Drittanbieter-Cookie

Was ist ein Drittanbieter-Cookie?

Ein Drittanbieter-Cookie ist ein Cookie, das auf dem Gerät eines Nutzers – Computer, Handy oder Tablet – von einer Website einer anderen Domäne als derjenigen, die der Nutzer besucht, platziert wird.

Drittanbieter-Cookies werden am häufigsten für Online-Werbung verwendet. Diese Cookies verfolgen den Browserverlauf und die Aktivitäten eines Nutzers, damit sie ihm personalisierte Werbung für Produkte und Dienstleistungen präsentieren können. Wenn ein Nutzer beispielsweise nach Partydekoration sucht, kann es sein, dass auf seinem Bildschirm Anzeigen für Partydekoration auf mehreren Websites erscheinen, insbesondere auf Websites sozialer Medien wie Facebook. Der Nutzer sieht diese Anzeigen, weil sein Webbrowser ein Drittanbieter-Cookie gespeichert hat und diese Informationen verwendet, um ihm gezielte Werbung zu senden.

Drittanbieter-Cookies sind jedoch auf dem Rückzug. Mit Ausnahme von Google Chrome blockieren Browser wie Apple Safari und Mozilla Firefox Cookies von Drittanbietern standardmäßig. Google wird die Verwendung von Drittanbieter-Cookies voraussichtlich bis Ende 2024 einstellen.

Erstanbieter-Cookies versus Drittanbieter-Cookies

Bei beiden Arten von Cookies handelt es sich um Textdateien, die aus Informationsbits bestehen und von Websites zur Erfassung von Nutzerdaten verwendet werden. In Cookies werden in der Regel Benutzerdaten wie Surf- und Personalisierungspräferenzen sowie Tracking-Informationen gespeichert. Der Unterschied zwischen den beiden Arten von Cookies besteht darin, wer diese Cookie-Daten verwendet und für wen das Cookie Daten sammelt.

Erstanbieter-Cookies. Der Eigentümer der Website platziert ein Erstanbieter-Cookie auf einer Website, um Benutzerdaten zu sammeln, die er verwenden kann. Erstanbieter-Cookies werden häufig verwendet, um die Benutzerfreundlichkeit zu verbessern, indem sie sich an die Präferenzen und Einstellungen der Benutzer erinnern. Sie werden auch verwendet, um Informationen zu speichern, zum Beispiel Artikel, die ein Benutzer in seinen Online-Einkaufswagen gelegt hat, Benutzernamen, Passwörter und Spracheinstellungen. Website-Betreiber können Erstanbieter-Cookies verwenden, um Dienste wie Live-Chat anzubieten.

Drittanbieter-Cookies. Ein Drittanbieter-Cookie wird von einem Dritten auf einer Website platziert, um Nutzerdaten für diesen Dritten zu sammeln. Wie bei Standard-Cookies werden Drittanbieter-Cookies platziert, damit sich eine Website etwas über den Nutzer merken kann. Cookies von Drittanbietern werden jedoch häufig von Werbenetzwerken gesetzt, bei denen eine Website abonniert ist, in der Hoffnung, den Umsatz oder die Seitenaufrufe zu steigern. Wenn ein Benutzer beispielsweise eine Website namens news.com besucht, ist ein von news.com auf dieser Domäne platziertes Cookie ein Erstanbieter-Cookie. Ein Cookie, das von einer anderen Website platziert wird, zum Beispiel von einem Werbetreibenden oder einer Website für soziale Medien, ist ein Drittanbieter-Cookie.

Im Gegensatz zu Erstanbieter-Cookies, die nur dann Nutzerdaten sammeln können, wenn Nutzer mit der Website des Eigentümers interagieren, verfolgen Drittanbieter-Cookies Nutzer über mehrere Websites hinweg und liefern so ein umfassenderes Bild des Nutzerverhaltens.

Cookies im Allgemeinen können auch als HTTP-Cookies (Hypertext Transfer Protocol), Web-Cookies und Browser-Cookies bezeichnet werden. Drittanbieter-Cookies werden auch als Tracker bezeichnet.

Wie Cookies von Drittanbietern funktionieren

Drittanbieter-Cookies betten JavaScript von einer Website in eine andere Website ein. Eine Website hostet das Drittanbieter-Cookie, indem sie JavaScript von Dritten einbindet. HTTP, das Protokoll, das für das Surfen im Internet verwendet wird, ist ein zustandsloses Protokoll, das heißt Informationen werden zwischen den einzelnen Sitzungen nicht gespeichert. Cookies speichern jedoch zustandsabhängige Informationen – oder Informationen, die zwischen Sitzungen gespeichert werden – in der zustandslosen HTTP-Umgebung.

Bei der Erstellung eines Cookies werden im HTTP-Antwort-Header Cookie-Attribute angegeben, die bestimmen, ob es sich um ein Erst- oder Drittanbieter-Cookie handelt. Mit dem SameSite-Attribut kann der Ersteller des Cookies bestimmen, ob das Cookie ein Drittanbieter-Cookie oder ein Erstanbieter-Cookie – oder Same-Site-Cookie – wird. Wenn ein Benutzer eine Anfrage an den Browser stellt oder eine Aktion auf der Website durchführt, bestimmen die Cookie-Attribute, ob und wann Cookies zusammen mit der Antwort gesendet werden.

Wenn ein Website-Benutzer beispielsweise ein Bild von der gleichen Website-Domäne anfordert, speichert das Cookie mit dem Attribut SameSite die Benutzerinformationen. Wenn der Benutzer ein Bild von einer Website eines Drittanbieters anfordert, bei der der Domänenname nicht derselbe ist, erfasst ein Cookie mit dem Attribut SameSite keine Benutzerinformationen über verschiedene Websites hinweg.

Das SameSite-Attribut legt fest, dass es sich um ein First-Party-Cookie handelt. Innerhalb von SameSite gibt es einen Deskriptor:

• Wenn der Cookie-Ersteller SameSite auf Strict setzt, ist das Cookie strikt vom Erstanbieter und wird niemals bei Site-übergreifenden Anfragen gesendet. Es wird aktiviert, wenn die Domäne beider Parteien des Austauschs von derselben Webdomäne stammt. Diese Einstellung eignet sich gut für die Speicherung von Benutzereinstellungen auf der Website, funktioniert aber nicht bei Anfragen, die von einem externen Link kommen. Wenn der Benutzer beispielsweise auf einen Link in einer E-Mail von einem Freund klickt, wird das Cookie nicht gesendet, da der Benutzer von einer anderen Domain kommt.
• Wenn das Cookie auf Lax eingestellt ist, wird es bei bestimmten seitenübergreifenden Anfragen gesendet. Lax bedeutet, dass das Cookie mit einer sicheren Top-Level-Navigation gesendet wird, was bedeutet, dass sich die URL ändert. Lax erlaubt es Websites von Drittanbietern nicht, Informationen auf der ursprünglichen Benutzerseite zu posten oder zu laden. Das bedeutet, dass ein auf Lax gesetztes Drittanbieter-Cookie gesendet werden kann, wenn ein Benutzer auf einen Link zur Website des Cookies klickt, aber keine Werbung von einer anderen Website in einem Inline-Frame (iframe) laden kann, da dies den HTTP-Befehl POST verwendet, der als weniger sicher gilt.
• Wird keine Angabe gemacht, unterliegen alle Anfragen den Cookies, und das Cookie ist per Definition ein Drittanbieter-Cookie. Es schränkt POST-Anfragen nicht ein, die von Werbetreibenden, sozialen Netzwerken und anderen Dritten genutzt werden können, um Informationen von ihrer Website zu laden. Diese fehlende Spezifikation macht Cookies für Werbetreibende nützlich, da sie oft Methoden verwenden, die nicht den Kriterien von SameSite = Strict und SameSite = Lax entsprechen. Ein Beispiel: Eine externe Website stellt eine GET-Anfrage, die die URL als Top-Level-Navigation nicht ändert. Diese Aktion – die eine <iframe>- oder <img>-Anforderung sein kann – wird sowohl von Lax als auch von Strict blockiert. Das Fehlen einer Spezifikation erlaubt diese Art der Kommunikation, bei der eine Seite innerhalb einer anderen Seite geladen wird. Dies ist eine gängige Methode, um Werbung auf Webseiten zu platzieren.

Warum werden Drittanbieter-Cookies verwendet und wer verwendet sie?

Drittanbieter-Cookies heißen so, weil sie von einer anderen Website stammen als der, auf der sich ein Nutzer gerade befindet. Werbetreibende und soziale Netzwerke verwenden häufig Cookies, um Nutzer über Domänen hinweg zu verfolgen und ihre Online-Aktivitäten zu überwachen. Dies ist für Werbetreibende nützlich, da spezifische Nutzerdaten ihren Erfolg beim zielgerichteten Marketing steigern können.

Sowohl Werbetreibende als auch Websites sozialer Medien stützen sich in hohem Maße auf Nutzerdaten, um die von ihnen kuratierten und generierten Inhalte zu gestalten. Aus diesen Daten können Nutzerprofile erstellt werden, die Aufschluss darüber geben, wie die Informationen dem Nutzer präsentiert werden, egal ob es sich um ein Werbe-Pop-up oder einen Social-Media-Feed handelt.

Wie man erkennt, ob eine Website Cookies von Drittanbietern verwendet

Um festzustellen, ob eine Website Cookies von Drittanbietern verwendet, können Sie manuell auf die Browsereinstellungen zugreifen oder ein kostenloses Online-Cookie-Checker-Tool verwenden.

Die Anweisungen variieren je nach Browser. So prüfen Sie in Chrome unter Windows, ob Cookies von Drittanbietern verwendet werden:

1. Drücken Sie Strg + Umschalt + I und wählen Sie Application > Storage > Cookies.
2. Überprüfen Sie die Domäne in der Cookie-Liste. Sie können feststellen, ob eine Website Cookies von Drittanbietern verwendet, wenn die Domäne eine andere ist als die, die gerade verwendet oder gepflegt wird.

Öffnen Sie auch bei Firefox und Safari die Entwicklerkonsole oder das Inspektionselement und überprüfen Sie die Cookies.

Aktivieren, Deaktivieren und Blockieren von Cookies in Google Chrome

Cookies von Drittanbietern werden häufig durch Browsereinstellungen und Sicherheitseinstellungen wie die Richtlinie für den gleichen Ursprung blockiert und gelöscht, die es Skripten auf einer ersten Webseite erlaubt, auf Daten auf einer zweiten Webseite zuzugreifen, solange beide Webseiten den gleichen Ursprung haben. Browser wie Firefox und Safari blockieren Cookies von Drittanbietern standardmäßig.

Das Blockieren von Drittanbieter-Cookies führt nicht zu Problemen bei der Anmeldung auf Websites – was nach dem Blockieren von Erstanbieter-Cookies ein Problem sein kann – und kann dazu führen, dass der Nutzer weniger gezielte Werbung im Internet sieht. Das Blockieren aller Cookies kann jedoch manchmal zu Problemen führen, da einige Websites auf Cookies von Erstanbietern angewiesen sind, um ordnungsgemäß zu funktionieren.

Mit den folgenden Schritten können Sie Drittanbieter-Cookies in Google Chrome aktivieren oder deaktivieren:

1. Öffnen Sie Chrome.
2. Klicken Sie auf die drei Punkte in der oberen rechten Ecke des Browserfensters.
3. Scrollen Sie nach unten, klicken Sie auf Einstellungen und wählen Sie den Abschnitt Datenschutz und Sicherheit.
4. Klicken Sie auf Drittanbieter-Cookies. Die folgenden Optionen werden angezeigt:

1. • Drittanbieter-Cookies zulassen
   • Drittanbieter-Cookies im Inkognito-Modus blockieren
   • Drittanbieter-Cookies blockieren

Drittanbieter-Cookies und Datenschutz

Cookies von Drittanbietern und Cookies im Allgemeinen stellen ein erhebliches Datensicherheitsrisiko dar und werden von einigen als Verletzung der Datenschutzrechte der Nutzer angesehen. Aus diesem Grund werden Cookies von Drittanbietern in einigen der wichtigsten Browser standardmäßig blockiert. Im Jahr 2011 verabschiedete die Europäische Union die Cookie-Richtlinie, die vorgibt, dass die Nutzer über die Cookies informiert werden müssen, mit denen sie beim Besuch einer Website interagieren werden.

Obwohl sie an sich nicht gefährlich sind, können böswillige Akteure Cookies kapern und nutzen, um an Informationen zu gelangen. Dies geschieht, wenn ein Cookie, das mit der Authentifizierung zusammenhängt, nicht sicher übertragen wird. Kaspersky entdeckte beispielsweise einen Cookie-Diebstahl-Trojaner, der es Hackern ermöglicht, die Social-Media-Konten ihrer Opfer zu kontrollieren.

Cookies, die mit der Authentifizierung zusammenhängen, haben normalerweise eine Sicherheitsmarkierung, die den Browser anweist, nur über sichere Kanäle wie Secure Sockets Layer (SSL) oder Transport Layer Security (TLS) auf das Cookie zuzugreifen. Werden sie nicht über diese Kanäle übertragen, können Hacker sie abhören und sich Zugang verschaffen.

Andere gängige Angriffe, bei denen Cookies zum Einsatz kommen, sind unter anderem:

• Cross-Site Request Forgery (XSRF)
• Cross-Site Scripting (XSS)
• Session-Hijacking

Was geschieht mit Drittanbieter-Cookies?

Es gibt eine allgemeine Abkehr von Drittanbieter-Cookies, da die Verbraucher Online-Datenschutz fordern und Bedenken haben, dass ihre persönlichen Daten von Dritten missbraucht werden. Millionen von Nutzern greifen auf Werbeblocker und privates Surfen zurück, während Datenschutzvorschriften die Möglichkeiten von Unternehmen zur Erhebung und Nutzung personenbezogener Daten einschränken, darunter die EU-Datenschutz-Grundverordnung (EU-DSGVO) und der California Consumer Privacy Act (CCPA). Obwohl die Einführung von Cookies vor drei Jahrzehnten den Startschuss für eine 600 Milliarden Dollar schwere digitale Werbeindustrie gegeben hat, nehmen die Tech-Giganten nun Rücksicht auf die Verbraucher und haben sich verpflichtet, diese Cookies nicht mehr zu unterstützen. Die Sperrung von Cookies von Drittanbietern erhöht zwar den Datenschutz und die Sicherheit der Nutzer, schafft aber Probleme für Unternehmen, die Verbraucher verfolgen und Anzeigen schalten, die den Nutzern oft im Internet folgen.

Für Vermarkter und Werbetreibende kommt die endgültige Abschaffung der Cookies von Drittanbietern nicht überraschend. Google gab erstmals im Februar 2020 seine Absicht bekannt, Cookies von Drittanbietern in Chrome bis 2022 schrittweise abzuschaffen. Später änderte Google seine Pläne und verschob die Abschaffung der Cookies von Drittanbietern bis Ende 2024, vor allem, weil es den Werbetreibenden mehr Zeit geben wollte, ihre Werbetaktiken zu ändern und neue, weniger aufdringliche Technologien für gezielte Werbung zu testen. Nach der Abschaffung wird Google den Nutzern nicht die Möglichkeit geben, Cookies von Drittanbietern wieder zu aktivieren.

Welche Alternativen gibt es zu Drittanbieter-Cookies?

Laut einer Studie von Adobe verlassen sich 75 Prozent der Marketing- und Customer-Experience-Verantwortlichen weltweit weiterhin stark auf Cookies von Drittanbietern. Da es um ihr Überleben geht, haben viele Webanbieter versucht, diese Änderungen zu unterlaufen, indem sie andere Techniken wie Cookie-Respawning, Flash-Cookies, Entity-Tags und Canvas-Fingerprinting eingesetzt haben.

Im Folgenden werden einige Alternativen zu Drittanbieter-Cookies vorgestellt:

Browser-Fingerprinting. Ein Browser-Fingerprint besteht aus einer Sammlung von Details über den Benutzer, wie zum Beispiel der Art des verwendeten Browsers, dem Inhalt des Browser-Caches, dem Standort und der Zeitzone. Diese Informationen werden in einem Hash-Wert zusammengefasst, und der Sammler der Informationen kann dann nach der gleichen Kombination von Details suchen und die Nutzer im Web genau verfolgen.

Identitätslösungen. Identifizierungsoptionen verfolgen die Nutzer anhand persönlicher Daten wie E-Mail-Adresse, Telefonnummer oder Anmelde-ID. Persönliche Informationen von Website-Besuchern werden gesammelt und an einen ID-Anbieter weitergeleitet. Die persönlichen Daten des Benutzers werden dann verschlüsselt oder gehasht, um ihre Privatsphäre zu schützen, bevor sie mit einer bestehenden ID abgeglichen oder eine neue ID erstellt wird. Da sie auf verschiedenen Websites, Kanälen und Plattformen verwendet werden kann, wird eine ID, die mit einer dauerhaften Benutzeridentifikation, wie zum Beispiel einer E-Mail-Adresse, gebildet wird, als universeller Identifikator bezeichnet.

Google Topics. Im Jahr 2019 startete Google die Privacy Sandbox, eine Initiative der Suchmaschine, um die steigenden Erwartungen der Verbraucher nach mehr Datenschutz zu erfüllen. Bei ihrer Einführung lag der Schwerpunkt auf dem Federated Learning of Cohorts (FLoC). Es wurde mit der Absicht entwickelt, Gruppen von Nutzern mit ähnlichen Surfpräferenzen zu bilden, die mit Werbetreibenden geteilt werden können, während die Anonymität der Nutzer gewahrt bleibt. Nichtsdestotrotz sind Methoden zur Ausnutzung von FLoC – wie das Reverse Engineering des Algorithmus – aufgetaucht, die es Trackern ermöglichen, einen einzigartigen digitalen Fingerabdruck des Nutzers zu erstellen. FLoC wurde schließlich in Google Topics umgewandelt, das ebenfalls Chrome verwendet. Google Topics verfolgt die wöchentliche Nutzung eines Nutzers, um einige ausgewählte Themen zu identifizieren, die seine Hauptinteressen im Laufe von drei Wochen am besten widerspiegeln.

Kontextbezogene Werbung. Internet-Werbung, die auf den Inhalt der besuchten Website abgestimmt ist, wird als kontextbezogene Werbung bezeichnet. Die Nutzer müssen keine Privatsphäre aufgeben, denn es werden ihnen nur Anzeigen angezeigt, die ihren Interessen entsprechen. Wenn ein Nutzer zum Beispiel zuvor eine Sport-Website besucht hat und dann auf eine Bekleidungs-Website klickt, sieht er auf der Sport-Seite nur sportbezogene Werbung. Auf diese Weise wird sichergestellt, dass die Privatsphäre der Nutzer beim Wechsel zwischen den Websites gewahrt bleibt.

Walled Gardens. Ein Walled Garden ist eine geschlossene Umgebung, in der es Unternehmen gestattet ist, Nutzerdaten zu sammeln und zu verwenden. Google, Facebook und Amazon sind gängige Beispiele. Unternehmen können ein hohes Maß an Vertrauen in die Identifizierung und das Verhalten der Nutzer bewahren, indem sie die Daten verwalten, die in ihr Ökosystem ein- und ausgehen. Walled Gardens basieren auf angemeldeten Nutzern und ermöglichen es, jeden einzelnen Nutzer geräteübergreifend zu verfolgen. Walled Gardens verwenden eine First-Party-Plattform, so dass keine Cookies von Drittanbietern erforderlich sind.