Folgendes wird wieder so eine Balance zwischen „Oh Gott, das versteht keiner“ und „Da outest du dich mal wieder mit allenfalls Basiswissen und genierst dich nicht mal“, aber nun. Es geht um Tracking, Personalisierung und Cookies, und wie das aktuell funktioniert (bzw. nicht), seit alle ernsthaften Browser 3rdParty- und überhaupt Trackingcookies blocken. Ich vereinfache eingangs vieles sehr bewusst und später stoße ich an eigene Wissensgrenzen, bitte ersteres hinnehmen und mir bei zweiteren bitte gerne auf weitere Sprünge helfen, danke. Ebenfalls sinnvoll zu erwähnen: IANAL.
Die gute alte Zeit
Früher(tm) hat man in eine Seite einfach Trackingpixel eingebunden – Dateien, die von Trackingdienstleistern geladen wurden und die dann ihr Cookie abgesetzt haben. Prinzip: Ruppsel geht auf example.com, example.com ruft ein Pixel von Google und eines von facebook über ihre Seite auf, die Ruppsel deswegen wacker und unbesehen mitlädt. Beide Pixel schauen, ob es von google bzw. facebook bei Ruppsel ein Cookie gibt. Es gibt keins, also setzen sie ein Cookie (drin steht ne eindeutige ID).
Ruppsel surft weiter zu example.net, die, wie es das Schicksal so will, auch von Google und facebook ein Trackingpixel haben. Beide werden geladen, gucken, obs ein Cookie gibt – hurra, da ist eins. Google und facebook wissen nun, dass ich auf example.com und example.net war.
Nun melde ich mich bei YouTube an und hoppla, schon kann Google das mit den vorhandenen Cookiedaten verknüpfen und mir demnächst Werbespots von example.org einblenden, weil die Kunden der beiden Wettbewerber erreichen wollen und Google dafür Geld geben.
DSGVO und Cookieblocker
The new normal.
Diese beiden Faktoren haben das Prinzip nachhaltig verändert: die DSGVO setzt eine aktive Einwilligung in entsprechende Datenweitergaben voraus, gängige Browser blockieren alle Cookies, die nicht von der Domain kommen, die vom Browser selber aufgerufen wurde: wenn Ruppsel auf example.com ist, kann da noch so viel von google.com geladen werden, ein Cookie setzen dürfen sie trotzdem nicht. Bzw., doch, je nach Browser kommen da noch teils einzelne Cookies durch, in der Regel explizit die, die dem (anonymisierten) Tracking des Seitenbesuchs dienen, nicht dem seitenübergreifenden Nachverfolgen und -profilen. Allein, selbst da kann man sich nicht wirklich drauf verlassen (looking at you, Safari).
Was passiert? Es werden bei einem großen und weiter wachsenden Teil von Webseitenbesuchern keine Cookies beispielsweise von Google Analytics mehr gesetzt. Nun ist HTTP aber im Grunde ein „zustandloses Protokoll“, ein Webserver weiss nicht, wer ihn da vor fünf Minuten genervt hat, er gibt eben immer das raus, was vom Nutzer angefragt wird. Es erkennt niemanden von sich aus wieder, dafür braucht es… Cookies. Oder ähnliches. Auf der Webseite selber mag das kein Problem sein – man ruft Seite A auf und kriegt Seite A. Man ruft Seite B auf und kriegt B, und wenn man Seite C nur kriegen kann, wenn man vorher einen Haken auf B gesetzt hat, dann setzt die Seite dabei ein „Haken auf B steht“ – Cookie und wenn das da ist, wird C ausgeliefert und wenn nicht, nicht. Weil das Cookie von der im Browser aufgerufenen Domain kommt, funktioniert das alles auch. Nun kommen aber „von extern“ gesetzte Cookies nicht mehr zuverlässig an.
Google Analytics, haben wir Sitzungen?
Springen wir zu Google Analytics. Wenn ich wissen will, wo sich Nutzer auf meiner Seite rumtreiben, nutze ich Google Analytics, weil es so ziemlich das beste ist, was man dazu nehmen kann. Wie oft werden welche Seiten aufgerufen, kommen die Nutzer über Anzeigen, über Links, über die Suche, wie lange bleiben sie auf Seite X, wieviele Seiten schauen sie sich an usw., und wer bei „wie viele Seiten schauen sie sich an“ am Kopf kratzte, hat mitgedacht. Woher soll Google wissen, dass der User auf Seite A derselbe ist wie der, der kurz darauf Seite B aufrief? Denn der Trackingcode wird nach wie vor über jede Seite aufgerufen, aber wie kann Google zuordnen, dass es immer derselbe Nutzer ist?
Analytics. Der Peak da bin ich.
Bis vor einiger Zeit: klar, übers Cookie. Inzwischen kann man sich darauf schlicht nicht verlassen. Schau ich in Analytics, sehe ich aber unverändert, dass in diesem wie auch im letzten Jahr sich die Leute im Schnitt 1,3 Seiten hier anschauen, bevor sie woandershingehen. Oder dass sie eben auch mal sechs Blogeinträge durchblättern, damals wie heute. Es gibt nun die Leute, die sagen, klar, Google almighty kann eh alles und auch in unser Hirn und durch unsere Webcam gucken, aber wenn ich das einem Kunden sage, wird der mich für bekloppt erklären und sein Geld woanders ausgeben. Wir brauchen schon was handfesteres.
1st Party-Cookies und Browser-Requests
Google und auch Facebook behelfen sich (unter anderem) damit, Cookies via Javascript über die aufgerufene Seite auszuliefern: Der Trackingcode wird aufgerufen und sagt, jemand hat Seite A auf example.com aufgerufen, jemand hat Seite B auf example.com aufgerufen usw. Ein Cookie wird von example.com gesetzt, in dem eine ID steht. Weiterlesen →
