Die Zeit um die Jahreswende ist traditionell die Zeit, um zurückzublicken auf das, was gewesen ist und gleichzeitig vorauszuschauen auf das, was uns in naher Zukunft erwarten wird. Ein Thema, welches das Jahr 2021 wie kaum ein anderes geprägt hat, war das vielbeschworene Ende der 3rd-Party-Cookies. Das soll uns Grund genug sein, um an dieser Stelle einen Überblick in drei Teilen zu geben, wie der aktuelle Status Quo aussieht und die kritische Frage zu stellen, wieviel “Personalisierung” der Werbewelt wirklich verloren geht.
Teil 1
Bei einer grundlegenden Annäherung an ein Thema empfiehlt es sich immer, zunächst die essenziellen Begriffe zu erläutern. Ein Cookie ist eine kleine Textdatei, die von einem Webserver bei einem Websitebesuch erstellt wird und vom Webbrowser eines Internetnutzers auf dessen Gerät gespeichert wird. Prinzipiell kann in diesem Cookie jede Information gespeichert werden, die für den Webserver zugänglich ist oder von ihm erzeugt werden kann, z.B. Nutzer-IDs, IP-Adressen, Timestamps, Seitenaufrufe oder Werbemittelkontakte; theoretisch auch Namens-, Kontakt- oder Adressdaten, sofern diese vom Nutzer selbst angegeben wurden. Bei einem späteren erneuten Besuch der Website kann der Webserver die Cookie-Informationen direkt aus dem Browser ablesen. Grundsätzlich gilt, dass nur der Webserver, der das Cookie erzeugt hat, dieses auch wieder auslesen kann.
Abhängig davon, wer ein Cookie setzt, unterscheidet man 1st-Party-Cookies von 3rd-Party-Cookies. Erstere werden von dem Webserver der Domain gesetzt, die auch in der der Adressleiste des Webbrowsers angezeigt wird. Ein 3rd-Party-Cookie hingegen gehört zu einer anderen Domain als der, die in der Adressleiste angezeigt wird. Diese Art von Cookie taucht in der Regel dann auf, wenn Webseiten Inhalte von externen Servern enthalten, z. B. Werbebanner.
Über 3rd-Party-Cookies kann ein Nutzer (bzw. sein Endgerät) über Domaingrenzen hinweg identifiziert und das gesetzte Cookie mit übergreifenden Informationen befüllt werden. Dies eröffnet die Möglichkeit, das Surfverhalten eines Nutzers zu verfolgen und daraus z. B. seine Interessen abzuleiten oder Touchpoint-Daten zu sammeln. Diese Informationen können wiederum für Targetings, Kontaktaussteuerungen, Analysen und Optimierungen zu Werbezwecken nutzbar gemacht werden.
Gemäß Artikel 4.1 der EU-Datenschutz-Grundverordnung (DS-GVO) sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen „personenbezogene Daten“. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie auch einer Online-Kennung identifiziert werden kann. Damit sind sämtliche Cookies als personenbezogene Daten anzusehen, die (sofern nicht technisch zwingend notwendig) nur mit Einwilligung des Nutzers (Consent) erhoben werden dürfen. Diese Regelung allein geht vielen Browser-Anbietern aber nicht weit genug. So haben einige von ihnen, allen voran Apple mit dem Safari-Browser, die Nutzung insbesondere von 3rd-Party-Cookies eingeschränkt bis vollständig unterbunden.
Bei der Bewertung der Auswirkungen der aktuellen Tracking Protections ist zu beachten, dass sich der Marktanteil von Googles Chrome Browser in Europa laut Statcounter auf knapp 59% beläuft (Stand Dez. 2021). Danach folgen Safari mit 21%, Firefox mit 6%, Edge mit 5% und Opera mit 3%. Wenn man die Verteilung für den in Europa immer noch dominierenden Desktop-Traffic betrachtet, dann wächst der Anteil von Chrome sogar auf 66%, der von Edge auf 9% und Firefox auf 8%, während Opera bei 3% verbleibt und Safari auf nur noch knapp 10% sinkt. Kurz zusammengefasst: Bis Google Chrome 2023 nachzieht, sind 3rd-Party-Cookies für den Großteil des Marktes weiterhin verfügbar. Auf der anderen Seite der Medaille steht aber schon jetzt ein Drittel des Marktes, das über 3rd-Party-Cookies kaum bis gar nicht mehr erreichbar ist.
Teil 2
Das Cookie ist tot – es lebe das Cookie.
Die im vergangenen Jahr vorrangig diskutierte Ersatzlösung für 3rd-Party-Cookies sind 1st-Party-Cookies, genauer gesagt das Durchreichen von Tracking-Informationen des Webservers der eigentlichen Domain an domainfremde Server wie z.B. Adserver. Diese setzen somit nicht mehr selbst ihre Cookies, sondern erhalten ihre Daten auf einer Server-zu-Server-Basis direkt aus den 1st-Party-Daten des Webservers.
Der Vorteil dieser Lösung besteht darin, dass domainfremde Webserver trotzdem noch Informationen z. B. über wiederkehrende Nutzer erhalten können und dass der Website-Betreiber selbst mehr Kontrolle darüber hat, wie mit der Privatsphäre der Nutzer auf seiner Seite umgegangen wird. Der Nachteil besteht darin, dass dies mit dieser Vorgehensweise nicht websiteübergreifend möglich ist, denn wir erinnern uns: Nur wer ein Cookie gesetzt hat, kann es auch lesen. Ergo sind die Informationen, die ein 1st-Party-Cookie enthält, systemimmanent auf die dazugehörige Domain beschränkt.
Ohne 3rd-Party-Cookies ist das übergreifende Tracking also deutlich erschwert. Die Technologieanbieter müssen folglich auf Alternativen zurückgreifen, um Nutzer über Domaingrenzen hinweg identifizierbar zu machen. Derer gibt es im Großen und Ganzen zwei:
- Erfassung einer persistenten ID, die auf allen Websites gleich ist, um einen Nutzer wiederzuerkennen.
- Erfassung von individuellen Informationen zwecks einer probabilistischen Identifikation eines einzelnen Nutzers.
E-Mail-Adresse auch um denselben Nutzer handelt. Davon profitieren natürlich die großen Plattformen wie Amazon, Google, Facebook & Co., die innerhalb ihrer eigenen Properties weitgehend einheitliche LogIns etabliert haben. Durch Lösungen wie „Login mit Facebook / Google“ auf externen Websites steigt die Reichweite dieser LogIn-Daten noch weiter an. Als Gegenwicht zu den GAFAs entstehen aber auch an anderer Stelle LogIn-Netzwerke, wie z.B. die NetID Initiative von UIM, die ihre große LogIn-Datenbank (im Großteil über GMX und web.de generiert) nutzbar machen, um mit anderen Publishern und Technologieanbietern eine möglichst große Targeting-Reichweite basierend auf der NetID zu etablieren.
Beim probabilistischen Targeting als anderer Option erfolgt die Identifizierung von einzelnen Nutzern anhand von Systeminformationen, die für die jeweilige Konstellation eindeutig sind (Fingerprinting). Dabei kann es sich z. B. um Spracheinstellungen, installierte Schriftarten oder ähnliche Merkmale handeln, die direkt aus dem Browser gelesen werden können. Es wird also bei wiederkehrenden Kontakten eine Wahrscheinlichkeit berechnet, mit der es sich um denselben Nutzer handelt. Je nach Anbieter schwankt die Erkennungsgenauigkeit dabei zwischen 70 und 96%.
Durch die Kombination von 1st-Party-Daten, LogIn-Daten und probabilistischen Ansätzen entsteht eine vergleichsweise große Targeting-Reichweite, die auch nach dem Sunset der 3rd-Party-Cookies Bestand haben kann. Darüber hinaus gibt es noch eine Reihe weiterer „Workarounds“ z. B. über die Nutzung von Local Storage, “ETags, JSON Web Tokes, Hidden Form Fields” oder “Identifier For Advertisers (IDFA)” uvm., um einzelne Nutzer oder Endgeräte zu identifizieren. Allerdings zeichnen sich bei vielen dieser „Alternativlösungen“ bereits Gegenmaßnahmen der Browser-Betreiber ab, insbesondere die Nutzung der eigenen IDFA hat Apple in den letzten Monaten massiv eingeschränkt. Auch der Einsatz von 1st Party-Cookies wird von Firefox und Safari bereits beschränkt.
Selbst der scheinbar heilige Gral der LogIn-Daten wird in einem zunächst nur geringen Umfang bedroht. Mit Hide My Email hat Apple iOS 15 um eine Funktion erweitert, die bei der Einrichtung eines neue Account-LogIns automatisch zufällige E-Mail-Adressen generiert, die dafür genutzt werden können. Alle dort eingehenden E-Mails werden von Apple an die richtige Adresse weitergeleitet, der Nutzer kann aber nicht mehr anhand einer gleichbleibenden E-Mail-Adresse übergreifend identifiziert werden. Ob dieses, derzeit noch an ein zahlungspflichtiges Cloud+ Abo gekoppelte Feature relevante Auswirkungen haben wird, erscheint allerdings fraglich.
Im Gegensatz zu Apple, wo die Konzernumsätze nicht vorrangig aus der Vermarktung digitaler Werbung generiert werden, hat Google sehr wohl ein Interesse daran, ein übergreifendes Nutzer-Targeting auch künftig zu ermöglichen. Der derzeit noch unfertig anmutende Ads Data Hub soll das Matching von 1st-Party-Data und Google Data ermöglichen, um darüber ganzheitlichere Auswertungen fahren zu können. Abseits dessen wurde der ebenfalls von Google im Rahmen der Privacy Sandbox entwickelte Ansatz des Federated Learning of Cohorts (FLoC) im vergangenen Jahr heftig, teilweise mit grundlegenden Verständnisfehlern, diskutiert. Im Kern soll der FloC-Machine-Learning-Algorithmus Nutzer auf der Grundlage ihrer Web-Browsing-Aktivitäten zu Kohorten zusammenfassen. Der (Chrome) Browser soll dann die FLoC-Technologie nutzen, um zu ermitteln, welche Kohorte am ehesten dem jüngsten Web-Browsing-Verlauf entspricht und den Nutzer genau einer Kohorte zuweisen. Diese kann dann über die Google Werbeplattformen werblich adressiert werden.
Teil 3
Was bedeutet das alles für Werbetreibende? Wird es dunkel am Horizont?
Es ist nicht von der Hand zu weisen, dass durch den allmählichen Cookie Sunset einige Maßnahmen im Kontext des digitalen Marketings in ihren Genauigkeiten und Reichweiten eingeschränkt werden. Dazu zählen:
- Erfassungen von Surfverhalten und Ableitungen von Interessen zur Personalisierung von Webinhalten und Werbeanzeigen für Nutzer(-gruppen)
- Retargeting-Maßnahmen inkl. der Kontrolle von Kontakthäufigkeiten (Frequency Capping)
- Erfassungen von Werbemittelkontakten zur Ermittlung der kanal- und plattformübergreifenden Werbewirkung (Attribution)
Das heißt aber keineswegs, dass die Möglichkeiten des digitalen Marketings erschöpft wären. Selbst wenn an einigen Stellen weniger Daten zur Verfügung stehen, können auch diese noch wertvolle Erkenntnisse liefern, die dann wiederum auf die Gesamtheit hochgerechnet werden können. Personalisierung und Kontaktdosissteuerung wird weiterhin zumindest innerhalb einer Plattform / eines Netzwerkes möglich sein, und kontextuelles Targeting stellt einen adäquaten Ersatz für interessenbasiertes Targeting dar, welches ja ohnehin zumeist nur aus dem gesehenen Content abgeleitet ist und nicht selten aufgrund des fehlenden Bezugs zur aktuellen Nutzungssituation eher schlechter performt als direktes kontextuelles Targeting. Relevanter Content wird also auf künftig seinen Weg zu den richtigen Zielgruppen finden können.
Wenn wir uns dem Thema Cookies, Fingerprinting, Kohorten und allen anderen Arten des nutzerbasierten Targetings und Tracking mal von einer grundsätzlichen Seite annähern, kommt aber noch ein weiterer Aspekt hinzu. So ist Googles FloC in Europa bis heute nicht gestartet. Die Gründe dafür sind sehr wahrscheinlich datenschutzrechtlicher Natur, denn auch die Zuordnung zu einer Kohorte erfordert eine Online-Kennung, und wir erinnern uns erneut: Die DS-GVO erklärt nicht ausschließlich Cookies zu personenbezogenen Daten, sondern alle Formen von Online-Kennungen. Und das ist etwas, das nahezu alle vorgenannten Maßnahmen im Kern ihres Wesens mit dem Geist der DS-GVO in eine Konfliktlinie führt. Die Rechtsprechung zielt darauf ab, den Menschen im digitalen Raum nicht zu einer Handelsware werden zu lassen. Das digitale Marketing lebt aber genau von dieser. Vielleicht ist es an der Zeit, auch als Digitalmarketer mal in eine ganz andere Zukunft zu denken, in der die Nutzer vollständige Hoheit über ihre Daten haben, und diese über zentrale Personal Online Data Stores (PODS) nur denjenigen bereitstellen, die ihnen einen Mehrwert bieten können. Dazu aber an anderer Stelle mehr.