Der 3rd-Party-Cookie ist tot, es lebe…?
Zielgerichtete digitale Werbung — ermöglicht durch Cookies, Tracking und Targeting — galt lange als Garant für höhere Preise. Doch das muss aufgrund veränderter rechtlicher und technischer Rahmenbedingungen jetzt grundlegend neu gedacht werden.
Das 3rd-Party-Cookie als Basis für datengetriebene digitale Werbung geht nach der Ankündigung von Google vom 14. Januar 2020 spätestens 2022 in den Ruhestand. Digitale Werbung war und ist bis jetzt untrennbar mit dem 3rd-Party-Cookie verbunden. Mit Hilfe von 3rd-Party-Cookies werden Nutzer — in der Regel mittels pseudonymer Cookie-IDs — über Website-Grenzen hinweg im Internet erkannt. Durch Auswertung des Surfverhaltens können Interessenprofile einzelner Nutzer erstellt werden und mittels “Programmatic Advertising” kann dann eine automatisierte und personalisierte Preisfestsetzung für Werbung geschehen. Doch genau das wird sich jetzt ändern. Laut einer Studie von Google besteht für Publisher die Gefahr, 52% ihrer Werbeumsätze zu verlieren, wenn die Aussteuerung von Werbung nicht mehr mittels 3rd-Party-Cookies personalisiert erfolgen kann. Für Nachrichten-Publisher sagt die Studie sogar einen Verlust von 64% voraus.
Der Abschied vom 3rd-Party-Cookie ist ein Abschied auf Raten, der schon in vollem Gang ist. Über einen längeren Zeitraum, kaum merklich für den Endnutzer, hatten sich nach und nach alle gängigen Browser entschieden, Tracking immer mehr einzuschränken und dem wachsenden Bedürfnis der Nutzer sowie den Vorgaben der Politik nach einem besseren Schutz der Privatsphäre nachzukommen. Sowohl die Adtech Firmen als auch die meisten Publisher haben diese Entwicklung bis ins zweite Halbjahr 2019 überwiegend ignoriert. Auch wenn es die wenigsten wahrhaben wollten, so ist cookiebasierte Werbung schon heute nur noch bei 45% der Nutzer möglich.
Mit der Ankündigung von Google wird das 3rd-Party-Cookie innerhalb der nächsten zwei Jahre Geschichte und ein weiteres Ignorieren der Entwicklung ist nun definitiv nicht mehr möglich. Dabei betreffen die angekündigten Maßnahmen nicht nur die Werbung selbst, sondern auch Reichweitenmessung, Analytics, Attribution, Fraud-Prevention und vieles mehr.
Dabei ist das Thema “Datenschutz im Browser” keinesfalls neu, wie eine Betrachtung der vergangenen 10 Jahre zeigt:
- Schon 2012 gab es eine prominente Auseinandersetzung zwischen Safari-Hersteller Apple und Google die mit einer Strafzahlung von $22.5 Mio für Google endete.
- In den Jahren darauf wurde es um das Thema erst einmal wieder ruhig, doch nicht zuletzt die europäischen Gesetzgebungsprozesse um DSGVO und ePrivacy-Verordnung führten dazu, dass das Thema Datenschutz vom Browser-Markt wieder verstärkt aufgenommen wurde.
- So kam 2016 der explizit auf Datenschutz and Adblocking ausgelegte Browser Brave auf den Markt und insbesondere Apple setzte sich mit seinem hauseigenen Browser Safari an die Spitze der Privacy-Bewegung.
- Im Juli 2017 führte Safari die sogenannte “Intelligent Tracking Protection” (ITP) ein, was dazu führte, dass Tracking-Cookies algorithmisch erkannt und automatisch nach 30 Tagen gelöscht wurden.
- Im Jahr 2018 folgten weitere Verschärfungen von ITP wie z.B. eine noch stärkere Einschränkung von 3rd-Party-Cookies, das Unterbinden von Redirect-Kette oder die Kürzung der übertragenen Referrer-Information bei Tracking-Aufrufen.
Der Wendepunkt in Sachen Browser-Datenschutz wurde schließlich im vergangenen Jahr 2019 erreicht. Zunächst gab es auf juristischer Seite sehr viel Bewegung: Die Datenschutz-Konferenz DSK (der Zusammenschluss der Deutschen Datenschutzaufsichtsbehörden) beschrieb in mehreren Veröffentlichungen, dass ihrer Ansicht nach für das Setzen nicht absolut erforderlicher Cookies eine Einwilligung notwendig ist. Der EuGH stellte in einem richtungsweisenden Urteil (“Planet49”) klar, dass eine Cookie-Einwilligung nur wirksam ist, wenn sie aktiv erteilt wurde. Vorausgefüllte Checkboxen stellen demnach keine wirksame Einwilligung dar. Wie das EuGH-Urteil in den deutschen Rechtsrahmen zu integrieren ist, wird am 28. Mai 2020 vom BGH verkündet.
In der Praxis nahmen die Browser-Hersteller den juristischen Entwicklungen im Jahr 2019 vieles vorweg und schufen Fakten: Alle verbreiteten Browser außer Google Chrome blocken mit Stand Januar 2020 standardmäßig 3rd-Party-Tracking-Cookies! Firefox führte diese Änderung im September 2019 ein, Microsoft Edge zog im Januar 2020 nach, Safari tut das wie oben dargestellt schon seit langem. Die meisten Browser arbeiten dabei mit sogenannte Blocklisten wie der Disconnect.me-Liste oder der EasyPrivacy-Liste. Safari arbeitet mit Machine-Learning Algorithmen, die Tracker automatisiert erkennen und deren Funktionsweise sowohl für den Nutzer als auch für die Werbeindustrie weniger leicht nachvollziehbar sind. Einen technisch sehr tiefgehenden Überblick über den aktuellen Stand der Technik liefert https://www.cookiestatus.com/.
Bei den bislang beschriebenen Einschränkungen für Werbe-Tracking handelt es sich jeweils um die Standardeinstellungen der Browser, die von Endnutzern nur selten verändert werden. Davon unberührt ist die Zahl der Nutzer, die über die von den Browsern jetzt getroffenen Standardmaßnahmen hinaus noch zusätzlich Adblocker-Plugins einsetzen. Besonders großer Beliebtheit erfreuen sich in Deutschland Adblock Plus vom Hersteller Eyeo sowie die Open Source Lösung uBlock Origin. Dabei unterbindet Adblock Plus in der Standardeinstellung hauptsächlich die sichtbare Werbung, nicht jedoch jegliches unsichtbares Tracking. Zudem ermöglicht es Adblock Plus Hersteller Eyeo über das “Acceptable Ads” Programm Publishern sogar, gegen Zahlung doch wieder mit manchen Werbeformaten standardmäßig “durchgelassen” zu werden. Dagegen geht uBlock Origin den sicherlich radikalsten Weg und blockiert so gut wie jede Werbung und jegliches Tracking. Mit uBlock Origin sind selbst Websites wie bild.de, die sich ansonsten beharrlich gegen den Einsatz von Adblockern zur Wehr setzen, überwiegend werbefrei erreichbar. Hinzu kommt, dass uBlock Origin, wie auch Adblock Plus bei aktivierter Tracking-Blocking Einstellung, alle gängigen Analytics-Tools und Reichweiten-Messdienste blockiert und diese Nutzer somit für Publisher effektiv unsichtbar und nicht monetarisierbar sind. Unseren Messungen zu Folge ist das bei bis zu 10% der Nutzer der Fall.
Doch nicht nur die soeben beschriebenen radikalen Adblocker, sondern auch schon die vorher genannte Einschränkung der 3rd-Party-Cookies durch die Browser selbst erschweren die Reichweiten-Messung von IVW oder AGOF, da die Messpixel teilweise komplett geblockt oder zumindest ohne Cookies ausgeliefert werden. Eine Folge ist u.a., dass die Schnittmenge der Reichweiten über Publisher-Grenzen hinweg nun nicht mehr so exakt erfasst werden kann wie früher.
Die konkreten Auswirkungen durch Blockieren von 3rd-Party-Cookies auf den Umsatz konnten die deutschen Publisher im September 2019 beobachten als Firefox seine “Enhanced Tracking Protection” standardmäßig für alle Nutzer aktivierte. Auch wenn der Marktanteil von Firefox in Deutschland zu diesem Zeitpunkt nur bei ca. 14% lag, so wurde doch aus allen Medienhäusern von einem sichtbaren Knick in den Umsatzzahlen berichtet. Mit dem Wegfall aller auf 3rd-Party-Cookies basierenden Informationen wurden für Firefox-Nutzer offensichtlich nur noch deutlich geringere Preise gezahlt.
Alternativen, um das bestehende Modell zu retten?
Immer wieder werden als Alternativen zum 3rd-Party-Cookie das sogenannte Fingerprinting oder diverse Advertising IDs genannt.
Unter Fingerprinting versteht man den Versuch, möglichst viele Merkmale eines Website-Besuchers auszulesen (Browser-Version, Betriebssystem, installierte Plugins, IP-Adresse, usw.) um daraus einen möglichst eindeutigen “Fingerabdruck” des jeweiligen Nutzers zu erhalten, welcher dann wiederum als eindeutige ID zur Wiedererkennung genutzt werden kann. Browser-Fingerprinting kann dann, genau wie Cookies, dazu verwendet werden, das Surfverhalten des Einzelnen aufzuzeichnen und auszuwerten. Im Gegensatz zu Cookies ist der Fingerprint jedoch ein implizites Merkmal des Besuchers und ein Opt-Out ist daher technisch nicht umsetzbar: Während bei Cookies ein eindeutiges “Opt-Out-Cookie” gesetzt und das Tracking eines Nutzers damit effektiv unterbunden werden kann, wird der Fingerprint immer implizit erhoben. Nicht zuletzt diese Tatsache macht Fingerprinting insb. im deutschen Rechtsrahmen aus juristischer Sicht unpraktikabel, schließlich hat auch hierzulande das TMG schon immer glasklar eine Opt-Out-Möglichkeit gefordert. Abgesehen von der juristischen Sicht haben auch hier alle Browser-Hersteller angekündigt, technische Maßnahmen gegen Fingerprinting zu unternehmen (z.B. Chrome) oder bereits begonnen, entsprechende Maßnahmen zu implementieren (Firefox, Safari, Edge & Brave).
Auch die erwähnten Advertising IDs stellen keine wirkliche Alternative da. Die Idee dahinter bestand darin, industrieweit gültige, pseudonyme IDs für Werbezwecke zu etablieren, ähnlich wie dies mit der Apple IDFA und Android Advertising ID auf den mobilen Plattformen der Fall ist. Allerdings haben sich zum einen mittlerweile eine fast unüberblickbare Vielzahl an Initiativen gebildet (z.B. Advertising ID Consortium, DigitTru.st, Trade Desk Unified ID), was der Idee der Vereinheitlichung zuwider läuft. Zum anderen basieren all diese Initiativen technisch wiederum auf Cookies und werden mit den angekündigten oder bereits vollzogenen Änderungen der Browser-Hersteller schlichtweg nicht mehr zuverlässig funktionieren.
Was bedeutet das für Publisher?
Die gute Nachricht als erstes: Google will weiter mit Werbung Geld verdienen und hat mit der Ankündigung, 3rd-Party-Cookies komplett abschaffen zu wollen, auch direkt alternative Konzepte in Aussicht gestellt — diese will Google im Rahmen der sogenannten “Privacy Sandbox” zusammen mit der übrigen Industrie entwerfen.
Sieht man sich die aktuell dort vorgebrachten Vorschläge an wird eines jedoch ganz schnell klar: Auf Einzelpersonen zugeschnittenes Targeting über Publisher-Grenzen hinweg soll in der Zukunft mit allen Mitteln unterbunden werden. Viele Daten, die aktuell wie selbstverständlich mittels pseudonymer User-IDs auf den Servern von Publishern, Advertisern oder Datenhändlern gesammelt werden, sollen künftig das Endgerät des Nutzers nicht mehr verlassen. Schon jetzt ist klar, dass in der gesamten Industrie ein massives Umdenken stattfinden muss. Und da viele der Einschränkungen auch heute schon für etwa die Hälfte der Internetnutzer gelten, lohnt es sich mit diesem Umdenken nicht bis zur letzten Sekunde zu warten.
Publisher sind in der vorteilhaften Situation, dass sie direkten Kontakt zu ihren Nutzern haben und diese somit weiterhin über 1st-Party-Cookies erkennen und daher zumindest lokal auch weiter Inhalte und Werbung personalisieren können. Diese direkte Beziehung zu den Nutzern gilt es weiter zu stärken und auszubauen! Hierbei haben kleinere Anbieter einen Nachteil, da sie nicht mehr davon profitieren können, Daten über ihre Nutzer auch aus anderen Quellen heranzuziehen. Große Plattformen wie Google, Youtube, Facebook und Amazon, bei denen Nutzer in der Regel eingeloggt sind, sehr viel Zeit verbringen und viele Informationen über sich preisgeben, werden selbstverständlich weiter gestärkt.
Für Publisher liegt es also nahe, Allianzen zu schmieden und zum Beispiel über einen gemeinsamen Single-Sign-On (SSO) wie netID oder Verimi die Möglichkeit zu schaffen, ihre Nutzer in der gesamten Allianz direkt und personalisiert ansprechen zu können. Denn genau nach dieser Logik funktionieren auch die großen Plattformen. Und während die großen amerikanischen Plattformen ihren Nutzern in der Regel gar keine Alternative bieten, die auf eine Auswertung der personenbezogenen Daten verzichtet, könnten deutsche Publisher ihren Nutzern, die besonderen Wert auf Datenschutz legen, über direkte Zahlung einen fairen Zugang ohne jegliches Tracking ermöglichen. Hiermit würden sie nicht nur die rechtlichen Vorgaben der DSGVO erfüllen sondern auch für all diejenigen Nutzer eine Brücke bauen, die die Vermarktung ihrer persönlichen Daten zwar ablehnen aber dennoch bereit sind, für gute Inhalte einen fairen Preis zu bezahlen.
Dieser Artikel erscheint auch im Jahresbericht des Bundesverbandes Deutscher Zeitungsverleger e.V. (BDZV).
