Die wichtigsten Fragen und Antworten zum Cookie-Thema

PIA Group | HORIZONT - 2020-01-07

Die E-Privacy-Verordnung ist eines der ganz großen Schreckgespenster der Werbebranche. Die verschärfte Datenschutz-Gesetzgebung lässt allerdings weiter auf sich warten. Dementsprechend ist die Unsicherheit unter Werbungtreibenden darüber, was laut Gesetzgebung richtig oder falsch ist, groß. Dirk Kall, Geschäftsführer bei PIA, will in seinem Gastbeitrag für HORIZONT Online Licht ins Dunkel bringen - mit den relevantesten Fragen und Antworten.

Zuerst erschienen bei der HORIZONT | Ein Gastbeitrag von Dr. Dirk Kall

Seit knapp drei Jahren berät die EU nun schon über die E-Privacy-Verordnung. Doch nachdem das EU-Parlament im Herbst 2017 den Gesetzesvorschlag der Kommission gestärkt hatte, herrschte zwei Jahre lang Funkstille. Am 22. November 2019 scheiterte jüngst erneut eine Einigung über einen von der Ratspräsidentschaft vorgelegten Entwurf für eine neuartige Verordnung. Für Werbungtreibende heißt es nun: noch länger warten und bangen, wie eine kommende Verordnung aussehen wird und wieweit der Cookie dann noch erlaubt ist. Momentan setzt jede Website die Cookie-Abfrage und das Tracking anders um – von detaillierten bis zu sehr allgemeinen Abfragen. Ein klares Zeichen dafür, dass die Unsicherheit unter den Werbungtreibenden darüber, was laut Gesetzgebung richtig ist, groß ist. Gerade deshalb ist es wichtig, auf die relevantesten Fragen eine Antwort zu haben.

Back to Basics: der Cookie

Der Cookie, oder vielmehr die Daten, die mit Hilfe von (Marketing-) Cookies gespeichert werden, sind die Grundlage für personalisierte Online-Werbung – ohne diesen Code-Schnipsel gäbe es wesentlich größere Streuverluste. Neben Marketing-Cookies gibt es aber auch technische Cookies, die notwendig sind, damit die Website funktioniert. Bestes Beispiel ist ein Online-Shop, in dem ein Nutzer ausgewählte Produkte in den Warenkorb legt und sich weiter auf der Seite umschaut, bevor er kauft. Der Cookie speichert mit Hilfe einer eindeutigen ID den jeweiligen Warenkorb und die darin enthaltenen Artikel für den jeweiligen Benutzer.

Beim Cookie-Tracking gibt es drei unterschiedliche Varianten: vollumfängliches Tracking, anonymes Tracking, das auf der aktuellen Session basiert und gar kein Tracking. Bei ersterem wird beim Websitebesucher ein Visitor-Cookie gesetzt. Jedes Gerät ist so eindeutig gekennzeichnet. Der Vorteil dabei ist, dass dieser Cookie bestehen bleibt. Das bedeutet, wenn der Besucher erneut eine Website auf demselben Gerät aufruft, wird der neue Aufruf der Website dem bereits bekannten Besucher zugeordnet. So kann der Websitebetreiber über mehrere Visits hinweg das Verhalten analysieren.

Beim anonymen Tracking wird eine sogenannte Session-ID verwendet. Es werden weder die IP-Adresse noch personenbezogene Daten wie Bestell- oder Kundennummer des Besuchers gespeichert und die erfassten Daten werden automatisch gelöscht, sobald der User die Website verlässt. Somit fällt das anonyme Tracking nicht unter die Regelungen von der DSGVO und potenzieller E-Privacy-Verordnung. Ein Opt-in durch den User ist hier nicht erforderlich. Allerdings werden die Daten nur innerhalb einer Session erfasst und zugeordnet. Es gibt dabei keinen Bezug zwischen zwei Sessions auf einem Gerät. Dabei wird kein dauerhafter Cookie angelegt, sondern lediglich eine Session-ID benutzt. Gar kein Tracking bedeutet demgegenüber keine gespeicherten Daten, die Auskunft über Aktivitäten der Nutzer geben. Somit wird keinerlei Aktivität der Websitebesucher erfasst.

Von der Theorie in die Praxis: datenschutzkonformes Tracking

In der Realität ist die Umsetzung jedoch nicht so einfach, da es mangels fehlender E-Privacy-Verordnung keine klaren Vorgaben für die Abfrage (z.B. Info-Banner) bei den Websitebesuchern zur Cookie-Nutzung gibt. Das sogenannte EuGH-Cookie-Urteil von Oktober 2019 macht Vorgaben für das Opt-in zum Setzen von Marketing-Cookies, die aber Stand jetzt noch keine nationale Gesetzgebung sind. Sicher ist aber: Der User muss grundsätzlich über den Einsatz jedweder Art von Cookies informiert werden – auch dem von Nicht-Marketing-Cookies und diesem widersprechen können.

Zudem muss er dem Einsatz von Marketing-Cookies explizit zustimmen. In der Praxis hat sich, bezogen auf die verschiedenen Formen des Tracking, folgender Prozess bei uns bewährt: Ein Kunde besucht einen Online-Shop zum ersten Mal. Das bedeutet, anonymes Tracking basierend auf der aktuellen Session ist möglich, da es nicht unter die Regelungen der DSGVO fällt. Es wird kein Visitor-Cookie angelegt. Im selben Moment bekommt der neue Besucher ein Cookie-Banner angezeigt. Damit hat er zwei Möglichkeiten: Er willigt ein, vollumfängliches Tracking ist möglich und ein Visitor-Cookie wird gesetzt. Oder er klickt ihn weg. Somit bleibt das Tracking anonym und nur innerhalb der Session. Allerdings sollten Websitebetreiber den Usern auch hier die Möglichkeit des Widerspruchs einräumen. In der Regel findet sich das „Do not track“ auf der Datenschutzseite und kann dort per Klick vom Websitebesucher aktiviert werden. Im Anschluss wird ein „Do not track“-Cookie gesetzt, der das Tracking komplett unterbindet. Alternativ können Seitenbetreiber die Widerspruchsmöglichkeit auch direkt in das Cookie-Banner integrieren.

Anonymes Surfen vs. personalisierte Ansprache: Relevanz und Wirksamkeit

Einige User unterbinden das Tracking komplett. Die meisten klicken den Banner aber auch einfach weg, um ungestört den Inhalt einer Seite sehen zu können. Daher stellen sich natürlich viele die Frage, wie gut Session-Daten bei anonymem Tracking sind. Für die meisten Auswertungen sind sessionbasierte Daten völlig ausreichend, beispielsweise für die Analyse von Klickpfaden oder des Checkout-Prozesses. Marketing-Maßnahmen lassen sich standardisiert nach Last Click auswerten, was in der Regel für einen Vergleich der Effektivität und Effizienz eingesetzter Kanäle und Kampagnen genügt. Multi-Touch-Attribution über mehrere Besuche und Kanäle hinweg kann jedoch bei strikter Auslegung der gesetzlichen Rahmenbedingungen nicht mehr wie gehabt flächendeckend funktionieren. Aber: Erst die zukünftige E-Privacy-Verordnung wird schlussendlich festlegen, was im Online Marketing noch erlaubt ist und was nicht.

Ich glaube jedoch nicht an ein ausschließlich anonymes Tracking. Dort, wo jedoch keine Zustimmung des Users (Consent) vorliegt, wird es ein anonymes Tracking und damit weitgehend unpersonalisierte Werbung geben müssen. Da sind grundsätzlich alle Advertiser chancengleich. Es sei denn, die Anzeige wird in einem geschlossenen Netzwerk mit voreingestelltem Consent geschaltet. Da hätten die großen Tech-Unternehmen außerhalb der EU in der Tat einen Vorteil. Diese zu fördern kann aber doch nicht im industriepolitischen Sinne der gesetzgebenden EU sein.

„Es heißt völlig zu Recht, dass über die Wirksamkeit von Werbung deren Relevanz entscheidet. Und die ist deutlich höher, wenn der Anbieter weiß, wer die Werbung ausgespielt bekommt.“

Allerdings heißt es völlig zu Recht, dass über die Wirksamkeit von Werbung deren Relevanz entscheidet. Und die ist deutlich höher, wenn der Anbieter weiß, wer die Werbung ausgespielt bekommt. Dafür benötigen die Werbetreibenden Nutzerdaten, die ohne Identifizierung aber nicht auf personalisierter Ebene für die gesamte User Journey vorliegen. Rein anonymes Tracking bedeutet: Trotz vorhandener Technologien fällt die Werbebranche in die Steinzeit zurück. Sie ist gezwungen, vielfach rein umfeldbezogene Ads zu schalten, die schlechter performen und sich dadurch verteuern. Das möchte niemand. Auch die User nicht. Alle Studien zeigen, dass personalisierte Werbung deutlich besser wirkt und auch akzeptiert wird als Standardwerbung. Zumal letztere sich wegen der geringeren Wirksamkeit auch in einer Erhöhung der Anzahl digitaler Werbeflächen niederschlagen würde. Und das wollen die User doch ganz sicher auch nicht.

Die Werbebranche auf der Suche nach Cookie-Alternativen

Kontext- oder auch standortbezogenes Targeting bieten eine Alternative, Werbung ohne Cookie auszuspielen. Es gibt außerdem andere Möglichkeiten, Daten dauerhaft auf einem Gerät zu speichern, beispielsweise durch Nutzung des Local Storage. Hier werden die Informationen zum User-Verhalten lokal im Browser gespeichert. Der Advertiser hat in der Regel keinen Zugriff darauf. Das Speichern von Daten im Local Storage unterliegt der gleichen rechtliche Grundlage wie Cookies, hier wird also auch eine Zustimmung benötigt.

Es ist unstrittig, dass alternative Tracking-Strategien in naher Zukunft größere Bedeutung gewinnen. Die Aktivitäten reichen dabei von Browser-spezifischen Advertising IDs (vom benutzten Endgerät zugewiesen, wird sie an Werbetreibende gesendet, um Werbung personalisiert auszuspielen) bis hin zum Einsatz digitaler Tokens für jeden User (eine Art Session-ID, die mehrere Websitebesuche einem User zuordnet).

Der ‚Cookie-Schwund‘: First-Party- vs. Third-Party-Cookies

Grundsätzlich muss zwischen First- und Third-Party-Cookies unterschieden werden. Im First-Party-Bereich sind Cookies weiterhin sehr stabil im Einsatz. Der sogenannte Cookie-Schwund, der Verlust des Traffics als Konsequenz der neuen Regelungen zum User-Consent, ist hier noch kein Problem. Dies ist aber nur eine Seite der Medaille, denn ohne erhobenen Consent sollten keinerlei Tracking-Cookies mehr gesetzt und verwendet werden. Da rein sessionbasierte, anonymisierte Auswertungen aber weiterhin möglich sind, entstehen keine großen Nachteile für die Anbieter bei First-Party-Cookies.

Bei der Nutzung von Drittanbietern und Third-Party-Cookies ist der Traffic-Verlust schon eine größere Herausforderung, beispielsweise für die Erfolgsmessung geschalteter Werbung. Die großen Anbieter lösen dies so, indem sie auf First-Party-Tracking umstellen, das deutlich weniger sensibel ist. Dadurch sind aber nicht alle Auswertungen in gleicher Form möglich. Eine weitere Herausforderung besteht beim klassischen Retargeting beziehungsweise Behavioral Targeting. Hier verzeichnen wir durch das jüngste Firefox-Browser Update mit standardisiertem Third-Party-Cookie-Blocking einen Rückgang von etwa zehn Prozent der ansprechbaren Reichweite. Die kurzfristige Lösung besteht hier zum einen im Wechseln auf Anbieter mit Log-in-Informationen und Opt-in ihrer Nutzer und zum anderen auf die Nutzung von cookiefreiem App-Traffic zur Ausspielung von Bannern.

Darüber hinaus werden wir datenbasierte Angebote von Vermarktern gegebenenfalls wieder stärker ‚im eigenen Silo‘ sehen. Denn Vermarkter werden zukünftig zunehmend in der Lage sein, auf ihren Websites (Owned & Operated) eigenes Targeting anzubieten.

Die Zukunft des Cookies

Meiner Meinung nach wird cookiebasierte Werbung außerhalb der geschlossenen Netzwerke erstmal das Mittel der Wahl bleiben. Jedoch mit einer von der DSGVO übernommenen Zustimmungspflicht des Users. Dies aber auf einem für beide Seiten – Anbieter und Nutzer – (er-) tragbaren Niveau. Für die Zukunft von E-Commerce und Marketing heißt es weiter: Abwarten, was genau tatsächlich Inhalt der zukünftigen E-Privacy-Verordnung sein wird. Es ist aber höchste Zeit, dass sich alle Anbieter bereits jetzt – wenn nicht schon geschehen – auf alle Eventualitäten vorbereiten.

Fest steht: Dort, wo keine Zustimmung des Nutzers vorliegt, wird es künftig ein anonymes Tracking und damit weitgehend unpersonalisierte Werbung geben müssen. Wegen der geringeren Wirksamkeit entstehen mehr digitale Werbeflächen, die Ads verteuern und den Vorsprung der großen US-Tech-Konzerne vergrößern. 

Grundsätzlich wird es selbstverständlich auch nach Einführung einer wie auch immer aussehenden E-Privacy-Verordnung weiterhin Online Marketing in signifikantem Umfang geben. Die Frage ist nur, wie sich sowohl die werbetreibenden Unternehmen als auch die User an die neuen Gesetze anpassen. Jedoch können wir hier auch weiterhin nur spekulieren. Die jetzige Situation dient auf jeden Fall weder der einen noch der anderen Seite und sollte von der Politik möglichst bald beendet werden.

Diesen Artikel teilen