Das Ende vom Keks: Cookieless-Tracking und wieso wir Cookies eigentlich nicht brauchen!

Jetzt geht es den (ungeliebten) Cookies an den Kragen: Endlich kein Cookie-Banner mehr?! Wozu sind eigentlich Cookies gut? Sind sie notwendig? Wann sollten Cookies eingesetzt werden? Werden Cookies für eine Nutzer-Statistik benötigt? Wir gehen diesen Fragen auf den Grund und zeigen Lösungen für ein Leben ohne Cookies.

Was sind eigentlich Cookies?

Cookies sind kleine Datenpakete, die im Internetbrowser gespeichert werden. Sie bleiben erhalten, auch wenn die Internetseite oder der Browser geschlossen wird. Die Cookies kommen wieder zum Einsatz, wenn die Seite zu einem späteren Zeitpunkt erneut aufgerufen wird: sie werden dann von dieser besuchten Seite eindeutig identifiziert.

Einsatzgebiete von Cookies

Bisher werden Cookies z.B. für Statistiken verwendet. Bei diesen Statistiken sind Nutzer:innen eindeutig erkennbar, auch wenn sie eine Internetseite erneut besuchen. Zudem werden das Klick-Verhalten und die sogenannte Customer-Journey auf der Internetseite dadurch nachvollziehbar.

Auch bei Formularen, insbesondere mehrstufigen Formularen wie z.B. Antragsstrecken oder Checkouts bei Shops, werden Cookies verwendet. Wir sind der Meinung, dass diese „erforderliche Anwendung“ – also unbedingt notwendige Cookies für einen Prozess – wohl zu den letzten sinnvollen Anwendungen für Cookies zählen.

Ein weiteres Gebiet des Cookie-Einsatzes sind Einstellungen von Nutzer:innen auf Internetseiten. Durch Cookies wird der Status einer bestimmten Einstellung (Zustand) auf einer Seite gespeichert. So können sich Internetseiten daran erinnern, dass z.B. ein Menü bei der letzten Nutzung der Seite ein- oder ausgeklappt war.

Solche durchaus positiven und konstruktiven Anwendungen von Cookies können inzwischen durch modernere Technik abgelöst werden. Der sogenannte localStorage im Browser bietet mehr Funktionalität für Programmierer, als die veraltete Cookie-API.

Ein Hauptproblem von Cookies: sie funktionieren nur für die eigene Internetseite des Anbieters und nicht über die Grenzen dieser Internetseite hinaus. Daher wurden sogenannte Third-Party-Cookies erfunden, die Daten speichern, die auf anderen Internetseiten eingesetzt werden.

Exkurs: Was sind Third-Party-Cookies? Wie werden sie verwendet?

Die Third-Party-Cookies kennen wir alle, wenn wir schon einmal bei Amazon oder einem renommierten Markenhersteller oder Shop eingekauft haben. Völlig unabhängig davon, ob wir die Ware gekauft oder nur angesehen haben, speichert ein Cookie eines Werbenetzwerkes unser „Interesse“ an diesem Produkt oder Produkttyp.

Beim Besuch einer anderen Seite mit Ausspielung von Werbung, werden in Folge genau diese Produkte als Werbung angezeigt. Das ist möglich, weil auch die andere Seite mit Technologie arbeitet, die genau auf die entsprechenden Third-Party-Cookies zugreift.
Die Third-Party ist also z.B. ein Werbenetzwerk, welches auf der Shop-Website Daten sammelt, um auf anderen Websites zielgerichtet Werbung auszuspielen. Solche Werbenetzwerke für sogenannte Display-Ads sind z.B. Google Ads oder Bing Ads.

Für die erfolgreiche Nutzung müssen Sie sowohl den Cookies im Shop als auch den Cookies auf der Seite der Inhalte (Magazin, Forum, Social Media) zustimmen.

Die Marketingexperten und Techniker haben leider bisher kaum Lösungen dafür gefunden, die anhaltende Werbung für ein Produkt auf diversen Webseiten oder sogar im E-Mail-Postfach zu vermeiden, nachdem wir schon längst erfolgreich unsere neue Kaffeemaschine, Sporttasche oder Gartenlampe gekauft haben.

User:innen-Tracking ohne Cookies:
Wie geht das?

Eine aktuelle Methode des Trackings ohne Cookies ist das sogenannte Fingerprinting. Beim Fingerprinting werden möglichst viele Daten über Nutzer:innen gesammelt, ohne Cookies zu setzen. Diese Daten sind z.B. die anonymisierte IP-Adresse, die Browsersoftware, die Hardware (Computer, Mobiltelefon), das Betriebssystem und weitere „auslesbare“ Elemente. Wenn man diese zusammensetzt, erhält man eine Kombination, die zumindest temporär eine eindeutige Zuordnung der Nutzer:innen zulässt.

Damit können Nutzer:innen bei einem Website-Besuch über die Seiten „verfolgt“ werden, ohne dass Cookies notwendig sind.

Die Fingerprinting-Methode ermöglicht ein sogenanntes Cookieless-Tracking inklusive Nutzer:innenverfolgung.

Welche Ausmaße digitale Fingerprints in der Zukunft annehmen können, zeigen die Techniken, die hier inzwischen verwendet werden. Mit ausgesendeten unhörbaren Audio-Signalen werden Rückschlüsse auf die Software der User gezogen.

Googles FLoC – angeblich großmütiger Verzicht auf Cookies

Google hat Anfang 2021 angekündigt, künftig weitestgehend auf Third-Party-Cookies zu verzichten. Stattdessen soll mit FLoC (Federated Learning of Cohorts) gearbeitet werden. Die Fingerprints vieler Nutzer:innen werden damit zu einer Interessens- und Zielgruppenkohorte zusammengeführt, der dann entsprechende Werbung ausgespielt wird. Dass dieser Schritt aufgrund des Verzichts auf Cookies zu mehr Datenschutz führt, ist umstritten. Datenschützer befürchten, dass FLoC im Gegenteil noch präziseres Tracking ermöglicht.

Warum das Tracking über den Client keinen Sinn (mehr) ergibt!

Clients sind die Browser der Nutzer:innen. Ein Tracking über die Browser mittels Tracking-Scripten wird von allen Apple-iOS-Smartphones geblockt. Auch Firefox blockt die Abfrage von Informationen über diesen Weg. Lediglich Nutzer:innen des Browsers Google Chrome (aktuell der Marktführer auf dem Desktop) geben Informationen preis, wenn sie keine Tracking- oder Werbe-Blocker-Extension installiert haben. Als Schlussfolgerung kann man sagen, dass je nach Land und Art der Website, 40 – 70 % der Informationen des Clients gar nicht zu tracken sind – und damit die Statistiken nur einen kleinen Ausschnitt der Nutzer:innen zeigen.

Da Nutzer:innen zudem Cookies ablehnen können, die zu Statistikzwecken gesetzt werden, sind auch durch Cookies gewonnene Statistiken nur ein Ausschnitt der Wirklichkeit.

Statistik ohne Cookies und Client:
Was der Server weiß!

Völlig unabhängig von Cookies werden auf dem Internet-Server die Besuche und Seitenzugriffe von Nutzer:innen in den Logdateien des Servers gespeichert. Dies ist die Grundlage einer einfachen, aber effektiven Statistik für Websites. Ganz ohne Nutzer:innentracking können z.B. folgende Daten gezeigt werden:

  • Anzahl der Besuche auf der Seite
  • Anzahl aufgerufener Seiten
  • Zugriffszahl der einzelnen Seiten
  • Welche Geräte haben zugegriffen (eingeschränkt)
  • Welche Browsersoftware wird verwendet (eingeschränkt)

Aus diesen Zahlen lässt sich ableiten, wie hoch der Anteil der Besucher:innen in z.B. einem Shop zur Kasse gehen und einen Kauf abschließen. Das funktioniert rein rechnerisch auch ohne Cookies und ohne Fingerprinting.

Auch die Herkunft der Seitenbesuche kann durch eine Serverstatistik abgebildet werden. Durch Parameter in den Links und HTTP-Referrer erfährt der Server, woher die Nutzer:innen kommen. Das funktioniert auch bei Links aus (Werbe-)E-Mails oder Social Media oder aus den Suchergebnissen von Suchmaschinen.

Nachteile der Servermethode: Die Customer-Journey vom ersten Klick bis zum Checkout wird nicht eindeutig sichtbar. Auch wiederkehrende Besuche in einem Internetshop, die letztendlich (vielleicht) zum Kauf führen, bleiben unentdeckt.

Es stellt sich aber die Frage, ob wir unsere Arbeitskraft lieber in gutes, kreatives Marketing, gute Produkte und gute Internetseiten stecken sollten, anstatt in Nutzer:innenstatistiken zu wühlen – doch dazu später mehr!

Nutzung der IP-Adressen

Die IP-Adressen sind die Adressen, die Nutzer:innen an den Server senden. Es sind die Adressen ihrer Provider – also eine Kennung ihres Internetzugangs. Diese IP-Adressen werden aus Datenschutzgründen abgeschnitten. Je mehr sie „abgeschnitten“ werden, umso höher ist der Grad der Anonymisierung. Natürlich sind dadurch auch die Nutzungsmöglichkeiten einer IP-Adresse sehr viel beschränkter.

Über die IP-Adressen werden bei Website-Statistiken auch die Regionen ermittelt, aus denen die Besucher kommen. Diese Ergebnisse sind jedoch mit Vorsicht zu genießen: IP-Datenbanken können veraltete Informationen enthalten und VPNs verschleiern die echte IP-Adresse.

Tools für datenschutzfreundliche und serverseitige Statistiken

Inzwischen gibt es verschiedene Anbieter, die mit ihren Analysetools Serverstatistiken auswerten und übersichtlich darstellen können. Die Serverlogs können z. B. durch Matomo, Cloudflare aber auch mittels Google Analytics ausgewertet werden. Google verarbeitet die erhobenen Statistiken jedoch auch für eigene Zwecke und ist daher für datenschutzfreundliches Tracking ungeeignet.

Übrigens: Auch für clientseitige Statistik gibt es Anbieter mit Fokus auf Datenschutz, z. B. Fathom Analytics oder Plausible Analytics. Der Markt wächst und es folgen sicher noch mehr Anbieter.

Zwischenfazit: Lieber eingeschränkt serverbasiert!

Aufgrund blockierender Clients, unbeliebter Cookies und Cookie-Banner scheint eine serverbasierte Website-Statistik der sinnvolle Weg zu sein. Wie weit man dabei Methoden mit digitalen Fingerprints der Nutzer:innen ausreizt, sollte man als Firma für sich selbst in Frage stellen. Wir erwarten, dass auch in diesem Bereich die Datenschützer verstärkt tätig werden und Nutzungsmöglichkeiten einschränken.

Statistiken im Praxiseinsatz. Wirklich genutzt?

LfdA hat als Digitalagentur mit vielen unterschiedlichen Kunden Erfahrung. Natürlich sprechen wir mit allen Kunden auch über Statistiken, denn deren Analyse kann das Angebot und die Website-Inhalte positiv beeinflussen.

In der Praxis werden Statistiken von uns immer wieder für Kunden zur Verfügung gestellt oder geeignete Tools integriert. Unsere Erfahrung ist, dass diese Statistiken in den seltensten Fällen regelmäßig genutzt werden. Sie sind nicht Teil der täglichen Arbeit, sondern eher punktuell gefragt: z.B. vor Budgetverhandlungen für das nächste Jahr oder bei Präsentationen über den Erfolg der eigenen Abteilung. Für diese Zwecke reichen aus unserer Sicht serverseitige Auswertungen von Seitenaufrufen und Besucherzahlen völlig aus. Auch die Auswertung von bestimmten Marketingaktivitäten funktioniert (über Link-Parameter, Landing-Pages und HTTP-Referrer).

Was bestimmt eigentlich die Inhalte einer erfolgreichen Website?

Beispiel: Wenn in einer Firma zu einem Thema besonders viele Anfragen per Telefon oder E-Mail eintreffen, erscheint es sinnvoll, diese Inhalte präsenter und zugänglicher auf der Webseite anzubieten. Für diese Erkenntnis benötigt eine Firma keine Websitestatistik. Vielmehr benötigt man einen Fokus auf die Fragen und Bedürfnisse der Kund:innen. Wenn man wenig verkauft, kann das direkt am Produkt liegen, es kann im Preis begründet sein oder in einem komplizierten Checkout im Shop. All diese Informationen bietet die Website-Statistik nicht. Viel mehr erfährt man über einen intensiven Kundendialog. Das kann z.B. qualitativ orientierte Marktforschung sein – in den meisten Fällen hilft es aber, die eigene Webseite selbst häufig zu benutzen und die Mitarbeiter:innen im Kundenservice zu befragen. Wir empfehlen, die Ohren bei den Kund:innen zu haben, anstatt diese weiterhin mit Cookie-Bannern zu belästigen.

Die ständige Pflege und Aktualisierung der eigenen Website, eine zugängliche, barrierefreie und gut lesbare Website, womöglich mit weitreichenden Funktionalitäten (Web-App), ist aus unserer Sicht sinnvoller als eine ausgefuchste Statistik. Man könnte das auch so sagen: Wenn die Inhalte, die Gestaltung und die Benutzerführung einer Internetseite nicht ausreichend sind, dann wird sie auch weniger zufriedene Besucher haben und (falls dies das Ziel ist) auch weniger Umsatz generieren.

Bevor Sie auf eine Statistik schauen, schauen Sie doch einfach auf Ihren Umsatz und Ihre Kundenzufriedenheit und den Zustand Ihrer Website. Diese Arbeitszeit ist nach unserer Ansicht besser investiert, als der Blick auf ein teilweise unnützes Zahlenwerk.

Fazit

Cookies sind noch nicht tot. Sie werden aber schon bald immer schwieriger einsetzbar. Cookieless-Tracking ist im Trend. Serverbasierte Statistiken reichen für die meisten Fälle. Content und Qualität der Website sollten im Fokus stehen. Nicht zuletzt sollte man immer wieder offene Ohren für Kundenwünsche habe.

Was können Sie tun?

Haben Sie Interesse an serverbasierten Statistiken für Ihre Internetseite? Bei LfdA haben wir auf Kundenwunsch schon viele Cookies gesetzt – es geht aber auch ohne! Und wir stehen Ihnen bei der Umsetzung zur Seite.

Kontakt