Third Party Cookie Ende ist zur Zeit ein oft genutztes Buzzword. Was genau ist aber der Unterschied zwischen Third Party und First Party Cookie? Dazu müssen wir uns genauer mit der Technologie dahinter auseinander setzen, damit wir 1st und 3rd Party Cookies unterscheiden können.
Was sind denn nochmal Cookies?
Cookies sind kleine Textdateien, die eine Website auf deinem Computer oder mobilen Gerät speichert, wenn du die Website besuchst. Sie enthalten Informationen darüber, wie du die Website nutzt, z.B. deine bevorzugte Sprache oder welche Artikel in deinem Warenkorb liegen.
Es gibt verschiedene Arten von Cookies, die für verschiedene Zwecke verwendet werden können. Einige Cookies sind für das Funktionieren der Website erforderlich. Andere Cookies werden verwendet, um deine Erfahrung auf der Website zu verbessern, z.B. indem sie sich an deine Präferenzen erinnern oder den Warenkorb speichern.
Marketing und Analyse-Tools verwenden Cookies häufig, um das Verhalten der Benutzer zu verfolgen und Daten darüber zu sammeln, wie die Website genutzt wird. Dies kann dazu beitragen, die Benutzererfahrung zu verbessern und die Effektivität von Werbekampagnen zu messen.
Es ist wichtig zu beachten, dass Cookies auch Datenschutzbedenken aufwerfen können, da sie Informationen über deine Online-Aktivitäten sammeln können. Aus diesem Grund müssen Websites in vielen Ländern deine Zustimmung einholen, bevor sie Cookies setzen dürfen, was früher der Cookie Banner, mittlerweile aber eine ganze Consent Management Plattform übernehmen muss, um DSGVO konform zu sein.
Wo ist der Unterschied zwischen 1st und 3rd Party?
First-Party-Cookies und Third-Party-Cookies unterscheiden sich in Bezug auf die Partei, die sie in deinem Browser erstellt hat und auf die Domain, auf der sie gespeichert sind.
First-Party-Cookies werden von der Website erstellt, die der Benutzer aktuell besucht. Sie dienen dazu, Informationen über den Benutzer und seine Präferenzen zu speichern, um die Benutzererfahrung auf der Website zu verbessern. Beispiele für First-Party-Cookies sind Login-Cookies, die den Benutzer automatisch anmelden, wenn er die Website besucht, und Sprachpräferenz-Cookies, die die bevorzugte Sprache des Benutzers speichern.
Third-Party-Cookies werden von einer anderen Website erstellt als derjenigen, die der Benutzer besucht. Sie werden häufig von Werbetreibenden und Analyse-Tools verwendet, um das Verhalten der Benutzer zu verfolgen und Daten darüber zu sammeln, wie die Website genutzt wird. Third-Party-Cookies können dazu beitragen, Werbung auf anderen Websites zu schalten, die auf die Interessen des Benutzers abgestimmt sind. Dadurch kann auch ein gesetztes Cookie von einer Domain abgerufen werden, obwohl sich der Benutzer aktuell auf einer anderen Domain befindet.
Beispiele für Third-Party-Cookies sind Google Analytics-Cookies und Facebook bzw. Meta Pixel-Cookies. Dementsprechend kann zum Beispiel das Meta Ads Skript auf einer Seite durch das 3rd Party Cookie die Cookies von Meta selbst lesen und dich dadurch wieder erkennen, obwohl du auf einer anderen Domain, zum Beispiel in in einem Shop, unterwegs bist.
Datenschutz und First-/ Third Party Cookies
Während First-Party-Cookies für die Benutzererfahrung auf der besuchten Website wichtig sein können, haben wir bei Third-Party-Cookies größere Datenschutzbedenken, da sie Informationen über das Surfverhalten des Benutzers auf verschiedenen Websites sammeln und teilen können.
Hier kann dann eine Domain übergreifende Sammlung an Daten des Nutzers entstehen, die je nach Datenfluss direkt gegen die DSGVO verstößt.
Schutzmechanismen
Technologisch gesehen gibt es bereits seit 1995 die Same-Origin-Policy bei der der Abruf des Cookies im Browser nur zugelassen wird, wenn die gleiche Domain den Abruf startet, die das Cookie auch ursprünglich gesetzt hat. Das dient speziell auch dem Schutz des Nutzers, damit nicht sämtliche Cookies (teilweise Nutzer/Login Daten etc.) einfach abgegriffen werden können.
Zudem haben bereits einige Browser die Thrid-Party-Cookies ganz blockiert, um die Daten des Nutzers zu schützen:
Browser | 3rd Party Cookie noch erlaubt? | Market Share (statista) |
Safari | ❌ Seit September 2017 mit der Intelligent Tracking Prevention 1.0, davor in anderer Form seit 2015 | 9,3% |
Firefox | ❌ Seit Juni 2019, zuvor bereits im Inkognito Modus | 6,8% |
Chrome | ✅ Noch bis Q2 2024 erlaubt, nicht jedoch im Inkognito Modus | 66,4% |
Edge | ✅ Da basierend auf Chromium, vermutlich auch ab Q2 24 Ende 3rd Party Cookies | 11% |
Internet Explorer | ❌ Per Tracking Protection werden manche geblockt, manche nicht | 0,6% |
Opera | ✅ Noch kein 3rd Party Cookie blocking in default, aber andere Privacy Features | 3,4% |
In den Browsern gibt es zwar in den Einstellungen die Möglichkeit, 3rd Party Cookies wieder zu aktivierten, aber mal ehrlich: Wie viele von euch nutzen nicht die technischen Standardeinstellungen der Browser?
Das Ergebnis: Die Summe des Marktanteils der Browser, der noch 3rd Party Cookies erlaubt, liegt bei 80%. Sprich die große Mehrheit der Browser erlaubt noch die „bösen“ Tracking-Cookies. Unter anderem auch aus dem Grund, da sie sich ansonsten aktuell ins eigene Fleisch schneiden würden: Wenn Google Ads in ihrem eigenen Google Chrome Browser die Nutzer nicht mehr tracken kann, performen die Google Ads natürlich schlechter, was aber eins der großen Business Modelle von Google ist.
Allerdings hat Chrome trotzdem das Ende der Third Party Cookies in 2024 angekündigt (wie Google dann tracken wird, haben wir hier beschrieben)
Die Zukunft?
Bald werden alle Browser Third Party Cookies blockieren. Damit sieht die Zukunft für viele noch aktuelle Mechanismen im Web, vor allem im Marketing/Analyse Bereich schlecht aus. Unabhängig davon, dass man wegen der DSGVO Drittanbieter Skripte aus der US eigentlich sowieso nicht mehr verwenden darf, schneidet hier dann Google Chrome ein ordentliches Stück an Technologie aus dem Browser raus. Wie man das als Marketer und Analytiker umgehen kann? Wir sehen hier nur Server-Side Tracking als passable Lösung, da dies nicht nur Technisch ein anderer Ansatz ist, sondern auch DSGVO konform betrieben werden kann.