Cookies sind dafür da, um Einstellungen der Web Page, Login Daten und Waren im Warenkorb zu speichern. Auch sind sie seit vielen Jahren die Basis für die Werbung im Web, für das Targeting, Retargeting, Tracking und die Attribution. Hier ist eine Liste mit den üblichen Browsern und wie sie mit First- und Third-Party Cookies umgehen.
Um User im Netz zu erkennen, und ihnen ein eigenes Erlebnis beim browsen zu bieten, werden Cookies benutzt. Auch bleiben sie da, nachdem der User die Web Page verlassen hat. Sie sind der Grund, dass dem User ein persönliches und konstantes Erlebnis geboten wird. Für viele ist das ganz normal.
Aber da mehr und mehr Leute auf die Probleme im Datenschutz aufmerksam werden, scheint ihre Zeit vorbei zu sein. Gesetze, wie die DSGVO der EU oder ePrivacy, und auch die Browser selbst, haben einen Einfluss, wie der Umgang mit Cookies ist.
Mit der Zeit haben Browser neue Funktionen zum Schutz der Daten gemacht. Das gibt den Usern mehr Auswahl und Kontrolle bei der Werbung im Netz. Aber wohl auch, damit sie selbst besser bei dem Datenschutz dastehen.
Bei den Browsern gibt es hier Unterschiede. Bei manchen kann der User Third-Party Cookies blocken, die für den Zweck der Werbung da sind. Andere gehen sogar gegen First-Party Cookies vor. Die sind eher für ein gutes Erlebnis da, können aber auch zum Tracking genutzt werden.
Hier ist eine Liste mit beliebten Browsern und der Erklärung, wie sie mit First- und Third-Party Cookies umgehen.
Erst mal klären wir, was der Unterschied von First-Party und Third-Party Cookies ist. Dann sehen wir uns an, wie die Browser damit umgehen.
First-Party Cookies: Gehen Sie auf eine Web Page, wird von der Domain dieser Cookie gesetzt. Er hilft dabei, ein gutes Erlebnis für die User zu bieten. Zum Beispiel speichert er die Sprache, die auf der Web Page gewählt wird.
Third-Party Cookies: Diese werden von Domains gesetzt, auf der Sie grade nicht sind. Üblich werden sie für Werbung im Web genutzt.
Jetzt sehen wir uns an, wie der Umgang von First- und Third-Party Cookies der Browser ist, und was dies für AdTech heißt.
Google Chrome ist der mit Abstand meist genutzt Browser. Sein Anteil am Markt ist gut 62%. Auf Platz zwei folgt Safari von Apple mit grade einmal ca. 16% Anteil.
Ändert Chrome den Umgang mit Cookies, wird das die größte Wirkung auf die AdTech Branche haben. Er ist schließlich der Browser, der auf den Geräten am meisten genutzt wird. Das schließt auch mobile Geräte mit ein.
Chrome bietet sehr klare Einstellungen für den Schutz der Daten. Aber die sind versteckt in dem Menü des Browsers.
Die werden nicht direkt von Chrome geblockt. Aber der User kann sie löschen. Dann werden sowohl First-Party, als auch Third-Party Cookies gelöscht.
Diese werden auch nicht direkt von Chrome geblockt. Dies kann aber im Menü gemacht werden. Das geht in Einstellungen > Erweitert > Seiten-Einstellungen > Cookies. Dann setzt man Third-Party Cookies blocken auf Ein.
Chrome blockt Third-Party Cookies nicht als Standard.
First- und Third-Party Cookies können gelöscht werden, wenn der User das will. Im Mai 2019 hat Google gesagt, dass sie Änderungen beim Erstellen von Cookies machen würden. Das macht es Usern möglich, mehr Kontrolle über das Erstellen von Cookies zu geben.
Mit dem Feature können Third-Party Cookies geblockt und gelöscht werden. Die First-Party Cookies bleiben aber bestehen.
Am 14. Januar 2020 hat Google Chrome gesagt, dass der Support für Third-Party Cookies im Jahr 2022 enden würde.
Danach wurde das Datum aber um 2 Jahre verschoben. Der Support für Third-Party Cookies soll jetzt ab Mitte des Jahres 2023 enden.
Der Plan von Chrome ist, eine Privacy Sandbox zu machen. Die soll Third-Party Cookies bei der Auswahl und Messung von Werbung ersetzen. Das ist ein offener Anstoß bei dem Google hofft, dass es für Werbung der neue Standard wird.
Googles Anteil bei den Browsern ist groß. Daher wird das neue Feature zum Schutz der Daten mehr Wirkung auf die Werbung im Web haben, als dies bei anderen Browsern der Fall ist.
Dabei ist zu bemerken, dass die Features für den Datenschutz bei Chrome nicht so hoch sind, wie das bei Safari oder Tor ist. Der Grund dafür ist schnell zu finden. Denn der Erlös von Google kommt fast nur von der Werbung (86%).
Außerhalb von seinem geschlossenen System setzt Google, wie auch Facebook und Amazon, auf fast jede programmatische Auktion im Web ein Gebot ab.
Die anderen Browser, wie Firefox und Safari, blocken Third-Party Cookies direkt. Wenn Chrome dies auch tut, ist es das Ende für Behavioral Targeting, Retargeting, Frequency Capping und der Synchronisation von Cookies.
Das wird eine große Wirkung auf AdTech haben.
Apple brachte im September 2017 für Safari 11 die Intelligent Tracking Prevention (ITP) 1.0 heraus. Es ist eine Funktion zum Schutz der Daten, und setzte den Start im Kampf gegen Cookies von Apple. Apples Gewinn kommt nicht von Werbung. So ist es für sie leicht, strenge Cookie Regeln zu machen. Und sie können sich als Firma so darstellen, dass sie für den Datenschutz der User sind.
Das ITP kann als Schritt in Richtung der Verbraucher gesehen werden. Aber es ist auch ein Hieb in Richtung von Google und anderen AdTech Firmen. Denn es verringert den Ertrag durch die Werbung.
Retargeting Plattformen wie Criteo werden durch Features wie die ITP und einer geringeren Nutzung von Third-Party Cookies eine Auswirkung erfahren. In den letzten neun Monaten des Jahres 2018 fiel der Kurs der Aktie von Criteo um über die Hälfte wegen der ITP von Apple.
Also werden Firmen wie Criteo durch die Beschränkungen bei dem Tracking von Usern weniger Effektiv. Auch sind sie dann aus geschäftlicher Sicht weniger Attraktiv.
Seit ITP 2.1 lernt das System von selbst, dass es First-Party Cookies erkennt, die auch für das Tracking genutzt werden. Dann blockt es diese. Mit der Storage Access API können User aber gebeten werden, dass Cookies genutzt werden dürfen.
Nach sieben Tagen verfallen Cookies, die durch die JavaScript document.cookie API erstellt wurden. Das zählt auch für First-Party Cookies für die Webanalyse. Und es ist egal, welches Ablaufdatum die Cookies gehabt hätten. Werden Cookies über die HTTP Antwort erstellt, kann Javascript auf sie zugreifen. Es sei denn, sie haben das HttpOnly-Flag.
Schon bevor es ITP gab, hat Safari Third-Party Cookies direkt geblockt. Für die AdTech Branche hatte es große Auswirkungen, wie Safari First- und Third-Party Cookies verwaltet.
Es hat einen Grund, warum als Name Intelligent Tracking Prevention, und nicht Intelligent Cookie Prevention gewählt wurde. Die ITP nutzte den sogenannten „Machine-learning Classifier“ bis Version 2.0. Es sagte voraus, welche Domains Cross-Site Tracking fähig waren und partitionierte die Cookies sofort. Diese Cookies werden von Safari nicht mehr genutzt. Third-Party Cookies beschränken sich auf die Storage Access API, um irgendeine Art von Zugriff zu kriegen. Das gilt sowohl für Zwecke des Trackings und nicht-Trackings.
Safari löscht mit ITP Analytics Cookies schon nach sieben Tagen. Sonst waren sie zwei Jahre gültig. Außer, sie wurden vorher gelöscht. Das hat für Publisher, Marketer und Anbieter der AdTech Branche direkte Folgen.
ITP 1.0 und 1.1 hatten keine große Wirkung auf Firmen wie Google, Facebook und Amazon. Das hat sich mit ITP 2.0, 2.1 und 2.2 aber geändert.
Safari erlaubt es nicht, dass Login Widgets von Third-Partys Cookies auf dem Gerät des Users gespeichert werden. Dafür brauchen sie den Consent von der Storage Access API. Das hat aber einen Nachteil. Denn die Nutzbarkeit leidet damit.
Safari blockt Third-Party Cookies direkt. So können Werbetreibende kein gutes Management und Verwaltung von Ad-Frequency machen. Auch das Retargeting und View-Through Attribution ist so nicht richtig möglich.
User von Safari können also immer noch Ads sehen. Die sind aber irrelevant oder schlecht getargeted. Dazu werden sie auch zu oft gezeigt.
ITP 2.2 schränkt die Conversion Attribution ein, wenn die Domain Cross-Site Tracking nutzt. Das geschieht über die so genannte Link Decoration.
Ein Beispiel ist, dass der User von einer Domain wie Facebook oder Google über eine URL kommt. Die URL kann extra Parameter der Abfrage enthalten. Das ist das, was nach dem „?“ in der Adresse folgt oder Hash-Fragmente, die nach dem „#“ kommen. Dann laufen alle JavaScript Cookies nach 24 Stunden ab, die auf der Seite per document.cookie gesetzt wurden. Das verkürzt die Look Back dauer.
Der Feinschliff des Marketings wird für die Attribution zu hoch berechnet. Das erhöht das Risiko für zu viele Ausgaben auf Kanälen, die nicht gut sind.
Seit ITP 2.1 löscht Safari First-Party Cookies von Web Analytics und anderen MarTech Tools nach sieben Tagen. Mit ITP 2.2 kann dies sogar nach 24 Stunden der Fall sein.
Das macht View-Through Attribution und gute Analyse aus der Sicht von Marketers nicht möglich. Die Clickstream Data der User ist nach einem oder sieben Tagen weg. So ist die Customer Journey nicht ein Teil und wird in den meisten Analytics Tools schlecht gezeigt. Die Zahl an einzigartigen Besuchern wird von Analytics Tools durch ITP nicht richtig gezeigt. Sie werden künstlich erhöht.
Firefox ist ein Browser auf Open-Source Basis. Er wurde von Mozilla gemacht. Auf der Welt ist er einer der meist genutzten Browser.
Mit Firefox 65 kamen im Januar 2019 ein paar neue Einstellungen für den Schutz von Daten.
So gibt der Browser den Usern 3 Optionen, wie der Umgang mit Cookies sein soll. Das sind Standard, Streng und Custom.
• Standard: Es blockte bekannte Third-Party Tracker nur im privaten Modus. Mit Firefox 69, der im September 2019 rauskam, gilt dies für den normalen und den privaten Modus. Der Test fand im Juni 2019 statt. So gilt die Enhanced Tracking Protection für alle User. Es blockt die Third-Party Tracker und Cryptominer. Das basiert auf der disconnect.me Liste.
• Streng: Damit werden alle bekannten Tracker, Third-Party Tracker, Cryptominer und Fingerabdrücke in jedem Fenster geblockt. Manche Web Pages laufen hiermit nicht richtig.
• Custom: So kann der User selbst wählen, wie genau der Schutz der Daten sein soll. Auch hier können manche Web Pages nicht richtig laufen.
Wird Firefox installiert, ist Standard aktiv. Das ändern von ihr braucht extra Schritte. Daher ist es nicht wahrscheinlich, dass viele User auf Streng oder Custom wechseln.
Die Einstellungen können über den Schild in der Adresse erreicht werden. Dort sieht man auch, welche Tracker auf der Web Page aktiv sind. Dazu klickt man auf den Pfeil rechts neben den Cookies.
Dann klickt man auf das Zahnrad rechts von Content Blocking. Dann gelangt der User zu den Erweiterten Blocking Einstellungen.
Mit Firefox 55 kam das Feature zum Isolieren von First-Party Cookies. Es verhindert das Cross-Domain Tracking. Viele kannten das Feature aber nicht. Ist es aktiv, werden First-Party Cookies von Web Page zu Web Page isoliert. So können sie nicht im Third-Party Kontext genutzt werden.
Das Feature ist nicht direkt aktiv. First-Party Cookies werden auch nicht direkt geblockt. Denn es ist bekannt, dass Web Pages nicht mehr richtig laufen, wenn es aktiv ist. Dazu wirkt es sich auf Systeme aus, die für das bestätigen der Echtheit da sind. Das wirkt sich auf das Erlebnis der User beim Browsen aus.
Auf eigenes Risiko können User von Firefox das Feature nutzen. Dazu schreibt man about:config in die Adresszeile. So kommt man zu den erweiterten Einstellungen und kann dort privacy.firstparty.isolate ändern. Als Standard steht es auf false:
Die Einstellung für privacy.firstparty.isolate ist false.
Der Private Browsing Modus von Safari ist sehr ähnlich. Jeder Tab ist isoliert von den anderen. Das heißt, dass die Web Page Sie nicht tracken kann, wenn Sie den nächsten Private Browsing Tab öffnen.
Seit Juni 2019 blockt Firefox Third-Party Cookies als Standard.
Davor wurden nur bekannte Tracker in privaten Tabs geblockt.
Die Einstellung kann im Drop-Down Menü des Browsers angepasst werden.
Dabei gibt es drei Stufen. Es können alle Cookies von Web Pages geblockt werden, die nicht besucht werden. Es können alle Third-Party Cookies oder sogar alle Cookies, auch First-Party, geblockt werden. Die letzten zwei Einstellungen können dazu führen, dass Web Pages nicht richtig oder gar nicht laufen.
Die Cookie Einstellungen in Firefox
Firefox 63 kam am 23. Oktober 2018 heraus: Content Blocking wird möglich. Es erlaubt Usern, Third-Party Cookies und bekannte Tracker zu blocken. Daraus wurde ETP in Firefox 70.
Firefox 65 kam am 29. Januar 2019 heraus: Jetzt gibt es drei Modi für den Schutz der Daten bei der ETP. Das sind Standard, Streng und Custom. Standard hat erst nur Third-Party Tracker im privaten Modus geblockt.
Firefox 69 kam am 3. September 2019 heraus: Der Standard Modus von ETP blockt jetzt direkt Third-Party Cookies und Cryptominer im normalen und privaten Modus. Der Strenge Modus blockt den Fingerabdruck des Geräts.
Firefox 70 kam am 22. Oktober 2019 heraus: Bei dem Standard Modus kommt die Social Tracking Prevention dazu. Es stoppt Social Media Seiten, wie Facebook, Twitter und LinkedIn, vom Tracken der User über Web Pages hinaus.
Firefox 72 kam am 7. Januar 2020 heraus: Skripte zum erstellen von Fingerabdrücken der Geräte werden in allen Modi des ETP geblockt.
Facebook Container vom 27. März 2020: Es stoppt Facebook vom Tracken und dem Sammeln von Data der User, wenn diese auf anderen Seiten als Facebook sind. Die Facebook Identität wird vom Rest der Aktivität im Browser isoliert.
ETP 2.0 kam am 4. August 2020 heraus: ETP 2.0 stärkt die Privatsphäre der User. Das tut es, indem es prüft, ob Cookies und Data der Seite, die von Redirect Diensten kommt, gelöscht werden muss. Data, die von bekannten Trackern kommt, wird in 24 Stunden gelöscht.
Weil AdTech Firmen Umwege nutzten, um User Data zu sammeln, wurde dies gemacht. Es ist ähnlich wie das ITP von Safari. Es wurde aus dem Selben Grund gemacht.
Hier ist ein Diagramm das zeigt, wie ein Redirect Dienst läuft:
Der Standard Modus von Firefox blockt Third-Party Cookies direkt. Auch stoppt es viele Arten des Trackings zum Zweck der Werbung.
Dieser Standard Modus hat große und schlechte Wirkungen auf alle Firmen, die im Web Werbung und Marketing machen. Denn das Behavioral Ad Targeting, Frequency Capping, Measurement und Attribution wird so viel schwerer werden.
Wird dazu noch das Feature zur First-Party Isolation auf aktiv gesetzt, endet das Tracken der User schon auf der Domain. Das Feature ist aber nicht direkt aktiv. Für AdTech und MarTech ist es also viel schwerer, User über viele Web Pages hinweg zu tracken.
Der IE ist der alte Browser von Microsoft. Er wird kaum noch genutzt. Der Anteil am Markt ist ca. 2,5%. Selbst Microsoft sagt den Usern, sie sollen lieber Edge, anstelle des IE nutzen.
IE blockt First-Party Cookies nicht als Standard. Der Browser blockt sie nur, wenn zum Beispiel eine Web Page keine Richtlinie zum Schutz der Daten hat. Dies geschah durch das P3P Protokoll, welches nicht mehr genutzt wird.
Als Standard werden manche Third-Party Cookies geblockt. Das ist dank der Tracking Protection Liste möglich.
Die Seiten, die auf der Liste sind, dürfen keine Cookies (Tracker) im Browser setzen. Es ist aber zu bemerken, dass IE eine Software mit Closed-Source ist. Daher weiß niemand, wie Microsoft sich selbst überwacht.
IE nutzt nicht die gleichen, neuen Funktionen für das Blocken von Cookies wie andere Browser. Das blocken von Cookies ist auch nicht wirklich spürbar. So ist die Wirkung auf AdTech gering.
Edge ist auch von Microsoft und ist der neue, schnelle Bruder des IE. Edge Chromium hat einen starken Fokus auf den Schutz der Daten der User, denn er kann Tracker blocken.
Edge Chromium, Chrome, Opera und viele mehr nutzen das Open-Source Chromium Projekt. Deshalb sehen sie alle sehr gleich aus.
In dem Browser gibt es auch eine Seite für die Einstellungen für den Schutz von Daten. Hier gibt es wie bei Firefox drei Modi. Das sind Uneingeschränkt, ausgewogen und streng. Das ändern von diesen wirkt sich darauf aus, wie der Browser mit Cookies umgeht.
Edge erlaubt als Standard alle First-Party Cookies, wie viele Browser auch.
Auch diese werden nicht direkt von Edge geblockt. Selbst die beste Funktion des IE, die Tracking Prevention, gibt es in Edge nicht.
Die Funktion des IE fußte auf einer Liste, auf der Web Pages standen. Die waren bekannt dafür, DNT Anfragen nicht zu beachten oder sonst die Privatsphäre zu verletzen. Dann wurden die Anfragen zu der Data geblockt.
Edge sendet zwar DNTs, diese werden aber im Web oft nicht beachtet. Das heißt, dass Web Pages ihre Infos für den Zweck des Trackings weitergeben könnten.
Selbst in dem privaten Modus gibt es keine Tracking Protection.
Edge hat eine Funktion, die Third-Party Cookies blocken soll. Belgische Forscher fanden heraus, dass diese aber Lücken hat. Bei anderen Browsern ist dies aber auch der Fall.
Opera kommt aus China von der Opera AG. Die Rendering Engine ist die gleiche, wie bei Chrome und Edge. So ist das Interface ähnlich, aber Opera hat Funktionen, die es einmalig machen.
Viele von diesen Funktionen machen es den Usern möglich, den Browser auf ihre Nöte des Datenschutzes passend zu machen. Dazu gehören zum Beispiel VPN und Cookie Blocking als Standard.
Opera erlaubt diese alle direkt. Dies kann geändert werden. Es ist aber nicht ratsam und es kann sein, dass Web Pages nicht richtig laufen.
Auch diese werden nicht direkt von Opera geblockt.
In den erweiterten Einstellungen kann dies aber geändert werden. Unter Datenschutz und Sicherheit > Content Einstellungen > Cookies > Block Third-Party Cookies können sie geblockt werden.
Opera bringt auch ein VPN mit. Das ist für die Leute gut, die sich über das Tracking und Third-Party Cookies sorgen machen. Man kann es nutzen, indem man im Menü > Einstellungen > Datenschutz > VPN aktiv stellt. In der Adressleiste erscheint ein Icon. Mit ihm stellt man das VPN Ein und Aus.
Das VPN ändert die IP zu einer virtuellen. Das macht es Web Pages schwer, ihren Ort zu finden und den PC zu erkennen. Viele Tracking Cookies werden so auch geblockt.
Dafür gibt es aber auch einen privaten Modus. Dann werden alle Cookies direkt am Ende der Sitzung gelöscht.
Um AdTech Anbieter und Data Firmen zu stoppen, den User zu erkennen und ihn im Web zu folgen, gibt es ein paar Optionen. Die meisten Browser machen es möglich, die Daten zu schützen.
Dann sollte man Firefox wählen. Es hat von Haus aus Ad-Blocker und Funktionen, dass Tracking zu stoppen. So sind User im Web recht sicher. Safari kann das zwar auch, ist aber nur für Apple Produkte da. Der Tor Browser hat auch einen guten Schutz der Privatsphäre. Aber für den normalen Internet User ist er nichts. Denn das Erlebnis des Users wird von ihm gestört.
Eine Studie aus dem Jahr 2018 besagt, dass alle beliebten Browser auf dem Markt es nicht schaffen, Cookies für bestimmte Redirects zu blocken. Dabei ist es egal, was die Einstellungen sagen.
Ein Bild aus der Studie über die Nutzung von Third-Party Cookies in beliebten Browsern. Die beliebten Browser nutzen Cookies in allen Anfragen.
• Schwarzer Kreis: Anfrage wird von der Seite geschickt, der Cookie wird gesetzt.
• Halbkreis: Anfrage wird geschickt, Cookie wird nicht gesetzt.
• Weißer Kreis: Anfrage wird geblockt, Cookie wird auch nicht gesetzt.
Die Schwachstellen in Browsern und Probleme beim blocken von Third-Party Cookies finden Sie auf wholeftopenthecookiejar.com. Dort gibt es die Studie dazu.
Das blocken von Third-Party Cookies in Browsern kann einem als Schutz der Daten verkauft werden. Am Ende stärkt es aber nur die Dominanz des so genannten Walled Gardens. Große Ad-Tech Firmen, die gute First-Party Beziehungen haben.
Dazu gibt es noch das Paradox des Datenschutzes. Das ist die Diskrepanz zwischen dem Bedenken zum Schutz der Daten und dem Verhalten im Netz. Seit der DSGVO wird viel darüber geredet. Aber User im Web gehen keinen extra Schritt, um ihre Data wirklich zu schützen.
Sie nutzen lieber die Einstellungen, die als Standard gesetzt sind, wenn sie im Web browsen. Das wäre so, als ginge man nackt durch die Stadt.