Die grosse Cookie-Lüge

Das Problem mit den 3rd party-Cookies

Hinweis: Wer mit der Problematik von 3rd party-Cookies schon vertraut ist, kann problemlos zum nächsten Abschnitt springen.

Im Browser gespeicherte Web-Cookies sind seit Jahren Fluch und Segen gleichermassen. Eingeführt wurden sie, um ein grundsätzliches Problem sämtlicher Webseiten zu lösen: Wie erkenne ich, ob der Webseiten-Besucher von soeben derselbe ist wie derjenige der gestern schon hier war? Den einzelnen vom Browser ausgehenden Aufrufen sieht der Server ja schliesslich nicht an, ob es sich um eine wiederkehrende oder um eine neue Besucherin handelt. Abhilfe schaffen da ein im Browser gespeicherten Cookie welches aus einer kurzen Zeichenkette bestehen die beim ersten Aufruf einer Website wie nzz.ch definiert und anschliessend bei jedem weiteren Aufruf vom Browser mitgeschickt wird.

Das funktioniert, sofern Website-Anbieter einige Grundregeln beachten (wie zum Beispiel das Cookie so zu definieren dass es effektiv nur an nzz.ch geschickt werden darf), hinlänglich gut und erfüllt seinen Zweck. Allerdings besteht eine Website nicht zwingend nur aus Seiteninhalten eines einzigen Anbieters, oft werden auch Inhalte Dritter nachgeladen (seien das nun Software-Bibliotheken, Fonts, simple Tracking-Pixel oder Werbeanzeigen). Um bei unserem NZZ-Beispiel zu bleiben: das kann eine sehr sehr lange Liste sein (der Screenshot ist vermutlich unvollständig da die eine oder andere der blockierten Seiten wohl noch weitere nachlädt):

Dieses Nachladen funktioniert technisch auf dieselbe Weise wie das Laden der Hauptseite an sich, entsprechend können also auch Drittseiten problemlos Cookies im Browser ablegen. Und genau diese Eigenschaft von Cookies wird insbesondere von Werbetreibenden gerne ausgenutzt. Warum?

Nun, bei Werbung im allgemeinen wie auch bei Werbung im Internet ist eine der grossen Herausforderungen, Streuverluste möglichst zu vermeiden. Es macht wenig Sinn, auf der Toilette eines veganen Restaurants Fleisch-Werbung zu schalten, oder in typischerweise von Rentnerinnen gelesenen Zeitschriften für Abenteuer-Ferien zu werben. Und während man sich dazu bei Werbung in der physischen Welt auf Ortswahl und Zielgruppe des Trägermediums (der Zeitschrift) abstützen muss, kann man im Internet Benutzerinnen so gut überwachen dass Streuverluste stark miniminiert (und Werbeplätze entsprechend teuer verkauft) werden können.

Der zentrale Baustein dazu sind dabei die von Drittseiten gesetzten Cookies. Dies funktioniert folgendermassen: Nehmen wir an, dass auf einer NZZ-Seite zwei Inhaltselemente vorhanden sind: der eigentliche Artikel und eine von Facebook befüllte Werbebox. Beim erstmaligen Aufruf der NZZ-Seite definieren sowohl die NZZ wie auch Facebook ein Cookie welches im Browser abgelegt wird. Dabei ist es unerheblich ob man Abonnent der NZZ oder Benutzer von Facebook ist: wichtig ist das Cookie nur um bei erneuten Seitenbesuchen zu erkennen dass der Browser-Benutzer bereits früher schon da war.

Es existieren nun also zwei Cookies im Browser. Wenn derselbe Benutzer einige Stunden später eine Webseite für Kleintierbedarf aufruft auf welcher ebenfalls eine Werbebox oder auch nur schon ein Tracking-Pixel von Facebook enthalten ist passiert folgendes:

Da der Benutzer ja schon beim Aufruf der NZZ-Seite auch einen Facebook-Aufruf ausgelöst hat, ist das entsprechende Cookie im Browser bereits gesetzt, und wird folgerichtig bei einem weiteren Aufruf an Facebook (auch wenn er jetzt durch einen Link in der Hundefutter-Seite ausgelöst wird) mitgegeben. So kann Facebook problemlos erkennen, dass sich hier jemand gleichermassen für die NZZ wie auch für Hunde(futter) interessiert und beim nächsten Aufruf der NZZ-Seite entsprechende Futter-Werbung einblenden. Und da Facebook zusammen mit Google die grossen Anbieter von Werbeplätzen im Internet ist, also auch auf entsprechend vielen Seiten eingebunden ist, kommen schlussendlich einiges mehr als die obigen zwei Webseiten zusammen, umso konkreter sind da dann die so identifizierten Interessen des Benutzers.

Wege aus der Cookie-Falle

3rd party-Cookies sind also das zentrale Element zur Identifikation von Benutzern über Webseiten hinweg, und für die Internet-Werbe-Industrie von zentraler Bedeutung beim Vermitteln/Verkaufen von relativ gesehen teuren Werbeplätzen. Damit unweigerlich verbunden ist auch die Überwachung sämtlicher Web-Aktivitäten aller Benutzerinnen und Benutzer, und der Aufbau umfassender Nutzungs- und Interessensprofilen. Dass sich dies zumindest mit dem europäischen Verständnis von Datenschutz und Privatspähre nicht vereinbaren lässt, liegt auf der Hand. Entsprechend gibt es seit Jahren Bestrebungen, die Verwendung solcher Cookies bzw. die defacto-Überwachung sämtlicher Web-Aktivitäten zu unterbinden:

• Wer mit dem Incognito-Modus des jeweiligen Browsers unterwegs ist, speichert keine Cookies über Browser-Aufrufe hinweg, wird also von Webseiten-Anbietern nicht als wiederkehrender Benutzer erkennt.
• Für gängige Browser stehen Erweiterungen in Form von AdBlockern zur Verfügung mit welchen sich der Aufruf von Werbeseiten von vornherein unterbinden.
• Anbieter wie Apple/Safari, Brave oder Firefox/Mozilla unterbinden 3rd party-Cookies von Werbeseiten per Default.
• Die EU hat mit der Cookie-Richtlinie einen Versuch gemacht, Benutzern eine einfache und transparente Möglichkeit zum Opt Out aus dem Tracking zu geben. Beschert hat sie uns allerdings vor allem lästige Cookie-Hinweise beim Besuch von Webseiten, effiziente ausgestaltete Möglichkeiten zum Steuern der Datensammlerei sind selten.

Eine zentrale Rolle spielt allerdings Google. Einerseits entwickelt der Internet-Konzern mit Chrome den Browser mit dem aktuell grössten Marktanteil (der sogar noch grösser ist, wenn man die auf Basis von Chromium entwickelten Browser wie Edge oder Brave mitzählt), andererseits ist Google der mit Abstand führende Werbeanbieter im Web und finanziert sich praktisch ausschliesslich über die Einnahmen aus dem Werbegeschäft. Sowohl werbungs-blockierende Nutzerinnen wie auch stärkere staatliche Regulierungen stellen für diese Einnahmen eine reale Gefahr dar. Es kam also nicht überraschend, dass Google im Januar 2020 das Privacy Sandbox-Projekt ankündigte, mit dem erklärten Ziel, 3rd party-Cookies durch eine datenschutz-freundlichere Lösung zu ersetzen ohne Webseiten-Betreibern die Möglichkeit zu nehmen, mit ihren Inhalte (Werbe-)Geld zu verdienen. Damals wurde als Zieltermin “Anfang 2022” angegeben, unterdessen schreiben wir Mitte 2022 und Google hat den Termin vor einigen Tagen (nachdem bereits eine ersten Verschiebung auf Ende 2023 erfolgte) auf Ende 2024 verschoben.

Googles erster Versuch zu einer datenschutz-freundlicheren Version des User-Trackings nannte sich Federated Learning of Cohorts (FLoC), wir haben im April 2021 darüber berichtet. FLoC basierte auf dem Ansatz, die Interessen des Benutzers quasi direkt im Browser aus dem URL-Verlauf zu bestimmen (ohne die URLs an sich an Dritte weiterzugeben), und diese so ermittelten Interessen zum zielgruppen-genauen Ausspielen von Werbung zu verwenden. Die öffentlichen Reaktionen waren aber durchs Band negativ, da relativ schnell offensichtlich wurde, dass FLoC schon rein vom Design her die Privatsphäre von Benutzern gegenüber 3rd party cookies nicht signifikant besser schützen würde (und unter Umständen sogar das Fingerprinting von Browsern erleichtern würde). Auch gab es Befürchtungen, dass Googles Stellung im Werbemarkt durch die defacto-Kontrolle über die Interessensermittlung weiter gestärkt würde.

Als Alternative zu FLoC hat Google bereits letztes Jahr das Topics-API vorgestellt. Im Gegensatz zu FLoC erfolgt hier die Ermittlung der Benutzer-Interessen nicht durch im Browser ablaufende Analysen der aufgerufenen Webseiten, Web-Anbieter haben stattdessen die Möglichkeit, im Quelltext der Seite das Thema/Topic zu definieren welches sie hauptsächlich anbieten. Die Themen der besuchten Seiten werden im Browser gesammelt, anderen Webseiten (bzw. deren Werbeanbietern) werden aus den jeweils fünf häufigsten Themen drei offengelegt. Zusätzlich hat die Benutzerin direkt im Browser die Möglichkeit, einzelne Themen generell von der Offenlegung auszuschliessen (damit man also, selbst wenn man häufig auf Haustier-Seiten unterwegs ist, keine Hundefutterwerbung angezeigt kriegt).

Gegenüber FLoC ist der Topics-Ansatz aus datenschützerischer Optik ein Fortschritt:

• Das Risiko, dass aus den automatisch ausgewerteten Seitenbesuchen Interessen abgeleitet und preisgegeben werden welche man lieber für sich behalten würde, ist deutlich reduziert (bzw. nicht vorhanden, da die Benutzerin ja von vorherein ausschliessen kann, dass Besuche von Gesundkeitsseiten mit zum Beispiel Abtreibungsinformationen zu entsprechenden Themen summiert werden),
• Browser-Fingerprinting (also die Identifikation eines Browsers über Merkmale wie Betriebssystem, installierte Fonts etc) wird nicht verhindert, durch die zufällige Auswahl der drei Themen aber auch nicht gefördert,
• Benutzer können (zumindest ist das momentan angedacht) generell auf die Sammlung und Weitergaben ihrer Themen verzichten (was dem heute praktizierten Blockieren von 3rd party-Cookies für Werbeanbieter recht nahe kommt).

Nichtsdestotrotz hat Google am 27. Juli angekündigt, die Versuchsperiode für das Topics API zu verlängern. Die Pressemitteilung dazu schweigt sich über die Gründe dazu weitgehend aus und spricht pauschal darüber, dass mehr Zeit notwendig ist, um die Auswirkungen auf die Datenschutz wie auch auf die Werbeindustrie beurteilen zu können.

Fazit

Und genau bei diesen Auswirkungen auf die Werbeindustrie liegt wohl der Hase im Pfeffer. Es liegt auf der Hand, dass jede Reduktion der fürs Profiling sammelbaren Datenmenge zu einer schlechteren Erkennung von Zielgruppen führt, und entsprechend zu schlechter verkaufbaren Werbeplätzen. Gegenüber der heutigen Situation (Profiling basierend auf defacto allen besuchten Webseiten) stellt eine Reduktion auf 300 Themen (bzw. schlussendlich nur 3) eine massive Reduktion dar. Bei Büchern gibt es beispielsweise nur die drei Themen “Books & Literature”, “Childen’s books” und “Poetry”, da bleibt unweigerlich einiges an Details auf der Strecke. Oder, wie es ein Marketing-Portal sehr schön formulierte “advertisers cannot rely on Topics to provide them the precise targeting and granular audiences that they’ve become accustomed to”.

Nicht vergessen sollte man, dass Google an diesem Thema nicht gerade der neutrale Vermittler zwischen den Interessen der Benutzer und den Interessen der Werbeindustrie ist. Wie eingangs erwähnt erzielt Google praktisch sämtliche seiner Einnahmen aus dem Vermitteln von Werbeplätzen. Jedes Stück an zusätzlichem Datenschutz, welches durch den Verzicht auf 3rd party-Cookies entstehen mag, führt daher sehr direkt zu weniger Einnahmen (und weniger Gewinn) von Google. Es ist ja nicht ausgeschlossen, dass die grossen Werbekonkurrenten wie Facebook in Zukunft verstärkt ihr eigenes Tracking-Süppchen kochen und (mit etwas weniger Rücksicht auf die Privatsphäre) bessere Resultate bzgl. Zielgruppenanalyse erzielen. Es mag daher durchaus ein grosses Stück Eigeninteresse mitschwingen wenn Google die Versuchsphase der Privacy Sandbox jetzt erneut um ein Jahr verlängert. Und so nebenbei kann man mit Verweis auf diese Versuchsphase auch gleich lästige Regulatoren um Geduld bitten, da man bereits daran sei, das Problem zu lösen.