. Potenzielle Kunden, die bereits teuer gewonnen wurden, gehen so direkt wieder verloren, ohne dass daraus eine Wertschöpfung generiert werden konnte.

Zusätzlich ist zu beobachten, dass ein Großteil der Webseiten diese Nachteile in Kauf nehmen, am Ende des Tages aber trotzdem nicht DSGVO-konform agieren, weil sie zum Beispiel durch das sogenannte Nudging die Entscheidung der Nutzer beeinflussen und oftmals die Ablehnfunktion so gut verstecken, dass der Nutzer eigentlich nur zustimmen kann.

Hinzu kommt nun die Entscheidung der belgischen Datenschutzbehörde APD, die im Transparency & Consent Framework des IAB, das als Grundlage der gängigen Consent-Management-Plattformen dient, DSGVO-Verstöße vorliegen sieht.

ADZINE: Wie kann man das elegant lösen?

Forster: Idealerweise und wenn möglich ganz auf den Einsatz von Consent-Bannern verzichten und alternative Technologien nutzen, die auch ohne vorherige Zustimmung datenschutzrechtlich unbedenklich sind.

ADZINE: Wie weit kommt man ohne Consent?

Forster: Guter Punkt. In der Praxis ist es oft gar nicht so leicht, komplett ohne Identifier oder personenbezogene Daten zu arbeiten. Das bedeutet auch, dass man Federn lässt und sich beispielsweise von Marketingmaßnahmen wie Retargeting endgültig verabschieden müsste und diese Entscheidung möchte viele derzeit nicht treffen.

ADZINE: Was ist also die beste Option, die Website-Betreiber haben?

Forster: Mit Late Consent haben wir einen Ansatz entwickelt, um den Spagat zwischen DSGVO-konformen Tracking ohne Consent und personenbezogenen Marketing zu schaffen. Das Late-Consent-Prinzip ist ein zweistufiger Tracking-Ansatz. Dieser startet mit Cookieless Session Tracking, das ohne störendes Consent-Banner verwendet werden darf. Auf Basis von Engagement-Kriterien, wie beispielsweise der aktiven Verweildauer oder Nutzerinteressen, wird entlang der Session der Consent zum idealen Zeitpunkt erfragt. Sobald der Consent eingeholt ist, stellen wir auf das User Tracking um. Jetzt kann der Nutzer auch über die Session hinaus, zum Beispiel für Retargeting, wiedererkannt werden.

ADZINE: Wo sollte der Fokus als Erstes liegen, wenn man jetzt beginnt, sein Tracking umzustellen?

Forster: In der Vergangenheit wurde aus meiner Sicht oftmals alles an Daten gesammelt, was möglich war. Der Großteil, ohne überhaupt zu wissen, wofür man diese Daten überhaupt benötigt. Transparenz und Datenhoheit blieben oftmals auf der Strecke. Das ist sicher auch einer der Gründe, weshalb wir uns jetzt mit den gestiegenen Datenschutzanforderungen herumschlagen. Deshalb sollte der Fokus in Zukunft darauf liegen, sich eine klare Tracking-Strategie zu erarbeiten. “Welche Daten benötige ich und wofür?”, sind die zentralen Fragen.

ADZINE: Markus, danke für die Insights!