Kategorien
MarTech

Die Pläne der GAFAs

Was wird der Cookie Ersatz werden?

In vielen Ländern wurden die großen GAFA Konzerne (Google, Apple, Facebook, Amazon) bereits zu hohen Bußgeldern wegen Datenschutzverstößen verurteilt. Google und Facebook beispielsweise wurden erst im Dezember in Frankreich verurteilt. Die strengeren Regeln und auch ein gewisser Wunsch zum weiteren Ausbau der Marktmacht hat die Konzerne dazu bewegt, eigene Regeln für das Tracking zu nutzen.

Während die Browser Safari und Firefox schon längst Drittanbieter-Cookies ablehnen und Apple das App-Tracking eingeführt hat, zieht nun auch Google nach und hat ein Ende der Third Party Cookies bis 2023 verkündet. Das dürfte wohl das globale Aus für die Technologie bedeuten. 

Alle Konzerne arbeiten bereits an alternativen Lösungen und auch andere Anbieter werden in Zukunft mit ihren Daten auf den Markt kommen.

Google

Google hat verkündet, seine Third Party Cookies bei Chrome bis 2023 anzuschaffen. Währenddessen tüftelt das Unternehmen an eigenen Lösungen. Wenn man bedenkt, dass fast 90% der Einnahmen von Google aus Werbung generiert werden, ist auch klar, dass es bald eine gute Alternative braucht. Die neueste Variante heißt Topics und soll das wohl als gescheitert zu bezeichnende FloC Modell ablösen.

In naher Zukunft sind in einigen Ländern wie der EU, der Schweiz und Großbritannien ein “Alles Ablehnen”-Button in Planung sowie der Nachfolger der Third Party Cookies, die AdID. Außerdem feilt Google gerade an einer “Privacy Sandbox” und am FloC Modell („Federated Learning of Cohorts“). 

Bei der “Privacy Sandbox” agieren die Nutzer in einem geschützten Bereich. Beim FloC Modell werden Nutzer als gemeinsame Kohorte von mindestens 1.000 Personen getrackt, die dieselben Interessen teilen. Werbemaßnahmen können so trotzdem zielgerichtet erfolgen.

An diesem Modell wird jedoch kritisiert, dass es trotzdem möglich sei, einzelne Nutzer zu identifizieren, sobald ihnen weitere Merkmale zugeordnet werden. Unternehmen wie Microsoft, Apple und Amazon könnten das System aufgrund ihrer Bedenken und ihrer eigenen Systeme behindern oder blockieren.

Apple

Apple hat schon lange ein großes Interesse an der Privatsphäre seiner Nutzer und sagte damit schon 2017 dem Tracking dem Kampf an. Mit der Intelligent Tracking Prevention, die immer weiter verbessert und verfeinert wurde, war das Auslesen von Cookies nur über einen bestimmten Zeitraum hinweg möglich. Seit Safari 13.1, macOS 10.15.4 und iOS/iPadOS 13.4 ist das Setzen und Auslesen von Drittanbieter Cookies nun komplett verboten.

Möglich ist, dass Apple eine eigene Nutzung und einen Verkauf der Daten, beispielsweise auch aus dem App-Store und Apple-Pay Universum anstrebt. 

Facebook

Facebook sieht sich heute schon einigen Schwierigkeiten gegenübergestellt: dem erschwerten App-Tracking, der DGSVO konformen Nutzung der Facebook Pixel und den Restriktionen beim Tracking durch die Browser. Dafür nutzt Facebook das Server to Server Tracking oder auch (Server-Side-Tracking bzw S2S). Cookies sind hier nicht mehr notwendig, da das Tracking direkt über den Webserver stattfindet. Beim Aufruf einer Seite wird ein eindeutiges Erkennungsmerkmal auf dem Server gespeichert und zur Wiedererkennung genutzt. So kann identifiziert werden, wie erfolgreich eine Werbemaßnahmen war. Beim Facebook S2S ist ebenfalls eine Bidding Integration vorgesehen. 

Trotz S2S bestehen die im Zusammenhang mit Cookies genannten Datenschutzprobleme trotzdem, denn es muss immer das Einverständnis des Nutzers eingeholt werden.

Amazon verwendet eigene und somit First-Party Cookies, von denen zumindest die Werbe-Cookies aber auch vom Nutzer im eigenen Konto an-/abgewählt werden können. Amazon erlaubt es aber aktuell auch sogenannten genehmigten Dritten Third Party Cookies zu begrenzten Werbezwecken zu nutzen. 

Amazon

Es gibt jedoch auch Hinweise, dass Amazon eine eigene Identifikation von Nutzern entwickelt, die ohne Cookies auskommt und trotzdem Werbung ausspielen kann. Allerdings dürfe eine solche Lösung nur innerhalb des Amazon Kosmos nutzbar sein. Publisher hätten dann Zugriff auf APS (Amazon Publisher Services) und auf der Käuferseite wäre es Amazon DSP (Demand-Side Platform). 

Eine weitere Lösung, auf die Facebook, Google und Amazon setzen, ist der dauerhafte Login. Mehrere Millionen Nutzer sind dauerhaft eingeloggt und liefern permanent Nutzerdaten, die für Werbemaßnahmen genutzt werden können.

Fazit

Wir wissen, dass wir nichts wissen. Abschließend könnte man dies so sagen. In Deutschland gibt es noch Überlegungen die als Log-In Lösungen bezeichnet werden, wie die der Net-ID Foundation. Auf dem letzten Horizont-Kongress in Frankfurt im Juni 2022 stellte sich vor allem ein Problem heraus. Es wird zu viele unterschiedliche Lösungen geben die Werbetreibende dazu zwingen werden noch mehr Marketinggelder in Technik zu investieren und in Berater die ihnen dabei helfen diese Technik zu nutzen. Weniger Geld aus den Marketingtöpfen für die Botschaft und immer mehr Geld für den Weg zum Konsumenten. Ein sicherlich eher unglücklicher Weg.

Im dritten Teil werde ich mich noch einmal verstärkt auf das Thema Log-In Lösungen eingehen.

Kategorien
News

Die 3rd Party Cookie Diskussion

Warum gibt es hier eine Diskussion?

Viele Cookies erleichtern den Usern die Nutzung der Websites, beispielsweise wenn sie Angaben speichern, um Formulare im Internet auszufüllen oder um Artikel in einen virtuellen Warenkorb zu legen und sie dort zu speichern. Das sind in der Regel First Party Cookies.

Third Party Cookies (Wer noch einmal nachlesen will was 1st, 2nd und 3rd Party Cookies unterscheidet) hingegen tracken den Nutzer über mehrere Websites hinweg und speichern so umfangreiche Daten, meist ohne, dass der Nutzer es merkt. Deswegen kommt bei Third Party Cookies schnell die Diskussion um den Datenschutz auf. Es fehle an Anonymität der Nutzer durch das Tracking über mehrere Seiten hinweg und den Zugriff von Dritten auf diese Daten. Die Nutzer haben meist auch keinen Überblick darüber, wo ihre Daten gespeichert werden, was damit passiert und auch wie lange sie gespeichert werden. Cookies werden nämlich in der Regel nicht gelöscht, auch wenn man den Browser schließt. Die meisten Browser bieten jedoch die Möglichkeit, die Cookies zu löschen, was aber gegebenenfalls manuell aktiviert werden muss.

Zum Schutz der Nutzer gibt es von Seiten sämmtlicher Staaten, Verbraucherschutzorganisationen und auch schon erster Tech-Unternehmen neue Regelungen, um die Nutzerdaten besser zu schützen. Diese Regelungen stehen jedoch dem Interesse der Werbetreibenden gegenüber und machen es beispielsweise auch Verlagen schwieriger, ihre Inhalte über personalisierte Werbung zu refinanzieren. 

Viele Webseitenbetreiber nutzen daher kleine Tricks, um den Nutzer zu einer Einwilligung zur Sammlung und Verarbeitung ihrer Daten zu bewegen. Da die meisten Besucher von Cookie Bannern genervt sind und diese schnell wegklicken wollen, werden die Banner so gestaltet, dass dem Nutzer ein Feld zum schnellen Wegklicken des Banners vorgeschlagen wird, meist das der Einwilligung. Dieses Feld ist beispielsweise größer gestaltet oder farblich hervorgehoben. Die Ablehnung der Cookies ist häufig kleiner geschrieben oder lässt sich nur über den Umweg der Cookies Einstellungen erzielen.

Aktueller Stand der Diskussion

Aktuell versuchen immer mehr Regierungen die Datenschutzrechte der Website-Besucher zu stärken. Dafür wurden Gesetze und Richtlinien wie die CCPA, ePR oder GDPR erlassen. Sie alle beinhalten zivil- und/oder strafrechtliche Folgen für all diejenigen, die ihre Benutzer nicht über das Vorhandensein von Cookies informieren. Dazu gehört auch darüber aufzuklären, welchen Informationen gesammelt werden und wohin diese weitergegeben werden. Außerdem muss der Nutzer die Möglichkeit haben, sich jederzeit vom Tracking abzumelden. Für Werbetreibende entsteht so ein Spannungsfeld zwischen möglichen hohen Strafen und enormen Opportunitätskosten bei einer gänzlichen Abschaltung des Trackings.

Der Druck von Aufsichtsbehörden, Verbraucherschutzorganisationen und den Verbrauchern selbst auf die Branche wächst. Häufig ist auch schon der Begriff “Cookiekalypse” oder “Cookieless Future” zu lesen. Deswegen haben bereits viele Marktteilnehmer aus der Technologiebranche erklärt, dass Cookies von Drittanbietern und die dazugehörigen betriebenen Anzeigen nicht mehr genutzt werden. So blockieren bereits die Browser Safari und Firefox bereits standardmäßig die Cookies von Drittanbietern. Google hat für 2023 das Ende der Drittanbieter Cookies in seinem Browser Chrome angekündigt, der aktuell den höchsten Marktanteil unter den Browsern hat.

Das führt dazu, dass die großen Konzerne aktuell bereits an neuen Lösungen arbeiten, während kleine Player möglicherweise geschwächt werden.

Deutschland

In Deutschland gelten in Bezug auf Datenschutz und Cookies vorwiegend die DSGVO und das Telemediengesetz (TMG). 

Nach Ansicht der deutschen Aufsichtsbehörden muss für die Einbindung von Tracking und/oder Targeting Cookies regelmäßig eine Einwilligung in die korrekte Datenverarbeitung eingeholt werden. Außerdem muss in der Datenschutzerklärung ein Hinweis auf die einzelnen Tools, welche die Cookies nutzen, zu finden sein (Cookie Policy). Bei Verstößen drohen hohe Bußgelder.

Deutschland ist aber auch an die EU Richtlinien gebunden. Bislang hat Deutschland die für die EU geltende E-Privacy-Richtlinie nie richtig umgesetzt und es herrscht keine finale Klarheit, welche Vorschriften für Webseiten gelten. Aktuell befinden sich Webseitenbetreiber rechtlich auf der sicheren Seite, wenn sie die Opt-Out-Lösung gemäß Telemediengesetz umsetzen. Das TMG ist auch der Grund davor, dass man sich sicher war, damit schon eine Rechtslage zu haben, die eine Umsetzung der E-Privacy-Richtlinie nicht notwendig mache.

EU

Cookies werden in der EU-DSGVO nicht ausdrücklich genannt und somit gibt es hier keine klare Regelung zum Datenschutz und zu entsprechenden Cookie-Hinweisen, jedoch aber zur Verarbeitung von personenbezogenen Daten. Der EuGH hat außerdem am 01.10.2019 geurteilt, dass eine ausdrückliche Cookie-Einwilligung beim Website-Besucher eingeholt werden muss, sofern die Cookies nicht unbedingt notwendig sind. Dies ist auch in Art. 6 der DSGVO geregelt. Ist die Datenverarbeitung unbedingt notwendig oder liegt sie im berechtigten Interesse des Betreibers, muss der Nutzer keine Zustimmung geben.

Theoretisch könnten Unternehmen auf der Rechtsgrundlage des sogenannten “berechtigten Interesses” argumentieren, was dann aber zu einer Interessenabwägung zwischen Werbetreibenden und Nutzern führen würde, die immer mit einer hohen Rechtsunsicherheit verbunden ist. Für die meisten Unternehmen wird diese Argumentation nicht umsetzbar sein, weshalb eine sogenannte Opt-in/Opt-out Funktion notwendig ist. 

Zusätzliche Regelungen schafft die E-Privacy-Richtlinie. Hier ist festgelegt, dass der Nutzer ausdrücklich zustimmen muss, dass seine Daten getrackt werden. 

USA

Während die Verwendung von Cookies und personenbezogenen Daten in der EU auf föderaler Ebene geregelt ist, haben in den USA einige Bundesstaaten ihre eigenen Gesetze, während andere gar keinen wirklichen Schutz der Nutzer bieten. Im Januar 2020 trat mit dem California Consumer Privacy Act (CCPA) der USA weit umfangreichste Datenschutz in Kraft.

Verbraucher haben hiermit das Recht, die Offenlegung der Kategorien von spezifischen Teilen der persönlichen Daten zu verlangen, die über sie von den Unternehmen gesammelt worden sind. Ebenso haben sie das Recht, die Löschung ihrer Daten zu verlangen und einem Verkauf der Daten an Dritte zu widersprechen. Genau wie in der EU müssen die Nutzer über die Art, Nutzung und Weitergabe der gesammelten Daten informiert werden.

Was planen die GAFA Konzerne?

Im zweiten Teil des 3rd Party Diskussions Beitrags wird es um die Pläne der GAFA Konzerne (Google, Apple, Facebook, Amazon) gehen.

Der Beitrag wird am vierten Juli veröffentlicht.

.