Was ist der Unterschied zwischen First-Party- und Third-Party-Cookies?

Cookies speichern die Konfiguration der Website (z. B. Spracheinstellungen), Anmeldedaten und Produkte, die in den Warenkorb gelegt wurden, auch nachdem der Nutzer die Website verlassen hat. Da Cookie-Dateien jedoch weit verbreitet sind, um bestimmte Informationen zu sammeln, können sie auch zur Durchführung von Werbeprozessen wie Behavioral Profiling und Retargeting verwendet werden.

Die Rolle von Cookies in der Werbetechnologie zu verstehen ist entscheidend, um Online-Werbung und Datenschutz besser in den Griff zu bekommen.

Im Laufe der Jahre haben sich Cookies zum Brot und Butter des Internets entwickelt und sind derzeit die gängigste Methode, um Nutzer online zu identifizieren und ein personalisiertes Surferlebnis zu bieten.

Mit dem wachsenden Bewusstsein für Datenschutzfragen und der Einführung von Gesetzen wie der EU-Datenschutzgrundverordnung (GDPR) und der ePrivacy-Verordnung wird es immer wichtiger, die Nutzer darüber aufzuklären, was Cookie-Dateien eigentlich tun, welche Informationen sie enthalten können und welche Arten von Cookies es gibt.

Welche Arten von Cookies gibt es?

Es gibt im Wesentlichen zwei Arten von Cookies – Erstanbieter und Drittanbieter. Aus technischer Sicht gibt es keinen wirklichen Unterschied zwischen den beiden Arten von Cookies; sie enthalten beide dieselben Informationen und können dieselben Funktionen erfüllen.

Der wirkliche Unterschied zwischen den Arten von Cookies hat jedoch damit zu tun, wie sie erstellt und anschließend verwendet werden, was oft vom Kontext abhängt. Die Erstellung von Cookies von Erst- und Drittanbietern hat unterschiedliche Vorteile.

• Erstanbieter-Cookies werden von der Domain (Website) gespeichert, die Sie direkt besuchen. Sie ermöglichen es den Website-Besitzern, Analysedaten zu sammeln, Spracheinstellungen zu speichern und andere nützliche Funktionen auszuführen, die zu einem guten Nutzererlebnis beitragen.
• Drittanbieter-Cookies werden von anderen Domains als derjenigen, die Sie direkt besuchen, erstellt, daher der Name Drittanbieter. Sie werden für Cross-Site-Tracking, Retargeting und Adserving verwendet.
• Für den Fall, dass Sie sich wundern, ist die Existenz von Second-Party-Cookies umstritten. Second-Party-Cookies sind Cookies, die von einem Unternehmen (demjenigen, das First-Party-Cookies erstellt hat) über eine Art Datenpartnerschaft an ein anderes Unternehmen weitergegeben werden. So könnte beispielsweise eine Fluggesellschaft ihre Erstanbieter-Cookies (und andere Erstanbieter-Daten wie Namen, E-Mail-Adressen usw.) an eine vertrauenswürdige Hotelkette verkaufen, um sie für die gezielte Werbung zu verwenden, was bedeuten würde, dass die Cookies als Zweitanbieter-Cookies eingestuft werden.

Wie unterscheiden sich Erstanbieter- und Drittanbieter-Cookies?

Technisch gesehen sind Erstanbieter- und Drittanbieter-Cookies die gleiche Art von Dateien. Der Unterschied liegt darin, wie sie von Websites erstellt und verwendet werden.

Was sind First-Party-Cookies?

First-Party-Cookies werden von der Host-Domain erstellt – der Domain, die der Benutzer besucht. Diese Art von Cookies wird im Allgemeinen als gut angesehen; sie tragen zu einem besseren Benutzererlebnis bei und halten die Sitzung offen. Das bedeutet im Wesentlichen, dass sich der Browser wichtige Informationen merken kann, z. B. welche Artikel Sie in den Warenkorb legen, Ihren Benutzernamen und Ihre Passwörter sowie Ihre Spracheinstellungen.

Was sind Cookies von Drittanbietern?

Die Cookies von Drittanbietern werden von anderen Domänen als derjenigen, die der Nutzer gerade besucht, erstellt und dienen hauptsächlich der Nachverfolgung und Online-Werbung. Sie ermöglichen es den Betreibern von Websites auch, bestimmte Dienste wie Live-Chats anzubieten.

Zusätzlich zu einem Erstanbieter-Cookie, das von der Host-Site somenewssite.com erstellt wird, wird auch ein Drittanbieter-Cookie von ad.doubleclick.net erstellt. Der Grund für ein Drittanbieter-Cookie ist, dass die URL (ad.doubleclick.net) nicht mit der Domain (somenewssite.com) übereinstimmt. Das Cookie wird von einem dritten Werbeanbieter hinterlassen, daher der Name Third-Party-Cookie.

In der folgenden Tabelle finden Sie eine kurze Aufschlüsselung der Unterschiede zwischen First- und Third-Party-Cookies.

Wie werden Third-Party-Cookies auf einer Website erstellt?

Sie werden sich jetzt vielleicht fragen, wie ad.doubleclick.net oder ein anderer Drittanbieter ein Cookie erstellen kann, wenn sich der Benutzer zu einem bestimmten Zeitpunkt auf einer anderen Website befindet?

Damit ein Drittanbieter-Cookie erstellt werden kann, muss eine Anfrage von der Webseite an den Server des Drittanbieters gesendet werden. Bei der angeforderten Datei handelt es sich je nach Verwendungszweck um ein tatsächliches Werbemittel (eine Anzeige) oder ein Tracking-Pixel, das für den Nutzer völlig unsichtbar ist, aber als Tracking-Cookie in Situationen fungiert, in denen kein Klick-Ereignis auftritt (z. B. wenn nur eine Webseite geöffnet wird) und Klick-Weiterleitungen nicht verwendet werden können.

Wäre der Drittanbieter beispielsweise ein Werbedienst wie DoubleClick von Google, würde die Anfrage nach einem Werbemittel erfolgen – der eigentlichen Anzeige, die der Besucher sieht. Ein DoubleClick-Markup kann das Setzen eines Drittanbieter-Cookies ermöglichen. So könnte das eindeutige Anzeigen-Markup aussehen:

<a href="ad.doubleclick.net/some-other-parameters-specific-to-this-ad" target="_blank" rel="noopener"><img src="ad.doubleclick.net/the-extension-to-the-creative"></a>

Wenn die Webseite geladen wird, würde das obige Anzeigen-Markup ebenfalls geladen und eine Anfrage an ad.doubleclick.net/the-extension-to-the-creative gesendet werden, um das Bild abzurufen und dem Benutzer gleichzeitig ein Cookie zuzuweisen.

Die verschiedenen Drittanbieter können unterschiedliche Dateien von ihren Webservern anfordern und an den Browser zurücksenden.

Beispiele für Drittanbieterdienste, die Cookies hinterlassen

Es gibt eine Reihe von Drittanbietern, die normalerweise Cookies im Browser des Nutzers hinterlassen. Hier einige der wichtigsten:

Ad-Retargeting Services
Beim Ad-Retargeting werden Website-Besucher, die zuvor Ihre Website besucht haben, im Web verfolgt und ihnen Anzeigen für die Produkte oder Dienstleistungen gezeigt, die sie zuvor angesehen oder mit denen sie interagiert haben. Retargeting funktioniert über verschiedene Kanäle, einschließlich Social Media, Display und E-Mail.

Website-Besitzer platzieren ein 1×1 transparentes Pixel auf ihrer Website, das beim Laden der Seite eine Anfrage an den Ad-Retargeting-Server sendet. Der Server sendet dann die angeforderten Informationen (in der Regel mit JavaScript) zurück, so dass er dem Nutzer ein Cookie zuweisen und ihn später auf anderen Websites erneut ansprechen kann.

Weitere Informationen finden Sie in unserem Beitrag über Ad-Retargeting.

Social Buttons
Die meisten Social-Media-Plugins, mit denen sich Nutzer auf Websites von Drittanbietern anmelden, Inhalte teilen und mögen können, platzieren Cookies auf Ihrem Gerät.

Auf diese Weise können die Social-Media-Seiten, von denen diese Cookies stammen, die von Ihnen besuchten Seiten nachverfolgen und Ihnen relevante Werbung schicken, wenn Sie zu diesen Social-Media-Seiten zurückkehren. Auch wenn Sie nicht in Ihrem Konto angemeldet sind, können diese Cookies Sie verfolgen, indem sie Ihre Cookies identifizieren, einen deterministischen Abgleich vornehmen und manchmal einen Fingerabdruck Ihres Geräts erstellen, um Sie zu identifizieren.

Sie können mehr über den Fingerabdruck Ihres Geräts in einem unserer früheren Beiträge erfahren.

Live-Chat-Popups
Was Cookies betrifft, so funktionieren Live-Chat-Popups ähnlich wie soziale Schaltflächen. Live-Chat-Dienste hinterlassen ein Cookie in Ihrem Browser, um die Benutzererfahrung zu optimieren.

Da das Live-Chat-Popup Sie beispielsweise identifizieren kann, speichert es bei Ihrem nächsten Besuch der Chat-Box Ihren Namen und den gesamten Gesprächsverlauf. Natürlich werden diese Daten entfernt, wenn Sie Ihre Cookies löschen oder wenn sie ablaufen.

Es ist wichtig zu erwähnen, dass Cookies von Erstanbietern auch für das seitenübergreifende Tracking verwendet werden können, aber dies würde bedeuten, dass die Tracking-Software (Skript) unter der Domäne der Website gehostet werden müsste.

Wie behandeln Browser Erstanbieter- und Drittanbieter-Cookies?

Erstanbieter-Cookies

Erstanbieter-Cookies werden, wie oben erwähnt, direkt von der Website erstellt, wenn ein Benutzer die Website besucht. Im Allgemeinen akzeptieren die meisten Browser standardmäßig Erstanbieter-Cookies, da ihre Hauptaufgabe darin besteht, die Anpassung zu ermöglichen und die Benutzererfahrung zu verbessern.

Wenn Sie zum Beispiel eine Website wie techcrunch.com, thehuffingtonpost.com oder nytimes.com besuchen, wird von jeder Seite ein Cookie erstellt und auf Ihrem Computer gespeichert.

Das Cookie, das die jeweilige Seite speichert, wird verwendet, um sich Informationen über den Benutzer und sein Verhalten zu merken. Bei Erstanbieter-Cookies kann die Website selbst entscheiden, welche Informationen gesammelt und gespeichert werden sollen.

Die große Einschränkung von Erstanbieter-Cookies besteht darin, dass sie nur gelesen werden können, wenn der Benutzer die Domäne der Website/des Herausgebers besucht. Das macht sie für Werbezwecke (z.B. Retargeting) auf anderen Websites unbrauchbar.

Drittanbieter-Cookies

Drittanbieter-Cookies (auch als Tracking-Cookies oder Tracker bekannt) werden von anderen „Parteien“ als der Website, die der Nutzer gerade besucht, erstellt – Anbieter von Werbung, Retargeting, Analysen und Tracking-Diensten.

Betrachten Sie dieses Beispiel:

Wenn Sie cnn.com besuchen und ein paar Artikel lesen, erstellt cnn.com ein Erstanbieter-Cookie und speichert es auf Ihrem Computer. Da cnn.com (wie die meisten anderen Herausgeber) Online-Anzeigen als Mittel zur Monetarisierung seiner Inhalte verwendet, erstellen die Anzeigen, die Sie auf cnn.com sehen, ebenfalls ein Cookie (z. B. in der Domäne ads.somedsp.com) und speichern es auf Ihrem Computer.

Da diese Cookies nicht von cnn.com erstellt werden, werden sie als Cookies von Drittanbietern eingestuft.

Eine Website kann eine Reihe verschiedener Tracker (oder Cookies) von Drittanbietern verwenden, die Benutzerdaten sammeln. Diese Informationen können Daten wie das Verhalten des Nutzers auf der Website, den Standort und den Gerätetyp umfassen, die von der Website weitergegeben werden.

Die Tracker von Drittanbietern können auch das Verhalten eines Nutzers nachverfolgen, z. B. die Inhalte, die er sich auf der Website ansieht, und die Dinge, auf die er klickt (z. B. Produkte und Anzeigen). Die Tracker erstellen Cookies von Drittanbietern und verwenden diese, um dem Nutzer beim Besuch verschiedener Websites Werbung anzuzeigen.

Besucht ein Nutzer beispielsweise bestbuy.com und klickt auf ein Produkt, sammeln und analysieren die Tracker von Drittanbietern die Informationen über diesen Nutzer und seine Aktivitäten auf bestbuy.com. Wenn der Nutzer dann bestbuy.com verlässt und eine andere Website wie techcrunch.com aufruft, könnte ihm eine Anzeige für genau das gleiche oder ein ähnliches Produkt (z. B. einen anderen Fernseher oder ein anderes Elektroprodukt) angezeigt werden.

Die Funktionsweise besteht darin, dass sowohl bestbuy.com als auch techcrunch.com ein Stück Code von einem Anzeigenserver (z. B. ad.doubleclick.net) laden. Wenn der Benutzer zu einer der beiden Websites navigiert, gehört der von ad.doubleclick.net geladene Code zu einer anderen Domäne als die URL im Browser des Benutzers, so dass die in ad.doubleclick.net gesetzten Cookies als Cookies von Drittanbietern gelten.

Cookies können vom Webserver oder von einem auf der Website laufenden JavaScript gesetzt und gelesen werden. Software wie Ghostery oder AdBlock Plus kann diese Skripte blockieren – mehr dazu weiter unten.

Erstanbieter-Cookies, die in einem Drittanbieter-Kontext verwendet werden

Einige Erstanbieter-Cookies können in bestimmten Kontexten dazu verwendet werden, Nutzer auf die gleiche Weise wie Drittanbieter-Cookies zu verfolgen.

Zum Beispiel können Log-in-Boxen (Widgets, Plugins) für soziale Websites wie Facebook auf verschiedenen Websites platziert werden, um das Kommentieren oder „Liken“ von Inhalten zu erleichtern. Da der Nutzer mit dem Login-Widget interagiert (d. h. seine Domain besucht), kann das Widget ein First-Party-Cookie hinterlassen. Dieses Erstanbieter-Cookie wird dann im Drittanbieter-Kontext verwendet und kann ein seitenübergreifendes Tracking ermöglichen.

Einige Internetbrowser wie Safari verfügen jedoch über Methoden, um dies zu blockieren (z. B. Safari 11 und neuer).

Apples intelligente Tracking-Verhinderung (ITP) und Cookies

Intelligente Tracking-Verhinderung ist eine Funktion, die mit Safari und in iOS 11 standardmäßig angeboten wird. Sie ändert die Art und Weise, wie der Apple-Browser mit Cookies von Erstanbietern umgeht, und unterscheidet sich damit von den meisten anderen Browsern.

Die neueste Version, ITP 2.0, erkennt seitenübergreifendes Tracking und trennt (oder isoliert) Cookies von Erstanbietern, so dass es unmöglich ist, sie im Kontext von Drittanbietern für Tracking- oder Analysezwecke zu verwenden. Einige Experten sind der Meinung, dass Apple durch die Einführung solch strenger Regeln für den Umgang mit Cookies von Drittanbietern das derzeitige Wirtschaftsmodell des Internets sabotiert.

Vorherige Versionen von Apples ITP (1.0 und 1.1) erlaubten das Lesen und die Verwendung von Cookies in einem „Drittanbieter-Kontext“, sofern der Nutzer innerhalb der ersten 24 Stunden direkt auf die Domain zugriff. Das verschaffte Facebook und Google einen unfairen Vorteil, da die 24-stündige Sperrung bei ihnen nicht die gleiche Wirkung hatte wie bei anderen Websites, da die Nutzer diese Websites regelmäßig besuchen und sich nur selten abmelden.

Mit ITP 2.0 ist dies nicht mehr möglich.

Mozilla Firefox

Mozilla hat nachgezogen, und Firefox Version 50 (und später) bietet derzeit eine Safari-ähnliche „intelligente“ Funktion, die unerwünschte Tracking-Cookies von Dritten blockiert. Ein graues Schildsymbol erscheint in der Adressleiste, wenn Firefox Tracking-Domains blockiert.

Der Tracking-Schutz wurde in Zusammenarbeit mit Disconnect entwickelt und basiert auf einer Reihe von Tracker-Blacklists, um Drittanbieter-Cookies nur von vertrauenswürdigen Anbietern zuzulassen.

Um zu sehen, was genau blockiert wird, können Sie immer noch die Konsole öffnen, um die Registerkarte Sicherheit zu überprüfen.

Andere Browser

Safari und Firefox (und im Grunde alle anderen auf dem Markt erhältlichen Browser) bieten ebenfalls mehr oder weniger ausgefeilte Methoden zum Blockieren von Cookies Dritter. Die meisten Browser bieten jedoch irgendeine Art von Cookie-Blockierungsmethode an – aber nicht alle basieren auf schwarzen Listen oder Algorithmen.

Wie man Cookies von Drittanbietern deaktiviert

Cookies von Drittanbietern werden blockiert, wenn ein Benutzer eine oder mehrere der folgenden Aktionen ausführt:

• Browst das Web im privaten oder Inkognito-Modus.
• Benutzt Safari als Webbrowser auf mobilen Apple-Geräten, da dieser Cookies von Drittanbietern standardmäßig blockiert.
• Ändert die Cookie- und Tracking-Einstellungen in seinem Browser (siehe unten).
• Benutzt Tor.
• Installiert Werbeblocker oder ähnliche Add-ons (Ghostery, Pivacy Badger usw.).

Die meisten Browser ermöglichen es den Nutzern, Cookies von Drittanbietern über das Einstellungsmenü zu deaktivieren. Dadurch wird die Werbung zwar weniger personalisiert, sollte aber ansonsten das Surferlebnis nicht beeinträchtigen. Es gibt zahlreiche Anleitungen im Internet, in denen die Schritte zur Deaktivierung von Cookies für jeden einzelnen Browser detailliert beschrieben werden, aber wir können einen kurzen Überblick geben:

Microsoft Edge

Klicken Sie auf das Ellipsen-Symbol (drei Punkte) in der oberen rechten Ecke und wählen Sie Einstellungen. Klicken Sie auf Erweiterte Einstellungen anzeigen und wählen Sie im Dropdown-Menü unter Cookies die Option Cookies von Drittanbietern blockieren.

Internet Explorer

Im Internet Explorer müssen Sie auf das Zahnradsymbol in der rechten oberen Ecke klicken und Internetoptionen wählen. Gehen Sie dann auf die Registerkarte Datenschutz und klicken Sie auf Erweitert. Aktivieren Sie das Kontrollkästchen Automatische Cookie-Behandlung außer Kraft setzen und setzen Sie Cookies von Drittanbietern auf „Blockieren“

Google Chrome

Klicken Sie auf das Symbol mit den drei Linien in der rechten oberen Ecke und wählen Sie Einstellungen. Klicken Sie dann unten auf Erweiterte Einstellungen anzeigen. Klicken Sie im Abschnitt Datenschutz auf Inhaltseinstellungen. Aktivieren Sie unter Cookies die Option Cookies und Websitedaten von Drittanbietern blockieren und klicken Sie auf Fertig.

Firefox

Klicken Sie auf das dreilinige Symbol in der rechten oberen Ecke und wählen Sie Optionen (PC) oder Einstellungen (Mac). Gehen Sie auf die Registerkarte Datenschutz und setzen Sie unter Verlauf die Option Firefox wird benutzerdefinierte Einstellungen für den Verlauf verwenden. Setzen Sie dann Cookies von Drittanbietern auf „Nie“.

Safari

Cookies von Drittanbietern sind standardmäßig ausgeschaltet, aber es schadet nie, dies zu überprüfen. Öffnen Sie das Safari-Menü und wählen Sie den Reiter Datenschutz. Wählen Sie die Option zum Blockieren von Cookies von Drittanbietern und Werbetreibenden.
Wie Sie sehen können, welche Cookies beim Besuch von Websites erstellt werden
Es gibt eine Reihe von Methoden, um festzustellen, welche Cookies eine Website in Ihrem Browser speichert. Sie können dies tun, indem Sie ein spezielles Browser-Plugin für die Cookie-Verwaltung installieren oder die Entwicklerkonsole des Browsers verwenden.

Browser-Plugins

Die Installation eines benutzerfreundlichen Plugins für die Cookie-Verwaltung ist der einfachste Weg, die von Websites platzierten Cookies von Erst- und Drittanbietern zu analysieren und sie bei Bedarf selektiv zu blockieren. Zu den beliebtesten Cookie-Plugins für Browser gehören:

• uBlock
• Ghostery
• AdBlock Plus
• Privacy Badger
• Disconnect (now included in Firefox)

Browser Development Console

Using the development console in your Internet browser is one of the easiest methods to see all the cookies stored by particular websites. You can also determine which of the cookies stored in your browser are first-party cookies and which are third-party. Cookies von Erstanbietern haben dieselbe Domain wie die Website, die Sie gerade besuchen.

So sehen Sie die Cookies:

Google Chrome

Für Google Chrome gehen Sie folgendermaßen vor:

1. Öffnen Sie Ihren Chrome-Browser und geben Sie die URL der Website ein, die Sie analysieren möchten.
2. Um die Konsole zu öffnen, verwenden Sie die Tastenkombination Strg + Umschalt + I, um die Inspektionskonsole auszuführen, oder Strg + Umschalt + D, um die Entwicklerkonsole auszuführen.
3. Wenn die Konsole geöffnet ist, können Sie die von der Website installierten Cookies anzeigen, indem Sie auf die Registerkarte „Anwendung“ oben rechts in der Konsole klicken.

Mozilla Firefox

Wenn Sie lieber Mozillas Firefox verwenden, können Sie die Entwicklerkonsole des Browsers öffnen:

1. Öffnen Sie die Website, die Sie analysieren möchten.
2. Öffnen Sie den Speicherinspektor, indem Sie den Speicherinspektor aus dem Untermenü Webentwickler in der Firefox-Menüleiste auswählen (oder aus dem Menü Extras, wenn Sie die Menüleiste anzeigen oder Mac OS X verwenden), oder indem Sie die Tastenkombination Umschalt + F9 drücken.
3. Die Toolbox wird am unteren Rand des Browserfensters angezeigt, wenn der Speicherinspektor aktiviert ist. In der Toolbox für Entwickler heißt sie einfach Speicher.
4. Wählen Sie links Cookies aus, um die von der Website erstellten Cookies zu sehen.

Die Zukunft von First-Party- und Third-Party-Cookies

Viele Jahre lang waren Cookies von Drittanbietern der Eckpfeiler der Online-Werbung, aber ihre Tage scheinen gezählt zu sein.

Heute kämpfen Werbetreibende und Publisher nicht nur gegen die immer beliebter werdenden Ad-Blocker und andere Methoden, die das Tracking von Drittanbietern blockieren, sondern müssen sich auch mit datenschutzrelevanten Vorschriften wie der GDPR auseinandersetzen. Hinzu kommt das wachsende Bewusstsein für Datenschutzprobleme im Zusammenhang mit Cookies von Drittanbietern, das durch die Medien gefördert wird.