Chronologie eines angekündigten Todes: Vom Anfang und Ende der Third-Party-Cookies
Bald verschwinden Drittanbieter-Cookies auch von Chrome
Nach fast drei Jahrzehnten wird das Tracken mithilfe von Third-Party-Cookies bald nicht mehr möglich sein: Google startete Anfang des Jahres die Abschaltung der Third-Party-Cookies für ausgewählte Chrome-Nutzer*innen. Mit dieser Entscheidung geht ein langwieriger Prozess zu Ende, den auch schon Firefox und Safari hinter sich haben. OMR hat die Ära der Third-Party-Cookies von Entstehung bis Abschaffung zusammengefasst.
Third-Party-Cookies spielen schon lange eine Schlüsselrolle in der digitalen Werbelandschaft. Durch das Tracken von Nutzerverhalten über verschiedene Websites hinweg ist es möglich, den Nutzer*innen personalisierte Werbung auszuspielen. Was auf der einen Seite für die Werbebranche einen großen Gewinn bedeutet, wird von Daten- und Verbraucherschützer*innen immer wieder kritisiert, weil die Nutzer*innen damit einen Teil ihrer digitalen Privatsphäre verlieren. Dabei war die Funktionalität der Cookies zu Beginn gar nicht auf die Personalisierung von Werbung ausgelegt.
1994: Der Cookie wird geboren
Lou Montulli generiert 1994 den ersten Cookie für Netscape Navigator, dem zur damaligen Zeit meistgenutzten Webbrowser weltweit. Ziel von Montullis Erfindung ist, das Browsen auf Websites für User*innen zu erleichtern. Dabei helfen Cookies zu erkennen, ob ein*e User*in bereits die Website bereits besucht hat. So kann der Browser nutzerspezifische Einstellungen speichern oder sich etwa die Inhalte des Warenkorbs merken.
1996: Third-Party-Cookies entstehen
Werbetreibende und Tech-Firmen erkennen im Cookie jedoch die Chance, gezielte Werbung zu schalten und Nutzer*innenprofile zu erstellen. Innerhalb von zwei Jahren werden Montullis Cookies gehackt und so verändert, dass sie das Verhalten der Nutzer*innen über mehrere Websites hinweg verfolgen: Die Third-Party-Cookies sind geboren. Schnell gewinnt das Cookie-basierte Anzeigen-Targeting an Wichtigkeit in der digitalen Werbebranche und wird auch zu einer relevanten Einnahmequelle für Websites.
2002: Die ersten Restriktionen
Die ePrivacy-Richtlinie wird 2002 entwickelt, um den Schutz personenbezogener Daten und die Privatsphäre in der elektronischen Kommunikation in der Europäischen Union (EU) zu regeln. Darunter fällt auch die Verwendung von Cookies. Mit der Richtlinie wird festgelegt, dass Websites, die Cookies von Drittanbietern verwenden, die Nutzer*innen darüber informieren müssen, welche Cookies gesetzt werden und welchem Zweck sie dienen. Außerdem müssen Nutzer*innen die Möglichkeit bekommen, ihnen aktiv zuzustimmen oder sie ablehnen zu können.
Ab 2017: Browser schränken das Tracking ein
Browser wie Safari beginnen, restriktivere Maßnahmen gegen Third-Party-Cookies zu ergreifen. 2017 führt Apple die Intelligent Tracking Prevention (ITP) ein, welche das Tracking von Safari-Nutzer*innen via Drittanbieter-Cookies erschwert. ITP gestattet die Nutzung von Cookies von Drittanbietern für 24 Stunden. Nach dieser Zeitspanne verbleiben die Cookies für 30 Tage im Browser, werden jedoch gelöscht, falls Nutzer*innen innerhalb dieses Zeitraums nicht mit der entsprechenden Domain interagieren.
2018: Die DSGVO ist der Anfang vom Ende
Die Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Sie soll den Schutz personenbezogener Daten in der Europäischen Union fördern. Unternehmen müssen die Einwilligung der Nutzer*innen einholen, bevor sie Cookies setzen dürfen. Zusätzlich müssen sie transparente Informationen über die gesammelten Daten bereitstellen. Die DSGVO führt dazu, dass viele Websites ihre Cookie-Hinweise und Datenschutzerklärungen überarbeiten, um den neuen Anforderungen gerecht zu werden.
Nicht nur in der EU werden Datenschutzgesetze erlassen. In den USA beispielsweise wird im gleichen Jahr der California Consumer Privacy Act (CCPA) verabschiedet. Mithilfe des Gesetzes soll – ähnlich zur DSGVO – ebenfalls die Privatsphäre von Verbraucher*innen gestärkt werden, allerdings gilt die Regelung nur, wie der Name verrät, in Kalifornien. Der CCPA tritt am 1. Januar 2020 in Kraft.
2019: Mozilla und Apple als Vorreiter in Sachen Privatsphäre
Im Jahr 2019 implementiert Mozilla die Enhanced-Tracking-Protection (ETP) in den Browser Firefox. ETP blockiert standardmäßig Cookies von Drittanbietern. Apple folgt Mozillas Entscheidung ein Jahr später. Mit dem iOS 13.4-Update werden auch auf Safari standardmäßig alle Third-Party-Cookies blockiert. Diese Entscheidung wird von Datenschutzaktivist*innen begrüßt, trifft jedoch auf Widerstand von der Werbebranche.
2019: Google kündigt die Privacy Sandbox an
Justin Schuh, Engineering Director von Google, kündigt am 22. August 2019 eine neue Strategie zum Schutz der Privatsphäre im Web an. Mit der Initiative Privacy Sandbox möchte Google neue Technologien entwickeln, um Websites den Zugriff auf Benutzerinformationen zu ermöglichen, ohne die Datenschutzrichtlinien zu verletzen. Cookiebasierte Google-Werbung zählt zur Haupteinnahmequelle des Unternehmens. Es dürfte also nicht Googles erste Wahl gewesen sein, die Cookies abzusetzen. Vielmehr steht wohl der steigende Druck durch Datenschutzstandards in Europa und den USA im Vordergrund.
Anfang 2020 kündigt Google an, Third-Party-Cookies innerhalb der nächsten zwei Jahre – bis Ende 2022 – abzuschaffen. Nach Safari und Firefox soll nun auch der marktführende Browser Chrome nachziehen. Im Gegensatz zu Apple und Mozilla will Google die Unterstützung von Third-Party-Cookies jedoch allmählich auslaufen lassen. Parallel dazu werden die Privacy Sandbox APIs ausgebaut.
2021: Die erste Verschiebung des Third-Party-Cookie-Auslaufens für Chrome
Am 24. Juni 2021 verschiebt das Unternehmen die eigene Deadline zur Abschaffung der Third-Party-Cookies auf Ende 2023. In seiner Stellungnahme kommuniziert Vinay Goel, Product Director der Privacy Sandbox, einen neuen Zeitraum zum Auslaufen der Unterstützung von Drittanbieter-Cookies: Mitte bis Ende 2023.
Rund ein Jahr später verkündet Anthony Chavez, Vice President der Privacy Sandbox von Google, eine weitere Verzögerung der Timeline. Das Testing der Privacy Sandbox APIs bedarf mehr Zeit. Das Einstellen der Third-Party-Cookies wird auf die zweite Jahreshälfte 2024 geschoben.
2023: Googles Privacy Sandbox APIs werden ausgerollt
Die Privacy Sandbox APIs werden für alle Nutzer*innen verfügbar. Das soll Unternehmen ermöglichen, sich rechtzeitig auf die Einstellung der Third-Party-Cookies vorzubereiten. Zuvor nutzten Drittanbieter-Cookies die Werbe-ID, um das Verhalten der User*innen über verschiedene Anwendungen hinweg zu verfolgen. Google ersetzt dies durch Programmierschnittstellen, sogenannte APIs (Application Programming Interfaces). Der Unterschied: Der Browser protokolliert die Informationen zu Websitebesuchen und wählt daraus drei Hauptthemen, für die sich die Nutzer*innen in den vergangenen drei Wochen interessierten. Die APIs ermöglichen dann Webseitenbetreibern, relevante Themen aufzurufen und diese Informationen an Werbepartner zu übermitteln. Heißt: Das Tracking der Nutzer*innen läuft hier unter Wahrung ihrer Privatsphäre.
2024: Third-Party-Cookies laufen in Chrome aus
Am 4. Januar 2024 werden bei rund einem Prozent der weltweiten Chrome-User*innen, etwa 30 Millionen Nutzer*innen, die Third-Party-Cookies abgeschaltet. Die Nutzer*innen, die an der Testphase teilnehmen, werden per Zufall ausgewählt.
Ausblick
In der zweiten Jahreshälfte 2024 soll für alle Chrome-Nutzer*innen die komplette Einstellung der Third-Party-Cookies erfolgen. Das Ableben der Drittanbieter-Cookies bedeutet nicht das Ende des Trackings, hat aber weitreichende Auswirkungen auf die digitale Werbelandschaft. Unternehmen müssen alternative Ansätze nutzen, wie das Arbeiten mit der Privacy Sandbox oder First Party-Cookies.
Gina ist Volontärin bei OMR Education. Zuvor studierte sie Medienwirtschaft und Journalismus in Wilhelmshaven.
