Tracking: Krieg der Cookies
Mozilla macht mit seiner Ankündigung Ernst, sogenannte Third-Party-Cookies ab Firefox 22 weitgehend zu blockieren. Ein entsprechender Patch wurde jetzt in die Entwicklerversion von Firefox 22 integriert. Was nach einer kleinen Änderung klingt, versetzt Onlinewerber in Alarmstimmung. Tausenden kleinen Unternehmen, die mit ihren Websites für die große Vielfalt im Netz sorgen, drohe das Aus, warnt Randall Rothenberg(öffnet im neuen Fenster) , Chef des Interactive Advertising Bureau (IAB). Das ist sicherlich übertrieben, zumal Tracking vor allem großen Anbietern hilft. Zudem gibt es technische Alternativen zu Cookies. Das eigentliche Problem ist ein anderes: die geringe Akzeptanz von Tracking im Speziellen und von Werbung im Allgemeinen.
Worum geht es eigentlich?
Bei den Third-Party-Cookies, die Firefox ab Juni 2013 weitgehend blockieren soll, handelt es sich um Cookies, die von Dritten gesetzt werden, deren Inhalte in eine Website eingebunden sind. Die Cookies werden zumeist über die in Webseiten eingebundene Werbung oder Widgets wie Social-Buttons gesetzt.
Damit lässt sich eine wichtige Einschränkung von Cookies umgehen: Eigentlich kann jeder Server nur seine eigenen Cookies auslesen. Wenn aber ein Dritter Third-Party-Cookies auf mehreren Webseiten platzieren kann, ist es ihm möglich, einen Nutzer auf all diesen Seiten wiederzuerkennen. Das wird als Tracking bezeichnet.
Firefox soll nun solche Third-Party-Cookies mit einer Ausnahme standardmäßig blockieren: Hat ein Nutzer die Seite des Dritten zuvor direkt besucht, darf dieser Dritte auf anderen Seiten später auch Third-Party-Cookies setzen. Andernfalls werden Third-Party-Cookies blockiert.
Mozilla will das Web besser machen
Für Mozilla sind die neuen Cookie-Regeln ein notwendiger Schritt, um das Web besser zu machen und Firefox den Wünschen seiner Nutzer anzupassen. Angesichts der wachsenden Zahl an Firmen, die Cookies zu Tracking-Zwecken einsetzen, reagiere Mozilla mit dem Blockieren von Third-Party-Cookies auf die Bedenken der eigenen Nutzer in Sachen Tracking, schreibt Alex Fowler, der bei Mozilla für das Thema Datenschutz zuständig ist.
Fowler zeigt im Selbstversuch, welcher Unterschied sich mit der Änderung ergibt: Er hat alle Cookies gelöscht und anschließend vier Websites besucht, eine mit Wetterdaten, eine mit lokalen Nachrichten, eine überregionale Nachrichten-Website und eine mit Techniknachrichten. Mit dem Patch landeten 75 First-Party-Cookies und kein Third-Party-Cookie in seinem Browser, ohne den Patch waren es 385 First- und Third-Party-Cookies.
Apple macht das schon länger
Mozilla verweist auch auf Apples Browser Safari, der Third-Party-Cookies schon länger blockiert(öffnet im neuen Fenster) . Für die Onlinewerbewirtschaft ist Mozillas Plan, Third-Party-Cookies ebenfalls weitgehend zu blockieren, nun aber ein großes Problem. Hat Apples Browser Safari unter den Desktopbrowsern weltweit nur einen vergleichsweise kleinen Marktanteil von rund 5 Prozent, gehört Firefox mit einem Marktanteil von gut 20 Prozent global zu den drei am häufigsten genutzten Browsern. In Deutschland ist Firefox nach wie vor der am häufigsten genutzte Browser mit einem Marktanteil von rund 35 Prozent. Mozillas Bedeutung für den Markt ist also deutlich größer.
Und wo liegt jetzt das Problem?
Verkürzt gesagt bedeutet das für Onlinewerbeanbieter: Tracking, wie es heute gemacht wird, funktioniert demnächst bei einem großen Teil der Webnutzer nicht mehr.
Bei den daraus resultierenden Folgen muss man allerdings differenzieren. So lassen sich nicht mehr wie gewohnt Daten sammeln und Nutzerprofile erstellen, was letztendlich das Ziel der Maßnahme ist. Wer mit Daten von Nutzern handelt, wird es schwerer haben. Zugleich aber wird es auch schwieriger, Nutzern Werbung zu zeigen, die für sie relevant ist, die ihren Interessen entspricht. Und das ist ein Problem für Websites, die sich über Werbung finanzieren, denn die Akzeptanz von Werbung wird nicht steigen, wenn diese für Nutzer an Relevanz verliert.
Im einfachsten Fall bedeutet das: Der Adserver kann sich nicht merken, ob er einem Nutzer eine Werbung schon einmal gezeigt hat und stattdessen eine andere Werbung anzeigen soll. Dazu bedarf es nicht einmal einer Profilbildung über Websites hinweg, aber eines Third-Party-Cookies, da der Adserver in aller Regel von einem Dritten betrieben wird.
Große Anbieter im Vorteil
Mozillas Ansatz hat ein grundlegendes Problem: Er bevorzugt große Anbieter wie Google, Facebook oder Microsoft. Diese könnten ihre Adserver einfach unter ihrer Hauptdomain betreiben, die von vielen Internetnutzern freiwillig besucht wird. Sie wären dann in der Lage, bei einer großen Zahl an Nutzern auch Third-Party-Cookies zu platzieren und deren Verhalten im Web weiterhin zu tracken. Und dabei handelt es sich dann genau um die Anbieter, die ohnehin schon viel über den einzelnen Nutzer wissen. Kleine, auf Werbung spezialisierte Anbieter haben das Nachsehen.
Tracking kann die Relevanz von Werbung verbessern, aber nicht für alle Anbieter in gleichem Maße. Von Tracking profitieren vor allem sehr große Anbieter, die sich an ein breites Massenpublikum wenden. Sie erhalten über Tracking die Möglichkeit, ihre Nutzerschaft nach Interessen zu segmentieren, so dass Werbekunden ihre Zielgruppe besser erreichen können, wofür sie bereit sind, höhere Preise zu zahlen, da die Streuverluste kleiner ausfallen. Für kleinere Anbieter mit klar definierter und dadurch recht homogener Zielgruppe bieten sich, wenn überhaupt, vergleichsweise geringe Vorteile. Im Gegenteil, für sie wird es im Markt dank Tracking sogar schwieriger zu bestehen, da die Konkurrenz größer wird und die erzielbaren Preise aus ihrer Sicht deutlich fallen.
Anti-Tracking-Einstellungen werden untergraben
Ein weiteres Problem ist, dass die Versuche der Werbewirtschaft den Nutzern die Möglichkeit zu geben, das Tracking für einzelne Anbieter zu deaktivieren, mit dem Blockieren von Third-Party-Cookies untergraben werden. Denn die von der Werbewirtschaft dafür eingerichteten Systeme, wie hierzulande meine-cookies.org(öffnet im neuen Fenster) , nutzen ihrerseits Third-Party-Cookies, um den Opt-Out-Wunsch der Nutzer zu speichern. Das von Mozilla initiierte System Do-Not-Track stößt in der Werbewirtschaft hingegen auf wenig Akzeptanz, auch da Microsoft es im Internet Explorer standardmäßig aktiviert hat und damit gegen den Grundsatz der Freiwilligkeit verstößt.
Das mag auf den ersten Blick unsinnig klingen, schließlich werden ja genau die für Tracking genutzten Cookies blockiert, so dass gar kein Opt-Out mehr benötigt wird. Das ist aber zu kurz gedacht, denn Cookies sind keineswegs das einzige Mittel, um Tracking umzusetzen. So ist davon auszugehen, dass sich die Anbieter den neuen Bedingungen anpassen. Das erhöht aber den Aufwand, da die Systeme mehrere unterschiedliche Techniken unterstützen müssen, um möglichste viele Browser abzudecken. Das kostet Geld und endet im schlimmsten Fall in einer Art Katz-und-Maus-Spiel, was auf allen Seiten unnötig viele Ressourcen verschlingt.
Werbewirtschaft muss sich mäßigen
So wird heute schon vermehrt die Möglichkeit genutzt(öffnet im neuen Fenster) , mittels Localstorage Daten im Browser des Nutzers zu speichern und diese in modernen Browsern vorhandene Funktion statt Cookies zu verwenden. Hier müssten also ähnliche Einschränkungen gemacht werden wie bei Cookies. Einige Vorschläge für Browserhersteller finden sich bereits in der HTML-Spezifikation der WhatWG.
Und Localstorage ist nicht die einzige moderne Webtechnik, die sich für Tracking missbrauchen lässt. Auch IndexedDB oder das File-API bedürfen entsprechender Einschränkungen. Selbst damit lassen sich Umwege finden – und sei es nur, dass die Daten in First-Party-Cookies gespeichert und dann an die Drittanbieter weitergereicht werden.
Aber selbst wenn der Browser das Speichern von Daten zu Tracking-Zwecken effektiv unterbinden könnte, lassen sich Browser mittels Fingerprinting recht gut wiedererkennen.
Es geht nur miteinander
Das Netz lebt von seiner großen Vielfalt, es ist nur ein Klick bis zur nächsten Alternative. Die Vielfalt lebt aber von der Werbung, denn sie ermöglicht es, Inhalte für Nutzer kostenlos anzubieten. Für beide Seiten ist es also notwendig, dass der Nutzer die Werbung akzeptiert. Das tut er nur, wenn die Werbung nicht nervt und für den Nutzer eine gewisse Relevanz hat.
Die Realität sieht heute anders aus: Oft werden Webseiten einfach mit Werbung vollgestopft, die Dienste immer neuer Anbieter zusätzlich integriert. Da die Wahrnehmung einzelner Anzeigen und damit auch deren Klickrate sinkt, wenn immer mehr Anzeigen auf einer Seite miteinander konkurrieren, werden von Werbetreibenden immer aggressivere Werbeformen gefordert, die sich über die Inhalte legen oder die Nutzung unterbrechen. Von weniger Werbung dank steigender Relevanz kann da keine Rede sein.
Relevanz ist aber subjektiv und deshalb kann Tracking nützlich sein. Geht man davon aus, dass die Mehrheit der Nutzer nicht auf für sie kostenlose, über Werbung finanzierte Inhalte verzichten will und lieber relevante als irrelevante Werbung und eher weniger als mehr Werbung sehen will, ist das weitgehende Blockieren von Third-Party-Cookies keine sinnvolle Lösung.
Viele der Anbieter setzen auf Masse, denn es bedarf einer gewissen Mindestgröße, um im Markt überhaupt wahrgenommen zu werden. Das bedeutet auch: Je besser eine Targeting-Technik funktioniert, desto mehr Reichweite ist notwendig, damit in den einzelnen Nischen ausreichend viele Nutzer übrig bleiben. Und so werden oft gleich mehrere Targeting-Systeme in Reihe geschaltet, der Werbeaufruf also von einem zum anderen weitergereicht. Sollte einer eine für den Nutzer passende Werbung haben, wird diese angezeigt. Zugleich aber kann jeder Anbieter in der Kette sein Tracking-Cookie platzieren und so das Nutzerprofil schärfen. Für den Nutzer ist das intransparent. Er stellt bestenfalls fest, dass nach dem Aufruf von vier Websites 300 Tracking-Cookies in seinem Browser landen und bekommt das Gefühl, von Hunderten Anbietern heimlich ausspioniert worden zu sein. Will man hier verlorenes Vertrauen zurückgewinnen, muss Tracking maßvoll und transparent eingesetzt werden.
Eine Lösung ist dafür bisher nicht in Sicht. Mozillas Blockieren von Third-Party-Cookies ist hier ebenso wenig bedrohlich wie hilfreich. Auch die Selbstregulierung in Sachen Tracking über Cookies zu regeln statt auf eine Browsereinstellung wie Do-Not-Track zu setzen, wirkt eher wie eine Vermeidungsstrategie. Denn der Weg ist für Nutzer unnötig aufwendig und die Einstellung geht beim Löschen von Cookies auch wieder verloren.
Und während über den Umgang mit Tracking-Cookies weiter diskutiert wird, greifen viele Nutzer zu einer einfachen Lösung: Sie blockieren Werbung komplett und bringen damit ihrerseits die kleinen Unternehmen in Gefahr, die von Werbung leben.