Ein praktischer Leitfaden zu First-Party-Cookie-Tracking

Dieser Leitfaden erklärt First-Party-Cookie-Tracking praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

Erstanbieter-Cookies werden von der Website gesetzt, die ein Besucher nutzt. Cookies von Drittanbietern werden von einer anderen Domain gesetzt, häufig für Werbung, Retargeting oder eingebettete Dienste. Browser und Benutzer genießen in der Regel mehr Vertrauen in Erstanbieter-Cookies, sie sind jedoch nicht automatisch datenschutzfreundlich oder von der Einwilligung ausgenommen.

Bei Marketinganalysen können Erstanbieter-Cookies die Datenqualität verbessern und die Abhängigkeit von Ad-Tech-Identifikatoren Dritter verringern. Die wichtige Frage ist, was das Cookie bewirkt.

Wozu First-Party-Cookies gut sind

Erstanbieter-Cookies sind nützlich für die Authentifizierung, Sitzungskontinuität, Einkaufswagen, Spracheinstellungen, Sicherheitskontrollen und das Speichern der Einwilligungsentscheidung eines Besuchers. Diese sind häufig für den vom Benutzer angeforderten Dienst erforderlich.

Sie können auch Analysen unterstützen, indem sie sich daran erinnern, dass derselbe Browser mehrere Seiten besucht oder später zurückgekehrt ist. Das hilft bei der Berechnung von Sitzungen, wiederholten Besuchen, Trichtern und Attribution. Da das Cookie zu Ihrer Domain gehört, ist es weniger wahrscheinlich, dass Browser es blockieren als Cookies von Drittanbietern.

Warum First-Party nicht gleichbedeutend ist mit Einwilligungsfreiheit

Die Cookie-Regeln von EU konzentrieren sich auf das Speichern von oder den Zugriff auf Informationen auf dem Gerät des Benutzers und nicht nur darauf, ob es sich um ein Erst- oder Drittanbieter-Cookie handelt. Im Bericht der EDPB-Cookie-Banner-Taskforce wird erläutert, dass der Gerätezugriff durch ePrivacy-Regeln geregelt wird, während die spätere Verarbeitung auch GDPR (EDPB-Cookie-Banner-Taskforce) umfassen kann.

Ein Erstanbieter-Analyse-Cookie kann dennoch nicht unbedingt erforderlich sein. Wenn das Verhalten zu Mess-, Personalisierungs- oder Marketingzwecken verfolgt wird, benötigen viele Websites eine Einwilligung, es sei denn, es gilt eine enge lokale Ausnahmeregelung. Wenn es unbedingt erforderliche Sicherheits- oder Sitzungsfunktionen unterstützt, ist die Analyse anders.

First-Party-Analyse vs. First-Party-Überwachung

Es besteht ein großer Unterschied zwischen der Verwendung eines kurzlebigen First-Party-Cookies zum Zählen von Besuchen und der Verwendung von First-Party-Tracking zur Wiederherstellung desselben invasiven Werbeprofils, das Drittanbieter-Cookies zur Unterstützung verwendet haben.

Seien Sie vorsichtig bei Pitches zum Thema „serverseitiges Tagging“ oder „First-Party-Tracking“. Einige Setups leiten Werbedaten über Ihre eigene Domain weiter, sodass Browser sie als Erstanbieter behandeln und sie dann an Werbeplattformen weiterleiten. Dies kann zwar die Dauerhaftigkeit des Trackings verbessern, aber Ihre Verantwortung erhöhen, da die Datenerfassung scheinbar von Ihrer Website stammt.

Datenschutzorientiertes First-Party-Tracking sollte diesen Regeln folgen:

• Verwenden Sie den kürzesten Aufbewahrungszeitraum, der die Metrik unterstützt.
• Vermeiden Sie die Erhebung persönlicher Rohdaten in Ereignisobjekten.
• Synchronisieren Sie keine Identifikatoren mit Werbenetzwerken, es sei denn, der Benutzer stimmt ausdrücklich zu.
• Entfernen Sie sensible URL-Parameter.
• Halten Sie Analysen und Werbepublikum getrennt.
• Erklären Sie den Zweck deutlich in Ihrer Datenschutzerklärung.

Wenn Cookieless besser ist

Wenn Sie nur aggregierte Website-Analysen benötigen, ist ein Erstanbieter-Analyse-Cookie möglicherweise nicht erforderlich. Cookielose Analysen können Seitenaufrufe, Referrer, Kampagnen, Ziele und ausgehende Klicks zählen, ohne eine Analyse-ID im Browser zu speichern.

Sie verlieren etwas an Präzision in Bezug auf wiederkehrende Besucher und die Zuordnung mehrerer Sitzungen, erreichen aber eine einfachere Compliance, weniger Reibungsverluste bei Bannern und eine klarere Vertrauensstory. Für Content-Websites, gemeinnützige Organisationen, Seiten des öffentlichen Sektors und viele SaaS-Marketing-Websites ist dieser Kompromiss oft günstig.

Entscheidungskriterien

Verwenden Sie Erstanbieter-Cookies, wenn der Benutzer Kontinuität erwartet: Anmeldung, Warenkorb, gespeicherte Präferenzen, Sicherheit oder eine vom Benutzer angeforderte Funktion. Ziehen Sie eine Analyse ohne Cookies in Betracht, wenn das Ziel eine aggregierte Messung ist. Erfordern eine ausdrückliche Zustimmung, wenn das Cookie Werbung, Profiling, standortübergreifende Messungen oder nicht notwendige Personalisierung unterstützt.

Dokumentieren Sie für jedes Cookie Folgendes:

• Name und Domain.
• Zweck.
• Ablauf.
• Daten gespeichert.
• Ob es notwendig ist.
• Ob Daten mit Anbietern geteilt werden.
• Einwilligungserfordernis und Rechtsgrundlage.

Dieses Inventar gehört zu Ihren umfassenderen Verarbeitungs- und Lieferantenbewertungsaufzeichnungen. Außerdem hilft es Entwicklungsteams dabei, veraltete Cookies zu entfernen, die niemandem gehören.

Praktisches Marketing-Setup

Eine datenschutzbewusste Marketingseite kann so funktionieren:

• Notwendige Cookies nur für Einwilligungsauswahl, Sicherheit und angemeldete Sitzungen.
• Cookielose Analyse für Traffic, Kampagnen und Ziele.
• Serverseitige Kauf- oder Anmeldeereignisse, bei denen keine personenbezogenen Daten an Analytics gesendet werden.
• Optionale Werbepixel, die hinter einer eindeutigen Einwilligung geschützt sind.
• Monatliche Tag-Überprüfung, um nicht verwendete Skripte zu entfernen.

Erstanbieter-Cookies sind ein Werkzeug, keine Compliance-Strategie. Sie können legitim und nützlich sein oder eine Möglichkeit darstellen, Tracking-Praktiken beizubehalten, die Benutzer zu vermeiden versuchten. Der Datenschutz-First-Weg besteht darin, mit der Messfrage zu beginnen, den am wenigsten invasiven Mechanismus zu verwenden, der sie beantwortet, und den Kompromiss zu dokumentieren.

Prüfen Sie Fragen, bevor Sie eine festlegen

Bevor Sie ein Erstanbieter-Analyse-Cookie hinzufügen, fragen Sie, wer davon profitiert und ob derselbe Bericht auch ohne es funktioniert. Wenn der einzige Vorteil darin besteht, dass die Zahl der wiederkehrenden Besucher etwas geringer ausfällt, kann eine Messung ohne Cookies ausreichen. Wenn das Cookie eine vom Benutzer angeforderte Funktion unterstützt, dokumentieren Sie diesen Zweck getrennt von der Marketinganalyse.

Überprüfen Sie auch den Ablauf. Ein Cookie, das für eine geringfügige Berichtserleichterung zwei Jahre lang gültig ist, ist schwer zu verteidigen. Kürzere Zeitfenster, grobe Metriken und aggregierte Berichte liefern Marketingteams in der Regel die Trenddaten, die sie benötigen, und das bei geringeren Datenschutzkosten.

Beispiel für ein Cookie-Inventar

Dokumentieren Sie jedes Cookie in einer Tabelle, bevor es versendet wird. Dazu gehören name, domain, purpose, category, expiry, data stored, vendor, consent required und deletion owner. Ein Cookie mit dem Namen _site_session für die Kontinuität der Anmeldung kann erforderlich und nur von kurzer Dauer sein. Ein Cookie namens _visitor_id für die Analyse wiederkehrender Besucher erfordert möglicherweise eine Einwilligung und sollte ein eindeutiges Ablaufdatum haben.

Das Inventar sollte mit dem übereinstimmen, was ein Browser tatsächlich anzeigt, und nicht mit dem, was in einer Anbieterbroschüre steht. Testen Sie in einem sauberen Profil, lehnen Sie die optionale Einwilligung ab, akzeptieren Sie die optionale Einwilligung, melden Sie sich ggf. an und exportieren Sie die resultierenden Cookies. Dieser kleine QA-Schritt fängt versehentliche Erstanbieter-Cookies ab, die von Tag-Managern, eingebetteten Medien oder Werbeskripten gesetzt werden.

Abschließendes Cookie-Audit

Bevor Sie ein Erstanbieter-Analyse-Cookie genehmigen, testen Sie die Website vor jeder Auswahl, nach der Ablehnung und nach der Annahme. Untersuchen Sie Cookies, lokale und Sitzungsspeicher, Pixel, Tag-Manager-Trigger, Netzwerkaufrufe und serverseitige Ereignisse.

Wenn das Cookie eine vom Benutzer angeforderte Funktion unterstützt, dokumentieren Sie diesen Zweck getrennt von der Marketinganalyse. Wenn die Messung unterstützt wird, dokumentieren Sie den Ablauf, die Einwilligungspflicht, den Anbieterzugriff und ob derselbe Bericht stattdessen mit aggregierten Daten ohne Cookies funktionieren könnte.