Seit einigen Wochen steht die gesamte Digitalbranche gefühlt Kopf. Denn da verkündete Google, dass der Chrome Browser ab 2022 keine Third Party Cookies mehr unterstützen wird. Seitdem gehen täglich neue Gastbeiträge, Kommentare und Meinungen hinzu und alle teilen die einhellige Meinung: Der Cookie ist tot, das Ende ist nah, Milliarden von Umsatz werden uns durch die Lappen gehen, rette sich wer kann! Aber haben wir wirklich Grund jetzt den Kopf in den Sand zu stecken?
Was bisher geschah…
Die Nutzer wünschen sich mehr Privatsphäre. Und um diesem Wunsch zu entsprechen, haben Mozilla (Firefox) und Apple (Safari) ihre Browser bereits umgestellt.
Das Feature „Intelligent Tracking Prevention” (ITP) blockiert ab iOS 11 und MacOS 10.13 auf Safari alle Third Party Cookies per Default. Aber auch auf First Party Cookies hat ITP (besonders in allen Versionen ab ITP 2.1.) Einfluss – nachdem viele Anbieter als Workaround First Party Cookies mit Tracking Funktionen setzten. First Party Cookies werden nun nach sieben Tagen gelöscht – ohne Ausnahme. In einigen Fällen wird dies sogar auf 24 Stunden verkürzt. Nämlich dann, wenn First Party Cookies mit der so genannten Link Decoration verbunden werden. Das nutzten zum Beispiel Google und Facebook. Hierbei erhält ein Link, der den User auf die Seite führt (z.B. aus einem Newsletter) eine eindeutige Kennung, die von der Zielseite in einem First Party Cookie gespeichert wird. Wenn dann eine Seite mit dem Facebook-Pixel oder Google-Tag geladen wird, suchen diese Tracking-Mechanismen nach dem First Party Cookie, ziehen die Klick-ID und senden sie an Facebook oder Google. So können die Besuche eines Users auf der Website so lange nachverfolgt werden, bis der Third Party Cookie abgelaufen ist. Mit der neuen ITP-Version ist also auch damit Schluss. Auf der Website von WebKit, auf dem ITP bei Safari basiert, gibt es weitere Infos.
Ähnlich verhält es sich bei der „Enhanced Tracking Protection“ (ETP) von Mozilla Firefox. Seit September 2019 werden bekannte Third Party Tracking Cookies per Default blockiert. Aktuell sollen es Third Party Cookies von über 1.000 Firmen sein – basierend auf Blocking-Listen des Mozilla Partners Disconnect. Nutzer, die weiterhin damit einverstanden sind, dass ihr Nutzerverhalten nahtlos getrackt wird, können dies aber in den Einstellungen rückgängig machen und Tracking Cookies erlauben. Nutzer können jedoch auch ganz streng verfahren und manuell sämtliche Third Party Cookies blockieren. Auf dem Blog von Mozilla gibt es mehr Informationen.
Jetzt zieht Google also nach – und überbietet Mozilla und Apple direkt an Strenge. Denn Google will ab 2022 ausnahmslos alle Third Party Cookies blockieren – Nutzer haben dann auch keine Chance mehr, sie nachträglich selbst zuzulassen. Und wenn der Marktführer blockiert, dann klingelt es wohl beim letzten der Branche und die Panik beginnt. Obwohl es eigentlich nur um Third Party Cookies geht – es werden alle Cookies zum Abgesang in einen Topf geworfen. Aber dazu später. Denn eine wichtige Chrome-Neuerung wurde bereits ausgerollt– und die spielt in der Debatte kaum eine Rolle:
Ein wirklicher Grund zum Handeln: Das SameSite Update
Ein Update, das Website-Betreiber direkt betrifft, wird von Google seit dem 4. Februar 2020 ausgerollt – und davon ist kaum eine Rede. Obwohl hier wirklich Grund zum Handeln ist, denn sonst bekommen alle, die Cookies nutzen ein Problem. Es geht um das so genannte SameSite Update.
Seitenbetreiber können Cookies auf ihrer Domain setzen und diesem dann sozusagen erlauben, dass sie selbst dieses Cookie auf einer fremden Domain wieder auslesen können. Mit welchen Eigenschaften sie gesetzt wurden, wurde bisher sehr nachlässig behandelt. Denn bis jetzt wurde im Chrome Browser automatisch der Wert „None“ angenommen, wenn keine SameSite-Eigenschaft im Cookie gesetzt wurde. Somit konnten die Cookies ausgelesen werden.
Ab dem 4. Februar wird nun automatisch „Lax“ eingefügt, sollte die Eigenschaft nicht gesetzt sein. Das führt dazu, dass der Cookie nur noch von der Domain ausgelesen werden kann, von der er auch gesetzt wurde. Somit können diese Cookies nicht mehr von einer fremden Domain aus ausgelesen und beispielsweise das Nutzerverhalten getrackt werden.
Wer das verhindern möchte, sollte alle Cookies, die bisher nicht korrekt mit Eigenschaften befüllt wurden, nun explizit die SameSite-Eigenschaft „None“ geben. Dazu muss die Domain des Cookies mit der des anfragenden Skriptes übereinstimmen. Dann sind die Cookie-Inhalte auch weiterhin auslesbar.
Zusätzlich müssen die Cookies ein „Secure“-Flag bekommen (Requests werden dann nur über HTTPs gesendet). Hier ist also schnelles Handeln gefordert – und ein korrektes aufsetzen der Cookies. Ist das alles erledigt, gibt es auch hier keinen Grund zur Panik mehr.
Warum die Panikmache um Cookies überzogen ist
Wie oben schon geschrieben, werden in der aktuellen Debatte um die Pläne von Google zwei Cookies in einen Topf geworfen. Denn Google blockiert nicht ausnahmslos alle Cookies, sondern Third Party Cookies. Und zwar ab 2022. Und erst, wenn es attraktive Alternativen gibt. Jetzt also die Hände über dem Kopf zusammenzuschlagen ist vielleicht etwas verfrüht. Überlegen wir doch mal, was wir in zwei Jahren alles erreichen können! Zwei Jahre – das sind bei der rasanten Entwicklung neuer Technologien noch Ewigkeiten. Also, liebe Digitalbranche: reißt euch zusammen!
Ja, Cookies wird nicht die Zukunft gehören, wenn Third Party Cookies gestrichen werden, ist das Thema Retargeting erstmal Geschichte. Es sei denn, es wird eine Alternative gefunden. Die muss aber komplett neu sein – denn beispielsweise ließ Google bereits durchblicken, dass sich die Begeisterung für Fingerprinting auch in Grenzen hält.
Wie wäre es dennoch, anstatt wie kopflose Hühner durch die Gegend zu rennen, einfach mal hinzusetzen, die Ärmel hochzukrempeln und neue Innovationen voranzutreiben?
Auch wenn wir selbst überhaupt nicht mit Third Party Cookies arbeiten: Wir freuen uns auf jeden Fall schon auf den Austausch zu neuen Lösungsansätzen und ganz neuen Ideen für die User-Ansprache der Zukunft. Denn möchten wir Kunden über verschiedene Kanäle hinweg ansprechen, brauchen wir eine Lösung. Also lasst und daran arbeiten!