Das Dokument behandelt die Implementierung von Tracking-Schutz durch Browser und deren Auswirkungen auf Webanalyse und Marketing. Es erläutert die unterschiedlichen Ansätze von Browsern wie Chrome, Firefox, Safari und Edge hinsichtlich Cookie-Management und Tracking-Methoden, sowie die Herausforderungen und potenziellen Lösungen für Marketing- und Analyse-Tools. Der langfristige Ausblick thematisiert die mögliche Abkehr von Cookies und alternative Ansätze zur Nutzeridentifikation und Tracking.

1. Browser vs. Tracking
Warum und wie Browser Trackingschutz implementieren
und wie es Webanalyse und Marketing betrifft
Markus Baersch
gandke gmbh

3. Warum machen die das?

4. Websiteübergreifendes Tracking, Profilbildung
https://clearcode.cc/blog/cookie-syncing/

5. Wer macht was?
Chrome
• Naturgemäß letzter, der GA an den Kragen geht. Eiert derzeit funktional um das Thema herum und ist deshalb in der Kritik.
• Aktives Opt Out statt Default scheint wahrscheinlich
• Anti Fingerprinting, „sameSite“-Attribut
Edge
• Schutz derzeit nur in „Microsoft Edge Insider preview“
• Umfang und Defaults noch nicht final. Aber es soll auch localStorage an den Kragen gehen!!1elf
• Nur eine Frage der Zeit
Firefox
• Enhanced Tracking Protection (ETP) betrifft das Laden von Tracking-Scripts und Zugriff auf Cookies
• Akt. Stand (seit 69): Firefox blockiert per Vorgabe der Nutzerverfolgung dienende Third Party Cookies anhand einer Liste
• Fingerprinting Schutz separat vorhanden; ITP will follow(?)
Safari
• Intelligent Tracking Prevention (ITP)
• „Vorreiter“ und derzeit das größte Hindernis
• ITP 2.1 seit Safari 12.1 (2.2: 12.2)
• ITP 2.3 (seit Safari 13): behandelt localStorage & Co. wie Client-Cookies(?)

7. Chrome: „sameSite“
https://web.dev/samesite-cookies-explained/

10. Edge: was passieren wird

11. Edge: was passieren wird
https://blogs.windows.com/msedgedev/2019/06/27/tracking-
prevention-microsoft-edge-preview/

13. Firefox: (noch) nicht so schlimm

14. Firefox: (noch) nicht so schlimm

15. Disconnect „Bad Boys“ List

16. Disconnect „Bad Boys“ List
https://github.com/disconnectme/disconnect-tracking-protection

17. Firefox 67: (noch) nicht so schlimm

18. Firefox 69: auch (noch) nicht schlimm

20. Safari: Schlachtfeld ITP
ITP blockiert oder beschränkt Cookies deutlich zum Schutz vor
domainübergreifendem Tracking durch Dritte. Erstmal 3rd Party…
Drittanbieter stellen auf First Party Cookies um (siehe fbclid)
ITP 2.1 beschränkt FPC Laufzeit auf 7 Tage, wenn Cookie clientseitig per
JS gesetzt wird. ITP 2.2 ggf. sogar nur 1 Tag.
ITP 2.3 behandelt localStorage ebenso, daher auch kein Ausweg (mehr)
GA, eTracker, Matomo, Piwik PRO, Testingtools, externe Erweiterungen
der Website… setzen alle auf clientseitige FPC oder z. T. localStorage
Problem!

21. ITP 1.x

22. ITP 2.1 + 2.2

23. ITP 2.3

24. ITP 2.4+

25. Safari: Kurzzeitkekse 

26. Safari: ITP 2.3 Debug Mode

27. Auswirkungen
abschätzen
Habe ich
Probleme
mit Cookies?

28. Analyse Safari Traffic

29. Beispiel: Analyse Safari Traffic
• Neu vs. Wiederkehrend
• Ziele
• Transaktionen
• Zeitintervall
• Multi-Channel-Trichter

30. Analyse Safari Traffic
https://go.gandke.de/itpimpactreport

31. Optionen zur
Lösung

32. Überblick Lösungswege
• „same origin“ kann ein Problem sein / Komplexität erhöhen
• Cookies als Fallback behalten
localStorage
• DSGVO-konf. Identifikation der User durch Site erforderlich
• kann per Design nur Teillösung sein
User ID
• Aufwand systemabhängig groß oder gering
• Plugins sind zu erwarten – langfristig vermutlich beste Lösung
Serverseitige Cookies
• Anpassung Trackingcode erforderlich
• Derzeit wohl flexibelste Lösung
Variante: Cookes
nachträglich „aufwerten“
• Warten auf Hersteller
• Je nach Rahmenbedingungen valide Option
Nichts tun
• Reverse Proxy / CNAME
• Server Side Tracking – aber ist das wirklich eine Option?
Potentielle künftige
Lösungen

33. Entscheidungshilfe
Abwarten als Option
Risikobewertung
Aufwand Implementierung
& Testing
Zahlen ändern sich!
Eingriff in Tracking!
Kontinuität und
Vergleichbarkeit
der Zahlen
Stakeholder
Lebens-
erwartung
einer Lösung

34. Sonderfall: Opt Out mit
JavaScript Cookies

35. Tracking aktiv
Tracking deaktiviert
Tracking deaktiviert
Tracking deaktiviert
Clientseitige Opt Out Cookies

36. Tracking aktiv
Tracking deaktiviert
Tracking deaktiviert
Tracking wieder aktiv!!!
Clientseitige Opt Out Cookies

37. Opt Out Cookies und ITP
DSGVO?
Frag mich nicht.
Ist das doof?
Ja. Auf jeden Fall!
Lösung?
Auch hier: localStorage oder weg vom „JS-Cookie“

38. Opt Out Cookies per Server
• Nur Link anpassen erforderlich
• PHP oder sonstwas muss laufen. Beispiel:
https://go.gandke.de/itp1

39. Langfristiger Ausblick
Ende der Cookies?
Es wird jedenfalls nicht leichter. Und: Banner. Und: ePrivacy.
Alternativen?
• Server2Server? Aber auch hier muss identifiziert werden!
• Autorisierung, Loginpflicht – nur Teillösungen
• localStorage? Je nach Szenario ggf. auch nicht; siehe Edge + ITP
2.3. Cross Domain geht es ohnehin nicht (einfach)
• httpOnly, secure Cookies und eigenes Management der ClientId

40. Umstieg auf httpOnly Cookies (ungar)
Request kommt vom
Browser
ID als Cookie dabei? Sonst
neu vergeben und später in
Response mitsenden als
Cookie.
•Ggf. „legacy Behandlung“ alter JS
Cookies
(ggf. neue) ID in JS-Variable
für direktes Tracking oder
dataLayer in Antwortseite
einfügen
Response senden; inkl. ID-
Cookie als httpOnly und
secure.
Trackingcode mit
abgeschaltetem Cookie-
Update und unter
Verwendung der
übergebenen ID aufrufen
Tracking geht raus
•Scripts werden blockiert? Dann zur
Not per „Brücke“ / Shim, Proxy,
DNS, CNAME oder sonstwie über
eigene Domain ausliefern

41. Umstieg auf httpOnly Cookies: PoC
https://go.gandke.de/secure-ga-cookie

42. Langfristiger Ausblick
Neue Modelle (wirklich mit mehr Kontrolle?)
• IAB User Token, „standardized, controlled container for ad
delivery“. https://iabtechlab.com/blog/evolution-of-internet-
identity-privacy-tracking/
• HTTP State Tokens (Entwurf, „google-nah“).
https://mikewest.github.io/http-state-tokens/draft-west-http-
state-tokens.html

43. Tracking anpassen: Links zu Lösungen
User ID
Info unter support.google.com/analytics/answer/3123662?hl=de
localStorage
Anleitung Simo (GTM) www.simoahava.com/analytics/use-localstorage-client-id-persistence-
google-analytics/
Mein „ITP Rant“: go.gandke.de/itp1 - Report: go.gandke.de/itpimpactreport
Beispielcodes ga.js / gtag.js: go.gandke.de/itp2
Update für Opt Outs: go.gandke.de/itp3
Serverseitige Cookies
ITP Post von Simo www.simoahava.com/analytics/itp-2-1-and-web-analytics/
„Upgrade“ per PHP: go.gandke.de/itpcookieupgrade
Krasser Spaß mit GCP: https://go.gandke.de/itp-gcp
Secure Cookie Alternative: https://go.gandke.de/secure-ga-cookie

44. N. D.

45. gandke.de
markus-baersch.de
markus-baersch.de/facebook
markus-baersch.de/xing
@mbaersch
markus-baersch.de/slideshare
… Fragen? Gern!
mbaersch@gandke.de
analytrix.de/shirt 