Die Cookie-Diät – kalorienarm und datenschutzkonform?
Datenschutz spielt gerade nach den jüngsten Skandalen – NSA, aber auch verlorene Kreditkartendaten, der Verkauf von Nutzerprofilen – eine große Rolle für das Vertrauen der Verbraucher. Wenn sie im Internet unterwegs sind, möchten sie sich ohne Einschränkungen bewegen und kommunizieren können. Eigentlich mögen es Online-Shopper, wenn wie von Zauberhand genau die richtigen Produkte als Tipp erscheinen und keine technischen Fehler das Einkaufsvergnügen trüben. Auf der anderen Seite ist das Internet datengetrieben und wird hauptsächlich über Werbung und Verkauf finanziert, wo der Einsatz von Cookies sehr verbreitet ist. Viele User mögen Cookies aber nicht. 15 Prozent der Besucher löschen die Cookies nach jeder Session, um ihre Privatsphäre zu schützen und unbekannten Dritten keine Informationen über ihr Surfverhalten und ihre Vorlieben preiszugeben. Alternative Ansätze sind gefragt.
"Die ganze Digitalwirtschaft muss sich mit Alternativen zu Cookies auseinandersetzen."
Cookies sind für viele Website-Betreiber und Werbefachleute nicht wegzudenken. Cookies helfen ihnen dabei, Website-Besuchern individuelle Angebote zu machen, schließen aus, dass sich derselbe User mehrmalig anmeldet – und dass Affiliate-Partner dafür mehrmalig entlohnt werden – und sie machen den Einsatz von Tracking-Weichen zum Ermitteln der Customer Journey erst möglich. Wichtig sind die Cookies für das Zusammenhalten der Session ID und zur Identifizierung des Unique-Visitors. Dafür folgt auf jeden http-Request ein Datenaustausch zwischen Browser und Webserver, bei dem das Cookie mit maximalem Speicherplatz von vier Kilobyte mitgesendet wird. Die zugehörigen Daten werden lokal über den Browser auf dem Computer des Website-Besuchers gespeichert. Unterschieden wird zwischen First- und Third-Party-Cookies.
Info:
Cookies sind Textdateien, die dazu dienen, zeitlich begrenzt Informationen über besuchte Websites zu speichern. Sie liefern unter anderem Daten über das Nutzungsverhalten eines Users. Unterschieden wird zwischen First- und Third-Party-Cookies. Wenn jemand beispielsweise die Seite eines Online-Magazins besucht, erhält er nicht nur die (First-Party-)Cookies der aufgerufenen Online-Magazin-Seite (zum Beispiel um Reichweite zu messen), sondern auch die Cookies von allen platzierten Werbebannern auf dieser Seite (Third-Party) – selbst wenn diese gar nicht angeklickt werden.
Die aktuell geltende Rechtslage in Deutschland sieht vor, dass das Einverständnis des Users eingeholt werden muss, um personenbezogene Daten zu speichern. Weiter geht die EU-Richtlinie 2009/136/EG, die sogenannte Cookie-Richtlinie: Nutzer sollen erst einwilligen müssen, ob Tracking-Maßnahmen auf einer Website durchgeführt werden dürfen oder nicht. In Deutschland ist die Richtlinie noch nicht umgesetzt. Cookies, die dafür erforderlich sind, technisch den jeweiligen Dienst zu erfüllen (sogenannte Session-Cookies), bleiben davon unberührt: Damit ein Besucher beispielsweise nicht bei jeder Unterseite sein Passwort erneut eingeben muss, speichert der Server im Cookie eine eindeutige Session-ID.
Verbraucherschutzgruppen, aber auch Browser-Anbieter selbst haben in größerem und kleinerem Umfang diskutiert, ob (Third-Party-)Cookies gebannt werden sollen. Um personenbezogene Daten zu speichern, ist es gemäß der aktuell geltenden Rechtslage in Deutschland nötig, das Einverständnis des Users einzuholen. Eine EU-Richtlinie, die sogenannte Cookie-Richtlinie, hält weitere Regeln zum Umgang mit User-Daten fest. Cookies, die dafür erforderlich sind, technisch den jeweiligen Dienst zu erfüllen (sogenannte Session-Cookies), sind davon unberührt. Dagegen sollen Website-Besucher erst ihre Einwilligung geben, ehe ihr Surfverhalten ausgewertet werden darf. Deutschland ist eines der wenigen Länder, das diese Richtlinie noch nicht umgesetzt hat.
Die ganze Digitalwirtschaft muss sich mit Alternativen zu Cookies auseinandersetzen. Ein Warnschuss wurde abgegeben, als Mozilla im Sommer 2013 ankündigte, Third-Party-Cookies standardmäßig zu blockieren. Zwar wurde dieses Vorhaben nicht umgesetzt – stattdessen wurden Black- und Whitelists eingeführt – aber der Schrecken bei Werbetreibenden war groß. Zudem ist es nur eine Frage der Zeit, bis die EU-Richtlinie auch in Deutschland, wo in anderen Bereichen bereits strenge Datenschutzgesetze herrschen, Anwendung findet und der Gebrauch von Cookies eingeschränkt wird. Im Gespräch ist, dass das Setzen von Cookies künftig die Einwilligung des Nutzers voraussetzen soll; die genauen Anforderungen sind unklar. In jedem Fall erhielte der Verbraucher, wie in der EU-Guideline gefordert, mehr Transparenz und Sicherheit; das Gros der Websites ist darauf aber noch nicht vorbereitet.
Die Alternativen – mehr als nur Beilage
Obwohl Cookies bei der Webanalyse noch durchaus gängig und weit verbreitet sind, geht der Trend hin zu Elementen und Methoden, die die Grundlage für Datenanalyse bilden. Hierfür müssen die Tracking-Möglichkeiten untersucht werden.
„In jedem Fall – und unabhängig von der Tracking-Methode – ist es wichtig, dass nutzerbezogenes Verhalten nicht mit personenbezogenen Daten verknüpft wird“, sagt Mario Ciccarese, Geschäftsführer beim deutschen Web- und App-Analyse-Experten Mindlab Solutions.
Die ganze Digitalwirtschaft muss sich mit Alternativen zu Cookies auseinandersetzen.
Um die Reichweite eines Mailings festzustellen, über die IP-Adresse standortbezogene Anpassungen vorzunehmen oder ein Bewegungsprofil zu erstellen, kommen häufig Zählpixel (Tracking-Pixel) zum Einsatz. Diese nur 1x1-Pixel großen Grafiken werden in HTML-E-Mails oder Websites eingebettet und ermöglichen eine Logdatei-Aufzeichnung oder eine Logdatei-Analyse. Wenn der User die Nachricht oder Website öffnet, wird die Grafik heruntergeladen und dieser Download vom Anbieter registriert. Die Zählpixel lassen sich vom Verbraucher nicht so einfach umgehen wie Cookies, wobei auch hier vermehrt Möglichkeiten zur Verfügung stehen.
Zählpixel dienen dazu, Daten und Zahlen zu gewinnen, ein Bewegungsprofil zu erstellen und über die IP-Adresse Geotracking zu betreiben. Die clientseitige Ausführung ist ein echter Pluspunkt, etwa für das Video-Tracking. Nachteile: Weil auch Versender von Spam-Mails davon Gebrauch machen, laden viele Mail-Programme Bilder erst nach Bestätigung herunter. Im Seitenquelltext werden die einzelnen Zählpixel angezeigt und lassen Rückschlüsse auf die Strategie zu – ein klarer Nachteil für den Betreiber der Website. Um Unique-Visitors und Unique-Visits auszumachen, werden Cookies benötigt. Mangelnde Datengenauigkeit ist ebenso ein Problem; bis zu zehn Prozent Abweichung sind möglich. Bei mobilen Endgeräten ohne entsprechende Unterstützung kann kein korrektes Tracking garantiert werden. Außerdem muss jede Website einzeln „verpixelt“ werden. Der Datenschutz ist nicht ohne Weiteres gewährleistet, wenn beispielsweise die IP-Adresse unverschlüsselt weitergeleitet wird.
Die Technologie HTML5 Local Storage hat gegenüber Cookies den Vorteil, je nach Browser-Einstellung über mehrere Hundert Kilobytes an Speicherplatz zu verfügen. Die Daten werden ähnlich wie beim Cookie auf der Festplatte des Website-Besuchers oder des Postfachbesitzers abgelegt, dabei allerdings nicht unverschlüsselt über das Internet übertragen. Die Entwickler können gezielt programmieren, welche Daten verschickt werden sollen, und HTML5 löst in einigen Fällen Plug-ins und Flash ab, weshalb auch User mit Werbeblocker im Browser Multimedia-Content (Video, Audio, Animationen) empfangen. Via GPS ist wiederum eine Standortbestimmung möglich. HTML5 wird vor allem auf mobilen Endgeräten als sogenannte Web-App eingesetzt und greift auf Local Storage zu.
„Auf Grundlage der Reverse-Proxy-Technologie entstehen zusammen mit URL-Rewriting Cookie-freie Möglichkeiten, um das Besucherverhalten auf einer Website zu analysieren. Und das unter Berücksichtigung des deutschen Datenschutzes.“
Wo andere Methoden teils Abstriche machen, greift ein Verfahren vom Esslinger Webanalyse-Experten Mindlab. „Wir haben mit der Reverse-Proxy-Technologie ein Verfahren entwickelt und patentiert, bei dem eine Software-Komponente vor den Webserver geschaltet wird, der die Inhalte bereitstellt“, so Ciccarese. Die Software schreibt den eingehenden und ausgehenden Datenstrom mit und wertet ihn aus. Es ist dabei nicht nötig, IP-Adressen zu speichern oder Cookies zu setzen. „Wir bauen stattdessen auf das ‚URL-Rewriting‘; dabei wird die Session-ID eines einzelnen Nutzers direkt in den URL eingeschrieben.“ Diese Methode ist zu hundert Prozent datengenau und lückenlos; sie erfasst jeden Klick und alle übermittelten Parameter und passt sehr gut zu hochfrequentierten Webseiten. Mindlab Solutions kann zudem die Unique-User-ID zusammenhalten und unter bestimmten Voraussetzungen ein Cross-Device-Tracking vornehmen. Dies ist unter anderem beim Online-Shopping auf wechselnden Endgeräten sehr sinnvoll. Hierbei ist die Gewährleistung der Datensicherheit besonders wichtig: Weil die Lösung inhouse gehostet werden kann, verlassen die Daten zu keinem Zeitpunkt den Server des Website-Betreibers. „Auf Grundlage der Reverse-Proxy-Technologie entstehen zusammen mit URL-Rewriting also Cookie-freie Möglichkeiten, um das Besucherverhalten auf einer Website zu analysieren. Und das unter Berücksichtigung des deutschen Datenschutzes.“
Mindlab Solutions nutzt die patentierte Reverse-Proxy-Technologie, um die Website-Nutzung zu tracken und gleichzeitig die IP-Adresse des Besuchers zu schützen. Durch das Mehr an Informationen bieten sich Möglichkeiten im Customer Targeting und unter bestimmten Voraussetzungen im Cross-Device-Tracking.
Eine recht junge Methode, um Website-Besucher ohne Unique-Visitor-ID in einem Cookie eindeutig erkennen zu können, ist das sogenannte Fingerprint-Tracking. Diese Verfahrensweise beruht darauf, dass beispielsweise die Liste der installierten Plug-ins, die unterstützten Schriftarten, die Bildschirmeinstellungen etc. den Rechner unverwechselbar machen. Dabei ist es robust genug, auch kleine Änderungen an der Konfiguration zu kompensieren und den Browser noch eindeutig zuzuordnen. Fingerprint-Tracking kann zwar Rechner- und Browsereinstellungen als individuelle Signatur erkennen, jedoch können Unternehmens-IT-Policies mit ihrer einheitlichen Konfiguration die absolute 100%ige Genauigkeit verschleiern.
Überraschungsküche: Auf welchen Mix dürfen sich Digitale freuen?
Die Ansprüche an Angebote im Internet sind hoch: Online-Shopping soll weiter emotionalisiert und personalisiert werden – wie der stationäre Einzelhandel, nur besser. Wenn es in einem sensiblen Bereich des Online-Banking zum Fehler kommt, ist weniger das Geld als das Vertrauen der Kunden in Gefahr. Und mit den steigenden Zugriffzahlen auf mobilen Geräten ist es zudem erforderlich, neben der klassischen Website auch die nativen oder Web-Apps für jedes Betriebssystem und jede Verwendungsart fit zu machen. Die Analyse des Nutzungsverhaltens nimmt also an Bedeutung zu – gerade ohne Cookies. Die Bedürfnisse der Nutzer und die Ansprüche der zahlenden Industrie miteinander zu vereinbaren, ist eine große Herausforderung der Digitalwirtschaft.
Autor
Vincent Schlecker
Vincent Schleckerist Produktmanager bei Mindlab Solutions und befasst sich seit 2009 mit Webanalysen. Mindlab Solutions bietet professionelle Web- und App-Analyse für höchste Ansprüche und zählt im Bereich Webanalyse zu den Pionieren in Deutschland. Die Mindlab-Lösungen sind individuell auf die Anforderungen des Kunden zugeschnitten. Viele Kunden kommen aus den Bereichen Banken, Versicherungen sowie Telekommunikation, weshalb andere Unternehmen, die sehr viel Wert auf Datenschutz und Datensicherheit legen, ebenfalls auf Mindlab vertrauen. Wichtiger Bestandteil ist die eigene patentierte Technologie, die primär als Inhouse-Lösung entwickelt wurde, sodass alle gesammelten Informationen im Haus des Kunden bleiben.
www.mindlab.de
vincent.schlecker(at)mindlab.de
www.twitter.com/ MindlabSolution
![eStrategy Magazin letzte Ausgabe](/fileadmin/_processed_/3/0/csm_Cover-eStrategy-03-2023_b018c0dffb.jpg")
