Kontaktieren Sie uns direkt unter: +49 89 716 80 24-0 oder info[at]msecure.de

cookies_msecure
27. April 2021

Life without Cookies

„Ich stimme zu“: Der Aufruf von Webseiten ist mittlerweile kaum mehr möglich, ohne zunächst die Zustimmung zu Website Tracking abzugeben (oder eben nicht). Die Bitte um Einwilligung zur Nutzung von Cookies wird häufig begründet mit „Werbung, die auf Ihre Interessen zugeschnitten ist“. In Wahrheit findet beim Aufruf einer Website eine Auktion statt: Werbetreibende zahlen für das Erreichen von Zielpersonen mit einem spezifischen Interessenprofil, und der Meistbietende gewinnt. Der Datenhandel mit Kaufinteressen ist ein milliardenschweres Geschäft, mit Google als Marktführer. Ausgerechnet von dort wird nun das Ende des individuellen Trackings angekündigt.

 

Der Einsatz von Cookies zu Werbezwecken wird von Datenschützern und Behörden seit Längerem kritisch betrachtet; inzwischen werden regulatorische Maßnahmen konsequent durchgesetzt. Auch in der Gesellschaft stoßen Cookies auf wenig Begeisterung. Manche Webseitenbesucher genießen den vermeintlichen Komfort, andere installieren Plug-ins, um der befürchteten Überwachung zu entgehen.

Mit dem Ziel, eine DSGVO-freundliche Alternative zum Cookie zu schaffen, hat Google unlängst einen Feldtest seiner Lösung „Federated Learning of Cohorts“ (FloC) gestartet. Auch in Cupertino wird Datensparsamkeit als Marketingargument entdeckt.

Privacy by App(le)

Im Silicon Valley gilt Apple als Vorreiter in Sachen Privacy. Mit der bereits 2017 eingeführten Intelligent Tracking Protection (ITP) werden die Möglichkeiten der Online-Marktforschung eingeschränkt. So blockiert der Safari-Browser seit dem Update auf ITP 2.1 standardmäßig alle Third-Party-Cookies und löscht First-Party-Cookies nach sieben Tagen. Mit der Aktualisierung auf ITP 2.2 wurde die Lebensspanne der Cookies noch einmal auf 24 Stunden verkürzt.  Als Reaktion der Datensammler unter den Webseitenbetreibern hat sich link 

cookies_apple_msecure
Mit der bereits 2017 eingeführten Intelligent Tracking Protection (ITP), gilt Apple als Vorreiter in Sachen Privacy. Quelle: AdobeStock / ink drop

decoration etabliert, bei der ein Cross-Site-Tracking möglich wird, indem zusätzliche Informationen an die URL-Adresse angehängt werden, die an andere Seiten weitergeleitet werden.  Datenschutzrechtlich ist diese Lösung wie ein Cookie-Tracking zu bewerten; somit müsste der Nutzer informiert und per Opt-in seine Erlaubnis eingeholt werden.

 

Zur Schaffung einer Transparenz im Datenschutz für seine Kunden nimmt der iPhone- und Mac- Anbieter nun auch die im eigenen App Store bereitgestellten Apps zunehmend ins Visier. Durch die zwischengeschaltete Schnittstelle ATT (App Tracking Transparency) wird der Nutzer über eine Trackingabsicht einer App informiert, der Zugriff auf die Werbe-ID blockiert und nur freigegeben, wenn der Nutzer dem Tracking zustimmt. Ebenso müssen Apps im Apple-Store gemäß der neuen Datenschutzetikette offenbaren, welche persönlichen Informationen ausgelesen werden. Aufgrund des Vorgehens von Apple befürchten Vertreter der Werbebranche, dass ein Großteil der Apple-Nutzer die Tracker über die vorgeschaltete Opt-in-Abfrage blockiert und es zusätzlich zu den ohnehin schon befürchteten Verlusten durch den Wegfall des Third-Party-Cookies zu weiteren massiven Umsatzrückgängen kommen wird. Dies gipfelte bereits in einem Rechtsstreit zwischen Apple und einer Interessengemeinschaft aus Epic und Facebook. Das Vorgehen von Apple ruft auch Datenschützer auf den Plan, die zum einen die Initiative befürworten, zum anderen aber auch Nachbesserungsbedarf sehen und sich für den generellen Wegfall einer personalisierbaren Werbe-ID aussprechen. Unerwartete Unterstützung erhält Apple vom Konzernkonkurrenten Google, welcher eine eigene Lösung für eine pseudonymisierte Werbe ID angestrebt.

 

Crowded by FloC

 

Das Konzept hinter Googles Lösung FloC (Federated Learning of Cohorts) ist eine Pseudonymisierung durch die Zuordnung zu einer Interessengruppe (Kohorte). Diese Zuordnung erfolgt auf Basis des Browserverlaufes, wobei eine Mindestgröße der Kohorten von „Tausenden“ vorgesehen ist, was die Pseudonymisierung wirksam machen soll.

Bei FloC wird der Identifikationscode der jeweiligen Kohorte, die dem jeweiligen Surfverhalten entspricht, an die Websites übermittelt. Quelle: AdobeStock / Konstantin Hermann

Im Gegensatz zum Verfahren mit Third-Party-Cookies wird bei FloC nur der Identifikationscode der jeweiligen Kohorte, die dem jeweiligen Surfverhalten entspricht, an die Websites übermittelt. Für die aktuelle Chrome-Version bedeutet das bei einer 50-bit Kohorten-ID, dass eine Differenzierung der Interessengruppen in über 33.000 Kohorten möglich wäre. Google prognostiziert den Werbetreibenden eine Conversion Rate von mindestens 95 Prozent im Vergleich zu den aktuellen Ergebnissen, die mithilfe von eingesetzten Third-Party-Cookies erreicht werden.

Um dem Ziel gerecht zu werden, dass die Kohorten nicht mit Daten, die als besonders schützenswert gelten, in Zusammenhang gebracht werden können, will Google beobachten, welche Kohorten welche Sites besuchen. Damit eine Zuordnung verhindert wird, sollen dann alle Angehörigen einer als sensibel eingestuften Kohorte zu einer leeren Kohorte zugeordnet werden. Der rosa Elefant, an den man nicht denken soll, drängt sich auf.   Wachsender Widerstand und eine Skepsis gegenüber eines befürchteten Informationsmonopols, das Google durch die Kohorten hätte, lassen jedoch noch viele Fragen offen.

 

The Trade Desk is open

 

Mit der Unified ID 2.0 liefert The Trade Desk eine starke Konkurrenz zu Googles Plänen mit FloC. Die Unified ID ist in der Version 1.0 bereits weit verbreitet und The Trade Desk kann sich auf ein großes Netzwerk stützen. Für die Umsetzung des Open-Source-Projektes konnten mit Criteo, Liveramp und Magnite weitere wichtige Partner gewonnen werden. Die neue Version 2.0 der Unified ID basiert auf verschlüsselten E-Mail-Adressen anstelle von Cookies und wird über den Identity Hub von Pubmatic bereitgestellt. Die Unified ID 2.0 hätte somit das Potential, eine skalierbare Alternative zu den Third-Party-Cookies zu sein, ohne eine eventuelle Abhängigkeit von Browser-Entwicklungen oder Google.

 

Ausblick

FloC ist ein erster Schritt in eine interessante Richtung, die auch kritisch hinterfragt werden muss. Man kann wohl davon ausgehen, dass Google zunächst das eigene Geschäftsmodell im Sinn hat. Es bleibt abzuwarten, ob der methodische Ansatz des Trackings lediglich technisch verlagert wird und der Cookie-Konflikt unter anderem Namen fortbesteht.  Internetdienste und Betreiber von Websites haben keinen Einfluss mehr auf die erhobenen Informationen und können FloC aktuell nur in Gänze blockieren.

cookies_google_msecure
FloC muss auch kritisch hinterfragt werden, denn man kann wohl davon ausgehen, dass Google zunächst das eigene Geschäftsmodell im Sinn hat. Quelle: AdobeStock / fotohansel

Der Suchmaschinenbetreiber DuckDuckGo hat bereits angekündigt, das Erheben von Nutzerinformationen über FloC zu unterbinden. Die Entwickler von WordPress und Browsern wie Brave und Vivaldi lehnen Googles Konzept ebenfalls ab und sehen darin sogar ein Sicherheitsrisiko.

 

Der Diskurs um den Einsatz von Cookies und einem personalisierten Tracking wird schärfer geführt werden, auch durch die angebotenen Alternativen wie der Unified ID 2.0. Ebenso ist mit weiterem Widerstand seitens der Endnutzer zu rechnen. Bei einer Abschätzung der Entwicklung wird die Werbe-Branche nicht an einer Neubewertung der eingesetzten Methoden vorbeikommen.

 

Für Webseitenbetreiber bleibt die Empfehlung, Tracking nur dann einzusetzen, wenn es für das Unternehmen notwendig ist und regelmäßig ausgewertet wird. Wer auf seiner Seite Werbung schaltet, sollte kontextbasierten Direktbuchungen den Vorzug geben.

Titelbild Quelle: Adobe Stock / Rutmer

Tags: